Ajouter une autorité racine
Une autorité racine ou « root CA » est une entité ayant pour objectif de signer, émettre et maintenir les certificats et les CRL (Certificate Revocation List, ou « listes de révocations »).
NOTE
Les informations saisies ne seront plus modifiables après la création de l'autorité.
Créer une autorité racine
- Cliquez sur Ajouter.
- Sélectionnez Autorité racine.
- Renseignez un CN (obligatoire).
Il s'agit d'un nom permettant d’identifier votre autorité racine, dans la limite de 64 caractères. Ce nom peut faire référence à une organisation, un utilisateur, un serveur, une machine etc. - Renseignez un Identifiant (facultatif).
Vous pouvez ici indiquer un raccourci de votre CN, utile pour vos lignes de commande. - Renseignez les attributs de l'autorité. Ces informations seront présentes dans le certificat de l'autorité ainsi que dans les certificats qu'elle émettra.
- Organisation (O) : Nom de votre société (ex : Stormshield).
- Unité d’organisation (OU) : "branche" de votre société (ex : Documentation).
- Lieu (L) : Ville dans laquelle est située votre société (ex : Villeneuve d'Ascq).
- État ou province (ST) : Département géographique de votre société (ex : Nord).
- Pays (C) : Choisissez dans la liste le pays de la société (ex : France).
- Cliquez sur Suivant.
- Saisissez le mot de passe destiné à protéger l'autorité racine et confirmez-le.
Une jauge indique le degré de robustesse de votre mot de passe. Il est recommandé de combiner les lettres minuscules, majuscules, les chiffres et les caractères spéciaux. - Vous pouvez renseigner votre E-mail afin de recevoir un message vous confirmant la création de votre autorité.
- Modifiez éventuellement la Taille de clé (en bits).
Bien que les clés de grande taille soient plus efficaces, il est déconseillé d’utiliser celles-ci avec les équipements d’entrée de gamme, pour des raisons de temps de génération. - Vous pouvez aussi modifier durée de Validité (en jours) de votre autorité.
Ce champ correspond au nombre de jours durant lesquels votre certificat d'autorité et par conséquent votre PKI seront valides. Cette date influe sur tous les aspects de votre PKI. En effet, une fois ce certificat expiré, tous les certificats utilisateurs le seront également. Cette valeur ne sera pas modifiable par la suite.
La valeur de ce champ de doit pas excéder 3650 jours. - Cliquez sur Suivant.
- Définissez éventuellement les points de distribution des listes de révocation de certificats en cliquant sur Ajouter pour définir l'URL d'accès à la CRL.
Cette information est intégrée à l'autorité générée et permettra aux applications utilisant le certificat de cette autorité de récupérer automatiquement la CRL afin de vérifier la validité du certificat.
Si plusieurs points de distributions sont définis, ils seront traités dans l'ordre de la liste. - Cliquez sur Suivant.
Un résumé des informations saisies vous est présenté. - Cliquez sur Terminer.
L'autorité est automatiquement ajoutée à l'arborescence des autorités, identités et certificats définis sur le firewall.
Afficher les détails de l'autorité
Un clic sur l'autorité affiche ses informations détaillées dans la partie droite de l’écran :
Onglet « Détails »
4 fenêtres présentent les données de l'autorité :
- Sa Validité : dates d'émission et d'expiration de l'autorité,
- Son destinataire (Émis pour),
- Son Émetteur : l'autorité elle-même,
- Ses Empreintes : numéro de série de l'autorité, algorithmes de chiffrement et de signature utilisés...
Onglet « Révocation (CRL) »
Il reprend les informations concernant la CRL : la validité incluant la dernière et la prochaine mise à jour, la grille des points de distribution et la grille de certificats révoqués, devant contenir un numéro de série, une date de révocation et un motif de révocation (facultatif).
La durée de vie maximum des certificats équivaut à dix ans.
Onglet « Profils de certificats »
Cet onglet présente la Taille de clé (bits), la Validité (jours) et l'Algorithme de chiffrement pour l’Autorité de certification (avec la Validité de la CRL en jours en plus pour l'autorité, dans la limite de 3650 jours), les certificats utilisateur, les certificats Smartcard et les certificats serveurs.
Ces valeurs sont modifiables et sont proposées par défaut lors de la création d'une sous-autorité ou d'un certificat signé par l'autorité sélectionnée.