Configuration d'une autorité de certification Internet
Une part essentielle de la planification de sécurité consiste à savoir s'il est nécessaire de configurer une autorité de certification pour émettre des certificats Internet et, le cas échéant, à définir le mode de cette configuration. Une autorité de certification (AC) ou certificateur est un outil d'administration accrédité qui émet et gère des certificats numériques. Les certificats vérifient l'identité d'un individu, d'un serveur ou d'une organisation, et permettent à ces derniers d'utiliser SSL comme moyen de communication et S/MIME pour échanger du courrier. Les certificats sont marqués de la signature numérique du certificateur ; les destinataires du certificat sont ainsi assurés que le détenteur du certificat est bien l'entité mentionnée dans le certificat.
Les certificateurs peuvent également émettre des certificats racine accrédités, qui permettent aux clients et aux serveurs disposant de certificats créés par différentes AC de communiquer entre eux.
Choix d'un certificateur Internet approprié à votre organisation
Pour configurer un certificateur Internet pour votre organisation, plusieurs options s'offrent à vous. (Dans cette rubrique, le "certificateur" fait référence à un certificateur Internet.) Vous pouvez utiliser un certificateur tiers du commerce, tel que VeriSign, ou l'un des deux types de certificateurs Internet Domino®. Chaque type de certificateur comporte des avantages et des inconvénients. Votre choix doit être déterminé par les exigences de votre organisation, ainsi que par le temps et les ressources disponibles pour gérer le certificateur.
Certificateurs Internet : Domino® comparé à un tiers
Type de certificateur Internet |
Avantages |
---|---|
Domino® certificateur |
|
Certificateur tiers (VeriSign, RSA, etc.) |
|
Domino® Certificateurs Internet : autorité de certification sur serveur comparée à une autorité de certification Domino® 5
Vous pouvez choisir de configurer une autorité de certification Domino® qui utilise le processus d'AC sur serveur ou une autorité de certification Domino® 5 qui utilise un jeu de clés d'AC.
Domino® Type de certificateur Internet |
Avantages |
---|---|
autorité de certification sur serveur |
|
Domino® autorité de certification 5 |
|
Utilisation des deux types d'AC Internet Domino® dans un domaine
Il est possible d'utiliser les deux types de certificateurs (processus d'AC et jeu de clés d'AC) au sein d'un même domaine. Veillez cependant à ne pas disposer d'un certificateur utilisant à la fois un jeu de clés d'AC et un processus d'AC pour émettre des certificats Internet. Un certificateur utilisant le processus d'AC effectue le suivi des certificats qu'il émet dans une liste de certificats délivrés (LCD), base accessible sur tous les serveurs d'un domaine. En revanche, un certificateur utilisant le jeu de clés d'AC crée des journaux sur les postes de travail sur lesquels il est utilisé. Il ne génère pas de liste centralisée des certificats émis ; vous n'avez accès qu'à des listes partielles. Par conséquent, les certificats émis à l'aide du processus d'AC ne sont pas reconnus par le jeu de clés d'AC, et inversement.
Cela peut s'avérer problématique, notamment pour les certificateurs Internet. En effet, il est possible de révoquer des certificats Internet dans des autorités de certification sur serveur. Cependant, pour révoquer un certificat Internet, vous devez le sélectionner dans la LCD. Si le certificat a été généré à l'aide d'un jeu de clés, il ne figure pas dans la LCD et ne peut donc pas être révoqué.
Par conséquent, il est fortement conseillé d'appliquer soit un processus d'AC soit un jeu de clés d'AC à chaque certificateur.