Configuration d'approbations et actions à signature numérique

Utilisez les informations et procédures suivantes pour configurer la signature numérique. Vous pouvez signer numériquement les éléments suivants :

• les approbations (approbations de changement incluses),

• les actions d'examen des accès,

• les résolutions de violations de conformité.

Les sujets traités dans cette section expliquent la configuration requise côté serveur et côté client pour ajouter le certificat et la LRC à Identity Manager pour les approbations signées.

Pour activer la configuration côté serveur pour les approbations signées

1. Ouvrez l'objet Configuration système pour l'éditer et définissez security.nonrepudiation.signedApprovals=true.

   Pour les instructions à suivre pour éditer un objet Configuration système, voir Édition des objets Configuration Identity Manager.

   Si vous utilisez PKCS11 vous devez aussi définir security.nonrepudiation.defaultKeystoreType=PKCS11.

   Si vous utilisez un fournisseur de clés PKCS11 vous devez aussi définir security.nonrepudiation.defaultKeystoreType=PKCS11.

   ---

   Remarque –

   Veuillez vous reporter aux points suivants dans le kit REF pour en savoir plus sur quand écrire un fournisseur personnalisé :

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   Le kit REF (Resource Extension Facility) figure dans le répertoire /REF du CD de votre produit ou a été fourni avec votre image d'installation.

   ---

2. Ajoutez les certificats de votre autorité de certification (AC) en tant que certificats de confiance. Pour cela, vous devez d'abord vous procurer une copie de ces certificats.

   Par exemple, si vous utilisez une AC Microsoft, procédez comme suit :

   1. Allez à http://AdresseIP/certsrv et connectez-vous avec des privilèges administratifs.

   2. Sélectionnez Retrieve the CA certificate or certificate revocation list (Récupérer le certificat AC ou la liste de révocation de certificats) et cliquez sur Next (Suivant).

   3. Téléchargez et enregistrez le certificat CA.

3. Ajoutez le certificat à Identity Manager en tant que certificat de confiance :

   1. Depuis l'interface administrateur, sélectionnez Sécurité puis Certificats. Identity Manager affiche la page Certificats.

      Figure 6–6 Page Certificats

      
      

   2. Dans la zone Certificats d'AC de confiance, cliquez sur Ajouter. Identity Manager affiche la page Importer le certificat.

   3. Naviguez jusqu'au certificat de confiance, sélectionnez-le puis cliquez sur Importer.

      Le certificat est maintenant affiché dans la liste des certificats de confiance.

4. Ajoutez la liste de révocation de certificats (LRC) de votre AC :

   1. Dans la zone CRL (LRC) de la page Certificats, cliquez sur Ajouter.

   2. Entrez l'URL de la LRC de votre AC.

      ---

      Remarque –

      • Une liste de révocation de certificats ou LRC est une liste de numéros de série de certificats ayant été révoqués ou n'étant pas valides.

      • L'URL de la LRC de votre AC peut être http ou LDAP.

      • Chaque AC a un URL différent pour la distribution des LRC, vous pouvez déterminer cet élément en explorant l'extension CRL Distribution Points du certificat de l'AC.

      ---

5. Cliquez sur Vérifier la connexion pour contrôler l'URL.

6. Cliquez sur Enregistrer.

7. Signez les applet s/ts2.jar en utilisant jarsigner.

   ---

   Remarque –

   Pour plus d'informations, voir http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html. Le fichier ts2.jar fourni avec Identity Manager est signé en utilisant un certificat autosigné et ne doit pas être utilisé pour les systèmes de production. En production, ce fichier doit être signé de nouveau en utilisant un certificat signature code émis par votre AC de confiance.

   ---

Pour activer la configuration côté serveur pour les approbations signées en utilisant PKCS12

Les informations de configuration suivantes sont relatives aux approbations signées en utilisant PKCS12. Procurez-vous un certificat et une clé privée puis exportez-les dans un keystore PKCS#12. Par exemple, si vous utilisez une AC Microsoft, vous devez procéder comme suit :

Avant de commencer

Identity Manager requiert désormais JRE 1.5 minimum.

1. En utilisant Internet Explorer, naviguez jusqu'à http://AdresseIP/certsrv et connectez-vous avec des privilèges administratifs.

2. Sélectionnez Request a certificate (Demander un certificat) puis cliquez sur Next (Suivant).

3. Sélectionnez Advanced request (Demande) avancée puis cliquez sur Next (Suivant).

4. Cliquez sur Next (Suivant).

5. Sélectionnez User for Certificate Template (Modèle utilisateur pour certificat).

6. Sélectionnez les options suivantes :

   1. Marquez les clés comme exportables.

   2. Activez une forte protection des clés.

   3. Utilisez le magasin de la machine locale.

7. Cliquez sur Submit (Envoyer) puis sur OK.

8. Cliquez sur Install this certificate (Installer le certificat).

9. Sélectionnez Run (Exécuter) -> mmc pour lancer mmc.

10. Ajoutez le snap-in Certificate :

    1. Sélectionnez Console -> Add/Remove Snap-in (Ajouter/Supprimer un composant logiciel enfichable).

    2. Cliquez sur Add (Ajouter).

    3. Sélectionnez le compte Computer (Ordinateur).

    4. Cliquez sur Next (Suivant) puis sur Finish (Terminer).

    5. Cliquez sur Close (Fermer).

    6. Cliquez sur OK.

    7. Allez à Certificates (Certificats) -> Personal (Personnel) -> Certificates (Certificats).

    8. Cliquez avec le bouton droit sur Administrator All Tasks (Toutes tâches administrateur) -> Export (Exporter).

    9. Cliquez sur Next (Suivant).

    10. Cliquez sur Next (Suivant) pour confirmer l'exportation de la clé privée.

    11. Cliquez sur Next (Suivant).

    12. Indiquez un mot de passe puis cliquez sur Next (Suivant).

    13. Fichier EmplacementCertificat.

    14. Cliquez sur Next (Suivant) puis sur Finish (Terminer). Cliquez sur OK pour confirmer.

        ---

        Remarque –

        Notez les informations que vous avez utilisées aux étapes 10l (mot de passe) et 10m (emplacement du certificat) de la configuration côté client. Vous aurez besoin des ces informations pour signer les approbations.

        ---

Pour activer la configuration côté client pour les approbations signées en utilisant PKCS11

Si vous utilisez PKCS11 pour les approbations signées

1. Reportez-vous aux ressources suivantes du kit REF pour les informations de configuration :

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   Le kit REF (Resource Extension Facility) figure dans le répertoire /REF du CD de votre produit ou a été fourni avec votre image d'installation.