4 Utilisation du menu System (Système)

Ce chapitre fournit des informations détaillées sur la connexion au KMA à l'aide du gestionnaire OKM. Il fournit également des instructions pour l'utilisation des autres options du menu Système.

Connexion au cluster

Important – Pour établir la connexion à un KMA, au moins un profil de cluster doit exister et un utilisateur doit être créé et autorisé sur le KMA.

Cette section fournit des procédures pour la connexion au KMA à l'aide du gestionnaire OKM. S'il s'agit de votre première connexion au KMA, vous devez au préalable définir un profil de cluster. Lors des prochaines connexions, vous pourrez vous connecter au KMA à l'aide du profil de cluster que vous avez créé. Le gestionnaire OKM utilise les informations du profil de cluster pour lancer les communications avec un cluster (l'adresse IP du KMA).

Création d'un profil de cluster

Pour créer un cluster de profil :

1. Dans le menu System (Système), sélectionnez Connect (Connexion) ou cliquez sur le bouton Connect (Connexion) de la barre d'outils. La boîte de dialogue Connect to Cluster (Connexion à un cluster) s'affiche. Si vous disposez d'un profil préexistant, le nom du profil de cluster et son adresse IP sont affichés respectivement dans les champs Cluster Name (Nom du cluster) et IP Address (Adresse IP).

   
   

2. Cliquez sur le bouton New Cluster Profile (Nouveau profil de cluster). La boîte de dialogue Create Cluster Profile (Création d'un profil de cluster) s'affiche.

   
   

3. Définissez les paramètres suivants :

   Cluster Name (Nom du cluster)

   Saisissez une valeur identifiant de façon unique le nom du profil de cluster.

   Initial IP Address or Host Name (Adresse IP initiale ou nom de l'hôte)

   Saisissez l'adresse IP du réseau d'assistance ou le nom d'hôte du KMA initial de ce cluster auquel vous souhaitez vous connecter. Le choix du réseau de connexion dépend du réseau auquel l'ordinateur sur lequel est exécuté le gestionnaire OKM est connecté.

   Remarque:

   Il vous suffit de créer un seul profil de cluster, car celui-ci comprend l'intégralité du cluster et peut être utilisé par n'importe quel utilisateur (de l'agent). La seule raison pouvant motiver la création d'un autre profil de cluster serait l'établissement d'un deuxième cluster ou la modification des adresses IP de tous les KMA du cluster actuel.

4. Cliquez sur le bouton OK. La boîte de dialogue Connect to Cluster (Connexion à un cluster) s'affiche avec les informations de profil du cluster que vous avez créé.

   
   

5. Définissez les paramètres suivants et cliquez sur le bouton Connect (Connexion) :

   User ID (ID utilisateur)

   Saisissez le nom de l'utilisateur qui se connectera au KMA indiqué ou, s'il s'agit de la première connexion au KMA après avoir effectué le processus initial de démarrage rapide, saisissez le nom du responsable de la sécurité créé lors du démarrage rapide.

   Passphrase (Phrase de passe)

   Saisissez la phrase de passe pour l'utilisateur sélectionné.

   Cluster Name (Nom du cluster)

   Sélectionnez le cluster auquel vous connecter.

   Member KMAs (KMA membres)

   Sélectionnez le KMA auquel vous connecter dans ce cluster.

   IP Preference (Préférence IP)

   Sélectionnez la version de protocole Internet que vous souhaitez utiliser : IPv4 uniquement, IPv6 uniquement ou IPv6 de préférence.

   Si un KMA a rejoint le cluster après votre connexion à ce dernier, ce KMA n'apparaît pas dans la liste des KMA membres. Pour mettre la liste à jour, saisissez le nom d'utilisateur et la phrase de passe, sélectionnez un profil de cluster et cliquez sur le bouton Refresh KMAs (Actualiser les KMA).

   Important – Le KMA authentifie l'ID utilisateur et la phrase de passe. La liste renvoyée d'adresses IP de KMA est utilisée pour remplir le profil de cluster et est stockée sur l'hôte. Lors de votre prochaine connexion au KMA, vous pourrez saisir le nom d'utilisateur et la phrase de passe, sélectionner un profil de cluster et un KMA.

6. Si la connexion est établie, la barre d'état de l'interface graphique du gestionnaire OKM affiche le nom d'utilisateur et l'alias, l'état de connexion du KMA (Connecté) et l'adresse IP du KMA.

   
   

7. Vous pouvez maintenant utiliser le gestionnaire OKM pour effectuer diverses opérations. Reportez vous aux section du Chapitre 5 au Chapitre 9 pour connaître les opérations que les différents rôles d'utilisateurs peuvent effectuer.

   Remarque:

   Les tâches affichées dans le volet KMA Management Operations Tree (Arborescence des opérations de gestion des KMA) varient en fonction de l'attribution des rôles.

