Emploi de l'utilitaire HTTP Server CA

  • Présentation des options d'autorité d'accréditation
  • Avant de commencer
  • Installation de WebSphere Application Server
  • S'assurer que les types MIME requis se trouvent dans le fichier de configuration du serveur
  • Création de bases de données de clés et de certificats à l'aide d'IKEYMAN
  • Copie de la base de données de clés d'autorité d'accréditation et du certificat dans le répertoire de l'utilitaire CA
  • Exportation de la base de données de clés d'autorité d'accréditation vers l'utilitaire CA
  • Accès à l'utilitaire HTTP Server CA
  • Emploi de l'utilitaire HTTP Server CA pour le traitement des certificats de client et de serveur
  • Présentation du processus CA
  • Tâches de l'administrateur
  • Exportation de la base de données de clés d'autorité d'accréditation
  • Traitement d'une demande de certificat
  • Tâches de l'utilisateur
  • Téléchargement d'un certificat d'autorité d'accréditation vers un navigateur Web
  • Demande d'un certificat de navigateur
  • Réception d'un certificat de navigateur approuvé
  • Tâches du webmestre
  • Téléchargement d'un certificat d'autorité d'accréditation pour un autre serveur
  • Demande d'un certificat de serveur
  • Réception d'un certificat de serveur approuvé
  • Informations connexes
  • Présentation des options d'autorité d'accréditation

    Pour mener à bien des transactions commerciales sur Internet, nous vous recommandons d'acheter un certificat de serveur sécurisé à une autorité d'accréditation externe telle que VeriSign. Pour une liste d'autorités d'accréditation prises en charge, reportez-vous à Autorités d'accréditation.

    Si vous agissez en tant qu'autorité d'accréditation pour votre compte, vous pouvez signer vos propres demandes de certificat ou celles d'autres personnes. Ce choix est judicieux si vous avez besoin de certificats uniquement au sein de votre réseau Web privé et non pour exercer une activité commerciale sur l'Internet mondial. Les clients doivent être équipés de navigateurs tels que Netscape Navigator ou Microsoft Internet Explorer, capables de recevoir votre certificat d'autorité d'accréditation et de vous désigner comme autorité d'accréditation digne de confiance.

    Pour agir en tant qu'autorité d'accréditation pour votre propre compte, vous pouvez recourir aux utilitaires de gestion de clés livrés avec le serveur (IKEYMAN et HTTP Server CA) ou acheter un logiciel d'autorité d'accréditation auprès d'un fournisseur spécialisé.

    Remarque : Si vous envisagez d'administrer plus de 250 certificats, il est préférable d'acheter un logiciel spécialisé auprès d'une autorité d'accréditation externe. Cette limite se fonde sur le nombre de demandes de certificat pouvant être stockés dans la base de données de clés d'autorité d'accréditation. Lorsque plus de 250 demandes de certificat sont stockées dans la base, l'utilitaire devient très lent.

    Avant de commencer

    Installation de WebSphere Application Server

    Avant d'utiliser HTTP Server CA, vous devez installer WebSphere Application Server en tant que moteur de servlet.

    Pour des instructions d'installation, reportez-vous au manuel WebSphere Application Server - Guide d'initiation V2. Vous pouvez accéder à ce manuel ainsi qu'à d'autres publications Application Server à partir du site Web de WebSphere Application Server.

    Assurez-vous que les types MIME requis se trouvent dans le fichier de configuration du serveur

    Pour que les certificats de client soient téléchargés correctement, les directives AddType et les types MIME suivants doivent être inclus dans le fichier de configuration du serveur :

    AddType .cer application/x-x509-user-cert 7bit   0.5 #User certificate
    AddType .der application/x-x509-ca-cert   binary 1.0 #Browser CA certificate
    

    Ces types MIME sont inclus dans le fichier de configuration du serveur par défaut.

    Création de bases de données de clés et de certificats à l'aide d'IKEYMAN

    Avant de faire appel à l'utilitaire CA, recourez à IKEYMAN pour créer les bases de données de clés de votre serveur et des autorités d'accréditation, le certificat du serveur et un certificat d'autorité d'accréditation autosigné. Pour les instructions correspondantes, reportez-vous à la section Création d'un certificat autosigné.

