Vue d’ensemble de la gestion des certificats
En règle générale, les utilisateurs accèdent aux ressources d’une application ou d’un système sur la base de leur nom d’utilisateur et de leur mot de passe. Vous pouvez également utiliser des certificats pour authentifier et autoriser des sessions entre différents serveurs et utilisateurs. L’authentification basée sur des certificats via une connexion SSL (Secure Sockets Layer) est le type d’authentification le plus sécurisé. Les certificats peuvent être stockés sur une carte à puce, un jeton USB ou le disque dur d’un ordinateur. Les utilisateurs glissent généralement leur carte à puce pour se connecter au système sans saisir leur nom d’utilisateur et leur mot de passe.
La plate-forme de gestion du réseau Junos Space est livrée avec le mode d’authentification par mot de passe par défaut. Les administrateurs peuvent utiliser les informations d’identification par défaut pour se connecter à Junos Space Platform. La plate-forme Junos Space vous permet d’utiliser l’authentification basée sur des certificats et, à partir de la plate-forme de gestion du réseau Junos Space, l’authentification basée sur des paramètres X.509 pour authentifier les utilisateurs. Ces modes d’authentification peuvent être configurés à partir de la section Utilisateur de la page Modifier les paramètres de l’application de l’espace de travail Administration.
Par défaut, la plate-forme Junos Space utilise un certificat SSL auto-signé. Toutefois, si vous avez besoin d’utiliser votre propre certificat personnalisé, vous pouvez le télécharger au format X.509 ou PKCS#12. Avec le mode de validation de certificat complet, l’intégralité du certificat X.509 est validée lors du processus de connexion et vous devez télécharger les certificats utilisateur de tous les utilisateurs.
Lors de l’authentification basée sur les paramètres X.509, vous pouvez spécifier jusqu’à quatre paramètres de certificat X.509 par utilisateur qui sont validés lors du processus de connexion. Avec l’authentification basée sur les paramètres X.509, vous pouvez éviter de charger des certificats pour les nouveaux utilisateurs sur la plate-forme Junos Space. La plate-forme Junos Space extrait les valeurs des paramètres des utilisateurs existants à partir des certificats chargés lors de la création des utilisateurs. Vous pouvez définir les paramètres du certificat X.509 dans la section X509-Certificate-Parameters de la page Modifier les paramètres de l’application de l’espace de travail Administration.
Un seul mode d’authentification est pris en charge à la fois et tous les utilisateurs sont authentifiés à l’aide du mode d’authentification sélectionné.
Consultez les sections suivantes pour plus d’informations sur le workflow des modes d’authentification, des certificats de serveur Junos Space personnalisés, des certificats utilisateur, des certificats d’autorité de certification (CA), des listes de révocation de certificats (CRL) et des conditions d’expiration et d’invalidité des certificats sur la plate-forme Junos Space.
Workflow des modes d’authentification
Les étapes de l’établissement d’une connexion SSL pour les différents modes d’authentification sont les suivantes :
Authentification par nom d’utilisateur et mot de passe :
Un client demande l’accès au serveur Junos Space.
Le serveur Junos Space présente son certificat au client.
Le client vérifie le certificat du serveur.
Si la vérification du certificat réussit, le client envoie son nom d’utilisateur et son mot de passe au serveur.
Le serveur vérifie les informations d’identification du client.
Si la vérification réussit, le serveur accorde l’accès à la ressource protégée demandée par le client.
Authentification basée sur les certificats :
Un client demande l’accès au serveur Junos Space.
Le serveur Junos Space présente son certificat au client.
Le client vérifie le certificat du serveur.
Si la vérification du certificat réussit, le client envoie son certificat au serveur.
Le serveur vérifie le certificat du client.
Si la vérification réussit, le serveur accorde l’accès à la ressource protégée demandée par le client.
Si la vérification échoue, la plate-forme Junos Space affiche une page d’échec de connexion à l’utilisateur.
Authentification basée sur les paramètres du certificat X509 :
Un client demande l’accès au serveur Junos Space.
Le serveur Junos Space présente son certificat X.509 au client.
Le client vérifie le certificat X.509 du serveur.
Si la vérification du certificat réussit, le client envoie son certificat au serveur.
