Jeton de sécurité binaire X.509
Un jeton de sécurité binaire X.509 est la représentation codée en base64 d'un certificat public X.509.
Le tableau ci-dessous décrit le type de jeton X.509.
Type de jeton X.509 | Description |
---|---|
X.509 version 1 | Contient uniquement le certificat public X.509. |
X.509 version 3 | Contient uniquement le certificat public X.509. |
PKIPath | Contient une liste ordonnée de certificats publics X.509 regroupés dans un PKIPath. Le type de jeton X509PKIPathv1 peut être utilisé pour représenter un chemin de certificat. |
PKCS7 | Contient une liste de certificats X.509 et, le cas échéant, des listes de révocation de certificat (CRL) regroupées dans un encapsuleur PKCS#7. Le jeton PKCS7 peut être utilisé pour représenter un chemin de certificat. |
Les jetons X.509 sont généralement utilisés pour protéger un message SOAP à l'aide de la signature numérique XML ou du chiffrement XML. Un jeton X.509 peut également être utilisé comme jeton d'authentification, même si cela n'est pas recommandé.
Utilisation des jetons X.509 à des fins d'authentification
Lorsque vous authentifiez un jeton, vous vérifiez que l'expéditeur d'un jeton est celui qu'il prétend être. Vous utilisez un élément d'information publique qui est envoyé dans le message, par exemple un ID utilisateur, puis vous le comparez à un élément d'information privée que seul cet expéditeur peut fournir, par exemple un mot de passe.
Par exemple, lorsque vous authentifiez un jeton de nom d'utilisateur, le nom d'utilisateur et le mot de passe sont transmis dans le message SOAP et sont vérifiés par rapport au registre d'utilisateurs sur le noeud final.
Pour un certificat X.509, l'information publique correspond à la clé/DN publique et l'information privée à la clé privée. Contrairement au mot de passe d'un jeton de nom d'utilisateur, la clé privée n'est pas envoyée dans le message.
- Si l'accréditation est activée, le certificat est évalué par rapport au fichier de clés certifiées et au magasin de certificats, si ceux-ci sont configurés. Cela va intercepter les erreurs d'accréditation, les erreurs de chaînage de certificat, les erreurs de révocation, l'expiration de certificat, etc. Par exemple, le fichier de clés certifiées peut contenir des DN spécifiques permettant d'accréditer explicitement chaque certificat ou bien seule l'autorité de certification racine peut accréditer tous les certificats émis à partir de cette autorité de certification, mais aucune autre.
- Le module d'exécution vérifie que l'expéditeur du message a associé la clé privée au certificat en vérifiant la signature. Si cette dernière ne peut pas être vérifiée, l'une des conditions suivantes se présente :
- Le message a été signé à l'aide d'une clé privée qui ne correspondait pas à la clé publique dans le message.
- Le message a été modifié après avoir été envoyé.
Une fois la signature vérifiée, vous savez que l'expéditeur du message est le détenteur de la clé privée ; vous savez qu'il est celui qu'il prétend être.
Si vous transmettez un jeton X.509 dans un message sans utiliser sa clé privée pour signer le message, vous n'effectuerez pas l'étape 2. Vous n'allez pas vérifier que l'expéditeur du message est le détenteur de la clé privée ou qu'il est celui qu'il prétend être. Lorsque vous signez un message, vous effectuez une action que seul le détenteur de la clé privée peut effectuer.
- Capture du message valide et substitution du jeton X.509 d'un agresseur informatique dans le même message.
Il n'est pas recommandé qu'un jeton X.509 non protégé soit envoyé dans un message. Si un jeton X.509 doit être utilisé à des fins d'authentification, il est recommandé qu'un seul jeton X.509 soit envoyé dans le message et que ce jeton X.509 soit utilisé pour la signature numérique et l'authentification, à l'aide d'une configuration d'appelant. La référence de la partie signature est utilisée dans les paramètres de l'appelant.
Le tableau ci-dessous décrit les types de valeur de jeton X.509.
Type de jeton X.509 | Type de valeur |
---|---|
X.509 version 1 | http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509 |
X.509 version 3 | http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3 |
PKIPath | http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509PKIPathv1 |
PKCS7 | http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#PKCS7 |