Ajouter une autorité racine ou en afficher les détails
Lorsque vous créez une sous-autorité, les écrans visibles sont similaires à ceux de la création d’une autorité racine. L’assistant de configuration pour une sous-autorité a besoin d’une référence « parente » dont il va reprendre les informations.
Ajouter une sous-autorité
- Cliquez sur Ajouter.
- Sélectionnez Sous-Autorité.
- Renseignez un CN (obligatoire).
Il s'agit d'un nom permettant d’identifier votre autorité racine, dans la limite de 64 caractères. Ce nom peut faire référence à une organisation, un utilisateur, un serveur, une machine etc. - Renseignez un Identifiant (facultatif).
Vous pouvez ici indiquer un raccourci de votre CN, utile pour vos lignes de commande. - Sélectionnez l’autorité parente : l’utilisation d’une sous-autorité n’est possible qu’après identification de son autorité parente.
L'autorité proposée comme parente pour la nouvelle sous-autorité sera l'autorité par défaut ou, la dernière autorité sélectionnée avant d’avoir cliqué sur Ajouter > Sous-autorité. -
Saisissez le mot de passe de l'autorité parente.
L’icônevous permet d’afficher le mot de passe en clair pour vérifier qu’il est correct.
- Cliquez sur Suivant.
- Saisissez le mot de passe destiné à protéger la sous-autorité et confirmez-le.
Une jauge indique le degré de robustesse de votre mot de passe. Il est recommandé de combiner les lettres minuscules, majuscules, les chiffres et les caractères spéciaux. - Vous pouvez renseigner votre E-mail afin de recevoir un message vous confirmant la création de votre autorité.
- Modifiez éventuellement la Taille de clé (en bits).
Bien que les clés de grande taille soient plus efficaces, il est déconseillé d’utiliser celles-ci avec les équipements d’entrée de gamme, pour des raisons de temps de génération. - Vous pouvez aussi modifier durée de Validité (en jours) de votre autorité.
Ce champ correspond au nombre de jours durant lesquels votre certificat d'autorité et par conséquent votre PKI seront valides. Cette date influe sur tous les aspects de votre PKI, en effet, une fois ce certificat expiré, tous les certificats utilisateurs le seront également. Cette valeur ne sera pas modifiable par la suite.
La valeur de ce champ de doit pas excéder 3650 jours. - Cliquez sur Suivant.
- Définissez éventuellement les points de distribution des listes de révocation de certificats en cliquant sur Ajouter pour définir l'URL d'accès à la CRL.
Cette information est intégrée à l'autorité générée et permettra aux applications utilisant le certificat de cette autorité de récupérer automatiquement la CRL afin de vérifier la validité du certificat.
Si plusieurs points de distributions sont définis, ils seront traités dans l'ordre de la liste. - Cliquez sur Suivant.
Un résumé des informations saisies vous est présenté. - Cliquez sur Terminer.
La sous-autorité est automatiquement ajoutée à l'arborescence des autorités et certificats définis sur le firewall.
Afficher les détails de la sous-autorité
Un clic sur la sous-autorité affiche ses informations détaillées dans la partie droite de l’écran.
Afficher les détails d'un autorité / modifier les profils de certificats liés à cette autorité
Un clic sur une autorité affiche ses informations détaillées dans la partie droite de l’écran.
Onglet « Détails »
Quatre cadres présentent les données de l'autorité :
- Sa Validité : dates d'émission et d'expiration de l'autorité,
- Son destinataire (Émis pour) : sujet et détails du certificat de la sous-autorité,
- Son Émetteur : sujet et détails du certificat de l'autorité parente,
- Ses Détails : numéro de série de la sous-autorité, version, algorithmes de chiffrement et de signature utilisés, type de clé, taille de clé et Extended Key Usage (EKU).
Onglet « Révocation (CRL) »
Il reprend les informations concernant la CRL :
- Sa validité incluant la date des dernière et prochaine mises à jour,
- La grille des certificats signés par cette CA et ayant été révoqués. Sont précisés, pour chacun de ces certificats révoqués : son numéro de série, sa date de révocation et le motif de révocation (facultatif).
Onglet « Profils de certificats »
Cet onglet présente :
- Les points de distribution mettant à disposition la CRL de la CA. Il est possible d'en ajouter de nouveaux ou d'en supprimer depuis cette grille.
- Les valeurs proposées par défaut pour les paramètres intervenant dans la signature d'une nouvelle sous-autorité ou d'un nouveau certificat par l'autorité de certification sélectionnée. Ces valeurs sont modifiables.
NOTE
Si vous modifiez les valeurs de ces paramètres, cela n'affecte pas les sous-autorités ou certificats existants : vous devez les recréer si vous souhaiter utiliser les nouvelles valeurs pour ces éléments.
Ces paramètres sont les suivants :
- Type de clé (algorithme de signature) : la valeur proposée par défaut est SECP,
- Taille de clé (bits) : la valeur proposée par défaut est 256,
- Durée de Validité (jours) : la valeur proposée par défaut est 365 jours par défaut pour un certificat et 3650 jours pour une CA,
- Durée de Validité de la CRL (uniquement pour la signature du certificat d'une sous-autorité) : la valeur proposée par défaut est 30 jours (maximum autorisé : 3650 jours),
- Somme de contrôle : la valeur utilisée par défaut est sha256,
Onglet « Détails »
4 fenêtres présentent les données de la sous-autorité :
- Sa Validité : dates d'émission et d'expiration de la sous-autorité,
- Son destinataire (Émis pour) : la sous-autorité elle-même,
- Son Émetteur : son autorité parente,
- Ses Détails : numéro de série de la sous-autorité, version, algorithmes de chiffrement et de signature utilisés, type de clé, taille de clé...
Onglet « Révocation (CRL) »
Il reprend les informations concernant la CRL : la validité incluant la dernière et la prochaine mise à jour, la grille des points de distribution et la grille de certificats révoqués, devant contenir un numéro de série, une date de révocation et un motif de révocation.
Onglet « Profils de certificats »
Cet onglet présente la Taille de clé (bits) et la Validité (jours) pour l’autorité de certification (avec la Validité de la CRL en jours en plus pour l'autorité, dans la limite de 3650 jours), les certificats utilisateur, les certificats Smartcard et les certificats serveurs.
Ces valeurs sont modifiables et sont proposées par défaut lors de la création d'une sous-autorité ou d'un certificat signé par la sous-autorité sélectionnée.