Création et installation de certificats de signature

Cette section apporte des informations sur les certificats de signature, utilisés dans un objectif d'irréfutabilité et pour la vérification du signataire.

Certificat de signature de communication entrante

Le Gestionnaire de documents utilise le certificat signé du participant pour vérifier la signature de l'expéditeur lorsque vous recevez des documents. Les participants vous envoient leurs certificats de signature auto-signés au format X.509 DER. En retour, vous installez les certificats des participants via la Console de communauté sous leur profil respectif.

Pour installer le certificat, utilisez la procédure ci-dessous.

  1. Recevez le certificat de signature X.509 du participant au format DER.
  2. Installez-le via la Console de communauté sous le profil du participant.
    1. Cliquez sur Administrateur du compte > Profils > Participant de communauté et recherchez le profil du participant.
    2. Cliquez sur Certificats.
    3. Cliquez sur Charger les certificats.
    4. Sélectionnez Signature numérique comme type de certificat.
    5. Tapez une description du certificat (obligatoire).
    6. Faites passer l'état sur Activé.
    7. Cliquez sur Parcourir et accédez au répertoire dans lequel vous avez enregistré le certificat.
    8. Sélectionnez le certificat, puis cliquez sur Ouvrir.
    9. Cliquez sur Télécharger, puis sur Sauvegarder.
  3. Si le certificat a été signé par une autorité de certification et si le certificat de CA racine et tout autre certificat de la hiérarchie des certificats ne sont pas encore installés dans le profil Opérateur du concentrateur, procédez à leur installation.
    1. Cliquez sur Administrateur du compte > Profils > Certificats pour afficher la liste des certificats.

      Assurez-vous d'être connecté à la Console de communauté en tant qu'Opérateur de concentrateur et installez le certificat dans votre propre profil.

    2. Cliquez sur Charger le certificat.
    3. Sélectionnez Racine et intermédiaire.
    4. Tapez une description du certificat (obligatoire).
    5. Faites passer l'état sur Activé.
    6. Cliquez sur Parcourir et accédez au répertoire dans lequel vous avez enregistré le certificat.
    7. Sélectionnez le certificat, puis cliquez sur Ouvrir.
    8. Cliquez sur Télécharger, puis sur Sauvegarder.
    Remarque : Il est inutile d'effectuer l'étape précédente si le certificat de CA est déjà installé.
  4. Activez la signature au niveau regroupement (niveau le plus élevé), participant ou connexion (niveau le plus bas). Votre définition peut remplacer les autres définitions au niveau connexion. Le résumé de la connexion vous indique si un attribut requis est manquant.

    Par exemple, pour modifier les attributs d'une connexion de participant, cliquez sur Administrateur du compte > Connexions du participant et sélectionnez les participants. Cliquez sur Attributs, puis éditez l'attribut (par exemple AS signé).

Certificat de signature de communication sortante

Le Gestionnaire de documents utilise ce certificat lorsqu'il envoie des documents signés aux participants. Les mêmes certificat et clé sont utilisés pour tous les ports et protocoles.

Vous pouvez avoir plusieurs certificats de signature numérique. L'un est le certificat principal, utilisé par défaut. L'autre est le certificat secondaire, utilisé si le certificat principal expire ou n'est pas utilisable.

Utilisation d'un certificat auto-signé

Si vous envisagez d'utiliser un certificat auto-signé, appliquez la procédure suivante.

  1. Démarrez l'utilitaire iKeyman.
  2. Utilisez iKeyman pour générer un certificat auto-signé et une paire de clés.
  3. Utilisez iKeyman pour extraire dans un fichier le certificat qui contiendra votre clé publique.
  4. Distribuez le certificat à vos participants. La méthode de distribution préférée consiste à envoyer le certificat par courrier électronique dans un fichier compressé protégé par mot de passe. Vos participants doivent vous appeler et vous demander le mot de passe correspondant au fichier compressé.
  5. Utilisez iKeyman pour exporter le certificat auto-signé et la paire de clés privées sous forme de fichier PKCS12.
  6. Installez le certificat d'auto-signature et la paire de clés privées sous forme de fichier PKCS12 via la Console de communauté.
    1. Cliquez sur Administrateur du compte > Profils > Certificats pour afficher la liste des certificats.

      Veillez à vous connecter à la Console de communauté en tant qu'opérateur du concentrateur.

    2. Cliquez sur Charger PKCS12.
      Remarques :
      1. Le fichier PKCS12 envoyé ne doit contenir qu'une seule clé privée et le certificat associé.
      2. Vous pouvez également télécharger le certificat codé au format DER et la clé privée codée en PKCS#8.
    3. Sélectionnez Signature numérique comme type de certificat.
    4. Tapez une description du certificat (obligatoire).
    5. Faites passer l'état sur Activé.
    6. Cliquez sur Parcourir et accédez au répertoire dans lequel vous avez enregistré le certificat.
    7. Sélectionnez le certificat, puis cliquez sur Ouvrir.
    8. Entrez un mot de passe.
    9. Si vous avez deux certificats numériques, indiquez s'il s'agit du certificat principal ou secondaire en sélectionnant Principal ou Secondaire dans la liste Utilisation du certificat.
    10. Cliquez sur Télécharger, puis sur Sauvegarder.
  7. Répétez l'étape 6 si le participant dispose d'un second certificat de chiffrement.

Si vous envoyez les certificats principaux et secondaires, pour l'authentification SSL du client et la signature numérique, et que vous envoyez les certificats principaux dans deux entrées séparées, assurez-vous que les certificats secondaires correspondant sont également envoyés comme des entrées séparées.

Utilisation d'un certificat signé par une autorité de certification (CA)

Si vous envisagez d'utiliser un certificat signé par une autorité de certification, suivez la procédure ci-dessous.

  1. Démarrez l'utilitaire iKeyman.
  2. Utilisez iKeyman pour générer une demande de certificat et une paire de clés pour le réceptionnaire.
  3. Envoyez une demande de signature de certificat (CSR, Certificate Signing Request) à une autorité de certification.
  4. Lorsque vous recevez le certificat signé de l'autorité de certification, utilisez iKeyman pour le placer dans le magasin de clés.
  5. Distribuez le certificat de signature de l'autorité de certification à tous les participants.

Copyright IBM Corp. 2003, 2005