Configuration des connexions SSL

Le pilote utilise le protocole LDAP pour communiquer avec le serveur LDAP. La plupart des serveurs LDAP autorise des connexions non codées (texte clair). À condition d'être correctement configurés, certains serveurs LDAP autorisent en outre les connexions codées SSL. Les connexions SSL ont pour effet de coder toutes les données du trafic au niveau du socket TCP/IP au moyen d'une paire de clés publique/privée. Le protocole LDAP réel reste le même ; c'est le canal de communication qui effectue le codage.

La procédure d'activation des connexions SSL diffère légèrement d'un serveur LDAP à l'autre. Le présent document décrit le processus d'activation des connexions SSL en cas d'utilisation de Netscape Directory Server 4.12.

Si vous utilisez un autre serveur LDAP, la procédure à suivre est similaire.


Étape 1 : Génération d'un certificat de serveur

Vous devez en premier lieu installer un certificat de serveur. Le serveur LDAP peut lui-même générer un certificat, mais ce dernier doit ensuite être signé par une autorité de certification qui a été approuvée par le serveur. L'un des moyens d'obtenir cette signature est d'utiliser l'autorité de certification fournie avec eDirectory.

Pour créer une requête de certificat :

  1. Dans l'arborescence de navigation de la console Netscape, sélectionnez le serveur avec lequel le pilote va être amené à communiquer.

  2. Cliquez sur Open Server (Ouvrir le serveur).

  3. Cliquez sur Tasks > Certificate Setup Wizard (Tâches > Assistant de configuration de certificat).

  4. Entrez les informations nécessaires pour obtenir un certificat.

    Suivant les certificats ou les jetons susceptibles d'être déjà installés sur le système hôte, vous pouvez voir s'afficher quelques-uns ou la totalité des champs suivants :

    Select a Token (Cryptographic Device) : (Sélectionner un jeton (dispositif cryptographique) :) sélectionnez Internal (Software) (Interne (logiciel)).

    Is the Server Certificate Already Requested and Ready to Install? (Le certificat de serveur a-t-il déjà été demandé et est-il prêt pour l'installation ?) sélectionnez No (Non).

    Si aucune base de données approuvée n'existe déjà pour cet hôte, le système en génère une pour vous.

    Une base de données approuvée est une base de données de paires de clés et de certificats installée sur l'hôte local. Lorsque vous utilisez un jeton interne, la base de données approuvée devient la base de données dans laquelle vous installez la clé et le certificat.

  5. Entrez et confirmez le mot de passe.

    Le mot de passe doit contenir au moins huit caractères, dont au moins un numérique. Ce mot de passe permet de sécuriser l'accès à la nouvelle base de données de clés que vous êtes en train de créer.

  6. Continuez d'entrer les informations qui vous sont demandées, puis cliquez sur Next (Suivant).

  7. Une fois la base de données approuvée créée, cliquez sur Next (Suivant).

  8. Saisissez les informations demandées, puis cliquez sur Next (Suivant).

  9. Entrez le mot de passe défini pour le jeton que vous avez précédemment sélectionné, puis cliquez sur Next (Suivant).

    L'assistant de configuration de certificat génère une requête de certificat pour votre serveur. Lorsque cet écran s'affiche, vous pouvez envoyer la requête de certificat à l'autorité de certification.


Étape 2 : Envoi de la requête de certificat

  1. Copiez la requête de certificat de serveur dans le Bloc-notes ou dans un autre éditeur de texte.

  2. Enregistrez le fichier en lui donnant le nom suivant : CSR.TXT.

    Votre message électronique de requête de certificat doit ressembler à ce qui suit :

    -----BEGIN NEW CERTIFICATE REQUEST----- 
     
            .  
     
            .  
     
