Créer un compte Carte ou token USB

Pour créer un compte Carte ou token USB, activez la création automatique de compte dans SDMC afin que la création soit transparente pour l'utilisateur au premier branchement de sa carte ou clé. Vous pouvez également créer un compte manuellement depuis l'agent sur le poste de travail.

Dans les deux cas, la fonctionnalité Stormshield Data Extension Carte doit être installée sur les postes de travail des utilisateurs, avec les autres fonctionnalités de l'agent SDS Enterprise. Pour plus d'informations, reportez-vous aux sections Déployer le package d'installation des agents SDS Enterprise sur les postes des utilisateurs et Configurer les middleware nécessaires aux comptes Carte ou token USB.

Avec une carte ou un token USB :

  • Vos clés et certificats sont stockés sur la carte,
  • Les calculs mettant en œuvre vos clés privées sont effectués par la carte (signature, déchiffrement).

Lors de la création d'un compte associé à une carte, celle-ci doit déjà contenir les clés privées et les certificats associés.

Pour faciliter le déploiement des comptes Carte ou token USB, et minimiser les actions de l’utilisateur, SDS Enterprise peut créer automatiquement le compte d’un utilisateur lors de la première introduction de la carte ou du token. Pour cela, vous devez avoir auparavant installé et configuré le middleware nécessaire et activé la fonctionnalité dans SDMC. Pour sélectionner le middleware à utiliser et activer la création automatique de compte, reportez-vous aux sections Définir les paramètres génériques des comptes et Définir les paramètres de création de comptes.

L’utilisateur introduit ensuite simplement sa carte à puce ou son token USB. SDS Enterprise détecte automatiquement qu’il n’y a pas de compte existant associé et propose d’en créer un. Pour effectuer cette opération, l’utilisateur n’a qu’à saisir le code confidentiel de la carte ou du token et le compte SDS Enterprise est ainsi créé.

  1. Sur le poste de l'utilisateur, insérez la carte ou le token USB.
  2. Faites un clic droit sur l'icône SDS Enterpriseicône compte déconnecté depuis la barre des tâches Windows.
  3. Sélectionnez Nouvel utilisateur.
    Nouvel utilisateur
  4. Sélectionnez Compte avec carte à puce physique ou virtuelle.
  5. Cliquez sur Créer un compte.
  6. Sélectionnez la carte ou le token USB que vous souhaitez utiliser.
  7. Saisissez le code confidentiel de la carte ou du token USB. SDS Enterprise se connecte à la carte ou au token USB et affiche leur contenu (clés et certificats).
  8. Validez les écrans suivants. Si la carte ou le token USB contiennent plusieurs clés utilisables, choisissez la clé souhaitée.
  9. Vérifiez le récapitulatif du compte.
  10. Cliquez sur Terminer.

Le compte SDS Enterprise créé en utilisant une carte à puce/token USB est identifié par le numéro de série de la carte/token USB.

Indépendamment des clés courantes de l’utilisateur, il est possible de placer dans la carte ou token d’autres clés de chiffrement.

Ces clés de chiffrement sont automatiquement utilisées par SDS Enterprise pour déchiffrer des documents (messages/fichiers) lorsque la clé courante ne peut pas y parvenir.

Ces clés peuvent avoir plusieurs provenances :

  • Anciennes clés de chiffrement de l’utilisateur. Il est possible de placer dans la carte des clés obsolètes (avec les certificats associés) afin de permettre à l’utilisateur de déchiffrer des fichiers chiffrés avec d’anciennes clés (cela sert notamment pour les fichiers archivés),
  • Clés externes. Par exemple, des clés d’anciens collaborateurs dont on veut pouvoir récupérer les informations (fichiers/messages).

Selon les fonctionnalités SDS Enterprise, les clés de la carte ne sont pas identifiées de la même façon. Pour certaines fonctionnalités, les clés sont identifiées à partir de leur attribut PKCS#11 CKA_ID (il faut donc que la clé garde toujours la même valeur de CKA_ID) tandis que pour d’autres fonctionnalités, l’identification est faite à partir des informations du certificat (émetteur et numéro de série).

Il est donc recommandé que les clés stockées dans les cartes le soient toujours avec le même attribut PKCS#11 CKA_ID et que tous les certificats associés soient également présents.