Configuration du protocole SSL sur le serveur de l'AC

Les clients et les administrateurs de serveur utilisent un navigateur pour accéder au serveur de l'AC afin de demander ou récupérer des certificats ; servez-vous donc de SSL pour sécuriser l'accès à ce serveur. Pour ce faire, créez le fichier de jeu de clés du serveur et demandez un certificat de serveur. Domino® valide automatiquement le certificat de serveur et fusionne le certificat de l'AC en tant que racine accréditée.

Pourquoi et quand exécuter cette tâche

Pour plus d'informations sur l'approbation des demandes de certificat serveur pour les serveurs Domino® qui ne sont pas des serveurs de l'AC, consultez la rubrique relative à la signature de certificats serveur.

Remarque : Dans certains cas, il peut être souhaitable de faire appel à l'autorité de certification Domino® 5, par exemple si vous voulez configurer Domino® pour le protocole SSL par le biais d'une certification tierce. Pour plus d'informations, consultez les rubriques connexes de la note technique Configuration d'une autorité de certification Domino® 5.

Pour configurer le protocole SSL sur le serveur de l'AC

Procédure

  1. Créez un certificateur Internet.
  2. Créez l'application Demandes de certificat (CERTREQ.NSF).
  3. Pour créer un fichier de jeu de clés serveur afin d'enregistrer le certificat du serveur et d'intégrer le certificat d'AC dans ce fichier en tant que racine accréditée, effectuez les opérations suivantes :
    1. Dans la base Demandes de certificat, choisissez Domino Key Ring Management > Create Key Ring.
    2. Dans le masque Create Key Ring, renseignez les champs suivants :
    3. Dans la boîte de dialogue Key Ring Created, vérifiez les informations et cliquez sur OK pour ajouter votre AC en tant que racine accréditée et générer une demande de certificat pour le serveur.
    4. Dans la boîte de dialogue Merge Trusted Root Certificate Confirmation, vérifiez les informations et cliquez sur OK.
    5. Lorsque la boîte de dialogue de confirmation "Certificate received into key ring and designated as trusted root" s'ouvre, cliquez sur OK.
    6. Lorsque la boîte de dialogue Certificate Request Successfully Submitted for Key Ring s'ouvre, cliquez sur OK.

    Si vous choisissez Automatic en tant que méthode de processus utilisée par la base Demandes de certificat, passez à l'étape 5. Si vous choisissez Manual, effectuez les étapes 4 à 6.

  4. Effectuez les opérations suivantes pour transférer la demande de certificat à la base Demandes d'administration :
    1. Dans la base Demandes de certificat, ouvrez la vue Submitted/Waiting for Approval. Si la demande ne s'affiche pas, appuyez sur F9 pour actualiser la vue.
    2. Si la demande a été envoyée au processus d'administration (Submitted to Administration Process), passez à l'étape 5. Si elle est toujours en attente (Pending), mettez-la en évidence et cliquez sur Submit Selected Requests.
    3. Lorsque le message Successfully submitted 1 request(s) to the Administration Process s'affiche, cliquez sur OK.
  5. Faites approuver la demande par un organisme d'enregistrement autorisé. Cet OE doit figurer parmi les OE définis pour le certificateur pour lequel vous configurez le protocole SSL.
    1. Ouvrez la base Demandes d'administration (Admin4.nsf), ouvrez la vue Demandes d'autorité de certification/Demandes de certificat et localisez la nouvelle demande.
    2. Ouvrez la demande et vérifiez les informations qu'elle contient.
    3. Cliquez sur Editer demande, puis sur Approuver la demande. Appuyez sur la touche F9 jusqu'à ce que la demande affiche l'état d'élément Emis.
  6. Sortez la demande de certificat de la base Demandes d'administration :
    1. Fermez la base Demandes d'administration et retournez à la base Demandes de certificat.
    2. Ouvrez la vue Pending/Submitted Certificates et recherchez la demande. Si nécessaire, actualisez la vue.
    3. Si le certificat n'a pas encore été émis, cliquez sur Pull Selected Request(s).
  7. Après que l'AC a signé la demande de certificat pour le serveur et vous a signalé que vous pouvez sélectionner le certificat, suivez la procédure ci-dessous.
    1. Effectuez l'une des opérations suivantes :
      • Ouvrez le fichier courrier de l'administrateur, recherchez un message dont l'objet est Your certificate request has been approved, ouvrez-le et copiez l'ID de récupération dans le Presse-papiers.
      • Dans la base Demandes de certificat, ouvrez la vue Submitted/Accepted, puis la demande serveur émise et copiez l'ID de la demande dans le Presse-papiers.
    2. Dans la base Demandes de certificat, choisissez Domino Key Ring Management, puis Pickup Key Ring Certificate.
    3. Entrez le nom et le mot de passe du fichier de jeu de clés, collez l'ID de récupération dans le masque et cliquez sur Pickup Certificate.
  8. Effectuez les opérations suivantes pour fusionner le certificat serveur approuvé dans le fichier de jeu de clés :
    1. Lorsque la boîte de dialogue "Merge Signed Certificate Confirmation" s'ouvre, vérifiez les informations qu'elle contient et cliquez sur OK.
    2. Lorsque la boîte de dialogue Certificate received into key ring s'ouvre, cliquez sur OK.
    3. Transférez le nouveau fichier de jeu de clés et son fichier .sth associé dans le répertoire de travail du serveur en copiant ou en utilisant FTP (en mode binaire).
  9. Configurez le port pour SSL :
    1. Dans l'annuaire Domino®, ouvrez le document Serveur. Dans la section Ports/Ports Internet, cliquez sur Editer serveur et entrez le nom du nouveau fichier de jeu de clés (n'entrez pas le chemin d'accès complet, Activez le champ Etat du port SSL, puis cliquez sur Enregistrer et fermer.
      Remarque : Lorsque vous éditez le document Serveur, vous pouvez facultativement activer le champ Authentification des sessions de la section Protocoles Internet - Moteur Web Domino. Ceci garantit que les sessions HTTP expireront après le délai en minutes indiqué dans le champ Délai d'inactivité d'une session. Vous pouvez également renseigner le champ Nombre max. de sessions actives.
    2. Si HTTP est déjà en cours d'exécution, entrez la commande te http restart dans la console pour activer SSL sur le serveur.
    3. Pour afficher l'état du port SSL et vérifier que le serveur HTTP est activé sur les ports 80 et 443, entrez la commande te http show security dans la console du serveur.
  10. Effectuez les opérations suivantes pour confirmer que SSL fonctionne sur le serveur :
    1. Ouvrez un navigateur et entrez l'URL du serveur, par exemple : 
      https://Serveur.Société.com/certreq.nsf
    2. Si la boîte de dialogue "New Site Certificate" s'ouvre, cliquez sur Next.
    3. Cliquez sur More Info pour vérifier les informations, puis cliquez sur Next.
    4. Indiquez si vous acceptez ou non le nouveau certificat de site et, si c'est le cas, pendant combien de temps, puis cliquez sur Next.
    5. Indiquez si vous voulez ou non recevoir un avertissement chaque fois que vous accédez au nouveau site, puis cliquez sur Next. Lorsque la boîte de dialogue s'ouvre, cliquez sur Terminer.

Résultats

Si l'indicateur de sécurité est marqué par une icône représentant un verrou fermé, cela signifie que vous avez réussi à établir une session sécurisée via SSL.