Certificat (SSL)

Après avoir sélectionné votre méthode d’authentification dans la colonne de gauche, vous pouvez saisir ses informations dans la colonne de droite, qui présente les éléments suivants :

Liste des autorités de confiance (C.A)

La méthode d’authentification SSL peut accepter l’utilisation de certificats signés par une autorité de certification externe au firewall. Pour cela il est nécessaire d’ajouter cette autorité de certification dans la configuration du firewall de façon à ce que celui-ci accepte tous les certificats effectivement signés par cette autorité.

Si l’autorité de certification est elle-même signée par une autre autorité de certification, il est possible de rajouter cette autorité dans la liste des CA de confiance pour ainsi créer une "Chaîne de confiance".

Lorsqu’une CA de confiance ou une chaîne de CA de confiance est spécifiée dans la configuration de la méthode d’authentification SSL, elle s’ajoute à la CA interne du firewall implicitement vérifiée dès qu’il existe une autorité racine interne valide sur le firewall.

Ajouter L’ajout d’une autorité de certification dans la liste des autorités de certification de confiance permet d’accepter cette autorité comme autorité reconnue et de valider tous les certificats signés par cette autorité de certification.

En cliquant sur le bouton Ajouter, puis sur l’icône s’affichant sur la ligne sélectionnée, on accède à la fenêtre des CA (Cf. Certificats et PKI).

Si l’autorité de certification à laquelle vous désirez faire confiance ne fait pas partie de la liste des certificats externes,
cliquez sur le bouton Sélectionner de la fenêtre des certificats externes pour ajouter cette autorité de certification dans la liste.
Les firewalls supportent les autorités racines multi niveaux - certificat de l’utilisateur à authentifier signé par une autorité de certification, elle-même signée par une autorité de certification supérieure. Vous pouvez insérer toute la chaine de certification créée par cette autorité racine multi-niveaux.

Pour que toute la chaîne soit correctement prise en compte, il est important d’insérer l’ensemble de la chaîne des autorités entre l’autorité la plus haute que vous avez inséré et l’autorité directement supérieure au certificat utilisateur.
Supprimer

Supprime l’autorité de certification sélectionnée.

Autorité de certification (C.A) : Ce champ laisse apparaître les certificats auxquels vous faites confiance et que vous serez amenés à utiliser.

Il est possible de modifier le champ du sujet du certificat qui sera utilisé pour rechercher l’utilisateur dans le LDAP. Il est également possible de modifier le champ LDAP utilisé pour la recherche. Par défaut, l’e-mail est utilisé dans les deux cas. Ces paramètres sont configurables en commande CLI.

Configuration avancée

Vous pouvez activer la recherche parmi plusieurs annuaires LDAP.

Différents critères peuvent alors être définis : pour un annuaire donné, il est possible d'indiquer une chaîne de caractères à rechercher dans un champ déterminé du certificat. Cette chaîne est à définir sous forme d'expression régulière.

Activer la recherche multi-annuaires (authentification SSL) Cocher cette case permet d'activer la recherche des utilisateurs au sein de plusieurs annuaires LDAP et donne accès à la grille des critères de recherche.

Liste des critères de recherche

Chaque critère est défini par un champ de certificat, une expression régulière et un annuaire LDAP.

Vous pouvez Ajouter, Supprimer, Monter ou Descendre un critère dans la liste à l'aide des boutons du même nom. Ces critères sont évalués selon l'ordre défini dans la grille.

Champ Cette liste déroulante permet de sélectionner le champ du certificat dans lequel les chaînes de caractères sont recherchées.
Expression régulière Saisissez l'expression régulière définissant les chaînes à rechercher dans le champ du certificat.
Domaine ou annuaire Sélectionnez l'annuaire LDAP à parcourir pour authentifier les utilisateurs dont le champ de certificat défini contient une chaîne correspondant à l'expression régulière.