Gérer les certificats des autorités de certification et les certificats de recouvrement dans SDMC

L'utilisation de SDS Enterprise requiert l'usage de clés pour le chiffrement et la signature. Les clés doivent être certifiées par des autorités de certification de confiance.

Prérequis
Vous devez posséder votre propre infrastructure pour la génération des clés de chiffrement et de signature des utilisateurs de l'entreprise. Vous pouvez ensuite les diffuser auprès des utilisateurs avec le moyen de votre choix, par exemple via des cartes à puce.

SDMC permet de déclarer les autorités de certification qui ont émis les certificats contenant l'identité et les clés publiques de vos utilisateurs. Elles sont alors considérées comme étant de confiance.

Pour cela vous devez importer les certificats de toutes les autorités dans la bibliothèque de certificats, puis les utiliser dans vos politiques de sécurité.

SDMC permet également d'importer des certificats de recouvrement, nécessaires en cas de perte d'une clé de chiffrement d'un utilisateur. Pour plus d'informations, reportez-vous à la section Permettre le recouvrement de données.

Les certificats sont diffusés aux utilisateurs par le biais d'annuaires LDAP et ajoutés automatiquement dans leur annuaire de confiance. Pour plus d'informations, reportez-vous à la section Gérer les annuaires LDAP dans SDMC.

Les formats de certificats supportés sont les suivants :

  • .cer

  • .cert

  • .crt

  • .der

  • .pem

Dans le cas où plusieurs certificats sont disponibles pour un utilisateur (que ce soit dans l'annuaire de confiance ou sur un annuaire LDAP), SDS Enterprise sélectionne automatiquement le certificat valide ayant la date de début de validité la plus récente.

En cas de changement d'adresse e-mail d'un utilisateur (mariage, prestataire qui devient salarié de l'entreprise), il est impératif de renouveler son certificat (avec publication sur l'annuaire LDAP le cas échéant) afin que l'adresse e-mail de l'utilisateur soit identique à celle indiquée sur son/ses certificat(s). Si ce n'est pas le cas, les autres utilisateurs ne pourront plus envoyer de message sécurisé ou chiffrer de fichier ou de dossier pour la personne dont l'adresse a changé.

Enfin, les clés générées par votre infrastructure doivent respecter les attributs PKCS#11 suivants :

  • Clé privée :
    • CKA_DECRYPT
    • CKA_SIGN
    • CKA_SIGN_RECOVER
    • CKA_UNWRAP
  • Clé publique :
    • CKA_ENCRYPT
    • CKA_VERIFY
    • CKA_VERIFY_RECOVER
    • CKA_WRAP

  1. Sélectionnez le menu de gauche Bibliothèque de certificats.

  2. Cliquez sur Importer en haut à droite.

  3. Sélectionnez le fichier et le type de certificat puis importez.

La liste des certificats affiche leur nom et leur type, les politiques de sécurité dans lesquelles ils sont utilisés et leur date d'expiration.

Après avoir importé les certificats des autorités de certification que vous considérez de confiance et les certificats de recouvrement, vous pouvez les utiliser dans vos politiques de sécurité. Reportez-vous à la section Créer une politique.

  • Dans le menu de gauche Bibliothèque de certificats, cliquez sur l'icône actions possibles sur les certificats d'un certificat pour choisir l'une des trois actions.