    Remarque : En tant qu'administrateur, vous pouvez choisir de traiter les demandes de certificat d'autorité d'accréditation automatiquement après leur soumission. Le traitement automatique supprime le besoin de traiter manuellement chaque demande de certificat. Si vous souhaitez bénéficier d'un traitement automatique, vous devez créer un fichier de dissimulation (stash) en vue d'y stocker le mot de passe d'accès à la base de données de clés d'autorité d'accréditation. Faites-le en même temps que vous configurez cette base à l'aide d'IKEYMAN.

    Copiez la base de données de clés d'autorité d'accréditation et le certificat dans le répertoire de l'utilitaire CA

    Après avoir créé la base de données de clés d'autorité d'accréditation et le certificat d'autorité d'accréditation autosigné, copiez le ficher cakey.kdb dans le répertoire de l'utilitaire CA.

    Vous pouvez également choisir de placer le mot de passe de la base de données de clés d'autorité d'accréditation dans un fichier de dissimulation (stash). Si ce fichier se trouve dans le même répertoire que le fichier de la base de données de clés d'autorité d'accréditation (cakey.kdb), alors tous les certificats envoyés pour être signés par l'utilitaire CA seront approuvés automatiquement. Si vous créez un fichier de dissimulation (cakey.sth), copiez-le dans le même répertoire que le fichier cakey.kdb.

    Exportation de la base de données de clés d'autorité d'accréditation vers l'utilitaire CA

    Le fichier cakey.kdb sur le serveur doit être exporté vers l'utilitaire CA dans un format pouvant être utilisé par les clients et les serveurs. Pour des instructions détaillées, reportez-vous à la rubrique Exportation de la base de données de clés d'autorité d'accréditation.

    Accès à l'utilitaire HTTP Server CA

    Pour accéder à l'utilitaire HTTP Server CA, rendez-vous à l'URL :

     http://nom.votre.serveur/CAServlet/Welcome.html
    

    Emploi de l'utilitaire HTTP Server CA pour le traitement des certificats de client et de serveur

    Présentation du processus CA

    Votre travail en tant qu'autorité d'accréditation consiste à vérifier qu'un certificat doit être émis pour un client ou un serveur. Vous devez vous assurer que la personne émettant la demande de certificat est en droit de le faire. Après vérification, vous pouvez créer des certificats signés à l'aide de l'utilitaire HTTP Server CA.

    L'entrée de ce processus est une demande de certificat de client ou de serveur. La sortie sera un certificat signé avec votre clé privée.

    Après avoir traité le certificat de client ou de serveur :

    1. Vous indiquez au client ou au serveur de télécharger votre certificat d'autorité d'accréditation. Les rubriques Téléchargement d'un certificat d'autorité d'accréditation vers un navigateur Web et Téléchargement d'un certificat d'autorité d'accréditation pour un autre serveur présentent la procédure détaillée.

    2. Vous indiquez au client ou au serveur de télécharger le certificat que vous avez signé (certificat signé par l'utilitaire CA) et de le recevoir dans sa base de données de clés. Les étapes de ce processus sont détaillées dans les rubriques Réception d'un certificat de navigateur approuvé et Réception d'un certificat de serveur approuvé.

    Une fois cette procédure exécutée, le client ou le serveur peut utiliser son certificat signé par CA pour communiquer en toute sécurité avec d'autres serveurs HTTP Server et navigateurs au sein de votre réseau Web privé.

    Tâches de l'administrateur

    Exportation de la base de données de clés d'autorité d'accréditation

    Suivez cette procédure pour exporter la base de données de clés d'autorité d'accréditation (cakey.kdb) du serveur dans un format utilisable par les navigateurs et les autres serveurs. Une fois votre autorité d'accréditation configurée, vous n'aurez plus à répéter cette procédure.

    Remarque : Vous devez créer le fichier cakey.kdb en utilisant IKEYMAN avant de pouvoir faire appel à l'utilitaire CA. Pour les instructions correspondantes, reportez-vous à la section Création d'un certificat autosigné.