Suppression d'un profil de cluster

Pour supprimer un profil de cluster :

1. Dans la boîte de dialogue Connect to Cluster (Connexion à un cluster), cliquez sur la flèche du bas en regard du champ Cluster Name (Nom du cluster), sélectionnez le profil de cluster que vous souhaitez supprimer et cliquez sur le bouton Delete Cluster Profile (Supprimer le profil de cluster). La boîte de dialogue Delete Cluster Profile (Suppression du profil de cluster) s'affiche, vous invitant à confirmer que vous souhaitez supprimer le profil de cluster sélectionné.

   
   

2. Cliquez sur le bouton Yes (Oui) pour supprimer le profil. Le profil de cluster est supprimé et vous êtes redirigé vers la boîte de dialogue Connect to Cluster (Connexion à un cluster).

Déconnexion du KMA

Pour vous déconnecter du KMA :

Dans le menu System (Système), sélectionnez Disconnect (Déconnexion) ou cliquez sur Disconnect (Déconnexion) dans la barre d'outils. Vous êtes immédiatement déconnecté du KMA et du cluster OKM. Le volet Audit Log (Journal d'audit) de la session indique la date et l'heure de déconnexion du KMA.

Modification de la phrase de passe

Remarque:

Cette option de menu est uniquement activée si vous êtes connecté à un KMA à l'aide d'un profil.

Cette fonction permet aux utilisateurs de modifier leur propre mot de passe. Cette fonction n'invalide pas un certificat d'utilisateur actuel.

Pour modifier la phrase de passe d'un utilisateur connecté :

1. Dans le menu System (Système), sélectionnez Change Passphrase (Changer de phrase de passe) La boîte de dialogue Change Passphrase (Changer de phrase de passe) s'affiche.

   
   

2. Définissez les paramètres suivants et cliquez sur le bouton OK :

   Old Passphrase (Ancienne phrase de passe)

   Saisissez l'ancienne phrase de passe de l'utilisateur.

   New Passphrase (Nouvelle phrase de passe)

   Saisissez la nouvelle phrase de passe de l'utilisateur.

   Confirm New Passphrase (Confirmer la nouvelle phrase de passe)

   Saisissez à nouveau la même phrase de passe.

3. Le message suivant s'affiche dans le volet de journal d'audit de session, indiquant la date et l'heure de modification de la phrase de passe de l'utilisateur.

Enregistrement de certificats

Cette fonction vous permet d'exporter des certificats pouvant être utilisés par l'utilitaire de ligne de commande OKM (voir la section "Utilitaire de ligne de commande OKM").

Le certificat CA racine est un certificat public enregistré au format PEM et peut être utilisé pour les opérations d'interface de ligne de commande (CLI) comme un fichier PEM.

Le certificat client peut être enregistré au format PEM ou au format PKCS#12. Le format PEM contient le certificat et la clé privée déchiffrée. Un certificat client enregistré dans ce format peut être utilisé pour des opérations de CLI comme un fichier PEM.

Le format PKCS#12 est chiffré. Un certificat client enregistré dans ce format doit être converti au format PEM avant d'être utilisé pour des opérations de CLI (voir la section "Conversion du format PKCS#12 au format PEM"). Un mot de passe à utiliser pour le chiffrement est requis pour enregistrer un certificat client au format PKCS#12. Ce mot de passe doit contenir au moins 8 caractères.

Remarque:

Vous devez stocker ces fichiers de certificat dans un emplacement sécurisé avec des autorisations suffisantes pour limiter l'accès par d'autres utilisateurs. Si vous enregistrez le certificat client au format PKCS#12, vous devez conserver le mot de passe.

Pour enregistrer les certificats :

1. Dans le menu System (Système), sélectionnez Save Certificates (Enregistrer des certificats).

   
   

   Remarque:

   L'option de menu Save Certificates (Enregistrer des certificats) est activée uniquement si l'utilisateur est connecté à un KMA.

   La boîte de dialogue Save Certificates (Enregistrer des certificats) s'affiche avec des noms de fichiers générés automatiquement pour le certificat CA racine et les certificats client.

   
   

   Vous pouvez modifier ces noms de fichiers directement ou cliquer sur Browse (Parcourir) pour sélectionner un autre chemin de destination ou modifier les noms de fichiers.

2. Dans le champ Format, sélectionnez le format d'exportation du certificat client.

3. Si vous avez sélectionné le format PKCS#12, saisissez une phrase de passe dans le champ Passphrase (Phrase de passe) et saisissez à nouveau cette phrase de passe dans le champ Confirm Passphrase (Confirmer la phrase de passe).

4. Cliquez sur OK pour exporter ces certificats. Une fois que ces certificats ont été exportés, un message s'affiche, indiquant l'emplacement de ces fichiers.

5. Cliquez sur Cancel (Annuler) pour fermer cette boîte de dialogue et retourner à l'écran précédent.

Conversion du format PKCS#12 au format PEM

Si vous avez enregistré le certificat client au format PKCS#12, vous devez le convertir au format PEM pour pouvoir l'utiliser avec l'utilitaire de ligne de commande OKM. Utilisez l'utilitaire openssl pour le convertir.

