C.7. Utilisation de certificats client avec la passerelle SGD Gateway

Vous pouvez utiliser des certificats client pour augmenter le niveau de sécurité de la passerelle SGD Gateway, en limitant l'accès aux utilisateurs disposant d'un certificat valide.

Un certificat client est un certificat SSL installé dans le navigateur sur le périphérique client. Reportez-vous à la documentation de votre navigateur pour plus d'informations sur la procédure d'installation d'un certificat client.

Reportez-vous à la Section C.7.2, « Procédure de génération d'une demande de signature de certificat pour un certificat client » si vous avez besoin de générer une demande de signature de certificat (CSR) pour obtenir un nouveau certificat client.

Les procédures suivantes font appel à l'application keytool. Reportez-vous à la documentation relative aux outils et utilitaires JDK pour plus d'informations sur le fonctionnement de l'application keytool.

C.7.1. Procédure de configuration de la passerelle SGD Gateway en vue de l'utilisation des certificats client

  1. Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.

  2. Arrêtez la passerelle SGD Gateway.

    # /opt/SUNWsgdg/bin/gateway stop
  3. Configurez la passerelle SGD Gateway afin qu'ils utilisent des certificats client pour les connexions client HTTPS.

    Ajoutez une entrée <needClientAuth> au fichier /opt/SUNWsgdg/etc/gateway.xml, comme suit :

    <service id="http-ssl-service" class="SSL">
        <needClientAuth>true</needClientAuth>
            <!-- Decrypts HTTPS traffic -->
            <subService id="ssl-splitter">
                <binding>*</binding>
            </subService>
    
  4. (Facultatif) Importez le certificat client dans le keystore du client SGD Gateway.

    Note

    Vous n'avez pas besoin d'effectuer cette étape si le certificat client est signé par une autorité de certification sécurisée.

    Utilisez la commande keytool, comme suit :

    # /opt/SUNWsgdg/java/default/bin/keytool -importcert \
    -alias mycert -keystore /opt/SUNWsgdg/proxy/etc/keystore.client \
    -file mycert.crt -storepass ‘cat /opt/SUNWsgdg/etc/password‘

    Dans cet exemple, le certificat client mycert.crt est importé dans le keystore client de SGD Gateway. Le certificat client est enregistré sous l'alias mycert.

  5. Démarrez la passerelle SGD Gateway.

    # /opt/SUNWsgdg/bin/gateway start

C.7.2. Procédure de génération d'une demande de signature de certificat pour un certificat client

Pour obtenir un certificat client que vous pouvez utiliser avec la passerelle, vous devez d'abord générer une demande de signature de certificat. Vous envoyez ensuite la demande de signature de certificat à une autorité de certification (AC) pour signature.

Note

Cette procédure explique comment utiliser l'application keytool sur l'hôte Gateway pour générer une demande de signature de certificat. Toutefois, vous n'êtes pas obligé de suivre les étapes décrites dans cette procédure. Vous pouvez tout à fait utiliser votre outil de gestion des certificats préféré pour générer la demande de signature de certificat.

  1. Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.

  2. Générez un certificat auto-signé et une clé privée correspondante.

    Utilisez la commande keytool, comme suit :

    # /opt/SUNWsgdg/java/default/bin/keytool -genkeypair -keyalg RSA \
    -alias mycert -keystore keystore.mycert -storepass letmein

    Dans cet exemple, un certificat auto-signé et une clé privée sont créés et enregistrés dans un keystore appelé keystore.mycert. La paire de clés est enregistrée sous un alias mycert.

  3. Générez une demande de signature de certificat pour le certificat auto-signé.

    Utilisez la commande keytool, comme suit :

    # /opt/SUNWsgdg/java/default/bin/keytool -certreq  \
    -alias mycert -keystore keystore.mycert -storepass letmein \
    -file /tmp/gateway-name.csr
    

    Dans cet exemple, une demande de signature de certificat est générée et enregistrée dans le fichier /tmp/gateway-name.csr, gateway-name correspondant au nom de la passerelle.