Accueil
Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
Sécurité TLS
Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
Gestion des certificats TLS sans Certificate Manager
Si vous ne gérez pas les certificats avec Certificate Manager (CertMgr) et la base de données Certificate Store (certstore.nsf), vous générez et gérez les certificats manuellement, comme décrit dans cette section.
Génération d'un fichier de clés avec un certificat autosigné ou tiers
Pour configurer TLS sur votre serveur, il vous faut un certificat de serveur émis par une autorité de certification Internet.

Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
- Présentation de la sécurité Domino
  La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.
- Accès aux serveurs pour les utilisateurs Notes®, les utilisateurs Internet et les serveurs Domino®
  Pour contrôler les accès des utilisateurs et des serveurs à d'autres serveurs, Domino® utilise les paramètres définis dans l'onglet Sécurité du document Serveur, ainsi que les règles de validation et d'authentification. Si un serveur valide et authentifie l'utilisateur Notes®, l'utilisateur Internet ou le serveur, et que les paramètres du document Serveur autorisent l'accès, l'utilisateur ou le serveur peuvent accéder au serveur.
- Liste de contrôle d'accès de base de données
  Chaque base de données possède une liste de contrôle d'accès (LCA) qui définit le niveau d'accès des utilisateurs et des serveurs à cette base. Bien que les noms des niveaux d'accès pour les utilisateurs et les serveurs soient identiques, ceux qui s'appliquent aux utilisateurs définissent des tâches qui leur sont spécifiques, tandis que ceux qui s'appliquent aux serveurs définissent le type d'informations de la base susceptible d'être répliqué par les serveurs. Seuls les utilisateurs bénéficiant de l'accès Gestionnaire peuvent créer ou modifier une LCA.
- ID du serveur Domino® et des utilisateurs Notes®
  Domino® fait appel à des fichiers ID pour identifier les utilisateurs et contrôler l'accès aux serveurs. Chaque serveur Domino, certificateur Notes® et utilisateur Notes doit disposer d'un ID.
- Liste de contrôle d'exécution
  La liste de contrôle d'exécution (LCE) permet de configurer la sécurité des données d'un poste de travail. Une LCE protège les postes de travail utilisateur du contenu actif de sources inconnues ou suspectes. Elle peut être configurée pour limiter l'action de tout contenu actif qui s'exécute sur les postes de travail.
- Domino® Autorité de certification sur serveur
  Vous pouvez configurer un certificateur Domino® qui utilise la tâche de serveur du processus d'AC, pour gérer et traiter les demandes de certificat. Le processus d'AC est exécuté sur les serveurs Domino utilisés pour émettre des certificats. Lorsque vous configurez un certificateur Notes® ou Internet, associez-le à un processus d'AC sur le serveur pour bénéficier des atouts de ce processus. Une seule instance du processus d'AC peut s'exécuter sur un serveur. Toutefois, le processus peut être lié à plusieurs certificateurs.
- Sécurité TLS
  Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
  - Gestion des certificats TLS avec Certificate Manager
    HCL Domino® 12 introduit une nouvelle tâche serveur, Certificate Manager (CertMgr), qui fonctionne avec une nouvelle base de données, Certificate Store (certstore.nsf) pour gérer les certificats TLS dans votre environnement Domino.
  - Configuration de port TLS
    Le protocole TLS fournit toujours un canal de communication chiffré, dont l'intégrité a été vérifiée, et assure l'authentification de l'identité du serveur. Facultativement, les serveurs TLS peuvent être configurés pour demander diverses formes d'authentification de l'identité du client.
  - Connexion TLS requise à un serveur
    Exigez des connexions TLS pour vous assurer que les clients utilisent une connexion sécurisée lors des accès aux bases de données du serveur. Pour cela, redirigez les demandes de connexion en provenance du port TCP/IP vers le port TLS. Si vous n'avez pas besoin d'une connexion TLS, les clients peuvent utiliser TLS ou TCP/IP pour se connecter au serveur.
  - Création d'une certification croisée Internet pour une connexion TLS entre serveurs
    Un serveur peut obtenir une certification croisée Internet d'un autre serveur en vue d'une accréditation. Par exemple, si un serveur doit accéder à l'assistance d'annuaire sur un autre serveur.
  - Configuration de l'accès aux bases de données pour les clients TLS
    Après avoir configuré TLS sur un serveur Domino®, vous devez accorder aux clients un accès aux bases de données du serveur.
  - Modification des restrictions du chiffrement TLS
    Le protocole TLS utilise des clés publiques, des clés privées ainsi que des clés de sessions négociées. Chaque ensemble de certificat TLS dispose d'une paire de clés (une clé publique et une clé privée) et d'un certificat X.509 permettant aux propriétaires de certificats de s'identifier via le réseau et d'utiliser S/MIME pour chiffrer et signer des messages. Les certificats contiennent uniquement la moitié publique de la paire de clés. La clé privée est conservée dans le fichier ID pour le client Notes® et dans le fichier de jeu de clés ou la base de données cerstore.nsf pour le serveur TLS. A compter de Domino 12, Domino prend en charge les clés RSA et ECDSA. Pour plus d'informations, voir wn_ECDSA_cryptography.html.
  - Authentification des clients Web TLS dans les annuaires Domino® et LDAP secondaires
    Lorsqu'un client Web s'authentifie auprès d'un serveur, ce dernier recherche par défaut le document Personne de l'utilisateur dans l'annuaire HCL Domino® principal et vérifie si celui-ci contient le certificat du client. Vous avez la possibilité de configurer Domino pour que les recherches portent également sur les annuaires secondaires Domino et/ou LDAP, si votre organisation en utilise. Pour cela, configurez les annuaires Domino et LDAP secondaires comme domaines accrédités dans la base Directory Assistance.
  - Reprise de session TLS
