5 Opérations du responsable de la sécurité

Un responsable de la sécurité gère les paramètres de sécurité, les utilisateurs, les sites et les partenaires de transfert. Ce chapitre aborde les sujets suivants :

• Opérations que peut effectuer un utilisateur ayant le rôle Security Officer (Responsable de la sécurité). Si plusieurs rôles vous ont été attribués, reportez-vous au chapitre correspondant pour obtenir des instructions sur ce rôle.

• Procédures d'activation et de désactivation d'un compte de support technique.

Rôle du responsable de la sécurité

En tant que responsable de la sécurité, vous pouvez gérer les entités (KMA, utilisateurs, sites, partenaires de transfert) ainsi que différents aspects de sécurité du système.

Menu KMA List (Liste des KMA)

L'option de menu KMA List (Liste des KMA) permet d'effectuer les opérations suivantes :

• Affichage des KMA

• Création d'un KMA

• Modification des informations d'un KMA

• Suppression d'un KMA

• Modification de la taille d'un pool de clés (reportez-vous à la section "Modification de la taille d'un pool de clés") Il s'agit d'une tâche effectuée par l'opérateur de sauvegarde.

  Remarque:

  Les six rôles peuvent désormais accéder à l'écran KMA List (Liste des KMA) et afficher la taille des pools de clés.

Affichage des KMA

Pour afficher des KMA, procédez comme suit :

Dans le menu System Management (Gestion du système), sélectionnez KMA List (Liste des KMA). L'écran KMA List (Liste des KMA) s'affiche.

Vous pouvez également faire défiler la base de données et filtrer la liste des KMA selon l'un des critères suivants :

• KMA Name (Nom du KMA)

• Description

• Site ID (ID du site)

• Management Network Address (Adresse réseau de gestion)

• Service Network Address (Adresse réseau de service)

• Management Network Address (IPv6, Adresse réseau de gestion)

• Service Network Address (IPv6, Adresse réseau de service)

• Version

• Failed Login Attempts (Tentatives de connexion ayant échoué)

• Enrolled (Inscrit)

Le bouton Use (Utiliser) applique le filtre à la liste affichée du KMA.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Affiche les champs que vous pouvez utiliser pour filtrer les résultats des requêtes adressées au KMA. Valeurs possibles :

• KMA Name (Nom du KMA)

• Description

• Site ID (ID du site)

• Management Network Address (Adresse réseau de gestion)

• Service Network Address (Adresse réseau de service)

• Management Network Address (IPv6, Adresse réseau de gestion)

• Service Network Address (IPv6, Adresse réseau de service)

• Version

• Failed Login Attempts (Tentatives de connexion ayant échoué)

• Enrolled (Inscrit)

Zone Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre souhaité. Valeurs possibles :

• Egal à =

• Différent de <>

• Supérieur à >

• Inférieur à <

• Supérieur ou égal à >=

• Inférieur ou égal à <=

• Commence par ~

• Vide

• Non vide

Zone Filter Value 1 (Valeur de filtre 1) :

Si vous avez sélectionné l'un des filtres de date, cliquez sur Set Date (Définir la date) pour indiquer une date et une heure de début. La valeur apparaît comme valeur de départ de la plage de clés du filtre. Si vous avez sélectionné tout autre filtre, entrez une valeur dans ce champ.

Zone Filter Value 2 (Valeur de filtre 2) :

Si vous avez sélectionné l'un des filtres de date, cliquez sur Set Date (Définir la date) pour indiquer une date et une heure de fin. La valeur apparaît comme valeur de fin de la plage de clés du filtre.

Use (Utiliser) :

Ce bouton permet d'appliquer le filtre à la liste affichée.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'enregistrements par page qui ont été configurés dans le champ Query Page Size (Taille de la page de requête) de la boîte de dialogue Options.

KMA Name (Nom du KMA)

Affiche l'identificateur fourni par l'utilisateur qui identifie chaque KMA dans un cluster.

KMA ID (ID du KMA)

Affiche un identificateur unique généré par le système qui identifie le KMA.

Description

Décrit le KMA.

Site ID (ID du site)

Décrit le site auquel le KMA appartient.

Management Network Address (Adresse réseau de gestion)

Affiche l'adresse IP du KMA dans le réseau de gestion.

Service Network Address (Adresse réseau de service)

Affiche l'adresse IP du KMA dans le réseau de maintenance.

Management Network Address (IPv6, Adresse réseau de gestion)

Affiche l'adresse IPv6 (le cas échéant) du KMA dans le réseau de gestion.

Service Network Address (IPv6, Adresse réseau d'assistance)

Affiche l'adresse IPv6 (le cas échéant) du KMA dans le réseau d'assistance.

Version

Affiche le numéro de version du logiciel KMA. Pour les KMA OKM 3.0, la chaîne de version a le format suivant : <OKM release>-5.11-<OKM build>. Par exemple : 3.0.0-5.11-2012.

Failed Login Attempts (Tentatives de connexion ayant échoué)

Affiche le nombre d'échecs d'une tentative de connexion.

Responding (Répondant)

Indique si le KMA est en cours d'exécution. Les valeurs possibles sont True (Vrai) ou False (Faux).

• La valeur True indique que le KMA répond aux demandes du KMA auquel cet OKM est connecté (c'est-à-dire, le KMA local). Même si ce statut s'applique à chaque paire de KMA du cluster, les valeurs affichées indiquent si chaque KMA répertorié (c'est-à-dire chaque KMA distant) répond aux demandes provenant du KMA local.

• La valeur False indique que le KMA distant ne répond pas aux demandes, peut-être parce que le KMA distant est arrêté ou que sa liaison de communications est en panne.

Responding on Service Network (Répond sur le réseau d'assistance)

Indique si le KMA répond ou non sur le réseau d'assistance. Les valeurs possibles sont "Responding (Répondant)", "Not Responding (Pas de réponse)" ou "Not Accessible (Inaccessible)".

• La valeur Responding (Répondant) indique que le KMA répond aux demandes du KMA auquel cet OKM est connecté (c'est-à-dire, le KMA local). Même si ce statut s'applique à chaque paire de KMA du cluster, les valeurs affichées indiquent si chaque KMA répertorié (c'est-à-dire chaque KMA distant) répond aux demandes provenant du KMA local.

• La valeur Not Responding (Pas de réponse) indique que le KMA distant ne répond pas aux demandes, peut-être parce que le KMA distant est arrêté ou que sa liaison de communications est en panne.

• La valeur Not Accessible (Inaccessible) indique que le KMA distant n'est pas accessible pour le KMA local, peut-être parce que la configuration du réseau d'assistance ne fournit pas de route par défaut ou statique vers ce KMA.

  Remarque:

  Si le KMA local a configuré une route par défaut, on considère qu'il possède une route vers les KMA distants. D'autres KMA sont identifiés sous le terme "Not Responding (Pas de réponse)", s'ils ne répondent pas sur le réseau d'assistance.

  Si un route par défaut ou statique n'est pas définie, d'autres KMA peuvent être marqués "Not Accessible (Inaccessible)". Les KMA plus anciens (OKM 2.3.x ou version antérieure) sont marqués comme "Responding (Répondant)".

Response Time (Temps de réponse)

Indique le temps (en millisecondes) que le KMA a pris pour répondre à une demande sur son réseau de gestion. En général, cette valeur est de quelques centaines de millisecondes. Elle peut être plus élevée si une connexion WAN existe entre le KMA local et un KMA distant ou encore si la liaison de communications entre les KMA était indisponible.

Replication Lag Size (Taille de latence de réplication)

Affiche le nombre de mises à jour en attente de réplication. Cette valeur doit être égale à zéro ou une valeur faible. Les valeurs importantes indiquent que les réplications ne seront pas terminées dans les meilleurs délais, que la liaison de communications entre les KMA est arrêtée ou indisponible, ou encore qu'un KMA distant est arrêté. Cette valeur sera toujours très élevée lorsqu'un nouveau KMA vient d'être ajouté au cluster.

Key Pool Ready (Prêt pour le pool de clés)

Affiche le pourcentage des clés prêtes non allouées.

Key Pool Backed Up (Pool de clés sauvegardé)

Affiche la proportion (en pourcentage) du pool de clés qui a été sauvegardée.

Remarque:

N/A indique que le KMA ne peut pas déterminer cette valeur, parce que le KMA exécute des logiciels de niveau inférieur ou qu'il utilise actuellement une version de réplication inférieure.

Locked (Verrouillé)

Indique si le KMA est verrouillé ou non.

Remarque:

N/A indique que le KMA ne peut pas déterminer cette valeur, parce que le KMA exécute des logiciels de niveau inférieur ou qu'il utilise actuellement une version de réplication inférieure.

Enrolled (Inscrit)

Indique si le KMA a été correctement ajouté au cluster. Les valeurs possibles sont True (Vrai) ou False (Faux).

La valeur True indique que le KMA a été ajouté ou s'est correctement connecté au cluster.

Cette valeur est False lorsque le KMA vient d'être créé, puis passe à True une fois que le KMA s'est connecté au cluster. Elle peut aussi passer à False si la phrase de passe du KMA a été modifiée. Une fois que le KMA s'est connecté, la phrase de passe utilisée pour la connexion ne peut plus être utilisée. La phrase de passe doit être modifiée avant que le KMA puisse se connecter à nouveau au cluster.

