Le serveur de certificats Novell (Novell Certificate ServerTM) permet d'inventer, de publier et de gérer des certificats numériques en créant un objet Conteneur de sécurité et un objet Autorité de certification organisationnelle (CA). L'objet Autorité de certification organisationnelle permet de sécuriser la transmission des données. Il est requis pour les produits en relation avec Internet, tels que NetWare Web Manager et NetWare Enterprise Web Server. Le premier serveur eDirectory crée automatiquement et stocke physiquement les objets Conteneur de sécurité et Autorité de certification organisationnelle pour l'ensemble de l'arborescence eDirectory. Ces deux objets sont créés au sommet de l'arborescence eDirectory et doivent y rester.
Il ne peut y avoir qu'un seul objet Autorité de certification organisationnelle dans une arborescence eDirectory. Une fois que l'objet Autorité de certification organisationnelle a été créé sur un serveur, il n'est pas possible de le déplacer vers un autre serveur. La suppression ou le remplacement d'un objet Autorité de certification organisationnelle annule tout certificat associé auparavant à cet objet.
IMPORTANT : vérifiez que le premier serveur eDirectory est bien celui qui doit être l'hôte permanent de l'objet Autorité de certification organisationnelle. Vérifiez également qu'il est fiable, accessible et qu'il fait partie intégrante du réseau.
Si ce serveur n'est pas le premier serveur eDirectory sur le réseau, le programme d'installation recherche le serveur eDirectory qui contient l'objet Autorité de certification organisationnelle et fait référence à ce serveur. Il accède au conteneur de sécurité et crée un objet Certificat de serveur.
Si aucun objet Autorité de certification organisationnelle n'est disponible sur le réseau, les produits Web ne peuvent pas fonctionner.
Pour effectuer les tâches associées à la configuration du serveur de certificats Novell, l'administrateur doit disposer des droits décrits dans le tableau suivant.
De plus, l'administrateur à la racine peut déléguer la responsabilité d'utiliser l'autorité de certification organisationnelle en assignant les droits suivants aux administrateurs de sous-conteneurs. Les administrateurs de sous-conteneurs doivent posséder les droits suivants pour pouvoir installer Novell eDirectory avec la sécurité SSL :
Ces droits sont assignés à un groupe ou à un rôle dans le cadre duquel tous les utilisateurs administratifs sont définis. Pour obtenir la liste complète des droits requis pour effectuer des tâches spécifiques associées au serveur de certificats Novell, reportez-vous à la documentation en ligne de Novell Certificate Server (serveur de certificats Novell).
eDirectory inclut des PKCS (Public Key Cryptography Services) contenant le serveur de certificats Novell qui fournit des services d'infrastructure de clé publique (PKI), d'infrastructure cryptographique internationale (NICI) et le serveur SAS*-SSL.
Les sections suivantes fournissent des informations sur l'exécution d'opérations sécurisées eDirectory :
Pour obtenir des informations sur l'utilisation de l'autorité de certification externe, reportez-vous au manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).
Vérifiez les conditions suivantes, qui indiquent si le module NICI a été installé et initialisé correctement :
Si ces conditions ne sont pas remplies, suivez la procédure décrite à la section suivante, Initialisation du module NICI sur le serveur.
Arrêtez le serveur eDirectory.
/etc/rc.d/init.d/ndsd stop
/etc/init.d/ndsd stop
/etc/rc.d/init.d/ndsd stop
/sbin/init.d/ndsd stop
Vérifiez si le progiciel NICI est installé.
rpm -qa | grep nici
pkginfo | grep NOVLniu0
rpm -qa | grep nici
swlist | grep NOVLniu0
(Conditionnel) Si le progiciel NICI n'est pas installé, installez-le immédiatement.
Vous ne pourrez pas continuer si le progiciel NICI n'est pas installé.
Copiez le fichier .nfk fourni avec le progiciel dans le répertoire /var/novell/nici.
Exécutez le programme /var/novell/nici/primenici.
Lancez le serveur eDirectory.