    Pour exporter votre base de données de clés d'autorité d'accréditation en vue de son utilisation par les navigateurs et les autres serveurs :

    1. Accédez à l'URL :
      http://nom.votre.serveur/CAServlet/Welcome.html
      

    2. Dans la page d'accueil de l'utilitaire, cliquez sur Administration pour accéder à la page des tâches d'administration.

    3. Sélectionnez Export CA keys for browsers et entrez le mot de passe d'accès à votre base de données de clés d'autorité d'accréditation.

    4. Cliquez sur Process Now. Vous créez ainsi un fichier nommé cakey.der. Vous devez obtenir un message confirmant que l'exportation de la base de données de clés d'autorité d'accréditation a abouti.

    5. Dans la page Administration Tasks, sélectionnez Export CA keys for servers et entrez le mot de passe d'accès à votre base de données de clés d'autorité d'accréditation.

    6. Cliquez sur Process Now. Vous créez ainsi un fichier nommé cakey.txt. Vous devez obtenir un message confirmant que l'exportation de la base de données de clés d'autorité d'accréditation a abouti.

    Traitement d'une demande de certificat

    Remarques :

    1. Si vous créez un fichier de dissimulation (cakey.sth) pour votre mot de passe de base de données de clés d'autorité d'accréditation, toutes les demandes de certificat émanant des navigateurs et des serveurs seront automatiquement approuvées.

    2. Assurez-vous que les demandes de certificat sont traitées via une connexion sécurisée.

    Pour traiter les demandes de certificat émanant des navigateurs et des serveurs :

    1. Accédez à l'URL :
      http://nom.votre.serveur/CAServlet/Welcome.html
      

    2. Dans la page d'accueil de l'utilitaire, cliquez sur Administration pour accéder à la page des tâches d'administration.

    3. Sélectionnez Process pending requests ou Process all requests, puis cliquez sur Process Now.

      S'il existe des demandes en attente :

      Vous pouvez entreprendre des actions sur une ou plusieurs demandes.

    4. Cliquez sur Process. Vous devez obtenir un message confirmant que la mise à jour de la base de données a abouti.

    Pour des instructions plus détaillées, cliquez sur Aide.

    Tâches de l'utilisateur

    Téléchargement d'un certificat d'autorité d'accréditation vers un navigateur Web

    Avant de pouvoir accepter un certificat de navigateur signé par l'utilitaire HTTP Server CA, vous devez télécharger vers votre navigateur le certificat identifiant HTTP Server CA comme autorité d'accréditation digne de confiance.

    Pour télécharger un certificat d'autorité d'accréditation :

    1. Accédez à l'URL :
      http://nom.votre.serveur/CAServlet/Welcome.html
      

    2. Dans Browser Certificates, cliquez sur Download CA certificate from the Webserver.

    3. Suivez les instructions permettant de télécharger le fichier cakey.der vers votre poste de travail.

    Après avoir téléchargé le certificat d'autorité d'accréditation, désignez-le à votre navigateur comme certificat digne de confiance, et comme certificat par défaut dans votre base de données de clés opérationnelle. Une fois ce certificat désigné à votre navigateur comme certificat digne de confiance, vous n'avez plus à effectuer à nouveau cette procédure.

    Demande d'un certificat de navigateur

    Utilisez la procédure suivante pour demander un certificat de navigateur à l'autorité d'accréditation de votre réseau privé :

    1. Accédez à l'URL :
      http://nom.votre.serveur/CAServlet/Welcome.html
      

    2. Dans Browser Certificates, cliquez sur Request a browser certificate.

    3. Dans la zone Common Name, indiquez un nom. N'oubliez pas ce nom car vous en aurez besoin lorsque vous recevrez le certificat signé.

    4. Entrez votre mot de passe dans la zone Challenge Phrase. Il est nécessaire d'indiquer ce mot de passe lorsque vous téléchargez votre certificat approuvé.

