Configurer PKI Services Manager sous UNIX

Pour configurer l'authentification des hôtes du client à l'aide de certificats, vous devez installer et configurer Reflection PKI Services Manager. Utilisez la procédure suivante pour commencer. Plusieurs cas sont possibles. Pour plus d'informations sur chacune des étapes ci-dessous, reportez-vous au guide de l'utilisateur Reflection PKI Services Manager, disponible à partir de la console PKI Services Manager et à l'adresse suivante :http://support.attachmate.com/manuals/pki.html.

Avant de commencer :

  • Installez PKI Services Manager.
  • Obtenez le certificat approuvé de l'autorité de certification et tous les certificats intermédiaires nécessaires pour valider le certificat utilisé par l'hôte auquel vous vous connectez.
  • Déterminez la façon dont la vérification de la révocation des certificats doit être gérée pour le certificat hôte. Vous pouvez configurer PKI Services Manager pour utiliser des listes CRL, des serveurs OCSP ou pour contacter un point de distribution CRL spécifié dans le certificat.

Pour configurer PKI Services Manager

  1. Connectez-vous en tant qu'utilisateur racine sur le serveur Reflection PKI Services Manager.
  2. Installez PKI Services Manager.
  3. Placez une copie du ou des certificats que vous voulez désigner comme certificat approuvé dans votre liste de certificats. La liste par défaut PKI Services Manager se trouve à l'emplacement suivant :

    /opt/attachmate/pkid/local-store

  4. Ouvrez le fichier de configuration PKI Services Manager dans un éditeur de texte. Le nom et l'emplacement par défaut sont les suivants :

    /opt/attachmate/pkid/config/pki_config

  5. Utilisez le mot-clé TrustAnchor pour identifier votre certificat approuvé. Par exemple :

    TrustAnchor = trustedca.crt

    - ou -

    TrustAnchor = CN=SecureCA,O=Acme,C=US

    Remarque : Pour configurer plusieurs certificats approuvés, ajoutez des lignes TrustAnchor supplémentaires.

  6. Configurez la vérification de la révocation des certificats. Par exemple :

    Pour

    Exemple de configuration

    Utiliser des listes CRL enregistrées sur un serveur LDAP.

    RevocationCheckOrder = crlserver
    CRLServers=ldap://crlserver

    Utiliser un serveur OCSP.

    RevocationCheckOrder = ocsp
    OCSPResponders = http://ocspresponder

    Remarque : Par défaut, PKI Services Manager cherche des CRL dans la liste locale. Lorsque vous utilisez cette configuration, vous devez copier les CRL dans votre liste locale.

  7. Si des certificats intermédiaires sont requis par la chaîne d'approbation de vos certificats, configurez l'accès à ces certificats. Par exemple :

    Pour

    Exemple de configuration

    Utiliser les certificats intermédiaires que vous avez ajoutés à votre liste locale.

    CertSearchOrder=local

    Utiliser des certificats enregistrés sur un serveur LDAP.

    CertSearchOrder=certserver
    CertServers=ldap://ldapserver

  8. Enregistrez vos modifications dans le fichier de configuration.
  9. Ouvrez le fichier de modèle PKI Services Manager dans un éditeur de texte. Le nom et l'emplacement par défaut sont les suivants :

    /opt/attachmate/pkid/config/pki_mapfile

  10. Ajoutez au moins une règle pour déterminer quels hôtes client peuvent s'authentifier avec un certificat valide. Par exemple, pour autoriser des hôtes client à se connecter si le nom de l'hôte est spécifié dans la valeur Nom commun du champ Sujet du certificat :

    RuleType = host
      {acme.com}

  11. Testez la validité de la configuration de PKI Services Manager :

    /usr/local/sbin/pkid -k

    Pas d'erreurs. La configuration est valide :

  12. Redémarrez Reflection PKI Services Manager.

    /usr/local/sbin/pkid restart

Autres rubriques

Démarrer et arrêter le service sous UNIX

Configuration de Reflection X Advantage pour une connexion à PKI Services Manager

Utilisation de PKI Services Manager avec Reflection X Advantage