Assistant d’ajout d’autorités et de certificats

Le bouton Ajouter déroule une liste proposant 6 actions permettant de créer une autorité ou un certificat, par le biais d’un assistant.

Ajouter une autorité racine

Une autorité racine ou « root CA » est une entité ayant pour objectif de signer, émettre et maintenir les certificats et les CRL (Certificate Revocation List, ou « listes de révocations »).

Vous devez définir les propriétés de l’autorité que vous souhaitez ajouter :

AVERTISSEMENT

Ces informations ne seront plus modifiables après leur création.

 

CN

Saisissez un nom permettant d’identifier votre autorité racine, dans la limite de 64 caractères maximum. Ce nom peut faire référence à une organisation, un utilisateur, un serveur, une machine etc.

 

Exemple

Stormshield Network

NOTE

Ce champ doit être rempli afin de poursuivre la configuration.

Identifiant

Bien que le remplissage de ce champ ne soit pas obligatoire, vous pouvez ici indiquer un raccourci de votre CN, utile pour vos lignes de commande.

 

Exemple

Si vous aviez choisi un nom et un prénom pour votre CN, l’identifiant peut en indiquer les initiales uniquement.

Sélectionnez l’autorité parente (si nécessaire)

Choisir une autorité parente implique le pré-remplissage des attributs de l’autorité dans les champs du dessous.

Autorité parente

Bien qu’une CA ou autorité de certification soit composée de certificats, elle peut également impliquer des sous-CA qui dépendent d’elle.

 

L’utilisation d’une sous-CA n’est possible qu’après identification de son « Autorité parente » ou CA.

Mot de passe autorité parente

Définissez un mot de passe si vous souhaitez notifier que vous êtes bien responsable de la CA parente.

Attributs de l’autorité

Lors de cette étape, vous devez renseigner les informations générales concernant l’autorité que vous voulez mettre en œuvre. Les informations saisies se retrouveront dans le certificat de votre autorité de certification et dans les certificats de vos utilisateurs.

NOTE

Dans le cas d’une sous-CA ces données sont pré-remplies. Et à moins de modifier la configuration, il n’est pas possible de tous les modifier.

Organisation (O)

Nom de votre société (ex : COMPAGNIE).

Unité d’organisation (OU)

"branche" de votre société (ex : INTERNE).

Lieu (L)

Ville dans laquelle est située votre société (ex : Villeneuve d'Ascq).

Etat ou province (ST)

Département géographique de votre société (ex : Nord).

Pays (C)

Choisissez dans la liste le pays de la société (ex : France).

Cliquer sur Suivant.

Vous devez ensuite sécuriser l’accès à votre autorité.

Dans cette étape de l’assistant de configuration de la PKI, vous devez renseigner un mot de passe qui va permettre la protection de la clé privée de votre autorité de certification.

AVERTISSEMENT

Le choix d'un mot de passe trop simple est déconseillé. Nous vous recommandons de mélanger les lettres minuscules, majuscules, les chiffres, les caractères spéciaux.

Mot de passe de l’autorité

Mot de passe (8 car.min.)

Saisissez un mot de passe de 8 lettres minimum afin de protéger l’accès à votre CA.

AVERTISSEMENT

Ce mot de passe ne sera pas enregistré par le firewall. Si vous l’oubliez, vous devrez réinitialiser la PKI et perdrez la configuration effectuée pour celle-ci.

Confirmez le mot de passe

Retapez une seconde fois votre mot de passe dans ce champ afin de le confirmer.

Force du mot de passe

Ce champ indique le niveau de sécurité de votre mot de passe : « Très Faible », « Faible », « Moyen », « Bon » ou « Excellent ».

Il est fortement conseillé d’utiliser les majuscules et les caractères spéciaux.

E-mail :

Renseigner votre adresse e-mail dans ce champ vous permettra de recevoir un message vous confirmant la création de votre autorité.

