Gestion du certificat X.509

Utilisez cette fenêtre pour créer, importer ou réutiliser un certificat Web pour Server Administrator.

Privilèges utilisateur

Sélection Afficher Gérer
Gestion du certificat X.509 Administrateur Administrateur

Gestion du certificat X.509

Les certificats Web garantissent l'identité d'un système distant, et assurent que les informations échangées avec ce système distant ne sont ni affichées, ni modifiées par d'autres utilisateurs. Pour garantir la sécurité du système pour Server Administrator, il est fortement recommandé de générer un nouveau certificat X.509, d'en réutiliser un existant ou d'importer un certificat racine ou une chaîne de certificats provenant d'une autorité de certification (CA).

Vous pouvez faire une demande de certificat pour authentifier les privilèges des utilisateurs concernant l'accès à votre système sur un réseau ou l'accès d'un dispositif de stockage connecté à votre système.

Menu d'options de certificat X.509

Générer un nouveau certificat Utilisez cet outil de génération de certificat pour créer un certificat en vue d'accéder à Server Administrator. Si le nouveau certificat n'est pas actif après le redémarrage, restaurez le certificat précédent. Procédez comme l'indique la section « Restauration d'un certificat précédent ».
Maintenance des certificats Sélectionnez un certificat existant dont votre compagnie est propriétaire et utilisez ce certificat pour contrôler l'accès à Server Administrator.
Importer un certificat racine Permet à l'utilisateur d'importer le certificat racine, ainsi que la réponse de certificat (au format PKCS#7) envoyée par l'autorité de certification de confiance. Parmi les autorités de certification fiables, citons Verisign, Thawte et Entrust.
Importer une chaîne de certificat Permet à l'utilisateur d'importer la réponse de certificat (au format PKCS#7) envoyée par l'autorité de certification de confiance. Parmi les autorités de certification fiables, citons Verisign, Thawte et Entrust.

Menu Génération de certificat X.509 : Générer un nouveau certificat

Alias L'alias est un nom abrégé propre au magasin de clés, qui désigne une entité possédant un certificat dans le magasin de clés. L'utilisateur peut affecter n'importe quel alias à la clé publique et à la clé privée dans le magasin de clés.
Algorithme de signature de clé Affiche les algorithmes de signature pris en charge. Sélectionnez un algorithme dans la liste déroulante.
Algorithme de génération de clé Décrit l'algorithme à utiliser pour générer le certificat. Les algorithmes généralement utilisés sont RSA et DSA.
Taille de la clé Puissance de cryptage de la clé privée. La valeur par défaut est 2 048.
Période de validité Durée de validité du certificat, en jours.
Nom de domaine (CN) Nom exact de l'hôte ou du domaine à protéger, par exemple, sociétéxyz.com.
Compagnie (O) Nom complet de la société tel qu'il apparaît dans le certificat d'incorporation de la société ou tel qu'il est enregistré auprès du Registre du commerce.
Service de la compagnie (OU) Division de la compagnie demande le certificat, par exemple, Service E-Commerce.
Ville (L) Ville ou lieu où la compagnie est immatriculée.
Département (ST) Département où la compagnie est immatriculée. Indiquez le nom entier.
Pays (C) Code de pays sur deux lettres ; par exemple, FR pour la France ou CA pour le Canada.

Restauration du certificat précédent

Pour restaurer le certificat précédent, procédez comme suit :

  1. Arrêtez le serveur Web. Voir la section « Démarrage, arrêt ou redémarrage du serveur Web ».
  2. Sous les systèmes d'exploitation Windows pris en charge :
    • Supprimez le fichier <répertoire d'installation>\Dell\SysMgt\apache-tomcat\conf\keystore.db.
    • Renommez le fichier <répertoire d'installation>\Dell\SysMgt\apache-tomcat\conf\keystore.db.bak en keystore.db.
    Sous les systèmes d'exploitation Linux pris en charge :

    Systèmes d'exploitation 32 bits

    • Supprimez le fichier keystore.db présent dans /opt/dell/srvadmin/lib/openmanage/apache-tomcat/conf.
    • Renommez le fichier keystore.db.bak présent dans /opt/dell/srvadmin/lib/openmanage/apache-tomcat/conf en keystore.db.

    Systèmes d'exploitation 64 bits

    • Supprimez le fichier keystore.db présent dans /opt/dell/srvadmin/lib64/openmanage/apache-tomcat/conf.
    • Renommez le fichier keystore.db.bak présent dans /opt/dell/srvadmin/lib64/openmanage/apache-tomcat/conf en keystore.db.

  3. Démarrez le serveur Web. Voir la section « Démarrage, arrêt ou redémarrage du serveur Web ».

Menu Génération de certificat X.509 : Maintenance des certificats

Certificats Nom du certificat X.509 actuellement utilisé.
Sélectionnez l'action appropriée.
  • Requête de signature de certificat (RSC) : utilise les informations du certificat existant pour créer une requête de certificat.
  • Afficher le contenu : affiche le contenu du certificat. Cette option génère un rapport complet qui analyse les composants du certificat.
  • Exporter le certificat au format codé BASE 64 : exporte un certificat existant pour qu'il puisse être utilisé par une autre application.

