Remplacement des clés par l'autorité de certification

Les administrateurs HCL Domino® peuvent affecter un nouveau jeu de clés publiques et privées à l'organisme (ou autorité) de certification Domino® (OC). Ces clés servent à certifier les clés d'OU, des serveurs et des utilisateurs dans cette organisation. Le processus d'affectation des nouvelles clés est appelé remplacement de clé.

Pourquoi et quand exécuter cette tâche

Le remplacement d'une clé de l'autorité de certification peut s'avérer nécessaire pour les raisons suivantes :

  • La clé actuelle est considérée trop courte pour respecter un chiffrement approprié. Les clés plus longues offrent une meilleure protection et sont moins faciles à falsifier. L'idéal serait d'utiliser des clés AC d'une longueur de 2 048 ou 4 096 bits.
  • La clé actuelle est trop ancienne. Current® Domino® Les clés de l'organisme de certification ont souvent plus de 10 ans d'âge ; généralement, des durées de vie plus courtes sont recommandées. Vous pouvez définir la durée de vie des clés au cours du remplacement.
  • La valeur de la clé privée actuelle est compromise.

Lorsqu'un administrateur affecte un nouveau jeu de clés à une autorité de certification Domino®, de nouvelles clés sont créées et auto-certifiées, puis ajoutées dans le fichier ID certificateur de niveau supérieur dans la zone de clé en attente du fichier ID. Les clés utilisées jusqu'ici sont ajoutées dans la zone des clés archivées du fichier ID, et les certificats de remplacement associant les nouvelles et les anciennes clés sont ajoutés dans la zone des certificats de remplacement du fichier ID.

Le délai de création des nouvelles clés et d'archivage des anciennes clés est différent de celui de la méthode utilisée pour traiter le remplacement des clés AC. Si le fichier ID de l'autorité de certification est utilisé pour le processus de remplacement des clés AC, l'opération s'effectue sans délai. En revanche, si le processus AC est utilisé, cette séquence finale n'est pas déclenchée tant que le fichier ID de l'AC en cours de remplacement n'est pas ouvert à une date future pour émettre un certificat (le moment venu, les nouveaux certificats sont recherchés dans le répertoire sur le serveur d'enregistrement pour être ajoutés au fichier ID certificateur).

Certificats de remplacement

Pourquoi et quand exécuter cette tâche

Pour prendre en charge le remplacement de clé du certificateur, le modèle d'accréditation Domino® a été étendu pour inclure un nouveau type de certificat : le certificat de remplacement. Il s'agit des certificats émis par une entité à elle-même. Un certificat hiérarchique est associé à un seul nom d'émetteur, une seule dénomination spécifique et une seule clé de dénomination. Un certificat de remplacement est associé à un nom unique (à la fois l'émetteur et la dénomination) et deux clés de dénomination : une clé est utilisée pour signer le certificat et confirmer que la dénomination spécifique est en possession de l'autre clé.

Généralement, lorsqu'une clé est remplacée, deux certificats de remplacement sont émis : un signé par l'ancienne clé confirmant que la nouvelle clé est valide ; et l'autre signé par la nouvelle clé confirmant que l'ancienne clé est valide. Chaque certificat possède sa propre date d'expiration.

Les certificats de remplacement sont essentiels pour limiter les dates d'expiration des certificats émis aux anciennes clés. Parmi les raisons expliquant le remplacement d'une clé, citons : la clé précédente est compromise ou son ancienneté pose un risque inacceptable. Dans ces cas, si vous limitez la date d'expiration spécifiée dans un certificat de remplacement, il est possible de limiter la durée de vie d'un certificat enfant précédemment émis en indiquant une date d'expiration suffisamment tôt dans le certificat de remplacement.

Processus de remplacement d'un certificateur

Pourquoi et quand exécuter cette tâche

Le remplacement d'un certificateur affecte l'organisation entière. Une fois que vous avez remplacé un certificateur, vous devez remplacer ou recertifier tous les ID utilisateur, ID serveur et certifications croisées émises par ce certificateur.

La solution idéale pour procéder au remplacement sur un site client entier consiste à commencer par le certificat racine puis à descendre via la hiérarchie. Commencez par remplacer l'autorité de certification racine, puis celles de OU. Ensuite, remplacez les clés du serveur et des utilisateurs. Si une clé utilisateur ou serveur est remplacée avant celle de l'OC (organisme de certification) parent, la nouvelle clé utilisateur ou serveur doit être certifiée deux fois, une première fois avec la clé actuelle d'OC (ancienne), puis une deuxième fois lorsque la clé d'OC est remplacée. La recertification supplémentaire est coûteuse en termes de temps et d'effort : la recertification des utilisateurs et des serveurs nécessite l'intervention de l'administrateur, ainsi que la réplication des documents Personne et Serveur.

Procédure

  1. D'abord, vous devez affecter une nouvelle paire de clés au certificateur.
  2. Remplacez ou recertifiez les ID serveur qui ont été émis pas ce certificateur.
  3. Remplacez ou recertifiez les ID utilisateur qui ont été émis pas ce certificateur.
  4. Recertifiez les certifications croisées qui ont été émises pas ce certificateur.