Signature d'un certificat client Internet et ajout du certificat à l'annuaire Domino®

En signant un certificat client Internet, l'AC ajoute une signature numérique au certificat et, s'il s'agit d'une AC Domino®, copie la clé publique dans l'annuaire Domino®. Si vous faites appel à une AC tierce, l'ajout de la clé dans l'annuaire Domino® requiert des étapes supplémentaires.

Pourquoi et quand exécuter cette tâche

Il n'est pas nécessaire d'exécuter cette procédure si vous utilisez un client Notes® et les certificats émis par l'AC qui figurent dans le document Personne de l'annuaire Domino®. En effet, lorsque l'utilisateur s'identifie auprès du serveur, Notes® ajoute automatiquement ces certificats dans le fichier ID Notes®.

La procédure de signature et d'ajout d'un certificat client Internet à l'annuaire Domino® varie selon la provenance de l'AC (autorité de certification sur serveur Domino®, AC Domino® 5 ou AC tierce).

Avant d'approuver les certificats client pour la signature :

  • Assurez-vous d'avoir bien assimilé la politique de signature des certificats appliquée par votre entreprise. Ne signez les certificats client que si les demandes de certificats sont conformes à cette politique de sécurité.
  • Vérifiez que le processus d'administration est configuré sur le serveur. Si vous signez un certificat pour un client Internet, assurez-vous d'avoir créé un document Personne.

Domino® Autorité de certification sur serveur

Pourquoi et quand exécuter cette tâche

Cette procédure est effectuée par l'autorité de certification Domino®. Vous devez être un OE (organisme d'enregistrement) pour être en mesure d'approuver les certificats client pour la signature.

Procédure

  1. Depuis Domino® Administrator, cliquez sur Fichiers et ouvrez l'application Demandes de certificat Domino®.
  2. Transférez la demande de certificat dans la base Demandes d'administration.
    1. Dans la base Demandes de certificat, ouvrez la vue Pending/Submitted Requests. Appuyez sur F9 pour actualiser la vue si la demande du client n'apparaît pas.
    2. Si la vue indique que la demande a été soumise au processus d'administration (Submitted to Administration Process), passez à l'étape suivante. Si elle est toujours à l'état En attente, mettez en évidence la demande et cliquez sur Submit Selected Requests.
    3. Le message Successfully submitted 1 request(s) to the Administration Process doit s'afficher. Cliquez sur OK.
  3. Approuvez ou annulez la demande.
    1. Ouvrez la base Demandes d'administration (ADMIN4.NSF), ouvrez la vue Demandes d'autorité de certification/Demandes de certificat et localisez la nouvelle demande du client.
    2. Ouvrez la demande et vérifiez les informations qu'elle contient.
    3. Cliquez sur Editer demande, puis cliquez sur Approuver la demande ou Rejeter demande. Appuyez sur F9 pour vous assurer que l'état de la demande est passé de Nouvelle à Approuvée (ou Rejetée).
  4. Transférez la demande de certificat hors de la base Demandes d'administration.
    1. Fermez la base Demandes d'administration et retournez à la base Demandes de certificat.
    2. Ouvrez la vue Issued/Rejected Certificates et localisez la demande émise par le client (vous devez peut-être actualiser la vue).
  5. Notifiez l'utilisateur qui a demandé le certificat client.
    1. Si vous avez coché l'option de confirmation par message électronique après achèvement de la demande du client, l'AC avertit automatiquement le demandeur de la disponibilité du certificat. Si la demande est rejetée, il prévient le demandeur en lui signalant ce rejet dans un message électronique.
    2. Quand l'option de confirmation par message électronique après achèvement de la demande du client est désélectionnée, vous devrez cliquer sur Send Confirmation Mail pour notifier le demandeur du résultat.

Résultats

Remarque : Si la base Demandes de certificat est configurée pour le processus automatique des demandes, elle envoie automatiquement les demandes client vers la base Demandes d'administration. L'organisme d'enregistrement ne peut qu'approuver ou rejeter la demande.

Domino® Autorité de certification 5

Pourquoi et quand exécuter cette tâche

La demande de certificat Internet apparaît dans la vue Demandes de certificat Client de l'application Autorité de certification Domino®. Après avoir signé le certificat, l'AC peut envoyer automatiquement un message électronique au client qui lui explique où récupérer le certificat et lui fournit un ID de récupération dont il devra se servir pour identifier ce certificat durant le processus de récupération. Cet ID est généré automatiquement par Domino®.

Remarque : La procédure ci-dessous concerne la signature de certificats client émis par une AC Domino®. Cette procédure est effectuée par l'autorité de certification Domino®.

Procédure

  1. Dans Domino® Administrator, cliquez sur Fichiers et ouvrez l'application Autorité de certification Domino®.
  2. Cliquez sur Demandes de certificat client.
  3. Ouvrez la demande à signer.
  4. Vérifiez les informations sur l'utilisateur et son nom distinctif. Assurez-vous qu'elles sont conformes à cette politique de sécurité de l'entreprise.
  5. Ne désélectionnez pas l'option Register certificate in the Domino Directory, pour que la clé publique du client soit ajoutée automatiquement dans le document Personne.

    Si vous voulez rejeter la demande, exécutez l'étape 6. Sinon, passez directement à l'étape 7.

  6. Pour rejeter la demande :
    1. Entrez la raison de cette annulation.
    2. Pour ne pas avertir l'administrateur par message électronique, désélectionnez l'option Send a notification email to the requester. Dans le cas contraire, l'autorité de certification Domino® lui envoie un e-mail indiquant le rejet de la demande et son motif.
    3. Cliquez sur Refuser,
  7. Pour approuver la demande :
    1. Saisissez une période de validité. Pour les projets à court terme, il est courant d'entrer 90 jours ; pour les projets à long terme, vous pouvez entrer plusieurs années.
    2. Pour ne pas avertir l'administrateur par message électronique que le certificat est à sa disposition, désélectionnez Send a notification email to the requester. Dans le cas contraire, l'autorité de certification Domino® envoie à l'administrateur un e-mail contenant l'URL de l'emplacement de stockage du certificat.
    3. Cliquez sur Approuver et entrez le mot de passe du fichier de jeu de clés de l'AC. La demande est placée dans la base Demandes d'administration, pour être traitée lors de la prochaine exécution du processus d'administration, le certificat étant alors ajouté au document Personne du client dans l'annuaire Domino®.
      Remarque : Le client ne peut pas utiliser le certificat pour s'authentifier auprès des LCA de bases de données tant que le processus d'administration n'a pas exécuté la demande.

AC tierce

Pourquoi et quand exécuter cette tâche

Si un utilisateur obtient un certificat Internet d'une AC tierce en se servant d'un client Notes®, le certificat est automatiquement ajouté à son document Personne.

Lorsque le certificat Internet provenant de l'AC tierce est obtenu à l'aide d'un navigateur, il doit être ajouté au document Personne de l'utilisateur.