    5. Complétez toutes les zones obligatoires. Pour des informations supplémentaires, cliquez sur Aide.

    6. Cliquez sur Submit Requests pour envoyer le formulaire complété à l'autorité d'accréditation pour approbation. Le processus de génération d'une clé privée sera démarré sur votre navigateur. Cette clé privée sera utilisée avec le certificat que vous demandez.

    7. Cliquez sur OK dans le navigateur pour créer la clé privée.

    Selon la configuration de l'administrateur, votre demande est approuvée automatiquement ou après avoir été contrôlée par l'administrateur. En cas d'approbation automatique, vous ne recevez pas de message confirmant l'acceptation de la demande. Vous pouvez, dans ce cas, aller directement à la procédure Réception d'un certificat de navigateur approuvé et l'exécuter.

    Si votre administrateur a opté pour l'approbation manuelle, vous recevrez un message confirmant que la demande de certificat a été acceptée. Adressez-vous à votre administrateur pour savoir quand aura lieu le traitement de l'approbation. Les certificats approuvés sont envoyés au répertoire de la base de données de l'utilitaire HTTP Server CA.

    Réception d'un certificat de navigateur approuvé

    Avant de pouvoir recevoir un certificat de navigateur approuvé, vous devez télécharger le certificat de l'autorité d'accréditation (cakey.der). Pour obtenir des instructions, reportez-vous à la rubrique Téléchargement d'un certificat d'autorité d'accréditation vers un navigateur Web.

    Utilisez la procédure suivante pour recevoir un certificat de navigateur approuvé, signé par l'utilitaire CA d'HTTP Server :

    1. Accédez à l'URL :
      http://nom.votre.serveur/CAServlet/Welcome.html
      

    2. Dans Browser Certificates, cliquez sur Receive the approved certificate.

    3. Entrez le nom usuel indiqué dans le formulaire de demande de certificat.
      Remarque :Si vous obtenez un message indiquant qu'aucun enregistrement n'est trouvé, il est possible que vous ayez fait une erreur lors de la saisie du nom usuel. Si vous avez oublié le nom usuel, consultez votre administrateur.

    4. Entrez le mot de passe dans la zone Challenge Phrase, puis cliquez sur Submit Request.
      Remarque : Si vous obtenez un message indiquant qu'aucun enregistrement n'est trouvé, il est possible que vous ayez fait une erreur lors de la saisie du mot de passe. Si vous avez oublié le mot de passe, consultez votre administrateur.

    5. Si le certificat est trouvé, la page s'affichera et vous pouvez télécharger le certificat. Pour lancer le processus de téléchargement, cliquez sur Click here to download your certificate.

      Si le certificat n'est pas trouvé, consultez votre administrateur d'autorité d'accréditation pour connaître le moment du traitement du certificat.

    6. Dès lors que vous avez reçu le certificat approuvé, votre navigateur est jugé digne de confiance par les autres clients et serveurs de votre réseau privé.

    Tâches du webmestre

    Téléchargement d'un certificat d'autorité d'accréditation pour un autre serveur

    Avant de pouvoir traiter des certificats d'autorités d'accréditation HTTP Server signés sur un autre serveur Web, vous devez d'abord stocker votre certificat d'autorité d'accréditation HTTP Server dans votre base de données de clés opérationnelle du serveur Web.

    Pour télécharger un certificat d'autorité d'accréditation pour un autre serveur :

    1. Accédez à l'URL :
      http://nom.votre.serveur/CAServlet/Welcome.html
      

    2. Dans Server Certificates, cliquez sur Download CA certificate from the Webserver. Le fichier cakey.txt s'affiche.

    3. Pour importer la clé d'autorité d'accréditation, créez un fichier *.txt file sur votre système puis copiez le fichier de certificat (cakey.txt) dans le presse-papiers.

    4. A partir du presse-papiers, collez le fichier de certificat dans le fichier *.txt que vous avez créé.

    5. Stockez ce certificat d'autorité d'accréditation (fichier *.txt) dans la base de données de clés opérationnelle du serveur Web cible utilisant IKEYMAN. Pour des instructions détaillées, reportez-vous à la rubrique Stockage d'un certificat d'autorité d'accréditation.