    La reprise d'une session TLS a un effet très positif sur les performances : lors de l'utilisation de TLS, les informations tirées de la négociation d'une session TLS précédemment réussie sont rappelées et permettent de court-circuiter les parties les plus lourdes liées à la négociation de clés de session TLS. Le protocole HTTP est celui qui bénéficie le plus de la reprise d'une session TLS, mais les autres protocoles Internet peuvent également en profiter.
  - Gestion des certificats TLS sans Certificate Manager
    Si vous ne gérez pas les certificats avec Certificate Manager (CertMgr) et la base de données Certificate Store (certstore.nsf), vous générez et gérez les certificats manuellement, comme décrit dans cette section.
    - Génération d'un fichier de clés avec un certificat autosigné ou tiers
      Pour configurer TLS sur votre serveur, il vous faut un certificat de serveur émis par une autorité de certification Internet.
    - Visualisation des certificats de serveur TLS
      Vous pouvez afficher des informations sur les certifications de serveur TLS.
    - Modification du mot de passe du fichier de jeu de clés du serveur
      Vous pouvez changer le mot de passe pour le fichier de jeu de clés du serveur. Le mot de passe doit comporter au moins 12 caractères alphanumériques au maximum.
    - Attribution du statut de racine accréditée à un certificat d'AC ou annulation de ce statut
      Supprimez le certificat d'une AC défini comme racine accréditée dans le certificat du serveur lorsque vous ne voulez plus communiquer avec les serveurs et les clients qui utilisent des certificats signés par cette AC.
    - Visualisation des demandes de certificat
      Les administrateurs de serveur peuvent afficher les informations relatives à une demande de certificat qu'ils ont envoyée à une AC pour conserver une trace de la demande. Le document de demande consigne la méthode utilisée pour soumettre le certificat, la date et l'heure de la demande, le fichier de jeu de clés du certificat, les informations relatives au certificat et, le cas échéant, l'adresse électronique à laquelle l'administrateur du serveur a envoyé la demande.
    - Renouvellement de certificats arrivés à expiration
      Une fois qu'un certificat est arrivé à expiration, vous ne pouvez plus l'utiliser pour communiquer avec les serveurs et les clients. Si l'émetteur est une autorité de certification tierce, il se peut que vous soyez en mesure de le renouveler en soumettant une demande au site Web de l'AC tierce, qui détient souvent des informations à votre sujet (nom d'utilisateur, mot de passe et expression de vérification). Quand cette opération est possible, ces informations personnelles sont acceptées et vous êtes invité à renouveler votre certificat de serveur. Si cette procédure ne vous est pas proposée, vous devez soumettre une demande pour obtenir un nouveau certificat.
    - Création d'un certificat auto-certifié pour tester la certification TLS
      Vous pouvez créer un certificat auto-certifié afin de tester la procédure de certification employée au sein de votre organisation. N'utilisez ce certificat qu'à des fins de test, car il n'est pas certifié par une AC.
- SSL et S/MIME pour les clients
  Les clients peuvent utiliser une AC (autorité de certification) Domino® ou une AC tierce pour obtenir des certificats sécurisant les communications TLS et S/MIME.
- Chiffrement
  Son rôle est de protéger les données en interdisant leur libre accès.
- Authentification par nom et mot de passe pour les clients Internet et intranet
  Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
- Authentification par mot de passe unique basé sur le temps (TOTP)
  Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
- Authentification liée à la session sur plusieurs serveurs (connexion unique)
  L'authentification sur plusieurs serveurs liée à la session, c'est-à-dire la connexion unique, permet aux utilisateurs Web de se connecter une fois à un serveur Domino® ou WebSphere®, puis d'accéder à n'importe quel autre serveur Domino ou WebSphere du même domaine DNS activé pour la connexion unique, sans avoir à se connecter de nouveau.
- Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
  L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
- Utilisation d'un magasin de données d'identification pour stocker des données d'identification
  Un serveur Domino® peut utiliser une application de magasin de données d'identification comme référentiel d'artefacts sécurisés. Les exemples d'artefacts sécurisés incluent les données d'identification d'authentification et les clés de sécurité.
- Historique des tailles de clés prises en charge dans Notes/Domino
  Cet article fournit des informations sur les tailles de clé RSA prise en charge par Notes® et Domino® depuis les versions précédentes jusqu'à la version actuelle.

Génération d'un fichier de clés avec un certificat autosigné ou tiers

Pour configurer TLS sur votre serveur, il vous faut un certificat de serveur émis par une autorité de certification Internet.

Remarque : Cette procédure décrit la procédure utilisée dans Domino 11 et les versions antérieures. A partir de Domino 12, l'utilisation de Certificate Manager et certificate Store (certstore.nsf) est la méthode préférée pour générer et gérer des certificats. Pour plus d'informations, voir Gestion des certificats TLS avec Certificate Manager.

Vous pouvez utiliser un certificat autosigné ou un certificat provenant d'une autorité de certification tierce. Un certificat de serveur est un fichier binaire qui identifie le serveur de façon unique. Enregistré sur le disque dur du serveur, il contient une clé publique, un nom, une date d'expiration et une signature numérique. Le jeu de clés comporte également des certificats racine utilisés par le serveur pour effectuer des décisions d'accréditation.

Cependant, vous pouvez toujours utiliser OpenSSL (disponible sur Internet) et KYRTool (installé avec Domino) pour générer un fichier de jeu de clés qui sera utilisé par les serveurs Domino. Pour plus d'instructions, voir l'article How to set up SSL using a third-party Certificate Authority (CA) sur le site de support logiciel HCL.