HSM Status (Statut HSM)

Indique le statut du module HSM (Hardware Security Module). Les valeurs possibles sont Unknown (Inconnu), Inactive (Inactif), Software (Logiciel), Hardware (Matériel), SW Error (Erreur log.), HW Error (Erreur mat.) ou Not Present (Non présent).

Unknown (Inconnu)

Le KMA exécute une version logicielle antérieure à KMS 2.2.

Inactive (Inactif)

Le KMA n'a pas besoin d'utiliser le module HSM, généralement parce que le KMA est verrouillé.

Software (Logiciel)

Le module HSM n'est pas opérationnel et le KMA utilise le fournisseur de logiciels pour générer des clés.

Hardware (Matériel)

Le module HSM est opérationnel et le KMA l'utilise pour générer des clés.

SW Error (Erreur log.)/HW Error (Erreur mat.)

Le KMA a rencontré une erreur lorsqu'il a essayé de demander le statut du fournisseur de logiciels (SW Error) ou du module HSM (HW Error).

Remarque:

Normalement, le module HSM est opérationnel (Hardware). Cependant, si le module HSM devient non opérationnel (Software) et que le paramètre de sécurité FIPS Mode Only (Mode FIPS uniquement) est défini sur Off (Désactivé, reportez-vous à la section "Récupération des paramètres de sécurité"), le KMA passe au fournisseur de logiciels pour la génération de clés.

Si le module HSM devient non opérationnel et que le paramètre de sécurité FIPS Mode Only (Mode FIPS uniquement) est défini sur On (Activé), le KMA ne peut pas générer de clés ni renvoyer de composants de clé encapsulés AES aux agents.

Si la valeur est Software (Logiciel), SW Error (Erreur log.) ou HW Error (Erreur mat.), contrôlez la carte Sun Crypto Accelerator (SCA) 6000 sur ce KMA (reportez-vous à la section "Contrôle de la carte SCA 6000").

Not Present (Non présent)

Le module HSM n'est pas présent et le KMA utilise le fournisseur de logiciels pour générer des clés.

Contrôle de la carte SCA 6000

Il est possible qu'un KMA existant dans un cluster puisse contenir une carte SCA 6000 défaillante. Pour identifier une carte défaillante, examinez l'arrière du serveur du KMA et vérifiez l'état des DEL de la carte.

Dans le cas d'une carte SCA 6000 fonctionnelle installée sur un KMA de type KMS 2.1, 2.2 ou OKM 2.3 et version ultérieure ayant été initialisé par le biais du programme QuickStart, une DEL de statut (identifiée par un S) clignote en vert et des DEL de statut FIPS (F) et Initialisé (I) sont allumées en vert continu.

Si la DEL de statut ne clignote pas en vert et que les DEL FIPS et Initialisé ne sont pas allumées en vert continu, le KMA est équipé d'une carte SCA 6000 défaillante et doit être remplacé si le mode FIPS est requis.

Reportez-vous au guide de l'utilisateur SCA 6000 pour obtenir une description des DEL d'une carte SCA 6000.

Si vous souhaitez créer un KMA, cliquez sur le bouton Create (Créer). Pour plus d'informations, reportez-vous à la section "Création d'un KMA" ci-dessous.

Si vous souhaitez afficher/modifier les détails d'un KMA, mettez le KMA en surbrillance et cliquez sur le bouton Details (Détails). Pour plus d'informations, reportez-vous à la section "Affichage/modification des détails d'un KMA".

Si vous souhaitez supprimer un KMA, cliquez sur le bouton Delete (Supprimer). Pour plus d'informations, reportez-vous à la section "Suppression d'un KMA".

Création d'un KMA

Pour créer un KMA, procédez comme suit :

1. Dans l'écran KMA List (Liste des KMA), cliquez sur le bouton Create (Créer). La boîte de dialogue Create KMA (Créer un KMA) apparaît avec l'onglet General (Général) ouvert.

   
   

2. Définissez les paramètres suivants :

   Dans l'onglet General (Général), fournissez les informations suivantes si nécessaire :

   KMA Name (Nom du KMA)

   Entrez une valeur qui identifie le KMA de manière unique dans un cluster. Cette valeur peut comporter entre 1 et 64 caractères.

   Description

   Entrez une valeur qui décrit le KMA de manière unique. Cette valeur peut comporter entre 1 et 64 caractères.

   Site ID (ID du site)

   Cliquez sur la flèche vers le bas et sélectionnez le site auquel le KMA appartient. Ce champ est facultatif.

3. Ouvrez l'onglet Passphrase (Phrase de passe).

   
   

4. Définissez les paramètres suivants et cliquez sur le bouton Save (Enregistrer).

   Enter Passphrase (Saisir la phrase de passe)

   Saisissez la phrase de passe de cet utilisateur. La valeur minimale comporte 8 caractères ; la valeur maximale comporte 64 caractères. La valeur par défaut est 8.

   Conditions requises pour la phrase de passe :

   • Une phrase de passe ne doit pas contenir le nom du KMA de l'utilisateur.

   • Une phrase de passe doit contenir trois des quatre classes de caractères : minuscules, majuscules, chiffres ou caractères spéciaux.

   • Les caractères spéciaux suivants sont autorisés :

     ~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?

   • Les caractères de contrôle, notamment les tabulations et les sauts de ligne, ne sont pas autorisés.

   Remarque:

   Pour modifier la condition de longueur minimale des phrases de passe, reportez-vous à la section "Modification des paramètres de sécurité".

   Confirm Passphrase (Confirmer la phrase de passe)

   Entrez la même valeur que celle saisie dans le champ Enter Passphrase (Saisir la phrase de passe).

5. L'enregistrement du KMA est ajouté à la base de données et l'entrée est affichée dans l'écran KMA List (Liste des KMA).

   
   

6. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

7. Vous devez maintenant exécuter le programme QuickStart sur le ou les KMA que vous avez créé(s) pour qu'ils puissent rejoindre le cluster. Pour les procédures d'ajout d'un cluster, reportez-vous à la section "Ajout à un cluster existant".

Affichage/modification des détails d'un KMA

Remarque:

Si vous n'êtes pas responsable de la sécurité, lorsque vous consultez les informations détaillées d'un KMA, tous les champs, y compris le bouton Save (Enregistrer), sont désactivés.

Pour modifier les détails d'un KMA, procédez comme suit :

1. Dans l'écran KMA List (Liste des KMA), cliquez deux fois sur une entrée de KMA pour laquelle vous souhaitez davantage d'informations ou mettez une entrée de KMA en surbrillance et cliquez sur le bouton Details (Détails). La boîte de dialogue KMA Details (Détails du KMA) apparaît.

   
   

2. Dans l'onglet General (Général), modifiez les champs suivants :

   • Description

   • Site ID (ID du site)

3. Dans l'onglet Network Configuration (Configuration réseau), modifiez les champs suivants :

   • Management Network Address (Adresse réseau de gestion)

   • Service Network Address (Adresse réseau de service)

   
   

4. Dans l'onglet Key Pool Info (Informations sur le pool de clés), les champs en lecture seule suivants s'affichent :

   Ready Keys (Clés prêtes)

   Affiche le nombre de clés ayant été générées sur ce KMA et sauvegardées (pour un cluster mononoeud) ou répliquées sur d'autres KMA (pour un cluster multinoeuds), mais n'ayant pas encore été transmises aux agents pour chiffrement.

   Backup-Up Ready Keys (Clés prêtes sauvegardées)

   Affiche le nombre de clés prêtes sauvegardées dans le pool de clés. N/A indique que le KMA ne peut pas déterminer cette valeur, parce que le KMA exécute des logiciels de niveau inférieur ou qu'il utilise actuellement une version de réplication inférieure.

   Generated Keys (Clés générées)

   Affiche le nombre de clés ayant été générées sur ce KMA mais n'ayant pas été sauvegardées (pour un cluster mononoeud) ou répliquées sur d'autres KMA (pour un cluster multinoeuds).

   Key Pool Ready (Prêt pour le pool de clés)

   Affiche la proportion (en pourcentage) de clés du pool de clés ayant été sauvegardées.

   Key Pool Backed Up (Pool de clés sauvegardé)

   Affiche le pourcentage de clés prêtes sauvegardées dans le pool de clés. N/A indique que le KMA ne peut pas déterminer cette valeur, parce que le KMA exécute des logiciels de niveau inférieur ou qu'il utilise actuellement une version de réplication inférieure.

   
   

5. Ouvrez l'onglet Passphrase (Phrase de passe) et modifiez les paramètres suivants :

   • Passphrase (Phrase de passe)

   • Confirm Passphrase (Confirmer la phrase de passe, autrement dit saisissez à nouveau la même phrase de passe)

6. Lorsque vous avez terminé, cliquez sur le bouton Save (Enregistrer). L'enregistrement du KMA dans la base de données a été modifié.

7. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultat
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

Définition d'une phrase de passe du KMA

Remarque:

Vous pouvez modifier la phrase de passe d'un KMA, à condition de ne pas y être connecté.