 

Taille de clé (bits)

Lorsque vous créez une CA, vous devez choisir la taille de la clé que générera le firewall afin de permettre le chiffrement du trafic. Plus la taille de la clé est grande, plus la sécurité est importante.

4 tailles de clés en bits vous sont proposées :

1024

Si vous choisissez cette taille de clé, le mot de passe généré pour votre autorité aura une taille de 1024 bits.

NOTE

Ce nombre correspond à 1024 caractères visibles au sein de la console de votre poste.

1536

Si vous choisissez cette taille de clé, le mot de passe généré pour votre autorité aura une taille de 1536 bits.

2048

Si vous choisissez cette taille de clé, le mot de passe généré pour votre autorité aura une taille de 2048 bits.

4096

Si vous choisissez cette taille de clé, le mot de passe de votre autorité ne devra pas excéder 4096 bits.

AVERTISSEMENT

Bien que les clés de grande taille soient plus efficaces, il est déconseillé d’utiliser celle-ci avec les équipements d’entrée de gamme, pour des raisons de temps de génération.

NOTE

Le calcul des clés de grande taille peut provoquer le ralentissement de votre équipement Stormshield Network lors de la génération.

 

Validité (jours)

Ce champ correspond au nombre de jours durant lesquels votre certificat d'autorité et par conséquent votre PKI seront valides. Cette date influe sur tous les aspects de votre PKI, en effet, une fois ce certificat expiré, tous les certificats utilisateurs le seront également. Cette valeur ne sera pas modifiable par la suite.

NOTE

La valeur de ce champ de doit pas excéder 3650 jours.

 

Cliquez sur Suivant.

Dans cette étape de l’assistant, vous devez renseigner la configuration concernant la distribution de la CRL (Certification Revocation List) ou liste des certificats révoqués. Cette information sera intégrée aux CA générées et permettra aux applications utilisant le certificat de récupérer automatiquement la CRL afin de vérifier la validité du certificat.

Vous pouvez à présent gérer vos révocations de certificats au sein de la grille qui apparaît à l’écran et entrer les URL faisant office de points de distribution de certificats révoqués (invalides).

 

Ajouter

En cliquant sur ce bouton, une ligne vierge s’affiche et permet d’entrer une URL comme point de distribution des listes de révocations de certificats.

 

Le première URL que vous inscrirez sera numérotée « 1 » et ainsi de suite. Le firewall va traiter les éléments de la CRL selon leur ordre d’apparition à l’écran.

Supprimer

Placez-vous sur la ligne à supprimer et cliquez sur ce bouton pour l’enlever de la liste.

Monter

Faites remonter votre URL d’une ligne dans l’ordre de priorité de la grille en cliquant sur ce bouton.

Renouvelez l’opération plusieurs fois selon le numéro que vous souhaitez donner à votre URL.

Descendre

Faites descendre d’une ou plusieurs places votre URL dans la liste en cliquant sur ce bouton.

La fenêtre suivante présente un résumé des informations de votre certificat.

Cliquez sur Terminer.

Vous verrez désormais apparaître, au sein de la colonne de gauche de l’écran Certificats et PKI la CA que vous venez de créer, matérialisée par l’icône suivante (qui représente la CA par défaut).

En cliquant sur la CA concernée, ses informations détaillées s’afficheront à droite de l’écran en 3 onglets :

L’onglet « Détails »

4 fenêtres y reprennent les données concernant, la « Validité » de l’autorité, son destinataire (« Emis pour »), son « Emetteur » et ses « Empreintes » (informations sur la CA et sa version).

L’onglet « CRL »

Il reprend les informations concernant la CRL : la validité incluant la dernière et la prochaine mise à jour, la grille des points de distribution et la grille de certificats révoqués, devant contenir un numéro de série, une date de révocation et un motif de révocation (facultatif).

La durée de vie maximum des certificats équivaut à dix ans.

