Importation et certification croisée du certificat Internet de l'IdP

Lors de la configuration des clients Notes pour la connexion fédérée à Notes à l'aide de SAML, les clients Notes doivent faire confiance au certificat utilisé par le fournisseur d'identité (IdP). Importez le certificat TLS de l'IdP dans le répertoire Domino et procédez à une certification croisée.

Pourquoi et quand exécuter cette tâche

Certains IdP ont des certificats différents pour chiffrer et déchiffrer les assertions et pour les communications de service (communications https). Si vous n'êtes pas sûr du certificat auquel vous devez faire confiance, consultez l'article Connexion fédérée à Notes : A quels certificats le client Notes doit-il faire confiance ?

Procédure

  1. Connectez-vous à l'IdP à l'aide du navigateur Firefox.
  2. Cliquez sur l'icône de verrou des certificats dans la barre d'adresse et affichez les certificats.
  3. Cliquez sur l'onglet Détails et sélectionnez le champ Certificats KeyUsage.
  4. Vérifiez que le champ Certificats KeyUsage contient les valeurs pour Signataire de certificat et Signataire CRL. Dans l'exemple suivant, ces valeurs sont manquantes :
    Champs du certificat qui ne contiennent ni le signataire de certificat, ni le signataire CRL
    1. Si le champ Certificats KeyUsage ne contient pas ces valeurs, sélectionnez le certificat qui se trouve au niveau supérieur dans la hiérarchie des certificats et confirmez que vous voyez ces valeurs.
  5. Exportez le certificat sélectionné et enregistrez-le en tant que fichier Base 64 encoded X.509 Certificate (.cer). Dans ADFS, effectuez les étapes suivantes :
    1. Sélectionnez l'autorité de certification (émetteur). Les valeurs Signataire de certificat et Signataire CRL doivent s'afficher.
    2. Lancez l'assistant d'exportation de certificat :
      1. Cliquez sur Gestionnaire de serveur > Outils > Autorité de certification.
      2. Sélectionnez le certificat, cliquez avec le bouton droit de la souris et sélectionnez Propriétés.
      3. Sur l'onglet Général, cliquez sur Afficher le certificat.
      4. Sur l'onglet Détails, cliquez sur Copier vers fichier.
    3. Exportez le fichier sous le type Base-64 encoded X.509 (.CER).

      Base-64 encloded X.509 (.CER) s'affiche en tant que format du fichier d'exportation.

      Exemple de la page qui s'affiche lorsque vous exécutez l'assistant d'exportation de certificat.
  6. Importez le certificat dans l'annuaire Domino utilisé par le coffre d'ID et les serveurs Web, puis procédez à une certification croisée :
    1. Ouvrez l'annuaire dans Domino Administrator.
    2. Sélectionnez Personnes et groupes > Certificats > .
    3. Sélectionnez Actions > Importer certificat Internet.
    4. Ouvrez le certificat dans la vue Certificats.
    5. Sélectionnez Actions > Créer une certification croisée.
      Remarque : Dans la boîte de dialogue Création de certification croisée, cliquez sur Certificateur et basculez sur le certificateur de domaine Domino racine, par exemple /Renovations.
    6. Procédez à une certification croisée du certificat avec le certificat de domaine Domino racine.
    7. La certification croisée est ajoutée à la vue Certificats, sous la catégorie Non catégorisé.