Configuration du Gestionnaire de services d'infrastructure de clés publiques sous Linux
Pour configurer l'authentification des hôtes du client à l'aide de certificats, vous devez installer et configurer le Reflection PKI Services Manager. Utilisez la procédure suivante pour commencer. Plusieurs cas sont possibles. Pour plus d'informations sur chacune des étapes ci-dessous, reportez-vous au Guide de l'utilisateur du Reflection PKI Services Manager, disponible à partir de la console PKI Services Manager et à l'adresse suivante : http://support.attachmate.com/manuals/pki.html.
Préparatifs
-
Obtenez le certificat approuvé de l'autorité de certification et tous les certificats intermédiaires nécessaires pour valider le certificat utilisé par l'hôte auquel vous vous connectez.
-
Déterminez la façon dont la vérification de la révocation des certificats doit être gérée pour le certificat hôte. Vous pouvez configurer le PKI Services Manager pour utiliser des listes CRL, des serveurs OCSP ou pour contacter un point de distribution CRL spécifié dans le certificat.
Pour configurer le Gestionnaire de services d'infrastructure de clés publiques Reflection
-
Connectez-vous en tant qu'utilisateur racine sur le serveur Reflection PKI Services Manager.
-
Installez le Reflection PKI Services Manager.
-
Placez une copie des certificats que vous voulez désigner comme certificats approuvés dans votre magasin de certificats. Le magasin par défaut du PKI Services Manager se trouve à l'emplacement suivant :
/opt/microfocus/pkid/local-store
-
Ouvrez le fichier de configuration du PKI Services Manager dans un éditeur de texte. Le nom et l'emplacement par défaut sont les suivants :
/opt/attachmate/pkid/config/pki_config
-
Utilisez le mot-clé TrustAnchor pour identifier votre certificat approuvé. Par exemple :
TrustAnchor = trustedca.crt
-ou-
TrustAnchor = CN=SecureCA,O=Acme,C=US
remarque
Pour configurer plusieurs certificats approuvés, ajoutez des lignes TrustAnchor supplémentaires.
-
Configurez la vérification de la révocation des certificats. Par exemple :
À Exemple de configuration Utiliser des listes CRL enregistrées sur un serveur LDAP. RevocationCheckOrder = crlserver CRLServers=ldap://crlserver Utiliser un serveur OCSP. RevocationCheckOrder = ocsp OCSPResponders = http://ocspresponder remarque
Par défaut, le PKI Services Manager cherche des CRL dans le magasin local. Lorsque vous utilisez cette configuration, vous devez copier les CRL dans votre liste locale.
-
Si des certificats intermédiaires sont requis par la chaîne d'approbation de vos certificats, configurez l'accès à ces certificats. Par exemple :
À Exemple de configuration Utiliser les certificats intermédiaires que vous avez ajoutés à votre liste locale. CertSearchOrder=local
Utiliser des certificats enregistrés sur un serveur LDAP. CertSearchOrder=certserver CertServers=ldap://ldapserver
-
Enregistrez vos modifications dans le fichier de configuration.
-
Ouvrez le fichier de modèle du PKI Services Manager dans un éditeur de texte. Le nom et l'emplacement par défaut sont les suivants :
/opt/attachmate/pkid/config/pki_mapfile
-
Ajoutez au moins une règle pour déterminer quels hôtes client peuvent s'authentifier avec un certificat valide. Par exemple, pour autoriser des hôtes client à se connecter si le nom de l'hôte est spécifié dans la valeur Nom commun du champ Sujet du certificat :
RuleType = host
{acme.com}
-
Testez la validité de la configuration du PKI Services Manager :
/usr/local/sbin/pkid -k
Pas d'erreurs. La configuration est valide :
-
Redémarrez le Reflection PKI Services Manager.
/usr/local/sbin/pkid restart
Informations supplémentaires