Lorsque vous créez un cluster, une phrase de passe aléatoire est automatiquement assignée au KMA qui est utilisé pour créer le cluster. Si le KMA souhaite récupérer le certificat d'une entité d'un autre KMA dans le cluster parce que son certificat a expiré, vous devrez utiliser cette fonction pour définir la phrase de passe sur une valeur connue.

Pour définir la phrase de passe d'un KMA, procédez comme suit :

1. Dans l'écran KMA List (Liste des KMA), cliquez deux fois sur l'entrée de KMA ou mettez l'entrée en surbrillance et cliquez sur le bouton Details (Détails). La boîte de dialogue KMA Details (Détails du KMA) apparaît avec l'onglet General (Général) ouvert.

2. Ouvrez l'onglet Passphrase (Phrase de passe) et modifiez les paramètres suivants :

   • Passphrase (Phrase de passe)

   • Confirm Passphrase (Confirmer la phrase de passe, autrement dit saisissez à nouveau la même phrase de passe)

3. Cliquez sur le bouton Save (Enregistrer) pour enregistrer les modifications. L'entrée de la base de données du KMA a été modifiée.

4. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

A l'aide de la console, sur le KMA où la phrase de passe a été modifiée, sélectionnez la fonction permettant de connecter le KMA au cluster. Le KMA n'est pas en mesure de communiquer avec le cluster tant qu'il n'y est pas reconnecté.

Remarque:

Si le KMA a été déconnecté du cluster pendant au moins quelques heures, verrouillez le KMA avant de le reconnecter au cluster. Après que les mises à jour récentes ont été propagées sur ce KMA, comme le montre la valeur Replication Lag Size (Taille de latence de réplication) du panneau KMA List (Liste des KMA), déverrouillez le KMA.

Reportez-vous aux rubriques suivantes pour obtenir plus d'informations :

• "Lock/Unlock KMA (Verrouiller/Déverrouiller le KMA)"

• "Menu KMA List (Liste des KMA)"

• "Reconnexion du KMA au cluster".

Suppression d'un KMA

Important – Avant de supprimer un KMA, vous devez le mettre hors ligne à l'aide de la fonction ”Shutdown KMA (Arrêter le KMA)”. Si cette opération échoue, le KMA continue à fonctionner en dehors du cluster et envoie des ”informations obsolètes” aux agents et aux utilisateurs.

En général, cette commande ne sera utilisée que pour supprimer du cluster un KMA en panne. Toutefois, elle peut aussi servir à retirer un KMA mis hors service.

Si vous souhaitez réintégrer dans un cluster un KMA supprimé, vous devez réinitialiser le KMA selon son état par défaut défini en usine et sélectionner l'option 2 du programme QuickStart.

Cette option donne au responsable de la sécurité la possibilité de supprimer un KMA hors service.

Pour supprimer un KMA, procédez comme suit :

1. A partir de l'écran KMA List (Liste des KMA), mettez en surbrillance le KMA que vous souhaitez supprimer et cliquez sur le bouton Delete (Supprimer). La boîte de dialogue suivante s'affiche, vous demandant de confirmer la suppression du KMA sélectionné.

   
   

2. Cliquez sur le bouton Yes (Oui) pour supprimer le KMA. Le KMA sélectionné est supprimé et vous êtes redirigé vers l'écran KMA List (Liste des KMA). Le système supprime également toutes les entrées associées au KMA et non utilisées par d'autres entités.

Menu KMA Performance List (Liste de performances des KMA)

Le menu KMA Performance List (Liste de performances des KMA) permet aux utilisateurs, quel que soit leur rôle, de demander des informations concernant les performances des KMA de ce cluster OKM.

Ce panneau affiche les informations de performance à propos des demandes de clé, des demandes utilisateur et des états Server Busy (Serveur indisponible) qui ont été envoyés par chaque KMA. Ces informations inclut les valeurs de taux ou de compte et les temps de traitement.

Les valeurs de taux représentent le taux auquel ce KMA a émis ces demandes au cours de la période sélectionnée. Elles sont exprimées en tant que taux moyen de ces demandes extrapolé selon l'unité de temps de l'intervalle d'affichage de taux sélectionné (par exemple, nombre moyen extrapolé de demandes de clés par jour). Si vous définissez l'intervalle d'affichage de taux sur "entire time period" (période entière), ce panneau affiche le nombre de demandes traitées par ce KMA au cours de la période sélectionnée.

Les temps de traitement représentent le temps moyen en millisecondes nécessaire pour le traitement des demandes émises par ce KMA au cours de la période sélectionnée. Ces temps de traitement sont du point de vue du KMA et décrivent le temps nécessaire au traitement interne des demandes Ils n'incluent pas le temps de transmission par le biais du réseau ou le temps nécessaire à l'établissement d'une connexion SSL.

Ce panneau affiche des informations sur les états Server Busy (Serveur indisponible) que le KMA local a rencontrés au cours de la période sélectionnée. Cet état indique que d'autres threads OKM accèdent actuellement aux informations OKM dans une base de données locale et peut se produire lors de longues opérations OKM (par exemple, les sauvegardes d'OKM).

Le cluster OKM doit utiliser la version 15 de Replication ou une version ultérieure avant que les temps de traitement des demandes ne soient disponibles.

Demande d'informations sur un KMA

1. Dans le menu System Management (Gestion du système), sélectionnez KMA Performance (Performances des KMA). Le panneau suivant apparaît.

   
   

2. Cliquez sur le bouton Details (Détails) (ou cliquez deux fois sur un KMA) pour afficher davantage d'informations sur ce KMA. La boîte de dialogue KMA Performance Details (Détails des performances du KMA) s'affiche.

   
   

Menu Users List (Liste des utilisateurs)

L'option de menu Users List (Liste des utilisateurs) vous permet d'effectuer les opérations suivantes :

• Affichage des utilisateurs

• Création d'un utilisateur

• Modification des informations d'un utilisateur existant

• Suppression d'un utilisateur existant

Affichage des utilisateurs

Pour afficher les utilisateurs, procédez comme suit :

Dans le menu System Management (Gestion du système), sélectionnez Users List (Liste des utilisateurs). L'écran Users List (Liste des utilisateurs) s'affiche.

Vous pouvez également faire défiler la base de données et filtrer la liste des utilisateurs selon l'un des critères suivants :

• User ID (ID utilisateur)

• Description

• Roles (Rôles)

• Enabled (Activé)

• Failed Login Attempts (Tentatives de connexion ayant échoué)

Le bouton Use (Utiliser) applique le filtre à la liste affichée de l'utilisateur.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Affiche les champs que vous pouvez utiliser pour filtrer les résultats des requêtes adressées au KMA. Valeurs possibles :

• User ID (ID utilisateur)

• Description

• Enabled (Activé)

• Failed Login Attempts (Tentatives de connexion ayant échoué)

Zone Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre souhaité. Valeurs possibles :

• Egal à =

• Différent de <>

• Supérieur à >

• Inférieur à <

• Supérieur ou égal à >=

• Inférieur ou égal à <=

• Commence par ~

• Vide

• Non vide

Zone Filter Value 1 (Valeur de filtre 1) :

Entrez une valeur dans ce champ.

Use (Utiliser) :

Ce bouton permet d'appliquer le filtre à la liste affichée.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'enregistrements par page qui ont été configurés dans le champ Query Page Size (Taille de la page de requête) de la boîte de dialogue Options.

User ID (ID utilisateur)

Affiche un identificateur unique, communément appelé "User Name (Nom d'utilisateur)", qui distingue chaque utilisateur d'un cluster.

Description

Décrit l'utilisateur.

Roles (Rôles)

Affiche la liste des rôles de sécurité associés à l'utilisateur. Les rôles permettent à l'utilisateur d'effectuer diverses opérations.

Enabled (Activé)

Indique le statut de l'utilisateur. Les valeurs possibles sont True (Vrai) ou False (Faux).

Failed Login Attempts (Tentatives de connexion ayant échoué)

Indique le nombre de tentatives de connexion infructueuses.

Si vous souhaitez créer un utilisateur, cliquez sur le bouton Create (Créer). Pour plus d'informations, reportez-vous à la section "Création d'un utilisateur".

Si vous souhaitez afficher/modifier les détails d'un utilisateur, mettez en surbrillance l'utilisateur et cliquez sur le bouton Details (Détails). Pour plus d'informations, reportez-vous à la section "Affichage/modification des détails d'un utilisateur".

Si vous souhaitez supprimer un utilisateur, cliquez sur le bouton Delete (Supprimer). Pour plus d'informations, reportez-vous à la section "Suppression d'utilisateurs".

Un responsable de la sécurité est habilité à définir la phrase de passe d'un utilisateur si celle-ci et/ou le certificat a été compromis(e). Pour plus d'informations sur les procédures de définition de la phrase de passe d'un utilisateur, reportez-vous à la section "Configuration de la phrase de passe d'un utilisateur".

Les utilisateurs peuvent également changer leur propre phrase de passe. Pour plus informations à ce sujet, reportez-vous à la section "Modification de la phrase de passe".

Création d'un utilisateur

Pour créer un utilisateur, procédez comme suit :

1. Dans l'écran Users List (Liste des utilisateurs), cliquez sur le bouton Create (Créer). La boîte de dialogue Create User (Créer un utilisateur) apparaît avec l'onglet General (Général) ouvert.

