Ajouter des autorités de certification et configurer le contrôle de révocation des certificats

SDMC permet d'ajouter les certificats de vos autorités de certification dans vos politiques de sécurité, afin que l'agent SDS Enterprise puisse contrôler la chaîne de parenté des certificats des utilisateurs.

Il permet également de mettre en place le contrôle de révocation qui constitue le seul moyen de signaler que le certificat d'un utilisateur ne doit plus être utilisé. Par exemple, si son titulaire ne fait plus partie d’un groupe, s'il suspecte que sa clé a été compromise ou s'il en a obtenu une autre.

Il s'opère au moyen de listes de révocation de certificats (CRL) ou au moyen du protocole OCSP dans le cas où une adresse URL d'un répondeur OCSP est indiquée dans le certificat.

Ces données sont gérées par l'administrateur de l'infrastructure à clés publiques (PKI) utilisée par l'entreprise.

SDMC permet de lister des points de distribution de CRL personnalisés pour chaque autorité de certification émettrice des certificats de vos utilisateurs. Cette liste est propre à chaque politique de sécurité.

Les agents SDS Enterprise téléchargent les CRL sur les points de distribution indiqués pour permettre le contrôle de la validité des certificats des utilisateurs.

Le contrôle d’un certificat porte sur trois aspects :

  • contrôle des données propres du certificat : format, dates de validité, signature, extension…
  • contrôle de la chaîne de parenté. Il faut être capable d’établir une chaîne complète de certificats jusqu’à un certificat d’autorité de confiance. Chaque certificat de cette chaîne subit le même niveau de contrôle que le certificat à contrôler initialement. Lorsqu’un certificat d’une chaîne ne peut être validé, une autre chaîne est vérifiée (tant qu’une chaîne valide n’a pas été trouvée).
  • contrôle de la révocation. Ce contrôle est effectué en vérifiant que le certificat soit bien absent de la CRL émise par son autorité de délivrance (ou par un tiers ayant délégation pour la produire). Les CRL étant elles-mêmes signées avec des certificats, le mécanisme de contrôle de certificats s’applique également aux certificats mis en œuvre au niveau des CRL.

Le mécanisme de vérification d’une CRL est décrit dans les normes définissant les certificats et les CRL (norme X.509, RFC 3280 et RFC 5280).

Il existe deux façons pour les agents SDS Enterprise d'obtenir les CRL à télécharger en local pour vérifier les certificats :

  • à partir du point de distribution de CRL défini dans les paramètres des certificats des autorités,
  • à partir des points de distribution de CRL personnalisés indiqués pour chaque autorité, dans la politique de sécurité dans SDMC.

Vous pouvez limiter la validité des CRL à un nombre de jours paramétrable.

Lorsque vous ajoutez des certificats d'autorité de certification dans SDMC, ils sont consultables dans l'onglet Autorité de l'annuaire de confiance sur les postes des utilisateurs. Ils permettent à l'agent SDS Enterprise de garantir que les certificats des utilisateurs sont issus d'autorités de confiance et de vérifier la validité des certificats.

Pour ajouter un certificat :

  1. Dans le menu Politique > Autorités, cliquez sur Ajouter depuis la bibliothèque à gauche du panneau.

  2. Sélectionnez un ou plusieurs certificats parmi ceux qui ont été ajoutés préalablement dans le menu Bibliothèque de certificats.

Les certificats des autorités de certification contiennent dans leurs paramètres les points de distribution des listes de révocation de certificats (CRL). Si vous souhaitez indiquer des points de distribution de CRL personnalisés pour chaque autorité, consultez la section suivante.

Pour personnaliser les points de distribution des CRL de chaque autorité de certification, rendez-vous dans le menu Politique > Autorités. Vous pouvez indiquer autant de points de distribution que nécessaire. Pour télécharger les CRL, l'agent SDS Enterprise consulte ces points de distribution en plus de celui indiqué dans le certificat de chaque autorité.

  1. Indiquez une période de validité des CRL. Il s'agit de la durée à l'issue de laquelle l'agent SDS Enterprise télécharge de nouveau les CRL en local pour garantir d'avoir toujours les données à jour.

  2. Sélectionnez une autorité de certification à gauche du panneau.

  3. À droite du panneau, indiquez un ou plusieurs points de distribution de CRL pour chaque autorité sélectionnée. Le point de distribution peut être accessible par le biais des protocoles suivants :

    • http:// ou https://

    • LDAP:// ou LDAPS://

    • file:///

  4. Si besoin, réordonnez les points de distribution avec un cliquer-glisser.

Depuis son compte SDS Enterprise, l'utilisateur peut consulter la liste des autorités de certification et des points de distribution des CRL. Pour plus d'informations, reportez-vous à la section Consulter les autorités de certification depuis l'agent SDS Enterprise.