Ajouter une sous-autorité

Lorsque vous créez une sous-autorité, les écrans visibles sont similaires à ceux de la création d’une autorité racine. L’assistant de configuration pour une sous-autorité a besoin d’une référence « parente » dont il va reprendre les informations.

  1. Cliquez sur Ajouter.
  2. Sélectionnez Sous-Autorité.
  3. Renseignez un CN (obligatoire).
    Il s'agit d'un nom permettant d’identifier votre autorité racine, dans la limite de 64 caractères. Ce nom peut faire référence à une organisation, un utilisateur, un serveur, une machine etc.
  4. Renseignez un Identifiant (facultatif).
    Vous pouvez ici indiquer un raccourci de votre CN, utile pour vos lignes de commande.
  5. Sélectionnez l’autorité parente : l’utilisation d’une sous-autorité n’est possible qu’après identification de son autorité parente.
    L'autorité proposée comme parente pour la nouvelle sous-autorité sera l'autorité par défaut ou, la dernière autorité sélectionnée avant d’avoir cliqué sur Ajouter > Sous-autorité.

  6. Saisissez le mot de passe de l'autorité parente.
    L’icône vous permet d’afficher le mot de passe en clair pour vérifier qu’il est correct.

  1. Cliquez sur Suivant.
  2. Saisissez le mot de passe destiné à protéger la sous-autorité et confirmez-le.
    Une jauge indique le degré de robustesse de votre mot de passe. Il est recommandé de combiner les lettres minuscules, majuscules, les chiffres et les caractères spéciaux.
  3. Vous pouvez renseigner votre E-mail afin de recevoir un message vous confirmant la création de votre autorité.
  4. Modifiez éventuellement la Taille de clé (en bits).
    Bien que les clés de grande taille soient plus efficaces, il est déconseillé d’utiliser celles-ci avec les équipements d’entrée de gamme, pour des raisons de temps de génération.
  5. Vous pouvez aussi modifier durée de Validité (en jours) de votre autorité.
    Ce champ correspond au nombre de jours durant lesquels votre certificat d'autorité et par conséquent votre PKI seront valides. Cette date influe sur tous les aspects de votre PKI, en effet, une fois ce certificat expiré, tous les certificats utilisateurs le seront également. Cette valeur ne sera pas modifiable par la suite.
    La valeur de ce champ de doit pas excéder 3650 jours.
  6. Cliquez sur Suivant.
  7. Définissez éventuellement les points de distribution des listes de révocation de certificats en cliquant sur Ajouter pour définir l'URL d'accès à la CRL.
    Cette information est intégrée à l'autorité générée et permettra aux applications utilisant le certificat de cette autorité de récupérer automatiquement la CRL afin de vérifier la validité du certificat.
    Si plusieurs points de distributions sont définis, ils seront traités dans l'ordre de la liste.
  8. Cliquez sur Suivant.
    Un résumé des informations saisies vous est présenté.
  9. Cliquez sur Terminer.

La sous-autorité est automatiquement ajoutée à l'arborescence des autorités et certificats définis sur le firewall.

Afficher les détails de la sous-autorité

Un clic sur la sous-autorité affiche ses informations détaillées dans la partie droite de l’écran :

Onglet « Détails »

4 fenêtres présentent les données de la sous-autorité :

  • Sa Validité : dates d'émission et d'expiration de la sous-autorité,
  • Son destinataire (Émis pour) : la sous-autorité elle-même,
  • Son Émetteur : son autorité parente,
  • Ses Empreintes : numéro de série de la sous-autorité, algorithmes de chiffrement et de signature utilisés...

Onglet « Révocation (CRL) »

Il reprend les informations concernant la CRL : la validité incluant la dernière et la prochaine mise à jour, la grille des points de distribution et la grille de certificats révoqués, devant contenir un numéro de série, une date de révocation et un motif de révocation.

Onglet « Profils de certificats »

Cet onglet présente la Taille de clé (bits) et la Validité (jours) pour l’autorité de certification (avec la Validité de la CRL en jours en plus pour l'autorité, dans la limite de 3650 jours), les certificats utilisateur, les certificats Smartcard et les certificats serveurs.

Ces valeurs sont modifiables et sont proposées par défaut lors de la création d'une sous-autorité ou d'un certificat signé par la sous-autorité sélectionnée.