L’onglet configuration

Cet onglet présente la Taille de clé (bits), la Validité (jours) et l'Algorithme de chiffrement pour l’Autorité de certification (avec la Validité de la CRL en jours en plus pour la CA, dans la limite de 3650 jours), les certificats utilisateur, les certificats Smartcard et les certificats serveurs.

Ajouter une sous-autorité

Lorsque vous créez une sous-autorité, les écrans visibles sont similaires à ceux de la création d’une autorité racine. L’assistant de configuration pour une sous-autorité a besoin d’une référence « parente » dont il va reprendre les informations.

La CA choisie comme référence pour la sous-autorité sera la CA par défaut ou, la dernière CA sélectionnée avant d’avoir cliqué sur « Ajouter une sous-autorité ».

Vous devrez renseignez un CN et un identifiant dans un premier temps. Vous devez ensuite saisir le mot de passe de l’autorité parente dans la case prévue à cet effet « Mot de passe autorité parente ».

L’icône vous permet d’afficher le mot de passe en clair pour vérifier qu’il est correct.

 

Cliquez ensuite sur Suivant.

L’écran qui suit vous demande de présenter le mot de passe de votre CA et de le confirmer.

Vous pourrez également renseigner votre E-mail, la Taille de clé (en bits), ainsi que la durée de Validité (en jours) de votre sous-autorité.

Vous verrez ensuite apparaître un résumé des informations saisies.

NOTE

Pour visualiser votre sous-autorité au sein de la liste de gauche, déroulez l’autorité parente à laquelle celle-ci est rattachée.

 

Cliquez sur Terminer.

En cliquant sur la sous-CA concernée, ses informations détaillées s’afficheront à droite de l’écran en 3 onglets :

L’onglet « Détails »

4 fenêtres y reprennent les données concernant, la « Validité » de l’autorité, son destinataire (« Emis pour »), son « Emetteur » et ses « Empreintes » (informations sur le produit et sa version).

L’onglet « CRL »

Il reprend les informations concernant la CRL : la validité incluant la dernière et la prochaine mise à jour, la grille des points de distribution et la grille de certificats révoqués, devant contenir un numéro de série, une date de révocation et un motif de révocation.

L’onglet configuration

Cet onglet présente la Taille de clé (bits) et la Validité (jours) pour l’Autorité de certification (avec la Validité de la CRL en jours en plus pour la CA, dans la limite de 3650 jours), les certificats utilisateur, les certificats Smartcard et les certificats serveurs.

Ajouter un certificat utilisateur

Dans l’assistant de configuration, l’administrateur va spécifier les informations relatives à l’utilisateur pour lequel il souhaite créer un certificat, en renseignant l’adresse e-mail de celui-ci.

Une fois le certificat généré et publié par l’administrateur, l’utilisateur recevra un mail de confirmation de création de son certificat et pourra le présenter afin de se connecter (si l’envoi d’e-mail est activé).

NOTE

Le certificat utilisateur dépend, lui aussi, d’une autorité parente, il va choisir la CA par défaut. Cliquez sur le bouton Ajouter un certificat utilisateur.

 

Nom (CN) (obligatoire)

Saisissez le nom de votre utilisateur, dans la limite de 64 caractères maximum.

NOTE

Ce champ doit être rempli afin de poursuivre la configuration.

Identifiant

Bien que le remplissage de ce champ ne soit pas obligatoire, vous pouvez ici indiquer un raccourci de votre CN, utile pour vos lignes de commande.

 

ExempleSi vous aviez choisi un nom et un prénom pour votre CN, l’identifiant peut en indiquer les initiales uniquement.

E-mail (obligatoire)

Renseignez dans ce champ l’e-mail de l’utilisateur pour lequel vous souhaitez créer un certificat.

Vous devrez ensuite spécifier différentes options pour votre certificat utilisateur.

Par défaut, le champ « Validité » est fixé à 365 jours, et le champ Taille de clé, à 2048 bits.

NOTE

Pour visualiser votre certificat créé au sein de la liste de gauche, déroulez l’autorité parente à laquelle celui-ci est rattaché.

