Le serveur de certificats Novell permet d'inventer, de publier et de gérer des certificats digitaux en créant un objet Conteneur de sécurité et un objet Autorité de certification organisationnelle. L'objet Autorité de certification organisationnelle permet de sécuriser la transmission des données. Il est requis pour les produits en relation avec Internet, tels que NetWare Web Manager et NetWare Enterprise Web Server. Le premier serveur eDirectory crée automatiquement et stocke physiquement les objets Conteneur de sécurité et Autorité de certification organisationnelle pour l'ensemble de l'arborescence eDirectory. Ces deux objets sont créés au sommet de l'arborescence eDirectory et doivent y rester.
Un seul objet Autorité de certification organisationnelle peut figurer dans une arborescence eDirectory. Une fois que l'objet Autorité de certification organisationnelle a été créé sur un serveur, il n'est pas possible de le déplacer vers un autre. La suppression et le remplacement d'un objet Autorité de certification organisationnelle annulent tout certificat associé auparavant à cet objet.
IMPORTANT : Vérifiez que le premier serveur eDirectory est bien celui qui doit être l'hôte permanent de l'objet Autorité de certification organisationnelle. Vérifiez également qu'il est fiable, accessible et qu'il fait partie intégrante du réseau.
Si ce serveur n'est pas le premier serveur eDirectory sur le réseau, le programme d'installation recherche le serveur eDirectory qui contient l'objet Autorité de certification organisationnelle et fait référence à ce serveur. Le programme d'installation accède au conteneur de sécurité et crée un objet Certificat de serveur.
Si aucun objet Autorité de certification organisationnelle n'est disponible sur le réseau, les produits Web ne peuvent pas fonctionner.
Sous Linux ou Solaris, l'administrateur doit créer manuellement les objets Autorité de certification organisationnelle et Certificat de serveur.
eDirectory contient des PKCS (Public Key Cryptography Services) contenant le serveur de certificats Novell qui fournit des services d'infrastructure de clé publique (PKI), d'infrastructure cryptographique internationale (NICI) et le serveur SAS-SSL.
Les sections suivantes fournissent des informations sur l'exécution d'opérations sécurisées eDirectory :
Pour obtenir des informations sur l'utilisation de l'autorité de certification externe, reportez-vous au Guide d'administration du serveur de certificats Novell.
Vérifiez les conditions suivantes, qui indiquent si le module NICI a été installé et initialisé correctement :
Si ces conditions ne sont pas remplies, vous devez initialiser le module NICI sur le serveur comme l'explique la section Initialisation du module NICI sur le serveur.
Arrêtez le serveur eDirectory.
Copiez le fichier .nfk fourni avec le logiciel dans le répertoire /var/nds/nicifk.
Lancez le serveur eDirectory.
Pour démarrer les services PKI, saisissez la commande npki -1.
À partir de ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Sécurité au niveau de l'objet Arborescence, puis sélectionnez Nouveau > Objet.
Sélectionnez NDSPKI: Autorité de certification, cliquez sur OK et suivez les instructions en ligne.
Sélectionnez le serveur cible et saisissez le nom de l'objet eDirectory.
Dans la zone Méthode de création, sélectionnez Personnalisé, puis cliquez sur Suivant.
Sélectionnez la taille de la clé, utilisez les valeurs par défaut des autres options et cliquez sur Suivant.
Dans la zone de sélection des contraintes de base des certificats, utilisez les valeurs par défaut et sélectionnez Suivant.
Dans la zone Indication des paramètres du certificat, sélectionnez Indiquer des dates comme période de validité.
Dans la zone Date d'entrée en vigueur, sélectionnez un nombre limité de jours (entre 3 et 5) avant la date système et utilisez les valeurs par défaut de toutes les autres options.
À partir de ConsoleOne, cliquez avec le bouton droit de la souris sur le conteneur sur lequel se trouve l'objet Serveur LDAP, puis cliquez sur Nouveau > Objet.
Sélectionnez NDSPKI: Matériel clé > OK.
Sélectionnez le serveur cible, saisissez un nom et, dans la zone Méthode de création, sélectionnez Personnalisé, puis Suivant.
Utilisez les valeurs par défaut de l'option Indication de l'autorité de certification, qui signe le certificat, et cliquez sur Suivant.
Dans les zones Indication d'une taille de clé RSA et Sélection du type d'utilisation de la clé, sélectionnez une taille de clé appropriée, utilisez les valeurs par défaut de toutes les autres options et cliquez sur Suivant.
Dans la zone Indication des paramètres du certificat, sélectionnez Indiquer des dates comme période de validité.
Dans la zone Date d'entrée en vigueur, sélectionnez un nombre limité de jours (entre 3 et 5) avant la date système, utilisez les valeurs par défaut de toutes les autres options et cliquez sur Suivant.
Dans la zone de définition du certificat de racine approuvé à associer au certificat de serveur, utilisez les valeurs par défaut et cliquez sur Suivant.
Cliquez sur Terminer pour créer un objet Matériel clé.
Dans la page de propriétés générales, sélectionnez le certificat SSL (KMO), cliquez sur Rafraîchir le serveur NLDAP maintenant, puis sur Fermer.
Double-cliquez sur l'objet KMO, affichez la page de propriétés Certificats, sélectionnez Certificat de racine approuvée, cliquez sur Exporter, choisissez Fichier au format DER binaire et cliquez sur OK.
Insérez ce fichier dans toutes les opérations de ligne de commande qui établissent des connexions sécurisées avec eDirectory.
Pour effectuer des opérations d'outils LDAP sécurisées, vérifiez que le daemon NICI fonctionne sous l'hôte Linux ou Solaris. Vous avez besoin de permissions racine pour démarrer ou arrêter le daemon. Vérifiez également qu'une seule instance du daemon fonctionne sur le système hôte.
Entrez la commande suivante pour lancer le daemon NICI :
Pour arrêter le daemon NICI, entrez la commande suivante :