/etc/rc.d/init.d/ndsd start
/etc/init.d/ndsd start
/etc/rc.d/init.d/ndsd start
/sbin/init.d/ndsd start
Pour démarrer les services PKI, entrez la commande
npki -1.
Pour arrêter les services PKI, entrez la commande
npki -u.
Lancez Novell iManager.
Loguez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.
Pour afficher les droits appropriés à cette tâche, reportez-vous à Creating an Organizational CA (Création d'une autorité de certification organisationnelle) dans le manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).
Cliquez sur le bouton Rôles et tâches , sur Gestion des certificats PKI, puis sur Créer une autorité de certification.
L'assistant de création d'une autorité de certification organisationnelle apparaît. Suivez les instructions à l'écran pour créer l'objet. Pour plus d'informations sur une page spécifique de l'assistant, cliquez sur Aide.
REMARQUE : vous ne pouvez avoir qu'un seul objet Autorité de certification organisationnelle dans votre arborescence eDirectory.
Les objets Certificat de serveur sont créés dans le conteneur qui contient l'objet Serveur eDirectory. Selon vos besoins, vous pouvez créer un objet Certificat de serveur distinct pour chaque application prenant en charge la cryptographie sur le serveur, ou vous pouvez créer un objet Certificat de serveur pour toutes les applications utilisées sur ce serveur.
REMARQUE : les termes " objet Certificat de serveur " et " objet Matériel clé " (KMO) sont synonymes. Le nom de schéma de l'objet eDirectory est NDSPKI:Key Material.
Lancez Novell iManager.
Loguez-vous à l'arborescence eDirectory en tant qu'administrateur disposant des droits appropriés.
Pour afficher les droits appropriés à cette tâche, reportez-vous à Creating Server Certificate Objects (Création d'objets Certificat de serveur) dans le manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).
Cliquez sur le bouton Rôles et tâches , sur Gestion des certificats PKI, puis sur Créer un certificat de serveur.
L'assistant Créer un certificat de serveur apparaît. Suivez les instructions à l'écran pour créer l'objet. Pour plus d'informations sur une page spécifique de l'assistant, cliquez sur Aide.
Un certificat auto-signé peut être utilisé pour vérifier l'identité de l'autorité de certification organisationnelle ainsi que la validité d'un certificat signé par cette autorité.
À partir de la page de propriétés de l'autorité de certification organisationnelle, vous pouvez afficher les certificats et les propriétés associés à cet objet. À partir de la page de propriétés du certificat auto-signé, vous pouvez exporter le certificat auto-signé dans un fichier qui pourra être utilisé dans des applications prenant en charge la cryptographie.
Le certificat auto-signé qui réside dans l'autorité de certification organisationnelle est identique au certificat de racine approuvée d'un objet Certificat de serveur qui, lui, est signé par l'autorité de certification organisationnelle. Tout service qui reconnaît le certificat auto-signé de l'autorité de certification organisationnelle en tant que racine approuvée accepte un certificat utilisateur ou un certificat de serveur signé par cette autorité.
Dans Novell iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Administration eDirectory > Modifier l'objet.
Spécifiez le nom et le contexte d'un objet Autorité de certification organisationnelle, puis cliquez sur OK.
Les objets Autorité de certification organisationnelle se trouvent dans le conteneur de sécurité.
Cliquez sur l'onglet Certificats, puis sur Certificat auto-signé.
Cliquez sur Exporter.
L'assistant d'exportation du certificat apparaît. Suivez les instructions à l'écran pour exporter le certificat. Pour plus d'informations sur une page spécifique de l'assistant, cliquez sur Aide.
Dans la page Exporter le résumé du certificat, cliquez sur Enregistrez le certificat exporté dans un fichier.
Une fois enregistré dans un fichier, le certificat peut être importé en tant que racine approuvée dans une application prenant en charge la cryptographie.
Cliquez sur Fermer.
Insérez ce fichier dans toutes les opérations de ligne de commande qui établissent des connexions sécurisées avec eDirectory.