Une racine approuvée constitue la base de l'approbation dans une infrastructure de clé publique. Une racine approuvée est un certificat que vous approuvez implicitement et installez sur votre navigateur (ou d'autres logiciels client). Dans le contexte de sécurité SSL, votre navigateur valide automatiquement tout certificat de serveur signé par une des racines approuvées installées et activées sur votre navigateur. Dans le eDirectory, les objets CA et Matériel clé sont installés par défaut à l'acceptation du serveur de certificats. Les navigateurs Netscape et Microsoft Internet Explorer sont préconfigurés avec différents certificats de racine approuvée.
Les services LDAP pour eDirectory prennent en charge le protocole SSL pour garantir le caractère sûr et privé de la connexion par laquelle sont transmises les données.
SSL établit et entretient une communication sécurisée entre serveurs et clients activés par SSL via l'Internet. Pour garantir l'intégrité du message, SSL utilise un algorithme d'accès direct. Pour conserver le caractère confidentiel des messages, le protocole SSL permet la création et l'utilisation de canaux de communication codés. Pour empêcher l'usurpation des messages, le protocole SSL permet au serveur, et éventuellement au client, de s'authentifier lors de l'établissement de la connexion sécurisée.
Pour mettre en oeuvre les processus d'authentification et de codage, SSL utilise un mécanisme de codage appelé clés publiques. Pour établir une connexion sécurisée, serveur et client échangent leurs clés publiques pour établir une clé de session. La clé de session permet de coder les données pour la durée de la connexion. Une nouvelle connexion LDAP par SSL génère une nouvelle clé de session, différente de la précédente.
Chaque serveur LDAP nécessite un certificat numérique pour mettre en oeuvre SSL. Les certificats numériques sont délivrés par une autorité de certification. Les certificats sont stockés dans l'objet Matériel clé. Vous pouvez utiliser un snap-in du serveur de certificats Novell de ConsoleOne pour demander, gérer et stocker des certificats dans le eDirectory. Reportez-vous à l'aide du serveur de certificats NovellTM pour obtenir des informations supplémentaires sur la configuration d'un certificat sur un serveur. (Cliquez sur Aide dans une page d'objet Matériel clé.)
Pour que le serveur LDAP utilise un certificat spécifique pour une connectivité SSL LDAP une fois celui-ci stocké dans le eDirectory, vous devez spécifier l'objet Matériel clé contenant le certificat dans la page de configuration SSL du serveur LDAP sous ConsoleOne.
Cliquez avec le bouton droit de la souris sur l'objet Serveur LDAP.
Cliquez sur l'onglet Configuration SSL.
Entrez le nom de l'objet Matériel clé dans le champ Certificat SSL.
Plusieurs objets Matériel clé peuvent comporter différents certificats SSL au sein de eDirectory, mais le serveur LDAP utilise uniquement celui défini par ce paramètre pour les connexions SSL. Vous pouvez entrer le nom partiel de l'objet Matériel clé ou parcourir la liste des objets disponibles.
Vous pouvez configurer SSL tant sur le client que sur le serveur pour garantir l'identité des deux parties, mais les clients n'ont pas besoin de certificat numérique pour assurer la sécurité de la communication. Étant donné que le serveur LDAP écoute les connexions SSL sur un port particulier, le client peut initier automatiquement la connexion sur ce port lorsqu'il accepte le serveur de certificats, ou manuellement en effectuant les étapes suivantes :
Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Serveur LDAP.
Cliquez sur l'onglet Configuration SSL.
Entrez le numéro de port SSL correspondant aux services LDAP sur un serveur eDirectory.
Vous pouvez aussi cliquer sur Désactiver le port SSL pour que des messages codés ne puissent pas être échangés par le réseau.
Lorsque vous modifiez la configuration de vos services LDAP pour eDirectory en utilisant ConsoleOne, certaines modifications sont à effet dynamique et vous n'avez pas à redémarrer le serveur LDAP.
Pour empêcher l'usurpation des messages, SSL permet au serveur, et éventuellement au client, de s'authentifier lors de l'établissement de la connexion sécurisée.
Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Serveur LDAP.
Cliquez sur l'onglet Configuration SSL.
Sélectionnez Activer l'authentification mutuelle.
Vous pouvez exporter automatiquement la racine approuvée lorsque vous acceptez le serveur de certificats, ou manuellement en effectuant les étapes suivantes :
Exportez l'autorité de certification auto-assignée de eDirectory.
Cliquez avec le bouton droit de la souris sur l'objet Matériel clé, puis cliquez sur Propriétés.
Cliquez sur l'onglet Certificats, puis sur Certificat de clé publique.
Cliquez sur Exporter.
Remplacez l'extension du fichier par .x509 si vous prévoyez d'importer le fichier vers un navigateur Netscape.
Installez l'autorité de certification auto-assignée dans tous les navigateurs établissant des connexions LDAP sécurisées avec le eDirectory.
Internet Explorer 5 exporte automatiquement les certificats de racine lors d'une mise à jour de la base de registres. L'extension traditionnelle .x509 utilisée par Microsoft est indispensable. Reportez-vous à Etape 2.
Cliquez sur Fichier > Ouvrir une page.
Cliquez sur Choisir le fichier, puis ouvrez le fichier de racine approuvée précédemment exporté.
Cette opération lance l'Assistant de création d'une autorité de certification.
L'Assistant de création d'une autorité de certification n'est pas lancé si l'extension de fichier correcte n'est pas enregistrée sur votre poste de travail. Ce cas de figure se produit généralement si vous avez installé Internet Explorer 5 ou Windows NT Service Pack 4 ou une version ultérieure.
Pour résoudre ce problème :
Suivez les invites en ligne.
Cochez la case Accepter cette autorité pour la certification des sites réseau.
Sélectionnez Fichier > Ouvrir.
Repérez et sélectionnez le fichier de racine approuvée qui a été exporté précédemment.
Cette opération lance l'Assistant de création d'une certification de site.
Suivez les invites en ligne.
Internet Explorer 5 importe automatiquement les certificats de racine.