Pour mener à bien des transactions commerciales sur Internet, nous vous recommandons d'acheter un certificat de serveur sécurisé à une autorité d'accréditation externe telle que VeriSign. Pour une liste d'autorités d'accréditation prises en charge, reportez-vous à Autorités d'accréditation.
Si vous agissez en tant qu'autorité d'accréditation pour votre compte, vous pouvez signer vos propres demandes de certificat ou celles d'autres personnes. Ce choix est judicieux si vous avez besoin de certificats uniquement au sein de votre réseau Web privé et non pour exercer une activité commerciale sur l'Internet mondial. Les clients doivent être équipés de navigateurs tels que Netscape Navigator ou Microsoft Internet Explorer, capables de recevoir votre certificat d'autorité d'accréditation et de vous désigner comme autorité d'accréditation digne de confiance.
Pour agir en tant qu'autorité d'accréditation pour votre propre compte, vous pouvez recourir aux utilitaires de gestion de clés livrés avec le serveur (IKEYMAN et HTTP Server CA) ou acheter un logiciel d'autorité d'accréditation auprès d'un fournisseur spécialisé.
Remarque : | Si vous envisagez d'administrer plus de 250 certificats, il est préférable d'acheter un logiciel spécialisé auprès d'une autorité d'accréditation externe. Cette limite se fonde sur le nombre de demandes de certificat pouvant être stockés dans la base de données de clés d'autorité d'accréditation. Lorsque plus de 250 demandes de certificat sont stockées dans la base, l'utilitaire devient très lent. |
Avant d'utiliser HTTP Server CA, vous devez installer WebSphere Application Server en tant que moteur de servlet.
Pour des instructions d'installation, reportez-vous au manuel WebSphere Application Server - Guide d'initiation V2. Vous pouvez accéder à ce manuel ainsi qu'à d'autres publications Application Server à partir du site Web de WebSphere Application Server.
Pour que les certificats de client soient téléchargés correctement, les directives AddType et les types MIME suivants doivent être inclus dans le fichier de configuration du serveur :
AddType .cer application/x-x509-user-cert 7bit 0.5 #User certificate AddType .der application/x-x509-ca-cert binary 1.0 #Browser CA certificate
Ces types MIME sont inclus dans le fichier de configuration du serveur par défaut.
Avant de faire appel à l'utilitaire CA, recourez à IKEYMAN pour créer les bases de données de clés de votre serveur et des autorités d'accréditation, le certificat du serveur et un certificat d'autorité d'accréditation autosigné. Pour les instructions correspondantes, reportez-vous à la section Création d'un certificat autosigné.
Remarque : | En tant qu'administrateur, vous pouvez choisir de traiter les demandes de certificat d'autorité d'accréditation automatiquement après leur soumission. Le traitement automatique supprime le besoin de traiter manuellement chaque demande de certificat. Si vous souhaitez bénéficier d'un traitement automatique, vous devez créer un fichier de dissimulation (stash) en vue d'y stocker le mot de passe d'accès à la base de données de clés d'autorité d'accréditation. Faites-le en même temps que vous configurez cette base à l'aide d'IKEYMAN. |
Après avoir créé la base de données de clés d'autorité d'accréditation et le certificat d'autorité d'accréditation autosigné, copiez le ficher cakey.kdb dans le répertoire de l'utilitaire CA.
Vous pouvez également choisir de placer le mot de passe de la base de données de clés d'autorité d'accréditation dans un fichier de dissimulation (stash). Si ce fichier se trouve dans le même répertoire que le fichier de la base de données de clés d'autorité d'accréditation (cakey.kdb), alors tous les certificats envoyés pour être signés par l'utilitaire CA seront approuvés automatiquement. Si vous créez un fichier de dissimulation (cakey.sth), copiez-le dans le même répertoire que le fichier cakey.kdb.
Le fichier cakey.kdb sur le serveur doit être exporté vers l'utilitaire CA dans un format pouvant être utilisé par les clients et les serveurs. Pour des instructions détaillées, reportez-vous à la rubrique Exportation de la base de données de clés d'autorité d'accréditation.
Pour accéder à l'utilitaire HTTP Server CA, rendez-vous à l'URL :
http://nom.votre.serveur/CAServlet/Welcome.html
Votre travail en tant qu'autorité d'accréditation consiste à vérifier qu'un certificat doit être émis pour un client ou un serveur. Vous devez vous assurer que la personne émettant la demande de certificat est en droit de le faire. Après vérification, vous pouvez créer des certificats signés à l'aide de l'utilitaire HTTP Server CA.