            .  
    -----END NEW CERTIFICATE REQUEST----

  3. Dans iManager, sélectionnez Novell Certificate Server > Émettre un certificat.

  4. Dans le champ de nom de fichier, recherchez le fichier CSR.TXT, puis cliquez sur Suivant.

  5. Sélectionnez Autorité de certification organisationnelle.

  6. Spécifiez SSL comme type de clé, puis cliquez sur Suivant.

  7. Spécifiez les paramètres du certificat, cliquez sur Suivant puis sur Terminer.

  8. Enregistrez le certificat au format Base64 (il doit avoir le nom suivant : CERT.B64) sur un disque local ou sur disquette.


Étape 3 : Installation du certificat

  1. Dans l'arborescence de navigation de la console Netscape, sélectionnez le serveur auquel le pilote va être connecté.

  2. Cliquez sur Open (Ouvrir).

  3. Cliquez sur Tasks > Certificate Setup Wizard (Tâches > Assistant de configuration de certificat).

  4. Lancez l'assistant et indiquez que vous êtes prêt à installer le certificat.

  5. Lorsque vous y êtes invité, entrez les informations suivantes :

    Select a Token (Cryptographic Device) : (Sélectionner un jeton (dispositif cryptographique) : sélectionnez Internal (Software) (Interne (logiciel)).

    Is the Server Certificate Already Requested and Ready to Install? (Le certificat de serveur a-t-il déjà été demandé et est-il prêt pour l'installation ?) sélectionnez Yes (Oui).

  6. Cliquez sur Next (Suivant).

  7. Dans le champ Install Certificate For (Installer le certificat pour), sélectionnez This Server (Ce serveur).

  8. Dans le champ Password (Mot de passe), entrez le mot de passe que vous avez utilisé pour définir la base de données approuvée, puis cliquez sur Next (Suivant).

  9. Dans le champ Certificate Is Located in This File (Emplacement du certificat), entrez, sous forme absolue, le chemin d'accès au certificat, par exemple A: \CERT.B64.

  10. Une fois le certificat généré, cliquez sur Add (Ajouter).

  11. Une fois le certificat installé, cliquez sur Done (Terminé).


Étape 4 : Activation de SSL dans Netscape Directory Server 4.12

Après avoir installé le certificat, procédez comme suit pour activer SSL :

  1. Dans l'arborescence de navigation de la console Netscape, sélectionnez le serveur pour lequel vous souhaitez utiliser le codage SSL.

  2. Cliquez sur Open > Configuration > Encryption (Ouvrir > Configuration > Codage).

  3. Entrez les informations suivantes :

    Enable SSL (Activer SSL) : sélectionnez cette option.

    Cipher Family (Famille de codage) : sélectionnez RSA.

    Token to Use (Jeton à utiliser) : sélectionnez Internal (Software) (Interne (logiciel)).

    Certificate to Use (Certificat à utiliser) : sélectionnez Server-Cert (Serveur-Cert).

    Client Authentication (Authentification client) : comme le pilote ne prend pas en charge l'authentification du client, sélectionnez Allow Client Authentication (Autoriser l'authentification client).

  4. Cliquez sur Save (Enregistrer).

  5. Cliquez sur Tasks (Tâches), puis redémarrez le serveur pour que les modifications soient prises en compte.


Étape 5 : Exportation de la racine approuvée depuis l'arborescence eDirectory

  1. Dans iManager, sélectionnez Administration eDirectory > Modifier l'objet.

  2. Rechercher l'objet Autorité de certification (CA - Certificate Authority), puis cliquez sur OK.

  3. Cliquez sur l'onglet Certificats.

  4. Cliquez sur Exporter.

  5. Cliquez sur Non à l'invite " Voulez-vous exporter la clé privée avec le certificat ? ".

  6. Cliquez sur Suivant.

  7. Dans le champ Nom de fichier, saisissez un nom de fichier (par exemple, CertClePublique), puis sélectionnez le format Base64.

  8. Cliquez sur Exporter.


Étape 6 : Importation du certificat racine approuvé

Vous devez importer le certificat racine approuvé dans la base de données approuvée du serveur LDAP et dans la zone de stockage des certificats du client.


Importation dans la base de données approuvée du serveur LDAP

Vous devez importer le certificat racine approuvé dans la base de données approuvée du serveur LDAP. Le certificat de serveur étant signé par l'autorité de certification de eDirectory, la base de données approuvée doit être configurée de façon à approuver cette autorité de certification.