L'utilitaire openssl apparaît dans le répertoire OpenSSL sous le répertoire d'installation de l'interface utilisateur graphique du gestionnaire OKM et de l'utilitaire de ligne de commande OKM .

La syntaxe est la suivante :

openssl pkcs12 -in PKCS12file -out PEMfile -nodes

Par exemple :

openssl pkcs12 -in KeyTransferOperator.p12 \
-out KeyTransferOperator.pem -nodes
Enter Import Password: 

L'argument -nodes est nécessaire à l'exportation de la clé privée. Etant donné que la clé privée n'est pas protégée par un mot de passe, vous devez gérer ce fichier en conséquence.

Remarque:

Le mot de passe d'importation peut également être indiqué sur la ligne de commande à l'aide du paramètre -passin, si nécessaire.

Définition des paramètres de configuration

Pour définir les paramètres de configuration :

1. Dans le menu System (Système), sélectionnez Options.... La boîte de dialogue Options s'affiche, affichant les paramètres de configuration actuels.

   Remarque:

   Les options sélectionnées sont stockées dans le registre Windows ou dans ”~/.KMS Manager” pour les autres plates-formes (~ représentant le répertoire personnel d'un utilisateur). La clé de registre Windows pour ces valeurs est ”Ordinateur\HKEY_CURRENT_USER\Software\Sun Microsystems\KMS Manager.”
   
   

2. Modifiez les paramètres suivants si nécessaire et cliquez sur le bouton Save (Enregistrer) :

   Communication Timeout (Délai de communication)

   Saisissez un délai d'attente (en secondes) pour les communications avec le KMA connecté. Si le KMA ne répond pas dans le délai d'attente indiqué, le gestionnaire OKM abandonne la communication. La valeur minimale est 1 ; la valeur maximale est 60. La valeur par défaut est 15.

   
   

Query Page Size (Taille d'une page de requête)

Saisissez le nombre maximal d'éléments à afficher à l'écran, dans une boîte de dialogue ou un onglet d'une boîte de dialogue affichant une liste d'éléments. Vous pouvez utiliser la pagination pour afficher une liste dépassant cette limite. La valeur minimale est 1 ; la valeur maximale est 1 000. La valeur par défaut est 20.

Display Dates in Local Time Zone (Afficher les dates selon le fuseau horaire local)

Sélectionnez cette option pour afficher toutes les dates et les heures selon le fuseau horaire local de l'ordinateur (c'est-à-dire sur lequel le gestionnaire OKM est exécuté) au lieu du format UTC. La valeur par défaut est sélectionnée. Le message de confirmation suivant s'affiche.

Display Tool Tips on List Panels (Afficher des info-bulles sur les panneaux de liste)

Sélectionnez cette option si vous souhaitez voir une info-bulle lorsque vous placez le curseur sur un élément. Il s'agit de la valeur par défaut.

Zone ID (ID de zone)

Si vos KMA sont configurés pour avoir des adresses IPv6 et que vous souhaitez vous connecter à l'un d'eux à l'aide d'une adresse link-local IPv6 (commençant par "fe80"), sélectionnez un ID de zone à utiliser lors de la connexion à cette adresse link-local.

Pour plus d'informations, reportez-vous à la section "Adresses IPv6 avec ID de zone".

Adresses IPv6 avec ID de zone

Pour les utilisateurs de systèmes Windows, l'interface graphique utilisateur du gestionnaire OKM et les utilitaires de ligne de commande de sauvegarde et OKM (voir la section "Utilitaires de ligne de commande") vous permettent d'indiquer des adresse link-local IPv6, mais vous devez au préalable effectuer une configuration initiale.

Remarque:

Vous devez saisir un ID de zone lorsque vous indiquez une adresse link-local (c'est-à-dire une adresse IPv6 commençant par "fe80"). Vous pouvez indiquer un ID de zone en l'ajoutant à la fin d'une adresse IPv6, après un signe de pourcentage (%).

1. Affichez une fenêtre d'invite de commande et définissez quels ID de zone sont disponibles sur votre système Windows.

   netsh interface ipv6 show interface
   

   Les ID de zone sont affichés dans la colonne Idx de la sortie de cette commande. Recherchez des entrées ayant l'état "Connected (Connecté)".

2. Utilisez la commande ping pour confirmer la connectivité réseau à l'aide de l'un de ces ID de zone. Par exemple :

   ping fe80::216:36ff:fed5:fba2%4
   

3. Avant d'afficher la boîte de dialogue Connect (Connexion) dans l'interface graphique utilisateur du gestionnaire OKM, affichez la boîte de dialogue Options et sélectionnez l'ID de zone correspondant.

   
   

4. Cliquez sur le bouton Save (Enregistrer).

Fermeture du gestionnaire OKM

Pour fermer le gestionnaire OKM :

1. Dans le menu System (Système), sélectionnez Exit (Quitter) ou cliquez sur le bouton X de la barre de titre. Le gestionnaire OKM se ferme et vous êtes redirigé vers le bureau Windows.

2. Le gestionnaire OKM se déconnecte immédiatement s'il était connecté et se ferme.