SÉCURISATION
Vous pouvez configurer les certificateurs Notes et Internet pour qu'ils utilisent le processus d'AC. Les certificateurs Notes sont enregistrés, puis migrés vers le processus d'AC. Cependant, les certificateurs Internet sont créés et enregistrés à l'aide du processus d'AC.
Ce processus possède diverses fonctionnalités :
Liste des certificats délivrés (LCD)
Chaque certificateur dispose d'une liste des certificats délivrés (LCD) élaborée lors de la création du certificateur ou de sa migration vers le processus d'AC. La liste LCD est une base de documents chargée de stocker une copie de chaque certificat émis, les listes de révocation de certificat (pour les certificateurs Internet) et les documents de configuration d'AC. Les documents de configuration sont générés lorsque vous créez le certificateur et que vous le signez avec la clé publique du certificateur. Après avoir créé ces documents, vous ne pouvez pas les éditer.
Parmi les documents de configuration d'AC figurent :
Liste de révocation de certificats (LRC)
Une LRC est une liste horodatée identifiant les certificats Internet révoqués, comme les certificats d'employés qui ne travaillent plus dans l'entreprise. Le processus d'AC émet et maintient des LRC pour chaque certificateur Internet. Une LRC est associée à un certificateur et signée par lui. Elle réside dans la base LCD du certificateur.
Configurez la LRC lorsque vous créez un nouveau certificateur Internet. Vous pouvez indiquer la durée de validité d'une LRC et l'intervalle à observer entre la publication de deux nouvelles LRC. Après avoir configuré les LRC, le certificateur les envoie régulièrement et elles fonctionnent de manière autonome.
Les LRC vous permettent de gérer les certificats délivrés dans votre organisation. Vous pouvez facilement révoquer un certificat si son détenteur quitte l'organisation ou si sa clé a été compromise. Les serveurs HTTP et les navigateurs Web consultent les LRC pour déterminer si un certificat donné a été révoqué et n'est donc plus accrédité par le certificateur. Lorsque vous utilisez des documents de site Internet pour configurer des protocoles Internet dans Domino, vous pouvez également activer la consultation des LRC pour chaque protocole.
Il existe deux types de LCR : planifiées et immédiates. Pour les LRC planifiées, vous devez configurer la durée ou période de validité du LRC et l'intervalle à observer entre deux émissions de nouvelles LRC. Les certificateurs doivent émettre une LRC à la fin de chaque intervalle, même si aucun certificat n'a été révoqué depuis la dernière émission de LRC. Ceci signifie que, si un administrateur révoque un certificat, celui-ci apparaît dans la dernière LRC planifiée émise par le certificateur. Pour garantir la validité de la LRC, sa durée doit être supérieure à la période s'écoulant entre chaque émission. Dans le cas contraire, elle peut expirer avant qu'une nouvelle LRC ne soit émise.
Cependant, en cas de brèche critique dans la sécurité (par exemple, si l'administrateur a besoin de révoquer un certificat particulièrement puissant ou si le certificat du certificateur est compromis), vous pouvez émettre manuellement une LRC immédiate (c'est-à-dire, non planifiée) pour appliquer la révocation en urgence. Ce type de révocation n'affecte ni l'heure prévue ni le contenu de la LRC planifiée suivante. Vous devez utiliser une commande Tell pour émettre une LRC immédiate.
Concepts associés Configuration d'une autorité de certification Internet Sécurité SSL Configuration des clients Notes et Internet pour l'authentification SSL
Tâches associées Modification d'une AC sur serveur Révocation d'un certificat Création d'un certificateur pour une AC sur serveur Configuration de la sécurité Domino des documents de site Internet
Référence associée Commandes Tell du processus d'autorité de certification
Information associée IETF 2459 RFC - Internet X.509 Public Key Infrastructure Certificate and CRL Profile