Présentation du serveur de certificats Novell

Le serveur de certificats Novell (Novell Certificate ServerTM) permet d'inventer, de publier et de gérer des certificats numériques en créant un objet Conteneur de sécurité et un objet Autorité de certification organisationnelle (CA). L'objet Autorité de certification organisationnelle permet de sécuriser la transmission des données. Il est requis pour les produits en relation avec Internet, tels que NetWare Web Manager et NetWare Enterprise Web Server. Le premier serveur eDirectory crée automatiquement et stocke physiquement les objets Conteneur de sécurité et Autorité de certification organisationnelle pour l'ensemble de l'arborescence eDirectory. Ces deux objets sont créés au sommet de l'arborescence eDirectory et doivent y rester.

Il ne peut y avoir qu'un seul objet Autorité de certification organisationnelle dans une arborescence eDirectory. Une fois que l'objet Autorité de certification organisationnelle a été créé sur un serveur, il n'est pas possible de le déplacer vers un autre serveur. La suppression ou le remplacement d'un objet Autorité de certification organisationnelle annule tout certificat associé auparavant à cet objet.

IMPORTANT :  vérifiez que le premier serveur eDirectory est bien celui qui doit être l'hôte permanent de l'objet Autorité de certification organisationnelle. Vérifiez également qu'il est fiable, accessible et qu'il fait partie intégrante du réseau.

Si ce serveur n'est pas le premier serveur eDirectory sur le réseau, le programme d'installation recherche le serveur eDirectory qui contient l'objet Autorité de certification organisationnelle et fait référence à ce serveur. Il accède au conteneur de sécurité et crée un objet Certificat de serveur.

Si aucun objet Autorité de certification organisationnelle n'est disponible sur le réseau, les produits Web ne peuvent pas fonctionner.


Droits requis pour réaliser des tâches sur le serveur de certificats Novell

Pour effectuer les tâches associées à la configuration du serveur de certificats Novell, l'administrateur doit disposer des droits décrits dans le tableau suivant.

Tâche du serveur de certificats Novell Droits requis

Configuration de la sécurité de base pour l'installation du premier serveur dans une nouvelle arborescence ou la mise à niveau du premier serveur dans une arborescence où aucun système de sécurité de base n'a été installé

Droit Superviseur au niveau de la racine

Droit Superviseur sur le conteneur de sécurité

Configuration de la sécurité de base pour l'installation des autres serveurs

Droit Superviseur sur le conteneur du serveur

Droit Superviseur sur l'objet W0 (situé à l'intérieur du conteneur de sécurité)

Création de l'autorité de certification organisationnelle

Droit Superviseur sur le conteneur de sécurité

Création d'objets Certificat de serveur

Droit Superviseur sur le conteneur du serveur

Droit Lire sur l'attribut NDSPKI:Private Key de l'objet Autorité de certification organisationnelle

De plus, l'administrateur à la racine peut déléguer la responsabilité d'utiliser l'autorité de certification organisationnelle en assignant les droits suivants aux administrateurs de sous-conteneurs. Les administrateurs de sous-conteneurs doivent posséder les droits suivants pour pouvoir installer Novell eDirectory avec la sécurité SSL :

Ces droits sont assignés à un groupe ou à un rôle dans le cadre duquel tous les utilisateurs administratifs sont définis. Pour obtenir la liste complète des droits requis pour effectuer des tâches spécifiques associées au serveur de certificats Novell, reportez-vous à la documentation en ligne de Novell Certificate Server (serveur de certificats Novell).


Opérations sécurisées eDirectory sur les systèmes Linux, Solaris, AIX et HP-UX

eDirectory inclut des PKCS (Public Key Cryptography Services) contenant le serveur de certificats Novell qui fournit des services d'infrastructure de clé publique (PKI), d'infrastructure cryptographique internationale (NICI) et le serveur SAS*-SSL.

Les sections suivantes fournissent des informations sur l'exécution d'opérations sécurisées eDirectory :

Pour obtenir des informations sur l'utilisation de l'autorité de certification externe, reportez-vous au manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).


Vérification de l'installation et de l'initialisation de NICI sur le serveur

Vérifiez les conditions suivantes, qui indiquent si le module NICI a été installé et initialisé correctement :

Si ces conditions ne sont pas remplies, suivez la procédure décrite à la section suivante, Initialisation du module NICI sur le serveur.


Initialisation du module NICI sur le serveur

  1. Arrêtez le serveur eDirectory.

  2. Vérifiez si le progiciel NICI est installé.

  3. (Conditionnel) Si le progiciel NICI n'est pas installé, installez-le immédiatement.

