ID de certificateur et certificats

Les ID de certificateur et les certificats constituent la base de la sécurité HCL Domino®. Pour positionner correctement des serveurs et des utilisateurs dans le schéma de noms hiérarchiques de votre société, vous créez un ID de certificateur pour chaque branche de l'arborescence. Utilisez les certificateurs lors de l'enregistrement serveur et utilisateur pour identifier chaque ID de serveur et ID d'utilisateur en lui attribuant un certificat qui définit son emplacement dans l'organisation. Les serveurs et les utilisateurs faisant partie de la même arborescence de noms peuvent communiquer ensemble, alors que les serveurs et les utilisateurs qui appartiennent à des arborescences distinctes requièrent un certificat croisé pour communiquer.

Remarque : Vous pouvez enregistrer des serveurs et des utilisateurs sans identifier chaque ID de serveur et ID d'utilisateur si vous avez fait migrer le certificateur dans une autorité de certification (AC) sur serveur Domino®.

A chaque création d'ID de certificateur, Domino® crée un fichier ID de certificateur et un document de certificateur. Le premier contient l'ID permettant d'enregistrer les serveurs et les utilisateurs. Le document certificateur constitue un enregistrement de l'ID de certificateur et mémorise, entre autres, son nom hiérarchique, le nom de l'ID de certificateur qu'il a établi, ainsi que les noms des certificats qui lui sont associés.

Remarque : Lors de la configuration du serveur, vous pouvez utiliser un ID de certificateur existant plutôt que d'en créer un nouveau. L'ID de certificateur que vous spécifiez ne peut pas être associé à plusieurs mots de passe. Si vous tentez d'utiliser un ID de certificateur avec plusieurs mots de passe, un message d'erreur s'affiche et la configuration du serveur s'interrompt.

Il existe deux types d'ID de certificateur : principal et subordonné.

  • ID de certificateur principal

    Le certificateur principal apparaît au sommet de l'arborescence des noms et correspond généralement au nom de l'organisation (Renovations, par exemple). Lors de l'installation du premier serveur, le programme de configuration crée le certificateur principal et enregistre le fichier ID correspondant dans le répertoire de travail Domino®, sous le nom CERT.ID. Lors de l'installation du premier serveur, cet ID de certificateur principal certifie automatiquement l'ID du premier serveur Domino® et l'ID utilisateur de l'administrateur.

    Si votre société est de grande taille et décentralisée, vous pouvez, si vous le souhaitez, utiliser Domino® Administrator après la configuration du serveur pour créer un second ID de certificateur principal afin de différencier les différentes filiales, par exemple.

  • ID de certificateur subordonné

    Les certificateurs subordonnés se trouvent à tous les niveaux de l'arborescence des noms et représentent généralement des zones géographiques ou des services (Est/Renovations ou Ventes/Est/Renovations, par exemple). Si vous le souhaitez, vous pouvez créer un ID de certificateur subordonné de premier niveau lors de la configuration du serveur : dans ce cas, l'ID de serveur et l'ID d'utilisateur de l'administrateur sont identifiés avec le certificateur subordonné plutôt qu'avec le certificateur principal. Si vous décidez de ne pas créer ce certificateur subordonné pendant la configuration du serveur, vous pourrez toujours utiliser Domino® Administrator pour le faire ultérieurement. N'oubliez pas simplement de recertifier l'ID de serveur et l'ID d'utilisateur de l'administrateur.

    Vous pouvez créer jusqu'à quatre niveaux de certificateurs subordonnés. Pour créer le premier niveau d'ID de certificateur subordonné, utilisez l'ID de certificateur principal. Pour créer des ID de certificateur subordonné de second niveau, utilisez l'ID de certificateur subordonné de premier niveau, et ainsi de suite.

    Les ID de certificateur subordonné permettent de décentraliser la certification en distribuant des ID de certificateur individuels aux administrateurs gérant des utilisateurs et des serveurs dans des branches spécifiques de la société. Par exemple, la société Renovations dispose de deux administrateurs. L'un administre les serveurs et les utilisateurs de la branche Ouest/Renovations et a uniquement accès à l'ID de certificateur de Ouest/Renovations et l'autre administre les serveurs et les utilisateurs de la branche Est/Renovations et a uniquement accès à l'ID de certificateur de Est/Renovations.

Par défaut, le programme de configuration de serveur place le fichier ID de certificateur dans le répertoire que vous avez défini en tant que répertoire de travail Domino®. Lorsque vous utilisez Domino® Administrator pour créer un ID de certificateur principal ou un ID de certificateur subordonné, spécifiez l'emplacement où vous souhaitez que l'ID soit stocké. Pour garantir la sécurité, enregistrez les certificateurs dans un emplacement sûr (sur un disque placé dans une pièce fermée à clé, par exemple).

Pour permettre aux utilisateurs HCL Notes® de récupérer leur ID et mot de passe, vous devez configurer les informations de restauration pour chaque ID de certificateur. Pour pouvoir restaurer des fichiers ID utilisateur, vous devez avoir accès au fichier ID de certificateur afin de spécifier les informations de restauration et les fichiers ID utilisateur doivent être restaurables. Il existe trois manières de procéder :

  • Lors de l'enregistrement de l'utilisateur, créez le fichier ID avec un ID de certificateur contenant les informations de restauration.
  • Exportez les informations de restauration à partir du fichier ID de certificateur et soumettez-les à l'utilisateur.
  • (Pour les serveurs utilisant l'autorité de certification sur serveur uniquement) Ajoutez les informations de restauration au certificateur. De ce fait, lorsque des utilisateurs existants s'authentifient auprès de leur serveur hôte, leurs ID sont automatiquement mis à jour.