   
   

2. Définissez les paramètres suivants :

   Dans l'onglet General (Général) :

   User ID (ID utilisateur)

   Entrez une valeur qui identifie l'utilisateur de manière unique. Cette valeur peut comporter entre 1 et 64 caractères.

   Description

   Entrez une valeur qui décrit l'utilisateur. Cette valeur peut comporter entre 1 et 64 caractères.

   Roles (Rôles)

   Cochez les cases situées en regard des rôles que vous souhaitez assigner à l'utilisateur.

   Remarque:

   La case Quorum Member (Membre du quorum) est désactivée (grisée) si le KMA exécute le logiciel KMS version 2.1 ou antérieure ou si la version de réplication du cluster OKM est définie sur 10 ou une version inférieure.

   Dans l'onglet Passphrase (Phrase de passe), procédez comme suit :

3. Ouvrez l'onglet Passphrase (Phrase de passe).

   
   

4. Définissez les paramètres suivants :

   Passphrase (Phrase de passe)

   Saisissez la phrase de passe de cet utilisateur. La valeur minimale comporte 8 caractères ; la valeur maximale comporte 64 caractères. La valeur par défaut est 8.

   Conditions requises pour la phrase de passe :

   • Une phrase de passe ne doit pas contenir l'ID utilisateur de l'utilisateur.

   • Une phrase de passe doit contenir trois des quatre classes de caractères : minuscules, majuscules, chiffres ou caractères spéciaux.

   • Les caractères spéciaux suivants sont autorisés :

     ~ ! @ # $ % ˆ & * ( ) - _ = + [ ] { } \ | ; : ’ ” < > , . / ?

   • Les caractères de contrôle, notamment les tabulations et les sauts de ligne, ne sont pas autorisés.

   Remarque:

   Pour modifier la condition de longueur minimale des phrases de passe, reportez-vous à la section "Modification des paramètres de sécurité".

   Confirm Passphrase (Confirmer la phrase de passe)

   Entrez la même valeur que celle saisie dans le champ Enter Passphrase (Entrer une phrase de passe).

5. Cliquez sur le bouton Save (Enregistrer). L'enregistrement de l'utilisateur est ajouté à la base de données. Le nouvel utilisateur s'affiche dans la liste des utilisateurs.

6. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

Affichage/modification des détails d'un utilisateur

Remarque:

Les responsables de la sécurité actuellement connectés ne peuvent pas modifier leurs enregistrements.

Pour modifier les informations utilisateur, procédez comme suit :

1. Dans l'écran Users List (Liste des utilisateurs), cliquez deux fois sur un utilisateur pour lequel vous souhaitez davantage d'informations ou mettez-le en surbrillance et cliquez sur le bouton Details (Détails). La boîte de dialogue User Details (Détails de l'utilisateur) s'affiche, avec tous les champs désactivés, à l'exception du bouton Save (Enregistrer).

   
   

2. Dans l'onglet General (Général), modifiez les paramètres suivants :

   • Description

   • Roles (Rôles)

   • Flags - Enabled (Indicateurs - Activés)

   Le champ Failed Login Attempts (Tentatives de connexion ayant échoué) affiche le nombre d'échecs d'une tentative de connexion.

3. Dans l'onglet Passphrase (Phrase de passe), si vous souhaitez définir la phrase de passe de l'utilisateur, reportez-vous à la section "Configuration de la phrase de passe d'un utilisateur".

4. Lorsque vous avez terminé, cliquez sur le bouton Save (Enregistrer).

5. Si des rôles utilisateur ont été ajoutés, la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   Remarque:

   Si des rôles utilisateur ont été ajoutés, les informations utilisateur sont mises à jour dans le cluster OKM après avoir cliqué sur le bouton Save (Enregistrer) et la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) ne s'ouvre pas.
   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

Configuration de la phrase de passe d'un utilisateur

En tant que responsable de la sécurité, vous êtes habilité à définir la phrase de passe d'un utilisateur si celle-ci et/ou le certificat a été compromis(e). Un nouveau certificat est généré lorsque l'utilisateur se sert de la nouvelle phrase de passe pour se connecter au KMA.

Pour définir la phrase de passe d'un utilisateur, procédez comme suit :

1. Dans l'écran Users List (Liste des utilisateurs), cliquez deux fois sur l'utilisateur dont vous souhaitez sélectionner la phrase de passe ou mettez-le en surbrillance et cliquez sur le bouton Details (Détails).

2. La boîte de dialogue User Details (Détails de l'utilisateur) apparaît. Ouvrez l'onglet Passphrase (Phrase de passe).

   
   

3. Dans le champ Enter Passphrase (Saisir la phrase de passe), entrez la phrase de passe assignée par le responsable de la sécurité lors de la création du compte utilisateur.

4. Dans le champ Confirm Passphrase (Confirmer la phrase de passe), entrez la même valeur que celle indiquée à l'étape précédente. La nouvelle phrase de passe pour l'enregistrement utilisateur est enregistrée.

5. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

Suppression d'utilisateurs

Il est impossible pour un utilisateur de se supprimer lui-même.

Pour supprimer un utilisateur, procédez comme suit :

1. A partir de l'écran Users List (Liste des utilisateurs), sélectionnez l'utilisateur que vous souhaitez supprimer et cliquez sur le bouton Delete (Supprimer). La boîte de dialogue suivante s'affiche, vous demandant de confirmer la suppression de l'utilisateur sélectionné.

   
   

2. Cliquez sur le bouton Yes (Oui) pour supprimer l'utilisateur. L'utilisateur sélectionné est supprimé et vous êtes redirigé vers l'écran Users List (Liste des utilisateurs), où l'utilisateur supprimé n'apparaît plus.

Menu Role List (Liste des rôles)

L'option de menu Role List (Liste des rôles) vous offre les possibilités suivantes : Les rôles sont des regroupements logiques fixes de diverses opérations système que l'utilisateur est habilité à effectuer. Un utilisateur peut se voir assigner plusieurs rôles.

Affichage des rôles

Pour afficher les rôles, procédez comme suit :

Dans le menu System Management (Gestion du système), sélectionnez Role List (Liste des rôles). L'écran Role List (Liste des rôles) s'affiche.

Vous pouvez également faire défiler la base de données et filtrer la liste des rôles selon l'un des critères suivants :

• Role ID (ID de rôle)

• Description

Le bouton Use (Utiliser) applique le filtre à la liste affichée.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Affiche les champs que vous pouvez utiliser pour filtrer les résultats des requêtes adressées au KMA. Valeurs possibles :

• Role ID (ID de rôle)

• Description

Zone Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre souhaité. Valeurs possibles :

• Egal à =

• Différent de <>

• Vide

• Non vide

Zone Filter Value 1 (Valeur de filtre 1) :

Entrez une valeur dans ce champ.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'enregistrements par page qui ont été configurés dans le champ Query Page Size (Taille de la page de requête) de la boîte de dialogue Options.

Role ID (ID de rôle)

Affiche l'identificateur unique différenciant les rôles de sécurité les uns des autres.

Description

Décrit le rôle.

Si vous souhaitez obtenir des informations plus détaillées sur un rôle, mettez cette entrée de rôle en surbrillance et cliquez sur le bouton Details (Détails). Pour plus d'informations, reportez-vous à la section "Affichage des opérations associées à un rôle".

Affichage des opérations associées à un rôle

La boîte de dialogue Role Operations (Opération associées à un rôle) vous permet de visualiser un rôle et les opérations autorisées.

Pour afficher les opérations relatives à un rôle spécifique, procédez comme suit :

1. Dans l'écran Role List (Liste des rôles), mettez un rôle en surbrillance et cliquez sur le bouton Details (Détails). La boîte de dialogue Role Operations (Opérations associées à un rôle) s'affiche, indiquant les opérations associées au rôle sélectionné.

   
   

2. Cliquez sur le bouton Close (Fermer) pour fermer cette boîte de dialogue. Vous revenez à l'écran Role List (Liste des rôles).

Menu Site List (Liste des sites)

Un site est un emplacement physique, comprenant au moins un KMA, auquel plusieurs agents (hôtes et cluster KMS) sont connectés. Les sites permettent aux agents de répondre aux équilibrages de charges ou aux échecs des KMA plus efficacement en se connectant à un autre KMA du site local plutôt qu'à un KMA distant.

L'option de menu Site List (Liste des sites) vous permet d'effectuer les opérations suivantes :

• Affichage des sites

• Création d'un site

• Modification des informations d'un site

• Suppression d'un site

  Remarque:

  Un opérateur peut uniquement afficher des sites. Un responsable de la sécurité peut gérer les sites.

Affichage des sites

Pour afficher des sites, procédez comme suit :

Dans le menu System Management (Gestion du système), sélectionnez Site List (Liste des sites). L'écran Site List (Liste des sites) s'affiche.

Vous pouvez également faire défiler la base de données et filtrer la liste des sites selon l'un des critères suivants :

• Site ID (ID du site)

• Description

Le bouton Use (Utiliser) applique le filtre à la liste affichée du site.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Affiche les champs que vous pouvez utiliser pour filtrer les résultats des requêtes adressées au KMA. Valeurs possibles :

• Site ID (ID du site)

• Description

Zone Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre souhaité. Valeurs possibles :

• Egal à =

• Différent de <>

• Supérieur à >

• Inférieur à <

• Supérieur ou égal à >=

• Inférieur ou égal à <=

• Commence par ~

Zone Filter Value 1 (Valeur de filtre 1) :

Entrez une valeur dans ce champ.