Le serveur extrait les valeurs spécifiées du certificat X.509 du client et les valide avec celles de la base de données de la plate-forme Junos Space.
Si la vérification réussit, le serveur accorde l’accès à la ressource protégée demandée par le client.
Si la vérification échoue, la plate-forme Junos Space affiche une page d’échec de connexion à l’utilisateur.
Lors de l’utilisation d’une authentification complète basée sur un certificat ou un paramètre de certificat, la session est interrompue si la carte à puce ou sécurisée (contenant le certificat et la clé privée) utilisée pour la connexion est débranchée ou retirée du système client.
Certificats Junos Space Server personnalisés
Par défaut, la plate-forme de gestion du réseau Junos Space utilise un certificat SSL auto-signé. Toutefois, si vous avez besoin d’utiliser votre propre certificat personnalisé, accédez à la page Administration > Certificat de plate-forme et téléchargez votre certificat X.509 ou PKCS#12 personnalisé sur la page Certificat de plate-forme .
X.509 est une norme largement utilisée pour définir les certificats numériques. En règle générale, dans X.509, le certificat et la clé sont stockés séparément. La clé privée peut être chiffrée ou non chiffrée. Bien qu’une phrase secrète soit facultative, elle est requise si la clé privée est chiffrée.
Le format PKCS (Personal Information Exchange Syntax Standard) #12 est un format largement utilisé pour les certificats numériques dans le système d’exploitation Windows. Cette norme spécifie un format portable pour le stockage ou le transport des clés privées, des certificats et des phrases de passe d’un utilisateur dans un fichier chiffrable.
Pour obtenir des instructions sur le chargement de votre certificat personnalisé, reportez-vous à la section Installation d’un certificat SSL personnalisé sur le serveur Junos Space.
Attributs de certificat
Le tableau 1 répertorie les attributs que vous voyez couramment dans un certificat.
Attribut de certificat |
Description |
|---|---|
|
« OID.1.2.840.113549.1.9.1 » est l’identifiant d’objet ASN.1 utilisé pour identifier cet algorithme de signature. « user1@10.205.57.195 » est l’adresse e-mail du propriétaire du certificat. |
|
Nom usuel du propriétaire du certificat |
|
Nom de l’unité organisationnelle à laquelle appartient le propriétaire du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
Organisation à laquelle appartient le propriétaire du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
Emplacement du propriétaire du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
État de résidence du titulaire du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
Pays de résidence du titulaire du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
« OID.1.2.840.113549.1.9.1 » est l’identifiant d’objet ASN.1 utilisé pour identifier cet algorithme de signature. « user1@10.205.57.195 » est l’adresse e-mail de l’émetteur. |
|
Nom usuel de l’émetteur du certificat Il s’agit de l’adresse IP du système. Le nom usuel (CN) doit correspondre au nom d’hôte de l’émetteur de ce certificat. En général, il doit s’agir du nom d’hôte de l’émetteur. |
|
Nom de l’unité organisationnelle à laquelle appartient l’émetteur du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
Organisme auquel appartient l’émetteur du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
Emplacement de l’émetteur du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
État de résidence de l’émetteur du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
Pays de résidence de l’émetteur du certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks contient « |
|
Algorithme utilisé par l’autorité de certification pour signer le certificat Par exemple, le certificat SSL de la plate-forme de gestion du réseau Junos Space signé par Juniper Networks peut contenir « |
|
Numéro de série du certificat |
|
Date à laquelle le certificat devient valide |
|
Date à laquelle le certificat devient invalide |
Certificats d’utilisateur
Si vous utilisez le mode d’authentification basé sur un certificat, vous devez télécharger le certificat correspondant pour le serveur Junos Space afin d’authentifier l’utilisateur. Vous pouvez associer un certificat à un utilisateur lors de la création de l’utilisateur ou en modifiant les paramètres de l’utilisateur. Pour associer un certificat à un utilisateur existant, accédez à la page Contrôle d’accès basé sur le rôle > Comptes d’utilisateur > Sélectionner un utilisateur > Modifier l’utilisateur .
Pour obtenir des instructions sur le téléchargement d’un certificat d’utilisateur, reportez-vous à la section Téléchargement d’un certificat d’utilisateur.
