Infrastructure de clés publiques et certificats
Une infrastructure de clés publiques (PKI) est un système qui facilite les communications sécurisées en utilisant des certificats numériques. Reflection prend en charge l'infrastructure de clés publiques pour l'authentification hôte et client.
Comme dans le cas de l'authentification par clé publique, l'authentification par certificat utilise des paires clé publique/clé privée pour vérifier l'identité de l'hôte. En revanche, dans le cas de l'authentification par certificat, les clés publiques sont intégrées aux certificats numériques et deux paires de clés sont utilisées. Par exemple, pour l'authentification hôte, le serveur détient une clé privée et l'autorité de certification une deuxième. L'hôte obtient un certificat auprès de l'autorité de certification. Ce certificat contient des informations d'identification sur l'hôte, une copie de la clé publique hôte et une signature numérique créée à l'aide de la clé privée de l'autorité de certification. Il est envoyé au client pendant le processus d'authentification. Pour vérifier l'intégrité des informations provenant de l'hôte, le client doit avoir une copie de la clé publique de l'autorité de certification, contenue dans le certificat racine de l'autorité de certification. Il est inutile que le client possède une copie de la clé publique hôte.
L'authentification par certificat permet de résoudre certains problèmes de l'authentification par clé publique. Par exemple, pour l'authentification par clé publique hôte, l'administrateur système doit soit distribuer les clés hôte pour chaque serveur à la liste d'hôtes connus de chaque client, soit compter sur les utilisateurs pour qu'ils confirment correctement l'identité de l'hôte lorsqu'ils se connectent à un hôte inconnu. Avec l'authentification hôte par certificat, un seul certificat racine de l'autorité de certification peut permettre l'authentification de plusieurs hôtes. En règle générale, le certificat requis est déjà disponible dans la liste de certificats de Windows.
De même, lors de l'authentification client par clé publique, chaque clé publique client doit être téléchargée vers le serveur qui doit être configuré pour reconnaître cette clé. Avec l'authentification par certificat, un seul certificat racine de l'autorité de certification peut permettre l'authentification de plusieurs clients.