Use (Utiliser) :

Ce bouton permet d'appliquer le filtre à la liste affichée.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'enregistrements par page qui ont été configurés dans le champ Query Page Size (Taille de la page de requête) de la boîte de dialogue Options.

Site ID (ID du site)

Permet d'identifier le site de manière unique.

Description

Décrit le site.

Cliquez sur le bouton Create (Créer) pour créer un site. Pour plus d'informations, reportez-vous à la section "Création d'un site".

Si vous souhaitez afficher ou modifier les informations d'un site, mettez ce dernier en surbrillance dans la liste et cliquez sur le bouton Details (Détails). Pour plus d'informations, reportez-vous à la section "Affichage/modification des détails d'un site".

Cliquez sur le bouton Delete (Supprimer) pour supprimer le site sélectionné. Pour plus d'informations, reportez-vous à la section "Suppression d'un site".

Création d'un site

Pour créer un site, procédez comme suit :

1. Dans l'écran Site List (Liste des sites), cliquez sur le bouton Create (Créer). La boîte de dialogue Create Site (Créer un site) apparaît.

   
   

2. Définissez les paramètres suivants :

   Site ID (ID du site)

   Entrez une valeur qui identifie le site de manière unique. Cette valeur peut comporter entre 1 et 64 caractères.

   Description

   Entrez une valeur qui décrit le site de manière unique. Cette valeur peut comporter entre 1 et 64 caractères.

   Un exemple de boîte de dialogue renseignée est affiché ci-dessous.

   
   

3. Cliquez sur le bouton Save (Enregistrer). Le nouveau site est enregistré et stocké dans la base de données et affiché dans l'écran Site List (Liste des sites).

   
   

Affichage/modification des détails d'un site

Remarque:

Si vous n'êtes pas responsable de la sécurité, lorsque vous consultez les informations détaillées d'un site, tous les champs, y compris le bouton Save (Enregistrer), sont désactivés.

Pour modifier les détails d'un site, procédez comme suit :

1. Dans l'écran Site List (Liste des sites), cliquez sur le bouton Details (Détails). La boîte de dialogue Site Details (Détails du site) apparaît.

   
   

2. Modifiez le champs Description et cliquez sur le bouton Save (Enregistrer). Les détails du site sont modifiés et stockés dans la base de données.

Suppression d'un site

Remarque:

Si le site est en cours d'utilisation, c'est-à-dire si des agents ou des KMA sont indiqués comme se trouvant sur ce site, vous devrez d'abord les supprimer ou les passer sur un autre site avant de pouvoir supprimer le site.

Pour supprimer un site, procédez comme suit :

1. A partir de l'écran Site List (Liste des sites), mettez en surbrillance le site que vous souhaitez supprimer et cliquez sur le bouton Delete (Supprimer). La boîte de dialogue suivante s'affiche, vous invitant à confirmer vos opérations.

   
   

2. Cliquez sur le bouton Yes (Oui) pour supprimer le site. Le site sélectionné est supprimé et vous êtes redirigé vers l'écran Site List (Liste des sites).

Menu SNMP Manager List (Liste des gestionnaires SNMP)

Les menus suivants permettent l'affichage, la création et la modification des gestionnaires SNMP.

De plus, des informations SNMP sont générées pour les utilisateurs qui ont configuré un agent SNMP sur leur réseau et ont défini des gestionnaires SNMP dans l'interface utilisateur du gestionnaire OKM. Si au moins un gestionnaire SNMP est défini dans l'interface utilisateur du gestionnaire OKM, les KMA envoient des notifications SNMP à l'adresse IP de ce(s) gestionnaire(s) SNMP.

Vous pouvez fournir une adresse IPv6 lors de la création ou de la modification d'un gestionnaire SNMP.

Pour plus de détails sur les informations envoyées par les KMA dans leurs paquets de notification SNMP, reportez-vous à la section Annexe A, "Données MIB (Management Information Base, Base d'informations de gestion) SNMP".

Affichage des gestionnaires SNMP d'un KMA

Pour afficher les gestionnaires SNMP, procédez comme suit :

Dans le menu System Management (Gestion du système), sélectionnez SNMP Manager List (Liste des gestionnaires SNMP). L'écran SNMP Manager List (Liste des gestionnaires SNMP) s'affiche.

Vous pouvez également faire défiler la base de données et filtrer la liste des gestionnaires SNMP selon l'un des critères suivants :

• SNMP Manager ID (ID du gestionnaire SNMP)

• Description

• Network Address (Adresse réseau)

• Enabled (Activé)

• User Name (Nom d'utilisateur)

Le bouton Use (Utiliser) applique le filtre à la liste affichée du gestionnaire SNMP.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Affiche les champs que vous pouvez utiliser pour filtrer les résultats des requêtes adressées au KMA. Valeurs possibles :

• SNMP Manager ID (ID du gestionnaire SNMP)

• Description

• Network Address (Adresse réseau)

• Enabled (Activé)

• User Name (Nom d'utilisateur)

Zone Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre souhaité. Valeurs possibles :

• Egal à =

• Différent de <>

• Supérieur à >

• Inférieur à <

• Supérieur ou égal à >=

• Inférieur ou égal à <=

• Commence par ~

• Vide

• Non vide

Zone Filter Value 1 (Valeur de filtre 1) :

Entrez une valeur dans ce champ.

Use (Utiliser) :

Ce bouton permet d'appliquer le filtre à la liste affichée.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'enregistrements par page qui ont été configurés dans le champ Query Page Size (Taille de la page de requête) de la boîte de dialogue Options.

SNMP Manager ID (ID du gestionnaire SNMP)

Affiche l'identificateur unique défini par l'utilisateur pour le gestionnaire SNMP.

Description

Affiche une description du gestionnaire SNMP. Ce champ est facultatif.

Network Address (Adresse réseau)

Affiche l'adresse réseau utilisée lors de l'envoi d'une interruption SNMP.

Enabled (Activé)

Indique si ce gestionnaire SNMP est activé ou non.

User Name (Nom d'utilisateur)

Affiche le nom d'utilisateur qui a été utilisé pour établir une connexion SNMPv3 sécurisée et approuvée avec ce gestionnaire SNMP.

Protocol Version (Version du protocole)

Indique la version du protocole SNMP, c'est-à-dire SNMPv3 (Version 3) ou SNMPv2 (Version 2).

La version 3 du protocole SNMP (SNMPv3) prend en charge l'authentification, à l'aide de noms d'utilisateur et de phrases de passe. La version 2 du protocole SNMP (SNMPv2) ne prend pas en charge l'authentification et n'utilise pas de noms d'utilisateur ni de phrases de passe. Vous pouvez configurer un gestionnaire SNMP de sorte qu'il utilise SNMPv3 ou SNMPv2. Les KMA n'envoient pas de notifications SNMP aux gestionnaires SNMP configurés pour utiliser SNMPv2 si la version de réplication du cluster OKM est définie sur 10 or ou une version inférieure.

Cliquez sur le bouton Create (Créer) pour créer un gestionnaire SNMP. Pour plus d'informations, reportez-vous à la section "Création d'un gestionnaire SNMP" ci-dessous.

Si vous souhaitez afficher/modifier les informations détaillées d'un gestionnaire SNMP, mettez en surbrillance l'entrée souhaitée et cliquez sur le bouton Details (Détails). Pour plus d'informations, reportez-vous à la section "Affichage/modification des détails d'un gestionnaire SNMP".

Cliquez sur le bouton Delete (Supprimer) pour supprimer le gestionnaire SNMP sélectionné. Pour plus d'informations, reportez-vous à la section "Suppression d'un gestionnaire SNMP".

Création d'un gestionnaire SNMP

Si votre agent SNMP est configuré de sorte à utiliser le protocole SNMP Version 3, assurez-vous d'avoir créé un utilisateur de protocole SNMP Version 3 avant de créer un gestionnaire SNMP dans votre cluster OKM. Cet utilisateur SNMP doit utiliser SHA (et non MD5) en tant que protocole d'authentification et DES en tant que protocole de confidentialité. Pour plus d'informations sur la création d'utilisateurs SNMP Version 3, reportez-vous à la documentation de votre agent SNMP.

Par ailleurs, si l'utilisateur SNMP possède une phrase de passe, le KMA utilise cette dernière à la fois en tant que phrase de passe d'authentification et phrase de passe de chiffrement pour cet utilisateur SNMP. Par conséquent, ces phrases de passe doivent avoir la même valeur pour cet utilisateur SNMP dans l'agent SNMP. Si l'utilisateur SNMP n'a pas de phrase de passe, le KMA utilise le niveau de sécurité appelé "noAuthNoPriv" lorsqu'il envoie des notifications SNMP à l'agent SNMP.

Si votre agent SNMP est configuré de sorte à utiliser le protocole SNMP Version 2, vous n'avez pas besoin de configurer un protocole d'authentification ni de créer un utilisateur SNMP. Actuellement, OKM prend uniquement en charge la communauté "publique" pour la Version 2.

