Configuration des certificats numériques

Un certificat numérique permet d’authentifier les utilisateurs par l’intermédiaire d’un tiers de confiance appelé autorité de certification (CA). L’autorité de certification valide l’identité d’un titulaire de certificat et « signe » le certificat pour attester qu’il n’a pas été falsifié ou altéré.

Un certificat comprend les informations suivantes :

• Le nom distinctif (DN) du propriétaire. Un DN est un identificateur unique et se compose d’un nom complet comprenant le nom usuel (CN) du propriétaire, l’organisation du propriétaire et d’autres informations distinctives.

• La clé publique du propriétaire.

• Date à laquelle le certificat a été délivré.

• Date d’expiration du certificat.

• Le nom distinctif de l’autorité de certification émettrice.

• Signature numérique de l’autorité de certification émettrice.

Les informations supplémentaires contenues dans un certificat permettent aux destinataires de décider d’accepter ou non le certificat. Le destinataire peut déterminer si le certificat est toujours valide en fonction de la date d’expiration. Le destinataire peut vérifier si l’autorité de certification est approuvée par le site en fonction de l’autorité de certification émettrice.

Avec un certificat, une autorité de certification prend la clé publique du propriétaire, signe cette clé publique avec sa propre clé privée et la renvoie au propriétaire sous forme de certificat. Le destinataire peut extraire le certificat (contenant la signature de l’autorité de certification) avec la clé publique du propriétaire. En utilisant la clé publique de l’autorité de certification et la signature de l’autorité de certification sur le certificat extrait, le destinataire peut valider la signature de l’autorité de certification et le propriétaire du certificat.

Lorsque vous utilisez des certificats numériques, vous devez d’abord envoyer une demande d’obtention d’un certificat auprès de votre autorité de certification. Vous configurez ensuite des certificats numériques et une stratégie IKE de certificat numérique. Enfin, vous obtenez un certificat signé numériquement auprès d’une autorité de certification.

Les autorités de certification gèrentles demandes de certificat et émettent des certificats aux équipements réseau IPsec participants. Lorsque vous créez une demande de certificat, vous devez fournir les informations sur le propriétaire du certificat. Les informations requises et leur format varient d’une autorité de certification à l’autre.

Les certificats utilisent des noms au format X.500, un protocole d’accès à l’annuaire qui fournit un accès en lecture et en mise à jour. Le nom entier est appelé DN (nom distinctif). Il se compose d’un ensemble de composants, qui comprend souvent un CN (nom commun), une organisation (O), une unité d’organisation (UO), un pays (C), une localité (L), etc.

Spécifiez une URL vers le serveur SCEP et le nom de l’autorité de certification dont vous souhaitez obtenir le certificat : mycompany.com. filename 1 est le nom du fichier qui stocke le résultat. La sortie « Received CA certificate : » fournit la signature du certificat, ce qui vous permet de vérifier (hors ligne) que le certificat est authentique.