    Demande d'un certificat de serveur

    Utilisez la procédure suivante pour demander un certificat de serveur à l'autorité d'accréditation de votre réseau privé :

    1. Accédez à l'URL :
      http://nom.votre.serveur/CAServlet/Welcome.html
      

    2. Dans Server Certificates, cliquez sur Request a server certificate. Le formulaire Server Certificate Request s'affiche.

      Utilisez ce formulaire pour envoyer une demande de certificat de serveur à l'autorité d'accréditation de votre réseau privé afin que ce serveur HTTP Server soit jugé digne de confiance par les navigateurs Web et les autres installations HTTP Server du réseau. S'il existe d'autres serveurs Web sur votre réseau, vous pouvez accomplir cette tâche pour leur compte.

    3. Dans la zone Server Name, indiquez un nom de serveur. N'oubliez pas ce nom car vous en aurez besoin lors du téléchargement du certificat approuvé.

    4. Dans la zone Organization, indiquez un nom d'entreprise.

    5. Entrez votre mot de passe dans la zone Challenge Phrase. Il est nécessaire d'indiquer ce mot de passe lorsque vous téléchargez votre certificat approuvé.

    6. Complétez toutes les zones obligatoires. Pour des informations supplémentaires, cliquez sur Aide.

    7. Parcourez le fichier de demande de certificat opérationnel du serveur Web (*.arm).
      QUESTION : COMMENT PARCOURIR CE FICHIER SUR LE POSTE DE TRAVAIL ?
      
      Lorsque le fichier *.arm s'affiche à l'écran, copiez le contenu du fichier dans le presse-papiers. Puis dans le navigateur Web, collez ce fichier dans la section du formulaire indiquant : Veuillez copier les demandes de certificat dans la zone suivante. Vous devez coller votre fichier de demande de certificat opérationnel (*.arm) dans cet espace. Il s'agit du fichier envoyé à l'autorité d'accréditation HTTP Server pour signature.

    8. Cliquez sur Submit Requests pour envoyer le formulaire complété à l'autorité d'accréditation pour approbation.

    9. Si l'administrateur d'autorité d'accréditation a configuré l'approbation automatique, vous pouvez cliquer sur l'option Click here to download your certificate pour lancer le processus. En cas d'approbation automatique, vous ne recevez pas de message confirmant l'acceptation de la demande. Vous pouvez, dans ce cas, aller directement à la procédure Réception d'un certificat de serveur approuvé et l'exécuter.

      Si votre administrateur d'autorité d'accréditation a configuré l'approbation manuelle, vous devez recevoir un message sur votre navigateur confirmant que la demande de certificat a été acceptée.

    Réception d'un certificat de serveur approuvé

    Avant de pouvoir recevoir un certificat de serveur approuvé, vous devez télécharger le certificat de l'autorité d'accréditation (cakey.txt). Pour savoir comment procéder, reportez-vous à la rubrique Téléchargement d'un certificat d'autorité d'accréditation pour un autre serveur.

    Utilisez la procédure suivante pour recevoir un certificat de serveur signé par une autorité d'accréditation :

    1. Accédez à l'URL :
      http://nom.votre.serveur/CAServlet/Welcome.html
      

    2. Dans Server Certificates, cliquez sur Receive the approved certificate.

    3. Entrez le nom du serveur indiqué dans le formulaire de demande de certificat.
      Remarque :Si vous obtenez un message indiquant qu'aucun enregistrement n'est trouvé, il est possible que vous ayez fait une erreur lors de la saisie saisie du nom de serveur. Si vous avez le nom de serveur entré, consultez l'administrateur.

    4. Entrez le mot de passe dans la zone Challenge Phrase, puis cliquez sur Submit Request.
      Remarque : Si vous obtenez un message indiquant qu'aucun enregistrement n'est trouvé, il est possible que vous ayez fait une erreur lors de la saisie du mot de passe. Si vous avez oublié le mot de passe, consultez votre administrateur.

    5. Si le certificat est trouvé, la page s'affichera et vous pouvez télécharger le certificat. Pour lancer le processus de téléchargement, cliquez sur Click here to download your certificate.