Pour plus d'informations sur la création d'utilisateurs SNMP, reportez-vous à la documentation de votre agent SNMP. Par exemple, reportez-vous au manuel Solaris System Management Agent Administration Guide (http://docs.oracle.com/cd/E19253-01/817-3000/index.html) pour plus d'informations sur la configuration de l'agent de gestion système sur un système Solaris. Reportez-vous également à la page http://www.net-snmp.org/FAQ.html pour plus d'informations générales sur Net-SNMP.

1. Dans l'écran SNMP Managers List (Liste des gestionnaires SNMP), cliquez sur le bouton Create (Créer).

   La boîte de dialogue Create SNMP Manager (Création d'un gestionnaire SNMP) apparaît.

   
   

2. Définissez les paramètres suivants :

   SNMP Manager ID (ID du gestionnaire SNMP)

   Entrez une valeur qui identifie le gestionnaire SNMP de manière unique. Cette valeur peut comporter entre 1 et 64 caractères.

   Description

   Entrez une valeur qui décrit le gestionnaire SNMP. Cette valeur peut comporter entre 1 et 64 caractères.

   Network Address (Adresse réseau)

   Entrez l'adresse réseau du gestionnaire SNMP.

   Flags - Enabled (Indicateurs - Activés)

   Cochez cette case pour indiquer si le protocole SNMP est activé ou non.

   User Name (Nom d'utilisateur)

   Entrez le nom d'utilisateur utilisé pour authentifier le gestionnaire SNMP.

   Passphrase (Phrase de passe)

   Entrez la phrase de passe utilisée pour authentifier le gestionnaire SNMP.

   Confirm Passphrase (Confirmer la phrase de passe)

   Entrez la même phrase de passe que celle saisie dans le champ Passphrase (Phrase de passe).

   Protocol Version (Version du protocole)

   Sélectionnez la version du protocole SNMP que ce gestionnaire SNMP doit utiliser. La valeur SNMPV3 signifie que le gestionnaire utilise le protocole SNMP Version 3. La valeur SNMPV2 signifie que le gestionnaire utilise le protocole SNMP Version 2.

   La version 3 du protocole SNMP (SNMPv3) prend en charge l'authentification, à l'aide de noms d'utilisateur et de phrases de passe. La version 2 du protocole SNMP (SNMPv2) ne prend pas en charge l'authentification et n'utilise pas de noms d'utilisateur ni de phrases de passe. Vous pouvez configurer un gestionnaire SNMP de sorte qu'il utilise SNMPv3 ou SNMPv2. Les KMA n'envoient pas de notifications SNMP aux gestionnaires SNMP configurés pour utiliser SNMPv2 si la version de réplication du cluster OKM est définie sur 10 or ou une version inférieure.

3. Lorsque vous avez terminé, cliquez sur le bouton Save (Enregistrer) pour enregistrer les informations. La nouvelle entrée de gestionnaire SNMP et le profil associé sont stockés dans la base de données.

Affichage/modification des détails d'un gestionnaire SNMP

Pour afficher/modifier les détails d'un gestionnaire SNMP, procédez comme suit :

1. Dans l'écran SNMP Managers List (Liste des gestionnaires SNMP), cliquez deux fois sur l'entrée d'un gestionnaire SNMP pour lequel vous souhaitez davantage d'informations et cliquez sur le bouton Details (Détails). La boîte de dialogue SNMP Manager Details (Détails d'un gestionnaire SNMP) apparaît.

   
   

2. Modifiez les paramètres selon vos besoins.

3. Lorsque vous avez terminé, cliquez sur le bouton Save (Enregistrer) pour enregistrer les modifications.

   Remarque:

   Chaque fois que vous modifiez les détails d'un gestionnaire SNMP, vous devez à nouveau spécifier la phrase de passe.

Suppression d'un gestionnaire SNMP

Pour supprimer un gestionnaire SNMP, procédez comme suit :

1. A partir de l'écran SNMP Managers List (Liste des gestionnaires SNMP), mettez en surbrillance le gestionnaire SNMP que vous souhaitez supprimer et cliquez sur le bouton Delete (Supprimer). La boîte de dialogue de confirmation de la suppression du gestionnaire SNMP s'affiche.

   
   

2. Cliquez sur le bouton Yes (Oui) pour supprimer le gestionnaire SNMP. Le gestionnaire SNMP sélectionné est supprimé et vous êtes redirigé vers l'écran SNMP Managers List (Liste des gestionnaires SNMP).

Transfert de clés

Le transfert de clés, également appelé Key Sharing (Partage de clés), permet aux clés et unités de données associées d'être échangées en toute sécurité entre partenaires. Il est obligatoire pour l'échange de médias chiffrés. Ce processus exige de la part des deux parties impliquées dans le transfert d'établir une paire de clés publique/privée et de fournir la clé publique à l'autre partie.

Chaque partie enregistre la clé publique de l'autre dans son propre cluster OKM. Une fois cette configuration initiale terminée, l'expéditeur utilise la fonction d'exportation de clés, laquelle lui permet de générer un fichier de transfert qu'il transmet au destinataire. Ce dernier utilise ensuite la fonction d'importation de clés afin d'importer les clés et les unités de données associées dans son cluster OKM.

Le fichier de transfert est signé au moyen de la clé privée de l'expéditeur et chiffré à l'aide de la clé publique du destinataire. Cela permet au destinataire de déchiffrer le fichier de transfert à l'aide de sa propre clé privée. Il peut ainsi vérifier que le fichier a bien été généré par l'expéditeur attendu au moyen de sa clé publique.

Fonction Key Transfer Partners (Partenaires de transfert de clés)

La fonction Key Transfer Partners (Partenaires de transfert de clés) permet de déplacer des clés d'un cluster OKM vers un autre. En général, cette fonction sert à échanger des bandes entre entreprises ou au sein d'une entreprise si plusieurs clusters sont configurés en vue de traiter de nombreux sites.

Le processus de transfert de clés implique les étapes suivantes :

• Chaque cluster OKM configure l'autre comme partenaire de transfert. Cette procédure s'effectue généralement une seule fois.

• L'utilisateur exporte des clés d'un cluster OKM en vue de les importer dans l'autre. Cette étape peut se produire à de nombreuses reprises.

Processus de transfert de clés

Dans le système OKM, vous devez effectuer un certain nombre de tâches dans un ordre précis. Comme ces tâches impliquent plusieurs rôles d'utilisateur, les procédures proprement dites sont décrites dans différents chapitres de ce document.

Configuration de partenaires de transfert de clés

Pour déplacer des clés, vous devez configurer un partenaire de transfert pour les deux clusters OKM participant à cette opération.

Dans la procédure suivante, "C1" désigne le premier cluster OKM et "C2", le second.

Administrateur (rôle Security Officer (Responsable de la sécurité)) :

Administrateur de C1 (rôle Security Officer (Responsable de la sécurité)) :

1. Procurez-vous les informations de clé publique relatives à C1 (votre cluster). Pour ce faire, ouvrez le menu Key Transfer Public Key List (Liste des clés publiques de transfert). Reportez-vous aux sections "Affichage de la liste des clés publiques de transfert de clés" et "Affichage d'informations détaillées sur les clés publiques de transfert".

2. Copiez puis collez l'ID de clé publique et la clé publique dans un e-mail ou toute autre forme de communication convenue avec votre interlocuteur. Envoyez ces informations à l'administrateur de C2.

   Remarque:

   La méthode de communication proprement dite doit être suffisamment sécurisée pour que C2 soit assuré de bien recevoir des informations provenant de C1. Un mécanisme, l'empreinte, permet d'empêcher la modification de ces informations en cours de transfert.

Administrateur de C2 (rôle Security Officer) :

1. Administrateur de C2 : saisissez les informations de clé publique de C1 dans le cluster OKM via le menu Transfer Partner List (Liste des partenaires de transfert). Reportez-vous à la section "Menu Key Transfer Public Key List (Liste des clés publiques de transfert de clés)".

2. Cliquez sur le bouton Create (Créer). Indiquez le nom du partenaire de transfert, donnez une description et fournissez les coordonnées nécessaires. Déterminez l'utilisation future de ce partenaire. Reportez-vous à la section "Création d'un partenaire de transfert".

3. Sélectionnez l'onglet Public Keys (Clés publiques). Remplissez les champs Public Key ID (ID de clé publique) et Public Key (Clé publique) avec les informations que vous a fournies C1.

   Une fois la clé publique indiquée, le système calcule l'empreinte. Il est préférable que les administrateurs de C1 et de C2 communiquent entre eux au moyen d'un autre mécanisme que celui utilisé pour le transfert de la clé proprement dite.

   Les deux administrateurs doivent consulter leur OKM et vérifier la concordance de leurs empreintes respectives. Une incohérence indique que la clé a été endommagée ou modifiée lors du transfert.

4. Si l'empreinte est exacte, cliquez sur Save (Enregistrer). Le système demande un quorum. Cela s'explique par le fait que les opérations d'exportation de clés rendues possibles à ce stade pourraient servir à extraire des clés valables du cluster OKM. C1 est dorénavant configuré comme partenaire de transfert dans le cluster OKM C2.

