Ajouter une identité Smartcard ou en afficher les détails
Une identité SmartCard est liée à un compte Microsoft Windows, donc associée à un utilisateur unique. Le certificat de cet utilisateur est signé par une Autorité de Certification mettant à disposition des CRLDP pour vérifier sa validité, et publié dans un annuaire Active Directory (ou dans un annuaire LDAP). Le firewall étant en mesure de vérifier le compte Windows que l’utilisateur possède par une politique d’authentification, et de valider les informations du certificat correspondant, peut autoriser l’utilisateur ayant connecté sa carte à puce (SmartCard) à accéder aux ressources réseau de votre organisation.
Créer une identité Smartcard
- Cliquez sur Ajouter.
- Sélectionnez Identité Smartcard.
- Renseignez un CN (obligatoire).
Il s'agit d'un nom permettant d’identifier l'utilisateur dans la limite de 64 caractères. - Renseignez un Identifiant (facultatif).
Vous pouvez ici indiquer un raccourci de votre CN, utile pour vos lignes de commande (exemple : si le CN est un couple Prénom+Nom, l'identifiant peut correspondre aux initiales du CN). - Renseignez l'adresse E-mail (obligatoire) de l'utilisateur pour lequel vous créez une identité.
- Dans le champ Nom principal d'utilisateur (Windows), renseignez le nom du compte Active Directory de l'utilisateur.
- Cliquez sur Suivant.
- Sélectionnez l'Autorité parente destinée à signer le certificat.
- Renseignez le Mot de passe de l'autorité parente.
Les attributs de l'autorité sont automatiquement ajoutés. Ils seront présents dans le certificat Smartcard. - Cliquez sur Suivant.
- Lorsque le firewall dispose d'un module TPM et que celui-ci a été initialisé, cochez la case Protéger cette identité à l'aide du TPM pour que la clé privée de l'identité soit protégée par le TPM.
- Modifiez éventuellement la durée de Validité (jours) du certificat.
La valeur conseillée est de 365 jours (proposée par défaut). - Vous pouvez aussi modifier la Taille de clé (en bits) du certificat.
Bien que les clés de grande taille soient plus efficaces, il est déconseillé d’utiliser celles-ci avec les équipements d’entrée de gamme, pour des raisons de temps de génération. - Cliquez sur Suivant.
Un résumé des informations saisies vous est présenté. - Cliquez sur Terminer.
Afficher les détails du certificat
Un clic sur l'identité affiche ses informations détaillées dans la partie droite de l’écran.
Ces informations sont en lecture seule.
Onglet « Détails »
Différents cadres présentent les données de l'identité :
- Son Utilisation : les modules dans lequel le certificat de l'identité est utilisé ainsi que la protection éventuelle de la clé privée de l'identité par le TPM si le firewall en est équipé.
- Sa Validité : dates d'émission et d'expiration du certificat,
- Son destinataire (Émis pour) : sujet et détails du certificat smartcard (adresse e-mail de l'utilisateur),
- Son Émetteur : sujet et détails du certificat de l'autorité parente de l'identité du serveur,
- Ses Détails : numéro de série du certificat, version, algorithmes de chiffrement et de signature utilisés, type de clé, taille de clé, types d'usages réservés à cette identité et son certificat (Extended Key Usage - EKU).
Onglet Révocation (CRL)
- Les adresses (URL) des Points de distribution de CRL de l'autorité parente,
- Les adresses (URL) des Serveurs OCSP si le protocole OCSP est utilisé pour le renouvellement des certificats.