Lorsque vous choisissez CSR, Server Administrator crée un fichier .csr. Server Administrator affiche le chemin où vous trouverez ce fichier .csr.

Server Administrator vous invite également à copier et à enregistrer le texte du certificat.

Lorsque vous sélectionnez Exporter, Server Administrator vous permet de télécharger le certificat en tant que fichier .cer et d'enregistrer le fichier dans le répertoire de votre choix.

Contenu d'un certificat X.509 auto-signé

Les valeurs des champs suivants sont collectées lors de la création initiale du certificat :

Alias L'alias est un nom abrégé propre au magasin de clés, qui désigne une entité possédant un certificat dans le magasin de clés. L'utilisateur peut affecter n'importe quel alias à la clé publique et à la clé privée dans le magasin de clés.
Date de création Date à laquelle le certificat existant a été initialement créé.
Fournisseur Le fournisseur de certificat par défaut est le fournisseur de sécurité Sun Microsystems. Sun possède une fabrique de certificats qui fonctionne avec des certificats de type X509.
Chaîne de certificat Certificat complet, avec le certificat racine et la réponse associée.

Élément de chaîne 1 :

Si un utilisateur affiche le contenu d'un certificat et trouve Élément de chaîne 1 mais pas Élément de chaîne 2 dans la description, le certificat existant est un certificat autosigné. Si le contenu du certificat fait référence à Élément de chaîne 2, le certificat est associé à une ou plusieurs CA.

Type X.509.
Version Version de X.509.
Est valide Indique si Server Administrator considère que le certificat est valide (Oui ou Non).
Sujet Nom de l'entité pour laquelle le certificat a été émis. Cette entité est appelée sujet du certificat.
Émetteur Nom de l'autorité de certification qui a signé le certificat.
Valide du Date à partir de laquelle le certificat peut être utilisé.
Valide jusqu'au Date jusqu'à laquelle le certificat peut être utilisé.
Numéro de série Numéro unique qui identifie ce certificat.
Clé publique Clé publique du certificat, à savoir la clé qui appartient au sujet auquel le certificat est attribué.
Algorithme de clé publique RSA ou DSA.
Utilisation de la clé Extension d'utilisation de la clé qui indique l'objectif de cette clé. Vous pouvez utiliser une clé pour la signature numérique, l'accord de clé, la signature de certificat, etc. L'utilisation de la clé est une extension de la spécification X.509 et n'est pas obligatoire pour tous les certificats X.509.
Signature Extrait (digest) identifiant l'autorité de certification qui confère la validité d'un certificat.
Nom de l'algorithme de la signature Algorithme utilisé pour générer la signature.
OID de l'algorithme de la signature ID d'objet d'algorithme de signature.
Paramètres de l'algorithme de la signature Algorithme utilisé pour générer la signature qui utilise le certificat TBS comme entrée.
Certificat TBS Corps du certificat proprement dit. Contient toutes les informations de nom et de clé stockées dans le certificat. Le certificat TBS sert de données d'entrée pour l'algorithme de signature lors de la signature ou de la vérification du certificat.
Contraintes de base Un certificat X.509 peut contenir une extension facultative qui indique si le sujet du certificat est une autorité de certification (CA). Dans ce cas, cette extension renvoie le nombre de certificats susceptibles de suivre le présent certificat dans une chaîne de certification.
ID unique du sujet Chaîne de caractères qui identifie l'entité qui a demandé le certificat.
ID unique de l'émetteur Chaîne de caractères qui identifie l'émetteur du certificat.
Empreintes MD5 Algorithme de signature numérique qui vérifie l'intégrité des données en créant un extrait de message (digest) ou empreinte de 128 bits. L'empreinte est propre aux données d'entrée, de la même façon que les empreintes digitales d'une personne sont uniques.
Empreintes SHA1 L'algorithme de hachage sécurisé SHA (Secure Hashing Algorithm) est un algorithme d'extrait (digest) de message cryptographique qui sert à vérifier l'intégrité des données en répliquant l'extrait (ou empreinte) « gourmand en ressources de calcul », qui ne vaut pas l'effort nécessaire.
Certificat encodé Contenu du certificat au format binaire.

Importation de certificat racine d'une autorité de certification : Importer un certificat racine

Vous pouvez importer un certificat racine que vous recevez d'une autorité de certification. Procédez comme suit :

  1. Sélectionnez le certificat racine à importer et cliquez sur Mettre à jour et continuer.
  2. Sélectionnez la réponse du certificat (au format PKCS #7, reçue de l'autorité de certification) et cliquez sur Importer.

Importation de certificat : Importer une chaîne de certificat

Pour importer une chaîne de certificat que vous obtenez d'une autorité de certification :

  1. Entrez le nom du fichier de certificat à importer ou cliquez sur Parcourir pour rechercher le fichier.
  2. Sélectionnez le fichier et cliquez sur Importer.

Pour en savoir plus sur les autres boutons figurant dans les pages Action de Server Administrator, voir « Boutons des fenêtres Server Administrator ».