      Si le certificat n'est pas trouvé, consultez votre administrateur d'autorité d'accréditation pour connaître le moment du traitement du certificat.

    6. Après le processus de téléchargement, un fichier de demande de certificat signé s'affiche dans le navigateur Web. Utilisez la fonction Copie/Collage pour copier ce fichier dans le presse-papiers. Collez le certificat signé dans un fichier *.cert sur le serveur.

    7. Recevez le certificat signé dans la base de données de clés opérationnelle du serveur (*.kdb) à l'aide d'IKEYMAN. Pour des instructions détaillés, reportez-vous à la rubrique Réception d'un certificat signé par une autorité d'accréditation digne de confiance.

    8. Dès lors que vous avez reçu le certificat approuvé, votre serveur est jugé digne de confiance par les autres serveurs HTTP et navigateurs de votre réseau privé.

    Informations connexes

    Remarques :

    1. Si vous utilisez des listes de retrait de certificats (CRL) pour l'authentification du client, vous devez vous procurer le logiciel d'autorité d'accréditation IBM Registry et émettre vos propres certificats.

    2. Les institutions financières et bancaires peuvent acheter un certificat numérique spécial, permettant aux éditions d'HTTP Server destinées à l'export (autres que l'édition nord-américaine) d'utiliser des niveaux de chiffrement sur 128 bits ou plus. Pour plus d'informations, reportez-vous à la rubrique Option de chiffrement renforcée pour les serveurs Web bancaires ou financiers.

    Option de chiffrement renforcée pour les serveurs Web bancaires ou financiers

    Lorsqu'elle est désignée en tant que serveur Web bancaire ou financier, l'édition nord-américaine de HTTP peut exploiter les fonctions de chiffrement dans les versions nationales et internationales de Netscape Navigator 4.x et Microsoft Internet Explorer 4.x. Pour utiliser cette fonction, vous devez acheter un certificat électronique spécial de VeriSign appelé Global Server ID.

    Pour les transactions Web ordinaires, les éditions des navigateurs Netscape et Microsoft destinées à l'export peuvent utiliser le chiffrement sur 40 bits uniquement pour les transactions sécurisées par SSL (Secure Sockets Layer). Cependant, lorsque le serveur utilise VeriSign Global Server ID pour son certificat SSL, ces navigateurs peuvent utiliser des niveaux de chiffrement renforcés, sur 128 bits ou plus. Un serveur utilisant Global Server ID peut ainsi communiquer au niveau de chiffrement SSL le plus élevé à la fois avec les versions nationales et internationales des navigateurs Netscape et Microsoft.

    Les clients des secteurs bancaire et financier de pays autres que les Etats-Unis doivent, pour bénéficier de cette possibilité, demander à IBM une licence d'exportation leur permettant d'obtenir et d'exploiter l'édition nord-américaine de HTTP Server.

    Conditions requises pour le certificat et l'URL

    Pour qu'une version de navigateur destinée à l'export puisse établir une connexion SSL en utilisant le chiffrement sur 128 bits :

    Configuration requise pour le navigateur


    Tableau 2. Conditions à remplir par le navigateur en cas d'utilisation de Global server ID

    Navigateur National Exportation
    Netscape Navigator Toutes les versions fonctionnent lorsque vous avez répondu à toutes les conditions indiquées dans la rubrique Conditions requises pour le certificat et l'URL. La version 4.04 est la seule qui prend en charge le chiffrement sur 128 bits.
    Internet Explorer Toutes les versions fonctionnent lorsque vous avez répondu à toutes les conditions indiquées dans la rubrique Conditions requises pour le certificat et l'URL. La version 4.0, mise à jour 4.72.3110.8, est la seule qui prend en charge le chiffrement sur 128 bits. Pour vérifier le numéro de mise à jour, cliquez sur Aide puis sur A propos d'Internet Explorer.

    Pour les dernières informations concernant les niveaux de chiffrement supportés et la compatibilité des navigateurs, consultez le site Web HTTP Server.

    Haut de la page