Administrateur de C2 (rôle Security Officer) :

1. Recommencez l'étape 1 et l'étape 2, cette fois pour le cluster OKM C2.

Administrateur de C1 (rôle Security Officer) :

1. Recommencez la procédure de l'étape 1 à l'étape 4 afin d'ajouter la clé publique de C2 à C1.

Administrateur de C1 (rôle Compliance Officer (Responsable de la conformité)) :

1. C1 doit configurer des groupes de clés pouvant être envoyés à C2. Reportez-vous à la section "Affichage des affectations de groupes de clés".

Administrateur de C2 (rôle Compliance Officer (Responsable de la conformité)) :

1. C2 doit configurer des groupes de clés pouvant récupérer des clés à partir de C1. Reportez-vous à la section "Affichage des affectations de groupes de clés".

2. Sélectionnez le partenaire de transfert voulu.

3. Sélectionnez un ou plusieurs groupes de clés non autorisés, puis cliquez sur le bouton Move to (Déplacer vers) afin de les ajouter à la liste des groupes de clés. Reportez-vous à la section "Ajout d'un groupe de clés à un partenaire de transfert".

Exportation/Importation de clés

Avant d'exporter des clés, celles-ci doivent répondre à tous les critères suivants. Les clés ne respectant pas les critères ne peuvent pas être exportées lorsqu'un opérateur envoie une demande d'exportation de clés.

• Les clés doivent appartenir à un groupe de clés associé à une stratégie des clés dont l'indicateur Allow Export From (Autoriser l'exportation depuis) est défini sur "True". Reportez-vous aux sections "Affichage/Modification des détails des unités de données" et "Affichage des groupes de clés".

Pour définir l'indicateur, reportez-vous à la section "Affichage/Modification d'une stratégie de clés".

• Les indicateurs Enabled (Activé) et Allow Export To (Autoriser l'exportation vers) du partenaire de transfert de clés de destination doivent être définis sur "True". Reportez-vous à la section "Affichage/Modification des détails du partenaire de transfert".

Pour définir l'indicateur, reportez-vous à la section "Affichage/Modification d'une stratégie de clés".

• Le partenaire de transfert de clés de destination doit être associé au groupe de clés de la clé sélectionnée. Reportez-vous à la section "Ajout d'un groupe de clés à un partenaire de transfert".

• Les clés doivent être dans l'état Protect and Process (Protection et traitement), Process Only (Traitement seul), Deactivated (Désactivé) ou Compromised (Compromis). Reportez-vous à la section "Affichage/Modification des détails des unités de données".

De plus, le paramètre Export Format (Format d'export) du partenaire de transfert de destination (reportez-vous à la section "Transfer Partner List (Liste des partenaires de transfert)") doit coïncider avec :

• La version logicielle (reportez-vous à la section "Chargement et application des mises à niveau logicielles") du KMA dans lequel les clés doivent être importées et

• Les valeurs de paramètres de sécurité FIPS Mode Only (Mode FIPS uniquement) (reportez-vous à la section "Récupération des paramètres de sécurité") des clusters OKM dans lesquels les clés doivent être exportées et importées.

Le Tableau 5-1 résume la relation entre ces paramètres.

Tableau 5-1 Paramètres Export Format (Format d'export)

Version logicielle - Importation d'un KMA	FIPS Mode Only (Mode FIPS uniquement) - Exportation d'un cluster OKM	FIPS Mode Only (Mode FIPS uniquement) - Importation d'un cluster OKM	Export Format (Format d'export)
2.0.2 ou inférieur	Désactivé	N/A	v2.0 ou valeur par défaut
2.0.2 ou inférieur	Activé	N/A	v2.0
2.1 ou supérieur	Désactivé	Désactivé	v2.0 ou valeur par défaut
2.1 ou supérieur	Activé	Désactivé	v2.0
2.1 ou supérieur	Désactivé	Activé	v2.1 (FIPS)
2.1 ou supérieur	Activé	Activé	v2.1 (FIPS) ou valeur par défaut

La procédure suivante sert à exporter des clés d'un cluster OKM afin de les importer dans un autre. Elle peut être effectuée à de nombreuses reprises.

Dans la procédure suivante, C1 désigne le premier cluster OKM et C2, le second. Ces instructions ont pour objectif d'autoriser C2 à exporter des clés qui seront ensuite importées dans C1.

Administrateur de C2 (rôle Operator (Opérateur)) :

1. Pour échanger des clés, affichez l'écran Data Unit List (Liste des unités de données). Reportez-vous à la section "Affichage des unités de données".

2. Sélectionnez une ou plusieurs unités de données (bandes) à envoyer de C2 vers C1. La balise externe (External Tag) correspond au code à barres des bandes.

   Les clés associées aux unités de données sélectionnées doivent appartenir aux groupes de clés associés à des stratégies des clés dont l'indicateur Allow Export From (Autoriser l'exportation depuis) est défini sur "True". Ces clés doivent également être activées (leur Activation Date (Date d'activation) doit être renseignée) et non détruites (leur Destroyed Date (Date de destruction) doit être vide). Reportez-vous à la section "Affichage/Modification des détails des unités de données".

3. Cliquez sur le bouton Export Keys (Exporter des clés) pour afficher la boîte de dialogue.

4. Sélectionnez le partenaire de transfert de destination, choisissez le nom du fichier d'exportation des clés si nécessaire, puis cliquez sur Start (Commencer). Le fichier de transfert est créé.

   Seules les clés faisant partie des groupes de clés dont l'exportation vers C1 est autorisée sont effectivement exportées.

   Le partenaire de transfert de destination sélectionné doit être assigné au groupe de clés auquel appartiennent ces clés. Reportez-vous à la section "Menu Transfer Partner Assignment to Key Groups (Affectation de partenaires de transfert à des groupes de clés)".

5. Envoyez le fichier de transfert à l'administrateur de C1 par e-mail ou toute autre forme ou méthode de communication convenue au préalable entre vous pour déplacer des fichiers.

Administrateur de C1 (rôle Operator (Opérateur)) :

1. Sélectionnez l'écran Import Keys (Importer des clés). Reportez-vous à la section "Menu Import Keys (Importer des clés)".

2. Indiquez le groupe de clés de destination dans lequel les clés seront importées, l'expéditeur (C2, dans le cas présent) ayant exporté ces clés et le nom du fichier de transfert des clés. Le groupe de clés sélectionné doit correspondre à un groupe de clés configuré pour recevoir des clés de la part de C2.

   C'est-à-dire que l'indicateur Allow Import To (Autoriser l'importation vers) de la stratégie des clés associée au groupe de clés sélectionné est défini sur "True". Par ailleurs, les indicateurs Enabled (Activé) et Allow Import From (Autoriser l'importation de) du partenaire de transfert sélectionné doivent être définis sur True et la valeur Export Format (Format d'export) doit être définie sur la valeur indiquée plus haut. Le partenaire de transfert sélectionné doit être assigné au groupe de clés sélectionné. Reportez-vous à la section "Menu Transfer Partner Assignment to Key Groups (Affectation de partenaires de transfert à des groupes de clés)".

3. Cliquez sur Start (Commencer).

Menu Transfer Partners (Partenaires de transfert)

La fonction Key Transfer Partners (Partenaires de transfert de clés) permet de déplacer des clés d'un cluster OKM vers un autre.

Transfer Partner List (Liste des partenaires de transfert)

Dans le menu Secure Information Management (Gestion des informations sécurisées), sélectionnez Transfer Partner List (Liste des partenaires de transfert).

Vous pouvez également faire défiler la base de données et filtrer la liste des partenaires de transfert selon l'un des critères suivants :

• Transfer Partner ID (ID de partenaire de transfert)

• Description

• Contact Information (Coordonnées)

• Enabled (Activé)

• Allow Export To (Autoriser l'exportation vers)

• Allow Import From (Autoriser l'importation de)

Le bouton Use (Utiliser) applique le filtre à la liste affichée du partenaire de transfert.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Sélectionnez des options de filtre pour filtrer la liste affichée des partenaires de transfert. Seuls les partenaires de transfert qui satisfont à tous les filtres sont affichés.

Boîte combinée Filter Attribute (Attribut de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez un attribut pour le filtrage. Valeurs possibles :

• Transfer Partner ID (ID de partenaire de transfert)

• Description

• Contact Information (Coordonnées)

• Enabled (Activé)

• Allow Export To (Autoriser l'exportation vers)

• Allow Import From (Autoriser l'importation de)

Boîte combinée Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre à appliquer à l'attribut sélectionné. Cette option de filtre n'est pas affichée pour tous les attributs de filtre. Valeurs possibles :

• Egal à =

• Différent de <>

• Supérieur à >

• Inférieur à <

• Supérieur ou égal à >=

• Inférieur ou égal à <=

• Commence par ~

• Vide

• Non vide

Zone de texte Filter Value (Valeur de filtre) :

Saisissez une valeur avec laquelle filtrer l'attribut sélectionné. Cette option de filtre n'est pas affichée pour tous les attributs de filtre.

Boîte combinée Filter Value (Valeur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez une valeur avec laquelle filtrer l'attribut sélectionné. Cette option de filtre n'est pas affichée pour tous les attributs de filtre.

Cliquez sur le bouton plus (+) pour ajouter des filtres.

