Configuration d'une autorité de certification Internet

Une part essentielle de la planification de sécurité consiste à savoir s'il est nécessaire de configurer une autorité de certification pour émettre des certificats Internet et, le cas échéant, à définir le mode de cette configuration. Une autorité de certification (AC) ou certificateur est un outil d'administration accrédité qui émet et gère des certificats numériques. Les certificats vérifient l'identité d'un individu, d'un serveur ou d'une organisation, et permettent à ces derniers d'utiliser SSL comme moyen de communication et S/MIME pour échanger du courrier. Les certificats sont marqués de la signature numérique du certificateur ; les destinataires du certificat sont ainsi assurés que le détenteur du certificat est bien l'entité mentionnée dans le certificat.

Les certificateurs peuvent également émettre des certificats racine accrédités, qui permettent aux clients et aux serveurs disposant de certificats créés par différentes AC de communiquer entre eux.

Remarque : Il est important de faire la distinction entre les certificateurs Notes® et les certificateurs Internet. Lorsque vous installez et que vous configurez le premier serveur Domino® d'un domaine, un certificateur Notes® est automatiquement configuré pour émettre des certificats Notes® pour les clients Notes®. Ces certificats sont essentiels pour que les clients Notes® puissent s'authentifier auprès d'un serveur Domino® et pour que les serveurs Domino® puissent s'authentifier les uns les autres. Les certificateurs Notes® sont également importants dans les environnements de clients Web. Un certificateur Internet, tel que ceux mentionnés ici, émet des certificat Internet (X.509) requis pour assurer une communication sécurisée sur Internet. Vous configurez les certificateurs Internet selon vos besoins.

Choix d'un certificateur Internet approprié à votre organisation

Pour configurer un certificateur Internet pour votre organisation, plusieurs options s'offrent à vous. (Dans cette rubrique, le "certificateur" fait référence à un certificateur Internet.) Vous pouvez utiliser un certificateur tiers du commerce, tel que VeriSign, ou l'un des deux types de certificateurs Internet Domino®. Chaque type de certificateur comporte des avantages et des inconvénients. Votre choix doit être déterminé par les exigences de votre organisation, ainsi que par le temps et les ressources disponibles pour gérer le certificateur.

Certificateurs Internet : Domino® comparé à un tiers

Tableau 1. Certificateurs Internet

Type de certificateur Internet

Avantages

Domino® certificateur
  • Evite les dépenses générées par un certificateur tiers pour émettre et renouveler des certificats client et serveur.
  • Bon nombre d'administrateurs connaissent déjà Domino® et n'ont besoin d'aucune formation spécifique qui s'avérerait nécessaire s'ils utilisaient un certificateur tiers.
  • Configuration et déploiement plus simples et plus rapides de nouveaux certificats "à la demande".

Certificateur tiers (VeriSign, RSA, etc.)
  • Peut simplifier la configuration du client. Si vous obtenez des certificats d'un certificateur qui est préconfiguré comme étant accrédité par le navigateur utilisé, vous économisez une étape de configuration client.
  • De même, si le certificateur est préconfiguré comme étant accrédité sur les clients de messagerie des entreprises externes avec lesquelles vous échangez du courrier S/MIME, vous économisez une étape de configuration.

Domino® Certificateurs Internet : autorité de certification sur serveur comparée à une autorité de certification Domino® 5

Vous pouvez choisir de configurer une autorité de certification Domino® qui utilise le processus d'AC sur serveur ou une autorité de certification Domino® 5 qui utilise un jeu de clés d'AC.

Tableau 2. Domino® Certificateurs Internet

Domino® Type de certificateur Internet

Avantages

autorité de certification sur serveur
  • Les administrateurs peuvent gérer les certificateurs Notes® et Internet par le biais du processus d'AC.
  • Emet des certificats Internet compatibles avec les normes de sécurité de l'industrie (notamment X.509v3 et PKIX).
  • Ne requiert pas d'accès administrateur à l'ID et au mot de passe de l'ID certificateur pour enregistrer les utilisateurs et les serveurs. Ainsi, les administrateurs peuvent déléguer ces tâches sans risquer de compromettre le certificateur.
  • Prend en charge le rôle de l'organisme d'enregistrement (OE) PKIX qui permet aux administrateurs de déléguer le processus de refus et d'approbation des certificats.
  • Emet des listes de révocation de certificats (LRC) qui contiennent les informations relatives aux certificats Internet révoqués ou expirés.
  • Requis si vous prévoyez d'utiliser le client Web Administrator pour enregistrer les utilisateurs Notes®.

Domino® autorité de certification 5
  • Fournit une méthode simple pour configurer un certificateur Internet à des fins de test et de démonstration.

Utilisation des deux types d'AC Internet Domino® dans un domaine

Il est possible d'utiliser les deux types de certificateurs (processus d'AC et jeu de clés d'AC) au sein d'un même domaine. Veillez cependant à ne pas disposer d'un certificateur utilisant à la fois un jeu de clés d'AC et un processus d'AC pour émettre des certificats Internet. Un certificateur utilisant le processus d'AC effectue le suivi des certificats qu'il émet dans une liste de certificats délivrés (LCD), base accessible sur tous les serveurs d'un domaine. En revanche, un certificateur utilisant le jeu de clés d'AC crée des journaux sur les postes de travail sur lesquels il est utilisé. Il ne génère pas de liste centralisée des certificats émis ; vous n'avez accès qu'à des listes partielles. Par conséquent, les certificats émis à l'aide du processus d'AC ne sont pas reconnus par le jeu de clés d'AC, et inversement.

Cela peut s'avérer problématique, notamment pour les certificateurs Internet. En effet, il est possible de révoquer des certificats Internet dans des autorités de certification sur serveur. Cependant, pour révoquer un certificat Internet, vous devez le sélectionner dans la LCD. Si le certificat a été généré à l'aide d'un jeu de clés, il ne figure pas dans la LCD et ne peut donc pas être révoqué.

Par conséquent, il est fortement conseillé d'appliquer soit un processus d'AC soit un jeu de clés d'AC à chaque certificateur.