Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Gestion des technologies à clé publique (présentation)
Utilisation de la structure de gestion des clés (tâches)
Utilisation de la structure de gestion des clés (liste des tâches)
Création d'un certificat à l'aide de la commande pktool gencert
Importation d'un certificat dans votre keystore
Exportation d'un certificat et de la clé privée au format PKCS #12
Génération d'une phrase de passe à l'aide de la commande pktool setpin
Génération d'une paire de clés à l'aide de la commande pktool genkeypair
Signature d'une demande de certificat à l'aide de la commande pktool signcsr
Gestion des plug-ins tiers dans KMF
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
La structure de gestion des clés (KMF) fournit une approche unifiée à la gestion des technologies à clé publique (PKI). Oracle Solaris dispose de différentes applications qui utilisent des technologies PKI. Chaque application fournit ses propres interfaces de programmation, mécanismes de stockage des clés et utilitaires d'administration. Si une application offre un mécanisme d'application de stratégie, ce mécanisme s'applique uniquement à l'application correspondante. Avec KMF, les applications utilisent un ensemble unifié d'outils d'administration, un ensemble d'interfaces de programmation et un mécanisme d'application de stratégie. Ces fonctions gèrent les besoins en PKI de toutes les applications adoptant ces interfaces.
KMF unifie la gestion des technologies à clé publique avec les interfaces suivantes :
Commande pktool : cette commande gère les objets PKI, tels que les certificats, dans divers keystores.
Commande kmfcfg : cette commande gère la base de données de stratégie PKI et les plug-ins tiers.
Les décisions de stratégie PKI comprennent des opérations telles que la méthode de validation d'une opération. En outre, la stratégie PKI peut limiter l'étendue d'un certificat. Par exemple, la stratégie PKI peut affirmer qu'un certificat peut être utilisé uniquement à des fins spécifiques. Une telle stratégie peut empêcher qu'un certificat soit utilisé pour d'autres demandes.
Bibliothèque KMF : cette bibliothèque contient des interfaces de programmation qui extraient le mécanisme keystore sous-jacent.
Les applications n'ont pas à choisir un mécanisme de keystore spécifique, ils peuvent migrer d'un seul mécanisme à un autre. Les fichiers keystore pris en charge sont PKCS #11, NSS et OpenSSL La bibliothèque comprend une structure modulable permettant l'ajout de nouveaux mécanismes keystore. Par conséquent, les applications qui utilisent les nouveaux mécanismes ne nécessitent que des modifications mineures pour utiliser un nouveau keystore.
KMF offre des méthodes pour la gestion du stockage des clés et fournit la stratégie globale concernant l'utilisation de ces clés. KMF gère la stratégie, les clés et les certificats pour les trois technologies à clé publique suivantes :
Fournisseurs de jetons de PKCS #11, c'est-à-dire provenant de la structure cryptographique
NSS, c'est-à-dire les services de sécurité réseau (Network Security Services)
OpenSSL, un keystore basé les fichiers
L'outil kmfcfg peut créer, modifier ou supprimer des entrées de stratégie KMF. L'outil gère également les plug-ins de la structure. KMF gère les keystores par le biais de la commande pktool. Pour plus d'informations, reportez-vous aux pages de manuel kmfcfg(1) et pktool(1) et aux sections suivantes.
La stratégie KMF est enregistrée dans une base de données. Cette base de données de stratégie est accédée en interne par toutes les applications qui utilisent les interfaces de programmation KMF. La base de données peut limiter l'utilisation des clés et des certificats qui sont gérés par la bibliothèque KMF. Lorsqu'une application tente de vérifier un certificat, l'application vérifie la base de données de stratégies. La commande kmfcfg modifie la base de données de stratégies.
La commande kmfcfg fournit les sous-commandes suivantes pour les plug-ins :
list plugin : répertorie les plug-ins gérés par KMF.
install plugin : installe le plug-in par le nom de chemin d'accès du module et crée un keystore pour le plug-in. Pour supprimer le plug-in de KMF, supprimez le keystore.
uninstall plugin : supprime le plug-in de KMF en supprimant son keystore.
modify plugin : active le plug-in à exécuter avec une option définie dans le code du plug-in, comme debug.
Pour plus d'informations, reportez-vous à la page de manuel kmfcfg(1). Pour connaître la procédure, reportez-vous à la section Gestion des plug-ins tiers dans KMF.
KMF gère les keystores pour trois technologies à clé publique, les jetons PKCS #11, NSS et OpenSSL. Pour l'ensemble de ces technologies, la commande pktool vous permet d'effectuer les opérations suivantes :
Génération d'un certificat autosigné
Génération d'une demande de certificat
Génération d'une clé symétrique
Génération d'une paire de clés publique/privée
Génération d'une CSR (certificate signing request, demande de signature de certificat) PKCS #10 à envoyer à une autorité de certification externe (CA) pour signature
Signature d'une CSR PKCS #10
Importation d'objets dans le keystore
Liste des objets dans le keystore
Suppression d'objets du keystore
Téléchargement d'une CRL.
Pour les technologies PKCS #11 et NSS, la commande pktool vous permet également de définir un code PIN en générant une phrase de passe :
Génération d'une phrase de passe pour le keystore.
Génération d'une phrase de passe pour un objet dans le keystore.
Pour consulter des exemples d'utilisation de l'utilitaire pktool, reportez-vous à la page de manuel pktool(1) et à la section Utilisation de la structure de gestion des clés (liste des tâches).