 

Publication dans l’annuaire LDAP

Vous pouvez choisir d’associer le certificat utilisateur à votre base LDAP en cochant la case « Publier ce certificat dans l’annuaire LDAP ».

Si cette case est cochée, le certificat pourra être directement lié à son utilisateur si celui-ci figure dans la base LDAP et par conséquent, faciliter l’Authentification.

Pour cela, il faut que l’e-mail spécifié lors de la création du certificat utilisateur dans l’assistant soit identique à celui utilisé dans la fiche utilisateur de la base utilisateurs du firewall.

Mot de passe du conteneur PKCS#12 publié (8 car. min.)

Le conteneur PKCS#12 est un format de fichier permettant de stocker la clé privée et le certificat utilisateur, ainsi que le certificat de l'autorité de certification.

Renseignez-lui un mot de passe afin de protéger les informations des 3 éléments cités ci-dessus.

Confirmez le mot de passe

Retapez une seconde fois votre mot de passe dans ce champ afin de le confirmer.

Force du mot de passe

Ce champ indique le niveau de sécurité de votre mot de passe : « Très Faible », « Faible », « Moyen », « Bon » ou « Excellent ».

Il est fortement conseillé d’utiliser les majuscules et les caractères spéciaux.

Cliquez sur Suivant.

Les écrans qui suivent reprennent les informations de l’autorité parente sélectionnée au préalable ainsi qu’un résumé des données du certificat utilisateur.

Cliquez sur Terminer.

En cliquant sur le certificat concerné, ses informations détaillées s’afficheront à droite de l’écran en un unique onglet :

Onglet « Détails »

4 fenêtres y reprennent les données concernant, la « Validité » de l’autorité, son destinataire (« Emis pour »), son « Emetteur » et ses « Empreintes » (informations sur le produit et sa version).

Ajouter un certificat Smartcard

Le certificat Smartcard est lié à un compte Microsoft Windows associé à un utilisateur et un certificat. Il permet de signer et délivrer des certificats permettant l’authentification des utilisateurs enregistrés dans l’Active Directory (voir document Configuration de l’annuaire (LDAP)\Connexion à un annuaire Microsoft Active Directory) d’une part, mais également dans votre base LDAP.

NOTE

A un utilisateur est attribué un compte Windows, par conséquent : à chaque utilisateur est attribué un certificat Smartcard. La CA utilisé doit avoir des CRLDP définis.

 

Nom (CN) (obligatoire)

Saisissez un nom pour le certificat Smartcard, dans la limite de 64 caractères maximum.

Identifiant

Bien que le remplissage de ce champ ne soit pas obligatoire, vous pouvez ici indiquer un raccourci de votre CN, utile pour vos lignes de commande.

ExempleSi vous aviez choisi un nom et un prénom pour votre CN, l’identifiant peut en indiquer les initiales uniquement.

E-mail (obligatoire)

Renseignez dans ce champ l’e-mail de l’utilisateur pour lequel vous souhaitez créer un certificat.

Nom principal d’utilisateur (Windows)

Saisissez le nom de du propriétaire du compte Windows pour lequel vous souhaitez créer un certificat Smartcard.

Procédez ensuite de manière similaire à l’ajout d’un certificat utilisateur :

Spécifier les différentes options pour votre certificat Smartcard. Par défaut, le champ « Validité » est fixé à 365 jours, et le champ Taille de clé, à 1024 bits.

Vous pouvez ensuite « Publier ce certificat dans l’annuaire LDAP » en cochant la case correspondante, et définir un mot de passe à confirmer, pour le conteneur PKCS#12.

Après avoir cliqué sur Suivant, sélectionnez une autorité parente pour votre certificat et saisissez son mot de passe. Vous verrez ensuite apparaître un résumé des données renseignées.

Cliquez sur Terminer.

