6.5.4 Distribution de certificats intermédiaires au moyen d'un répertoire LDAP

Les connexions Reflection SSL/TLS et Secure Shell peuvent être configurées de manière à utiliser des certificats numériques Partie intégrante d'une infrastructure de clés publiques. Les certificats numériques (également appelés certificats X.509) sont émis par une autorité de certification, qui veille à la validité des informations précisées sur le certificat. Chaque certificat contient des informations d'identification relatives à son propriétaire, une copie de la clé publique de son propriétaire (utilisée pour le chiffrement et le déchiffrement des messages et des signatures numériques), ainsi qu'une signature numérique (générée par l'autorité de certification à partir du contenu du certificat). La signature numérique permet à un destinataire de vérifier la fiabilité du certificat en s'assurant qu'il n'a pas été falsifié. pour l'authentification des hôtes. Selon la manière dont vous avez configuré le Gestionnaire de certificats de Reflection, Reflection peut utiliser des certificats uniquement dans la liste de Reflection, ou aussi bien dans la liste de Windows que dans la liste de Reflection. La liste Windows contient des certificats intermédiaires ainsi que des certificats racine approuvés. La liste Reflection contient uniquement des certificats racine approuvés. Reflection peut aussi être configuré pour rechercher des certificats intermédiaires à partir d'un serveur LDAP.

Pour configurer Reflection pour la recherche de certificats intermédiaires stockés dans un répertoire LDAP, utilisez l'onglet LDAP du Gestionnaire de certificats de Reflection pour identifier le ou les serveurs LDAP.

Configuration du serveur LDAP

Reflection peut localiser un certificat dans le répertoire LDAP uniquement si le nom distinct LDAP (LDAP Distinguished Name (DN)) est identique au contenu du champ du sujet dans le certificat. Par exemple, si le champ Sujet du certificat indique les objets suivants :

  • CN = une autorité de certification

  • O = Acme

  • C=US

Le nom unique (DN) de l'entrée dans le répertoire LDAP doit correspondre exactement à ce qui suit : "CN = une autorité de certification, O = Acme, C = US".

Les attributs de l'entrée LDAP identifiés par ce nom unique (DN) doivent inclure l'un des éléments suivants. (Reflection recherche ces attributs de haut en bas.)

Attribut

OID (Identifiant d'objet)

userCertificate;binary

2.5.4.36

cACertificate;binary

2.5.4.37

userCertificate

2.5.4.36

cACertificate

2.5.4.37

mosaicKMandSigCertificate

2.16.840.1.101.2.1.5.5

sdnsKMandSigCertificate

2.16.840.1.101.2.1.5.3

fortezzaKMandSigCertificate

2.16.840.1.101.2.1.5.5

crossCertificatePair;binary

2.5.4.40

crossCertificatePair

2.5.4.40