    Vous ne pourrez pas continuer si le progiciel NICI n'est pas installé.

  4. Copiez le fichier .nfk fourni avec le progiciel dans le répertoire /var/novell/nici.

    Exécutez le programme /var/novell/nici/primenici.

  5. Lancez le serveur eDirectory.


Démarrage du serveur de certificats (services PKI)

Pour démarrer les services PKI, entrez la commande

npki -1.


Arrêt du serveur de certificats (services PKI)

Pour arrêter les services PKI, entrez la commande

npki -u.


Création d'un objet Autorité de certification organisationnelle

  1. Lancez Novell iManager.

  2. Loguez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

    Pour afficher les droits appropriés à cette tâche, reportez-vous à Creating an Organizational CA (Création d'une autorité de certification organisationnelle) dans le manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).

  3. Cliquez sur le bouton Rôles et tâches Roles and Tasks button, sur Gestion des certificats PKI, puis sur Créer une autorité de certification.

    L'assistant de création d'une autorité de certification organisationnelle apparaît. Suivez les instructions à l'écran pour créer l'objet. Pour plus d'informations sur une page spécifique de l'assistant, cliquez sur Aide.

REMARQUE :  vous ne pouvez avoir qu'un seul objet Autorité de certification organisationnelle dans votre arborescence eDirectory.


Création d'un objet Certificat de serveur

Les objets Certificat de serveur sont créés dans le conteneur qui contient l'objet Serveur eDirectory. Selon vos besoins, vous pouvez créer un objet Certificat de serveur distinct pour chaque application prenant en charge la cryptographie sur le serveur, ou vous pouvez créer un objet Certificat de serveur pour toutes les applications utilisées sur ce serveur.

REMARQUE :  les termes " objet Certificat de serveur " et " objet Matériel clé " (KMO) sont synonymes. Le nom de schéma de l'objet eDirectory est NDSPKI:Key Material.

  1. Lancez Novell iManager.

  2. Loguez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.

    Pour afficher les droits appropriés à cette tâche, reportez-vous à Creating Server Certificate Objects (Création d'objets Certificat de serveur) dans le manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).

  3. Cliquez sur le bouton Rôles et tâches Roles and Tasks button, sur Gestion des certificats PKI, puis sur Créer un certificat de serveur.

    L'assistant Créer un certificat de serveur apparaît. Suivez les instructions à l'écran pour créer l'objet. Pour plus d'informations sur une page spécifique de l'assistant, cliquez sur Aide.


Exportation d'un certificat auto-signé d'une autorité de certification organisationnelle

Un certificat auto-signé peut être utilisé pour vérifier l'identité de l'autorité de certification organisationnelle ainsi que la validité d'un certificat signé par cette autorité.

À partir de la page de propriétés de l'autorité de certification organisationnelle, vous pouvez afficher les certificats et les propriétés associés à cet objet. À partir de la page de propriétés du certificat auto-signé, vous pouvez exporter le certificat auto-signé dans un fichier qui pourra être utilisé dans des applications prenant en charge la cryptographie.

Le certificat auto-signé qui réside dans l'autorité de certification organisationnelle est identique au certificat de racine approuvée d'un objet Certificat de serveur qui, lui, est signé par l'autorité de certification organisationnelle. Tout service qui reconnaît le certificat auto-signé de l'autorité de certification organisationnelle en tant que racine approuvée accepte un certificat utilisateur ou un certificat de serveur signé par cette autorité.

  1. Dans Novell iManager, cliquez sur le bouton Rôles et tâches Roles and Tasks button.

  2. Cliquez sur Administration eDirectory > Modifier l'objet.

  3. Spécifiez le nom et le contexte d'un objet Autorité de certification organisationnelle, puis cliquez sur OK.

    Les objets Autorité de certification organisationnelle se trouvent dans le conteneur de sécurité.

  4. Cliquez sur l'onglet Certificats, puis sur Certificat auto-signé.

  5. Cliquez sur Exporter.

    L'assistant d'exportation du certificat apparaît. Suivez les instructions à l'écran pour exporter le certificat. Pour plus d'informations sur une page spécifique de l'assistant, cliquez sur Aide.

  6. Dans la page Exporter le résumé du certificat, cliquez sur Enregistrez le certificat exporté dans un fichier.

    Une fois enregistré dans un fichier, le certificat peut être importé en tant que racine approuvée dans une application prenant en charge la cryptographie.

  7. Cliquez sur Fermer.

Insérez ce fichier dans toutes les opérations de ligne de commande qui établissent des connexions sécurisées avec eDirectory.