En cliquant sur le certificat concerné, ses informations détaillées s’afficheront à droite de l’écran en un unique onglet :

Onglet « Détails »

4 fenêtres y reprennent les données concernant, la « Validité » de l’autorité, son destinataire (« Emis pour »), son « Emetteur » et ses « Empreintes » (informations sur le produit et sa version).

Ajouter un certificat serveur

Le certificat serveur est installé sur un serveur web et permet d'assurer le lien entre eux.

Dans le cas d'un site web, il permet de vérifier que l'URL et son DN (Nom de domaine) appartiennent bien à telle ou telle entreprise.

Définissez les propriétés du certificat serveur par le biais de l’assistant.

 

Nom de domaine qualifié (FQDN)

Le FQDN représente le nom complet d’un hôte dans une URL, soit un HOST (comme www) et un nom de domaine (de type compagnie.com).

Exemple www.company.com

Identifiant

Bien que le remplissage de ce champ ne soit pas obligatoire, vous pouvez ici indiquer un raccourci de votre FQDN, utile pour vos lignes de commande.

ExempleStormshield Network (propriétaire du FQDN)

Procédez ensuite de manière similaire à l’ajout d’un certificat utilisateur ou d’un certificat Smartcard :

Spécifier les différentes options pour votre certificat serveur. Par défaut, le champ « Validité » est fixé à 365 jours, et le champ Taille de clé, à 2048 bits.

 

Vous pouvez ensuite « Publier ce certificat dans l’annuaire LDAP » en cochant la case correspondante, et définir un mot de passe à confirmer, pour le conteneur PKCS#12.

Après avoir cliqué sur Suivant, sélectionnez une autorité parente pour votre certificat et saisissez son mot de passe. Vous verrez ensuite apparaître un résumé des données renseignées.

Cliquez sur Terminer.

En cliquant sur le certificat concerné, ses informations détaillées s’afficheront à droite de l’écran en un unique onglet :

Onglet « Détails »

4 fenêtres y reprennent les données concernant, la « Validité » de l’autorité, son destinataire (« Emis pour »), son « Emetteur » et ses « Empreintes » (informations sur le produit et sa version).

Importer un fichier

En cliquant sur ce bouton, vous pouvez importer un fichier (contenant votre certificat) par le biais de l’assistant de configuration.

Cela évite de passer par les étapes de création de CA, de sous-CA ou certificats.

Fichier à importer

En cliquant sur l’icône, à droite du champ, vous pourrez parcourir votre ordinateur ou votre navigateur web à la recherche d’un certificat (si vous en avez créé au préalable).

Format du fichier

3 formats de fichier sont proposés :

  • Format base 64 (PEM – Privacy-enhanced Electronic Mail), Il permet l'encodage des certificats X509 en base 64. Un certificat de type PEM se présente de la manière suivante :

-----BEGIN CERTIFICATE-----

MIIDdzCCAuCgAwIBAgIBBzANBgkqhkiG9w0BAQQFADCBpDELMAkGA1UEBhMCQ0gxCzAJBgNVBAgTAkdFMQ8wDQYD

VQQHEwZHZW5ldmExHTAbBgNVBAoTFFVuaXZlcnNpdHkgb2YgR2VuZXZhMSQwIgYDVQQLExtVTklHRSBDZXJ0aWZpY

2F0ZSBBdXRob3JpdHkxETAPBgNVBAMTCFVuaUdlIENBMR8wHQYJKoZIhvcNAQkBFhB1bmlnZWNhQHVuaWdlLmNoMB

4XDTk5MTAwNDE2MjI1N1oXDTAwMTAwMzE2MjI1N1owgbExCzAJBgNVBAYTAkNIMQswCQYDVQQIEwJHRTEPMA0GA1

UEBxMGR2VuZXZhMR0wGwYDVQQKExRVbml2ZXJzaXR5IG9mIEdlbmV2YTEeMBwGA1UECxMVRGl2aXNpb24gSW5mb