L'entrée de ce processus est une demande de certificat de client ou de serveur. La sortie sera un certificat signé avec votre clé privée.
Après avoir traité le certificat de client ou de serveur :
Une fois cette procédure exécutée, le client ou le serveur peut utiliser son certificat signé par CA pour communiquer en toute sécurité avec d'autres serveurs HTTP Server et navigateurs au sein de votre réseau Web privé.
Suivez cette procédure pour exporter la base de données de clés d'autorité d'accréditation (cakey.kdb) du serveur dans un format utilisable par les navigateurs et les autres serveurs. Une fois votre autorité d'accréditation configurée, vous n'aurez plus à répéter cette procédure.
Remarque : | Vous devez créer le fichier cakey.kdb en utilisant IKEYMAN avant de pouvoir faire appel à l'utilitaire CA. Pour les instructions correspondantes, reportez-vous à la section Création d'un certificat autosigné. |
Pour exporter votre base de données de clés d'autorité d'accréditation en vue de son utilisation par les navigateurs et les autres serveurs :
http://nom.votre.serveur/CAServlet/Welcome.html
Remarques :
Pour traiter les demandes de certificat émanant des navigateurs et des serveurs :
http://nom.votre.serveur/CAServlet/Welcome.html
S'il existe des demandes en attente :
Vous pouvez entreprendre des actions sur une ou plusieurs demandes.
Pour des instructions plus détaillées, cliquez sur Aide.
Avant de pouvoir accepter un certificat de navigateur signé par l'utilitaire HTTP Server CA, vous devez télécharger vers votre navigateur le certificat identifiant HTTP Server CA comme autorité d'accréditation digne de confiance.
Pour télécharger un certificat d'autorité d'accréditation :
http://nom.votre.serveur/CAServlet/Welcome.html
Après avoir téléchargé le certificat d'autorité d'accréditation, désignez-le à votre navigateur comme certificat digne de confiance, et comme certificat par défaut dans votre base de données de clés opérationnelle. Une fois ce certificat désigné à votre navigateur comme certificat digne de confiance, vous n'avez plus à effectuer à nouveau cette procédure.
Utilisez la procédure suivante pour demander un certificat de navigateur à l'autorité d'accréditation de votre réseau privé :
http://nom.votre.serveur/CAServlet/Welcome.html
Selon la configuration de l'administrateur, votre demande est approuvée automatiquement ou après avoir été contrôlée par l'administrateur. En cas d'approbation automatique, vous ne recevez pas de message confirmant l'acceptation de la demande. Vous pouvez, dans ce cas, aller directement à la procédure Réception d'un certificat de navigateur approuvé et l'exécuter.
Si votre administrateur a opté pour l'approbation manuelle, vous recevrez un message confirmant que la demande de certificat a été acceptée. Adressez-vous à votre administrateur pour savoir quand aura lieu le traitement de l'approbation. Les certificats approuvés sont envoyés au répertoire de la base de données de l'utilitaire HTTP Server CA.
Avant de pouvoir recevoir un certificat de navigateur approuvé, vous devez télécharger le certificat de l'autorité d'accréditation (cakey.der). Pour obtenir des instructions, reportez-vous à la rubrique Téléchargement d'un certificat d'autorité d'accréditation vers un navigateur Web.
Utilisez la procédure suivante pour recevoir un certificat de navigateur approuvé, signé par l'utilitaire CA d'HTTP Server :
http://nom.votre.serveur/CAServlet/Welcome.html
Remarque : | Si vous obtenez un message indiquant qu'aucun enregistrement n'est trouvé, il est possible que vous ayez fait une erreur lors de la saisie du nom usuel. Si vous avez oublié le nom usuel, consultez votre administrateur. |
Remarque : | Si vous obtenez un message indiquant qu'aucun enregistrement n'est trouvé, il est possible que vous ayez fait une erreur lors de la saisie du mot de passe. Si vous avez oublié le mot de passe, consultez votre administrateur. |
Si le certificat n'est pas trouvé, consultez votre administrateur d'autorité d'accréditation pour connaître le moment du traitement du certificat.
Avant de pouvoir traiter des certificats d'autorités d'accréditation HTTP Server signés sur un autre serveur Web, vous devez d'abord stocker votre certificat d'autorité d'accréditation HTTP Server dans votre base de données de clés opérationnelle du serveur Web.
