Gestion des certificats sur Eye-soft 4.0 INTRODUCTION... 2 CREATION D UN CERTIFICAT... 2 SIGNATURE DU CERTIFICAT PAR L AUTORITE DE CERTIFICATION DE L EYE-BOX... 3 ASSOCIER LE CERTIFICAT A UN SERVICE... 4 DEPLOYER L AUTORITE DE CERTIFICATION SUR LES POSTES CLIENTS... 5 2006- Alcatel - All rights reserved
INTRODUCTION Un certificat permet d associer une clé publique à une entité (personne, machine ou service) et d en assurer la validité. En effet, lorsqu un utilisateur communique une clé publique à un autre utilisateur, rien ne garantie que cette clé est bien celle de l utilisateur en question. Le certificat assure que la clé publique a été signée par un tiers, l autorité de certification, et cette signature peut-être vérifiée par le destinataire dans la mesure ou la clé publique de l autorité de certification est diffusée. Celles-ci se retrouvent notamment dans les autorités principales de confiance présentent par défaut dans votre PC. Mécanisme de création d un certificat [Informations + clé publique] ==hachage==>> [Empreinte] ==chiffrage avec clé privé de l AC==>> [Certificat] Mécanisme de vérification [Certificat] ==Déchiffrage avec clé publique de l AC==>> [Empreinte]. Cette empreinte doit être identique à celle générée par le hachage du couple [Informations + clés publique] Rem : les informations sont celles que vous retrouvez dans tous les certificats (Nom du propriétaire, pays ). Ce sont les informations que vous devez saisir lors de la création d un nouveau certificat dans l interface d administration de l Eye-box. Certificat auto-signé L Eye-box 4.0 permet de créer des certificats qui peuvent être signés par une autorité de certification et qui peuvent également être signés par l Eye-box elle même. On parle alors de certificat auto-signé. L utilisation de certificat auto-signé est largement répandue et permet d assurer la confidentialité des échanges au sein d une entreprise, par exemple, lorsque un utilisateur transfère des fichiers via le bureau virtuel de l Eye-box. La suite de ce document fournit des indications concernant la génération et l utilisation d un certificat auto-signé. CREATION D UN CERTIFICAT Pour utiliser un certificat dans les règles de l art, il faut que le hostname de l Eye-box soit officiellement déclaré dans un DNS et que les utilisateurs s y connectent en utilisant son nom. De plus, le nom du certificat devra être le nom de l Eye-box. Le certificat d une machine est obligatoirement personnalisé et devra être créé par l administrateur de l Eye-box. Pour créer le certificat, se connecter à l interface d administration de l Eye-box et se rendre dans le menu «Gestion des certificats» puis cliquer sur «Nouveau» :
Renseigner les champs proposés en donnant pour nom au certificat le hostname de l Eye-box (ex : premium40.alcatel-lucent.fr) puis valider. Le certificat est créé (Cf. Fig.2) mais n est pas encore signé. Fig.1 SIGNATURE DU CERTIFICAT PAR L AUTORITE DE CERTIFICATION DE L EYE-BOX Fig. 2 L autorité de certification présente par défaut dans votre Eye-box est unique. Elle peut donc être utilisée pour signer des requêtes. Il est également possible de créer une autorité de certification personnalisée en suivant la même procédure que pour l autorité de certification. Pour signer le certificat nouvellement créé : - Afficher le détail du certificat en cliquant sur «Modifier» - Copier la chaîne caractère qui se trouve dans le champs «Demande de certification à soumettre à un serveur d authentification (CA)» - Cliquer à nouveau sur «Gestion des certificats» puis sur l onglet «Autorité de certification (CA)» - Cliquer sur l autorité de certification «EyeSoft CA - 65cd1e04» puis aller à l onglet «Signer une requête»
- Coller la chaîne de caractères précédemment copiée dans le champs «Coller ici votre demande de certification» puis valider. Le certificat est à présent signé et apparaît en tant que tel dans la liste des certificats. Il peut à présent être utilisé par tous les services de l Eye-box (Interface d administration et bureau virtuel, SMTP, POP, IMAP, FTP, WEB, LDAP) Fig.3 ASSOCIER LE CERTIFICAT A UN SERVICE Fig. 4 Si vous souhaitez que les utilisateurs de l Eye-box puissent vérifier son authenticité par le biais du certificat lors de l échange de données dans le cadre de l utilisation d un service, il faut activer le certificat et le protocole ssl pour le service en question. Nous prendrons l exemple de l accès à l interface d administration et au bureau virtuel en https. - Se rendre dans le menu «gestion du boîtier / Configuration de l accès depuis une connexion internet» puis cliquer sur l onglet «Certificats SSL» - Cocher l option d activation du certificat nouvellement créé (Cf. Fig. 5)
Fig. 5 ==>> Le certificat associé au site d administration et au bureau virtuel est à présent celui nouvellement créé et signé. Il sera automatiquement accepté par les utilisateurs ayant choisi de faire confiance à l autorité de certification qui a signé le certificat. NB : Il est possible de faire le même type de manipulation pour les autres services de l Eye-box. DEPLOYER L AUTORITE DE CERTIFICATION SUR LES POSTES CLIENTS Les postes clients se connectant à l interface d administration ou au bureau virtuel se verrons proposer le nouveau certificat qui ne sera pas valide par défaut car délivré par une autorité de certification inconnue. Il convient par conséquent d importer l autorité de certification de l Eye-box dans tous les postes clients afin que le certificat proposé soit valide. Dans ce cas, le client n aura plus d alerte sécurité lors de la connexion au bureau virtuel ou à l interface d administration. Pour cela : - Se connecter à l interface d administration et aller au menu «Gestion des certificats», onglet «Autorités de certification (CA)» - Cliquer sur l autorité de certification afin d en afficher les informations et la clé publique - Cliquer sur «Cliquer ici pour exporter le certificat» et sauvegarder le fichier sur votre poste client (Cf. fig. 6) Fig. 6
Vous disposez à présent de l autorité de certification au format X509 codée en ASCII (fichier.cer). Il suffit de l installer sur les postes des utilisateurs. Pour cela, vous pouvez par exemple l envoyer par email aux utilisateur avec la procédure d installation ci-dessous : - Ouvrir le fichier «Eye-Soft CA» (Cf. Fig. 7) - Suivre la procédure d installation par défaut - Confirmer l installation Fig. 7 Fig. 8 Suite à l installation de l autorité de certification, le certificat sera automatiquement accepté lors de la connexion au bureau virtuel ou à l interface d administration. De même, l autorité de certification peut être utilisée pour la messagerie après activation du TLS pour le serveur SMTP/POP/IMAP et association du certificat aux différents services. Idem pour les services FTP et LDAP. Elle peut également être installée sur des devices mobiles pour accès au bureau virtuel mobile.