3JtYXRpcXVlMRowGAYDVQQDExFBbGFpbiBIdWdlbnRvYmxlcjEpMCcGCSqGSIb3DQEJARYaQWxhaW4uSHVnZW50b2J

sZXJAdW5pZ2UuY2gwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBALIL5oX/FR9ioQHM0aXxfDELkhPKkw8jc6I7BtSY

Jk4sfqvQYqvOMt1uugQGkyIuGhP2djLj6Ju4+KyKKQVvDJIu/R1zFX1kkqOPt/A2pCLkisuH7nDsMbWbep0hDTVNELoKVoVIA

azwWMFlno2JuHJgUcs5hWskg/azqI4d9zy5AgMBAAGjgakwgaYwJQYDVR0RBB4wHIEaQWxhaW4uSHVnZW50b2JsZXJAd

W5pZ2UuY2gwDAYDVR0T200BAUwAwIBADBcBglghkgBhvhCAQ0ETxZNVU5JR0VDQSBjbGllbnQgY2VydGlmaWNhdGUsI

HNlZSBodHRwOi8vdW5pZ2VjYS51bmlnZS5jaCBmb3IgbW9yZSBpbmZvcm1hdGlvbnMwEQYJYIZIAYb4QgEBBAQDAgSwM

A0GCSqGSIb3DQEBBAUAA4GBACQ9Eo67A3UUa6QBBNJYbGhC7zSjXiWySvj6k4az2UqTOCT9mCNnmPR5I3Kxr1GpWT

oH68LvA30inskP9rkZAksPyaZzjT7aL//phV3ViJfreGbVs5tiT/cmigwFLeUWFRvNyT9VUPUov9hGVbCc9x+v05uY7t3UMeZejj8

zHHM+

-----END CERTIFICATE----

 

Les balises "-----BEGIN CERTIFICATE-----" et "-----END CERTIFICATE-----" encadrent le bloc de "n" lignes de chacune 64 caractères de type [A-Za-z0-9/+].

C'est un format qui transite souvent par e-mail car celui-ci résiste très bien aux déformations des logiciels de messagerie.

 

Le fichier PEM est un fichier texte contenant ce type d'information.

De même le fichier CRL contient des chaînes de caractères codées en base 64 encadrées par des balises

du type : "-----BEGIN X509 CRL-----" et "-----END X509 CRL-----".

Le fichier de clé privée, quant à lui, contient des chaînes de caractères codées en base 64 encadrées par

des balises du type : "-----BEGIN RSA PRIVATE KEY-----" et "-----END RSA PRIVATE KEY-----".

  • Format binaire (DER - Distinguished Encoding Rules), celui-ci contient le certificat de l’utilisateur en format binaire.
  • Conteneur (PKCS#12), il contient la clé privée et le certificat utilisateur ainsi que le certificat de l'autorité de certification. De plus, celui-ci est crypté.
Mot de passe du fichier (si PKCS#12)

Définissez un mot de mot de passe pour le fichier PKCS#12, si c’est ce format pour lequel vous avez opté (le même que pour la Publication du certificat utilisateur dans le LDAP.

L’icône vous permet d’afficher le mot de passe en clair pour vérifier qu’il est correct.

Eléments du fichier à importer

Etant donné que chaque format de fichier contient des éléments différents, vous pouvez choisir d’importer tout ou une partie de votre fichier via les choix suivants.

Tous : Importez tous les éléments contenus dans vos fichiers.

 

Ou choisissez de ne garder que ceux-ci :

Certificat(s)Clé(s) privée(s)CRLAutorité de Certification (CA)Requête(s)
Ecraser le contenu existant dans la PKI

Si vous cochez cette case, les contenus similaires aux éléments ci-dessus seront écrasés dans la PKI, en faveur des nouveaux certificats/clés privées/CA et requêtes.

 

Cliquez sur Suivant. Vous verrez s’afficher un résumé des données l’importation de votre fichier (son nom, son format et les éléments à importer).

Cliquer sur Terminer.