Pour télécharger un certificat d'autorité d'accréditation pour un autre serveur :
http://nom.votre.serveur/CAServlet/Welcome.html
Utilisez la procédure suivante pour demander un certificat de serveur à l'autorité d'accréditation de votre réseau privé :
http://nom.votre.serveur/CAServlet/Welcome.html
Utilisez ce formulaire pour envoyer une demande de certificat de serveur à l'autorité d'accréditation de votre réseau privé afin que ce serveur HTTP Server soit jugé digne de confiance par les navigateurs Web et les autres installations HTTP Server du réseau. S'il existe d'autres serveurs Web sur votre réseau, vous pouvez accomplir cette tâche pour leur compte.
QUESTION : COMMENT PARCOURIR CE FICHIER SUR LE POSTE DE TRAVAIL ?Lorsque le fichier *.arm s'affiche à l'écran, copiez le contenu du fichier dans le presse-papiers. Puis dans le navigateur Web, collez ce fichier dans la section du formulaire indiquant : Veuillez copier les demandes de certificat dans la zone suivante. Vous devez coller votre fichier de demande de certificat opérationnel (*.arm) dans cet espace. Il s'agit du fichier envoyé à l'autorité d'accréditation HTTP Server pour signature.
Si votre administrateur d'autorité d'accréditation a configuré l'approbation manuelle, vous devez recevoir un message sur votre navigateur confirmant que la demande de certificat a été acceptée.
Avant de pouvoir recevoir un certificat de serveur approuvé, vous devez télécharger le certificat de l'autorité d'accréditation (cakey.txt). Pour savoir comment procéder, reportez-vous à la rubrique Téléchargement d'un certificat d'autorité d'accréditation pour un autre serveur.
Utilisez la procédure suivante pour recevoir un certificat de serveur signé par une autorité d'accréditation :
http://nom.votre.serveur/CAServlet/Welcome.html
Remarque : | Si vous obtenez un message indiquant qu'aucun enregistrement n'est trouvé, il est possible que vous ayez fait une erreur lors de la saisie saisie du nom de serveur. Si vous avez le nom de serveur entré, consultez l'administrateur. |
Remarque : | Si vous obtenez un message indiquant qu'aucun enregistrement n'est trouvé, il est possible que vous ayez fait une erreur lors de la saisie du mot de passe. Si vous avez oublié le mot de passe, consultez votre administrateur. |
Si le certificat n'est pas trouvé, consultez votre administrateur d'autorité d'accréditation pour connaître le moment du traitement du certificat.
Remarques :
Lorsqu'elle est désignée en tant que serveur Web bancaire ou financier, l'édition nord-américaine de HTTP peut exploiter les fonctions de chiffrement dans les versions nationales et internationales de Netscape Navigator 4.x et Microsoft Internet Explorer 4.x. Pour utiliser cette fonction, vous devez acheter un certificat électronique spécial de VeriSign appelé Global Server ID.
Pour les transactions Web ordinaires, les éditions des navigateurs Netscape et Microsoft destinées à l'export peuvent utiliser le chiffrement sur 40 bits uniquement pour les transactions sécurisées par SSL (Secure Sockets Layer). Cependant, lorsque le serveur utilise VeriSign Global Server ID pour son certificat SSL, ces navigateurs peuvent utiliser des niveaux de chiffrement renforcés, sur 128 bits ou plus. Un serveur utilisant Global Server ID peut ainsi communiquer au niveau de chiffrement SSL le plus élevé à la fois avec les versions nationales et internationales des navigateurs Netscape et Microsoft.
Les clients des secteurs bancaire et financier de pays autres que les Etats-Unis doivent, pour bénéficier de cette possibilité, demander à IBM une licence d'exportation leur permettant d'obtenir et d'exploiter l'édition nord-américaine de HTTP Server.
Pour qu'une version de navigateur destinée à l'export puisse établir une connexion SSL en utilisant le chiffrement sur 128 bits :
Tableau 2. Conditions à remplir par le navigateur en cas d'utilisation de Global server ID
Navigateur | National | Exportation |
---|---|---|
Netscape Navigator | Toutes les versions fonctionnent lorsque vous avez répondu à toutes les conditions indiquées dans la rubrique Conditions requises pour le certificat et l'URL. | La version 4.04 est la seule qui prend en charge le chiffrement sur 128 bits. |
Internet Explorer | Toutes les versions fonctionnent lorsque vous avez répondu à toutes les conditions indiquées dans la rubrique Conditions requises pour le certificat et l'URL. | La version 4.0, mise à jour 4.72.3110.8, est la seule qui prend en charge le chiffrement sur 128 bits. Pour vérifier le numéro de mise à jour, cliquez sur Aide puis sur A propos d'Internet Explorer. |
Pour les dernières informations concernant les niveaux de chiffrement supportés et la compatibilité des navigateurs, consultez le site Web HTTP Server.