Authentification au moyen de certificats dans EXTRA! X-treme

Dans les sessions EXTRA! qui utilisent les protocoles SSL/TLS ou SSH, l'authentification du client peut être gérée par des certificats numériques. Les certificats résolvent certains des problèmes que présente l'authentification de clé publique, comme la nécessité que le client télécharge une copie de la clé publique sur chaque serveur.

Votre ordinateur doit être configuré pour reconnaître le certificat de serveur présenté par votre hôte et, si nécessaire, pour fournir un certificat client pour l'authentification. Si votre ordinateur n'est pas correctement configuré, ou si les certificats présentés pour l'authentification ne sont pas valides, vous ne pourrez pas vous connecter.

Autorité de certification signée et certificats auto-signés

EXTRA! accepte l'autorité de certification signée et les certificats auto-signés. Les certificats signés comprennent un indicateur d'extension qui les identifie en tant que tels. Pour les certificats de serveur signés par l'autorité de certification, le champ Objet identifie le serveur ou l'utilisateur par son nom et le champ Émetteur identifie l'autorité de certification qui a signé le certificat. Les certificats utilisés pour authentifier le certificat de serveur CA doivent être installés dans le magasin d'autorités de certification racine approuvées.

Pour les certificats auto-signés, le champ Émetteur doit correspondre exactement au champ Objet. (Dans ce cas, l'objet est un hôte plutôt qu'une autorité de certification.) Si l'utilisateur accepte la validité du certificat auto-signé, il est installé manuellement dans le magasin d'autorités de certification racine approuvées ou via une stratégie de groupe ou un script de connexion Windows.

Le processus d'authentification

L'authentification peut impliquer plusieurs processus, en fonction du type de certificat que vous utilisez et des paramètres de sécurité que vous avez sélectionnés dans EXTRA!. Toutefois, dans tous les cas, EXTRA! vérifie le certificat pour déterminer si la date et la signature numérique sont valides, si les extensions essentielles (telles que l'utilisation de clés étendues) sont correctes et si l'utilisation de clés permet au certificat d'être utilisé pour l'authentification.

L'authentification peut également inclure les éléments suivants :

  • Si l'identité du serveur doit être vérifiée, le client compare le nom d'hôte de la session au nom commun du certificat.
  • Si vous utilisez des certificats signés par une autorité de certification, EXTRA! vérifie toutes les autorités de certification incluses dans le certificat : l'autorité de certification ayant émis le certificat, les autorités de certification intermédiaires dans la chaîne de certification et enfin l'autorité de certification approuvée (ou l'autorité de certification racine). Il s'agit de ce que l'on appelle la validation de chemin.
  • (Connexions SSH uniquement) Si la vérification de révocation est activée, le client vérifie que le certificat n'a pas été révoqué. Reportez-vous à la rubrique Configurer la vérification de révocation de certificats (SSH uniquement).
  • Si l'authentification côté serveur est configurée, le serveur demande à l'utilisateur (client) de présenter un certificat pour l'authentification. Les certificats utilisés pour l'identité du client sont enregistrés dans le magasin de certificats personnel de l'utilisateur. Pour les connexions SSH, les certificats peuvent également être enregistrés dans le gestionnaire de certificats de Reflection.