  1. Dans la console Netscape, cliquez sur Tasks > Certificate Setup Wizard > Next (Tâches > Assistant de configuration de certificat > Suivant).

  2. Dans Select a Token (Sélectionner un jeton), acceptez la valeur par défaut indiquée pour Internal (Software) (Interne (logiciel)).

  3. Dans Is the Server Certificate Already Requested and Ready to Install? (Le certificat de serveur a-t-il déjà été demandé et est-il prêt pour l'installation ?), sélectionnez Yes (Oui)

  4. Cliquez sur Next (Suivant) deux fois.

  5. Dans Install Certificate For (Installer le certificat pour), sélectionnez Trusted Certificate Authority (Autorité de certification approuvée).

  6. Cliquez sur Next (Suivant).

  7. Sélectionnez l'option The Certificate Is Located in This File (Emplacement du certificat), puis entrez le chemin d'accès complet au fichier .b64 qui contient le certificat racine approuvé.

  8. Cliquez sur Next (Suivant).

  9. Vérifiez les informations à l'écran, puis cliquez sur Add (Ajouter).

  10. Cliquez sur Done (Terminé).


Importation dans la zone de stockage des certificats du client

Vous devez importer le certificat racine approuvé dans une zone de stockage de certificats (également appelé Keystore) que l'utilisateur puisse utiliser.

  1. Utilisez la classe KeyTool qui se trouve dans rt.jar.

    Par exemple, si votre certificat de clé publique est enregistré sous le nom de fichier PublicKeyCert.b64 sur une disquette et que vous souhaitez l'importer dans un nouveau fichier de stockage de certificats appelé .keystore dans l'annuaire actif, saisissez les informations suivantes sur la ligne de commande :

    java sun.security.tools.KeyTool -import -alias TrustedRoot -file a:\PublicKeyCert.b64 
     
    -keystore .keystore -storepass keystorepass

  2. Lorsque vous êtes invité à approuver ce certificat, entrez Yes (Oui), puis cliquez sur Enter (Entrer).

  3. Copiez le fichier .keystore dans n'importe quel répertoire du système de fichiers qui contient les fichiers de eDirectory.

  4. Dans iManager, cliquez sur Gestion DirXML puis sur Présentation et recherchez les pilotes.

  5. Cliquez sur l'objet Pilote LDAP puis cliquez de nouveau dessus à la page suivante.

  6. Dans le paramètre Chemin d'accès Keystore, entrez le chemin d'accès complet au fichier .keystore.


Étape 7 : Configuration des paramètres du pilote

Le tableau ci-dessous répertorie les paramètres du pilote, ainsi que ses valeurs par défaut dans les exemples de configuration.

Paramètre Exemple de valeur de configuration

Utiliser SSL pour les connexions LDAP

non

Port SSL

636

Chemin d'accès Keystore (pour certificats SSL)

[vierge]

Utiliser SSL pour les connexions LDAP

Ce paramètre doit avoir la valeur Oui ou Non. Il indique s'il convient ou non d'utiliser des connexions SSL pour communiquer avec le serveur LDAP. Pour utiliser SSL, vous devez également correctement configurer le serveur LDAP.

Pour plus d'informations, reportez-vous à Configuration des connexions SSL.


Port SSL

Ce paramètre est ignoré sauf si la valeur Oui a été définie pour l'option Utiliser SSL pour les connexions LDAP. Il indique le port utilisé par le serveur LDAP pour les connexions sécurisées.


Chemin d'accès Keystore (pour certificats SSL)

Lorsque la valeur Oui est définie pour l'option Utiliser SSL pour les connexions LDAP, ce paramètre doit avoir pour valeur le chemin d'accès complet au fichier .keystore qui contient le certificat racine approuvé par l'autorité de certification (CA) qui a signé le certificat de serveur.

Pour plus d'informations sur la création du fichier .keystore, reportez-vous à la section Importation dans la zone de stockage des certificats du client.