Utilisation des certifications croisées pour l'accès aux serveurs et l'envoi de messages S/MIME sécurisés

Notes® certificats croisés

Pour permettre aux utilisateurs et aux serveurs de différentes organisations hiérarchiquement certifiées d'accéder aux serveurs de l'autre organisation et de vérifier la signature numérique d'un utilisateur d'une autre organisation, vous pouvez recourir à des certifications croisées. Les serveurs Domino® enregistrent les certifications croisées dans l'annuaire Domino®. Pour accéder aux serveurs Domino®, les clients Notes® obtiennent des certifications croisées pour ces serveurs et les enregistrent dans leurs carnets d'adresses personnels. Ces certifications croisées ne peuvent être utilisées que par les personnes/entités pour lesquelles elles ont été émises.

Ainsi, si Alain Dupont/Ventes/Est/Audimatique souhaite accéder au serveur Support/Abyssal, il doit obtenir une certification croisée de /Abyssal, et le serveur Support/Abyssal doit obtenir une certification croisée pour /Ventes/Est/Audimatique. Lorsqu'Alain tente de s'authentifier auprès du serveur Support/Abyssal, ce dernier vérifie qu'une certification croisée existe bien dans l'application Contacts d'Alain. S'il trouve une certification croisée valide, Support/Abyssal vérifie alors que Alain est autorisé à accéder au serveur.

La certification croisée peut intervenir à différents niveaux d'une organisation. Ainsi, pour permettre à chaque utilisateur d'une organisation de s'authentifier auprès des serveurs d'une autre organisation, chaque utilisateur doit disposer dans le fichier Contacts d'une certification croisée pour le certificateur principal de l'autre organisation. Les serveurs de chaque organisation possèdent des certifications croisées pour le certificateur principal des autres organisations dans l'annuaire Domino®. La certification croisée peut avoir lieu au niveau d'un utilisateur individuel ou d'un ID serveur. Ainsi, pour permettre à un utilisateur spécifique de s'authentifier auprès d'un serveur d'un autre subordonné ou de vérifier une signature numérique reçue d'un utilisateur membre de ce subordonné, l'ID de cet utilisateur doit faire l'objet d'une certification croisée pour le certificateur subordonné de l'autre organisation, ce certificateur devant lui-même disposer d'une certification croisée pour l'ID utilisateur.

Il n'est pas obligatoire que la certification croisée bidirectionnelle soit symétrique. Une organisation peut disposer d'une certification croisée pour un certificateur subordonné, par exemple, et une autre organisation d'une certification croisée pour le certificateur principal.

Si vous disposez de certifications croisées pour un certificateur principal ou subordonné d'une autre organisation, configurez des restrictions d'accès aux serveurs pour empêcher les utilisateurs de cette autre organisation d'accéder à des serveurs spécifiques sur lesquels se trouvent des informations confidentielles. Pour autoriser les membres de votre organisation à accéder aux serveurs d'une autre organisation tout en interdisant aux membres de cette dernière d'accéder à vos serveurs, échangez les certifications croisées requises mais définissez ensuite des listes de contrôle d'accès à l'ensemble des serveurs pour interdire les accès en provenance de l'autre organisation.

Certificats croisés Internet

Une certification croisée Internet est un certificat qui valide l'identité d'un utilisateur ou d'un serveur. La certification croisée Internet garantit au destinataire d'un message S/MIME chiffré que le certificat de l'expéditeur est accrédité et que le certificat utilisé pour signer le message S/MIME est valide. Elle valide également l'identité d'un serveur lorsqu'un client Notes® accède à un serveur Internet via SSL.

Une certification croisée Internet est enregistrée dans un document Certificat de l'application Contacts de l'utilisateur et ne peut servir qu'à celui auquel elle est destinée. Ce type de certification peut être délivré pour un certificat émis par une AC à un utilisateur ou à un serveur (premier cas), ou pour l'AC elle-même (deuxième cas). Dans le premier cas, la certification croisée indique l'accréditation du propriétaire du certificat uniquement (l'expéditeur du message signé ou le destinataire d'un message chiffré, par exemple). Dans le deuxième cas (certification croisée pour une AC), tous les propriétaires ayant un certificat émis par cette AC sont accrédités. Quand vous appliquez une certification croisée sur une AC, vous accréditez cette autorité pour l'octroi de certificats aux utilisateurs et aux serveurs situés à des niveaux inférieurs de la hiérarchie des noms. Ainsi, la certification croisée de Ventes/ABC indique que vous autorisez Ventes/ABC à délivrer un certificat à Fred/Ventes/ABC. Par contre, quand vous créez une certification croisée pour Fred/Ventes/ABC, vous accréditez uniquement Fred/Ventes/ABC.