Certificats d’autorité de certification et listes de révocation de certificats
Un certificat d’autorité de certification (CA) ou le certificat racine est utilisé pour vérifier un certificat utilisateur. La clé privée du certificat racine est utilisée pour signer les certificats utilisateur, qui héritent ensuite de la fiabilité du certificat racine.
Une liste de révocation de certificats (CRL), qui est gérée par une autorité de certification, est une liste de certificats qui ont été émis et révoqués par cette autorité de certification avant leur date d’expiration prévue, ainsi que les raisons de la révocation. Une autorité de certification peut révoquer un certificat pour diverses raisons : l’utilisateur spécifié dans le certificat n’est peut-être plus autorisé à utiliser la clé, la clé spécifiée dans le certificat a peut-être été compromise, un autre certificat remplace le certificat actuel, etc.
Pour obtenir des instructions sur le chargement de certificats d’autorité de certification ou de listes de révocation de certificats, reportez-vous à la section Téléchargement d’un certificat d’autorité de certification et liste de révocation de certificats.
Modification du mode d’authentification de l’utilisateur
Vous pouvez changer le mode d’authentification basé sur le nom d’utilisateur et le mot de passe en basé sur le certificat ou basé sur le paramètre de certificat X.509 à partir de l’interface utilisateur Junos Space ou de l’interface de ligne de commande du nœud VIP. Vous devez télécharger les certificats d’autorité de certification (CA) et les certificats personnels ou utilisateur (le certificat de serveur Junos Space est facultatif) sur le serveur Junos Space avant de modifier le mode d’authentification. La plate-forme Junos Space vérifie tous les certificats avant de les télécharger. Les certificats non valides ou mal formés ne sont pas téléchargés.
Lorsque le mode d’authentification est modifié, toutes les sessions utilisateur existantes, à l’exception de celle de l’administrateur actuel qui modifie le mode d’authentification, sont automatiquement arrêtées et les utilisateurs sont forcés de se déconnecter. Vous n’avez pas besoin de redémarrer la plate-forme Junos Space lorsque vous passez d’un mode d’authentification à un autre.
Pour obtenir des instructions sur la modification des modes d’authentification, reportez-vous à la section Modification des modes d’authentification de l’utilisateur.
Expiration du certificat
Lorsque le certificat du serveur X.509 Junos Space expire dans les 30 jours suivant la date actuelle, la plate-forme Junos Space affiche un message d’avertissement chaque fois que l’administrateur se connecte. Par exemple :Your platform certificate is going to expire on May 24, 2015. Space will automatically use default certificate if your certificate will expire within 1 day. Change platform certificate using "Administration > Platform Certificate" page. Would you like to change it now?
En tant qu’administrateur, effectuez l’une des actions suivantes :
Télécharger un nouveau certificat : sélectionnez Administration > Certificat de plate-forme et téléchargez le certificat à partir de la zone Télécharger un certificat. La plate-forme Junos Space supprime l’ancien certificat utilisateur et commence à utiliser le certificat nouvellement téléchargé.
Utiliser le certificat par défaut : sélectionnez Administration > Certificat de plate-forme, puis cliquez sur Utiliser le certificat par défaut dans la zone Certificat de plate-forme actuel.
Lorsque le certificat du serveur X.509 Junos Space expire dans un jour, la plate-forme Junos Space commence à utiliser le certificat autosigné par défaut. Le certificat SSL autosigné de la plate-forme Junos Space créé lors de l’installation a une validité de cinq ans.
Lorsqu’un certificat utilisateur expire dans les 30 jours suivant la date actuelle, la plate-forme Junos Space affiche un message d’avertissement si l’utilisateur s’est connecté à l’aide du mode d’authentification basé sur la certification. Pour plus d’informations, reportez-vous à la section Téléchargement d’un certificat d’utilisateur.
Certificats utilisateur non valides
Un certificat utilisateur peut devenir invalide pour les raisons suivantes :
Le certificat a expiré.
Le certificat expire au bout d’un jour.
Le certificat ne sera valable que plus tard.
Le certificat ne correspond pas à la clé privée.
Le certificat ou le fichier de clé privée est endommagé.
Le même certificat existe sur le serveur Junos Space.
Si un utilisateur tente de se connecter avec un certificat non valide ou expiré, la plate-forme Junos Space affiche une page d’échec de connexion avec le message d’erreur suivant : No user mapped for this certificate.