Cliquez sur le bouton moins (-) pour supprimer un filtre. Ce bouton apparaît uniquement si plusieurs filtres sont affichés.

Use (Utiliser) :

Ce bouton permet d'appliquer les filtres sélectionnés à la liste affichée et d'accéder à la première page.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste affichée. Il n'applique pas les filtres sélectionnés depuis la dernière utilisation du bouton Use (Utiliser) ou Reset (Réinitialiser) et ne modifie pas la page de la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'éléments pouvant être affichés sur la page active. Ajoute la mention "(last page)" (dernière page) au nombre d'éléments si vous vous trouvez à la fin de la liste. Le nombre maximal d'éléments affichés sur une page est défini par la valeur de Query Page Size (Taille d'une page de requête) dans la boîte de dialogue Options.

Transfer Partner ID (ID de partenaire de transfert) :

Affiche l'identificateur unique différenciant les partenaires de transfert les uns des autres. Cette valeur peut comporter entre 1 et 64 caractères. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

Description :

Décrit le partenaire de transfert. Cette valeur peut comporter entre 1 et 64 caractères. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

Contact Information (Coordonnées) :

Affiche les coordonnées du partenaire de transfert. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

Enabled (Activé) :

Indique si le partenaire de transfert est autorisé à partager des clés. Les valeurs possibles sont True (Vrai) ou False (Faux). Si ce champ est défini sur False (Faux), le partenaire ne peut pas partager de clés. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

Allow Export To (Autoriser l'exportation vers) :

Indique si le partenaire de transfert est autorisé à exporter des clés. Les valeurs possibles sont True (Vrai) ou False (Faux). Si ce champ est défini sur False (Faux), le partenaire ne peut pas exporter de clés. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

Allow Import From (Autoriser l'importation de) :

Indique si des clés peuvent être importées à partir de ce partenaire de transfert. Les valeurs possibles sont True (Vrai) ou False (Faux). Si ce champ est défini sur False, il est impossible d'importer des clés provenant de ce partenaire de transfert. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

Export Format (Format d'export) :

Indique si les clés peuvent être encapsulées (les clés d'encapsulation chiffrent la clé de média sur le réseau LAN et le jeton).

Dans la colonne Export Format (Format d'export), la valeur "v2.0" signifie que ce partenaire de transfert n'encapsule pas les clés lorsque qu'il les exporte.

La valeur "v2.1 (FIPS)" signifie que ce partenaire de transfert encapsule les clés lorsqu'il les exporte.

La valeur "N/A" signifie que le KMA connecté exécute le logiciel OKM 2.0.x et n'autorise donc pas l'utilisateur à sélectionner ce paramètre.

Remarque:

Pour échanger des clés avec un cluster exécutant KMS 2.0, le responsable de la sécurité doit créer un partenaire de transfert qui possède une valeur Export Format (Format d'export) de "v2.0".

Pour plus d'informations, reportez-vous au paramètre FIPS Mode Only (Mode FIPS uniquement) dans la section "Récupération des paramètres de sécurité".

Public Key ID (ID de clé publique)

Affiche l'identificateur unique différenciant les clés publiques les unes des autres. Cette valeur peut comporter entre 1 et 64 caractères. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

Public Key Fingerprint (Empreinte de la clé publique)

Affiche l'empreinte, ou valeur de hachage, de la clé publique.

Entry Date (Date de saisie)

Affiche la date à laquelle la clé publique a été saisie dans le cluster OKM.

Création d'un partenaire de transfert

Pour créer un partenaire de transfert, procédez comme suit :

1. Dans l'écran Transfer Partner List (Liste des partenaires de transfert), cliquez sur le bouton Create (Créer). La boîte de dialogue Create Transfer Partner (Création d'un partenaire de transfert) apparaît avec l'onglet General (Général) ouvert.

   
   

2. Définissez les paramètres suivants :

   Dans l'onglet General (Général) :

   Transfer Partner ID (ID de partenaire de transfert)

   Permet d'identifier le partenaire de transfert de manière unique.

   Description

   Entrez une valeur qui décrit le partenaire de transfert de manière unique. Cette valeur peut comporter entre 1 et 64 caractères. Ce champ n'est pas obligatoire.

   Contact Information (Coordonnées)

   Saisissez une valeur permettant d'identifier les coordonnées du partenaire de transfert. Ce champ n'est pas obligatoire.

   Export Format (Format d'export)

   Sélectionnez le format par défaut v2.0, ou v2.1 (FIPS) pour définir le format d'export.

   La valeur "v2.0" signifie que ce partenaire de transfert n'encapsule pas les clés lorsque qu'il les exporte.

   La valeur "v2.1 (FIPS)" signifie que ce partenaire de transfert encapsule les clés lorsqu'il les exporte.

   La valeur "Default" signifie que, lorsque vous exportez un fichier de transfert de clés pour ce partenaire de transfert, le format dépend de la configuration du paramètre FIPS Mode Only (Mode FIPS uniquement, reportez-vous à la section "Récupération des paramètres de sécurité").

   Si le mode FIPS uniquement est "Off", le format sera v2.0. Si le mode FIPS uniquement est "On", le format sera v2.1 (FIPS).

   Remarque:

   Configurer le format d'export d'un partenaire de transfert sur "Default" vous permet de modifier le format des fichiers de transfert du partenaire de transfert en modifiant simplement le paramètre de sécurité FIPS Mode Only (Mode FIPS uniquement), au lieu de modifier le paramètre de format d'export directement, modification qui devrait être authentifiée par un quorum.

   Flags - Enabled (Indicateurs - Activés)

   Cochez cette case pour autoriser ce partenaire de transfert à partager des clés. Si ce champ est désactivé, le partenaire de transfert ne peut pas partager de clés.

   Allow Export To (Autoriser l'exportation vers)

   Cochez cette case pour autoriser l'exportation de clés vers le partenaire de transfert. Si ce champ est désactivé, le partenaire de transfert ne sera pas disponible pour l'opération d'exportation.

   Allow Import From (Autoriser l'importation de)

   Cochez cette case pour indiquer si l'importation de clés à partir de ce partenaire de transfert est autorisée. Si ce champ est désactivé, il est impossible d'importer des clés provenant de ce partenaire de transfert.

3. Ouvrez l'onglet Public Keys (Clés publiques).

   
   

   Dans l'onglet Public Keys (Clés publiques), vous pouvez entrer les informations suivantes :

   New Public Key ID (Nouvel ID de clé publique)

   Saisissez l'ID de clé publique qui vous a été fourni par le partenaire de transfert.

   New Public Key (Nouvelle clé publique)

   Saisissez la clé publique qui vous a été fournie par le partenaire de transfert.

   New Public Key Fingerprint (Nouvelle empreinte de clé publique)

   Ce champ en lecture seule affiche l'empreinte (ou valeur de hachage) de la nouvelle clé publique. Vérifiez qu'elle correspond bien à celle du partenaire afin de vous assurer que la clé publique n'a pas été modifiée, accidentellement ou délibérément, lors de sa transmission.

4. Lorsque vous avez terminé, cliquez sur le bouton Save (Enregistrer).

5. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

Affichage/Modification des détails du partenaire de transfert

La boîte de dialogue Transfer Partner Details (Détails du partenaire de transfert) vous permet de visualiser des informations détaillées sur un partenaire de transfert spécifique.

Pour afficher ces détails, procédez comme suit :

1. Dans l'écran Transfer Partner List (Liste des partenaires de transfert), mettez un Transfer Partner ID (ID de partenaire de transfert) en surbrillance et cliquez sur le bouton Details (Détails). La boîte de dialogue Transfer Partner Details (Détails du partenaire de transfert) apparaît.

   
   

2. Vous pouvez modifier les champs suivants :

   • Description

   • Contact Information (Coordonnées)

   • Export Format (Format d'export)

   • Flags - Enabled (Indicateurs - Activés)

   • Allow Export To (Autoriser l'exportation vers)

   • Allow Import From (Autoriser l'importation de)

   Le champ Transfer Partner ID (ID de partenaire de transfert) est en lecture seule.

3. Lorsque vous avez terminé, cliquez sur le bouton Save (Enregistrer). L'enregistrement du partenaire de transfert dans la base de données a été modifié.

4. Ouvrez l'onglet Public Keys (Clés publiques).

   
   

5. Dans l'onglet Public Keys (Clés publiques), vous pouvez modifier les champs suivants :

   New Public Key ID (Nouvel ID de clé publique)

   Saisissez le nouvel ID de clé publique qui vous a été fourni par le partenaire de transfert.

   New Public Key (Nouvelle clé publique)

   Saisissez la nouvelle clé publique qui vous a été fournie par le partenaire de transfert.

   New Public Key Fingerprint (Nouvelle empreinte de clé publique)

   Ce champ en lecture seule affiche l'empreinte (ou valeur de hachage) de la nouvelle clé publique. Vérifiez cette clé auprès du partenaire de transfert source (l'expéditeur).

   Existing Public Keys (Clés publiques existantes)

   Cette liste affiche les clés publiques associées à ce partenaire.

6. Lorsque vous avez terminé, cliquez sur le bouton Save (Enregistrer).

7. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

Suppression d'un partenaire de transfert

Cette option donne au responsable de la sécurité la possibilité de supprimer un partenaire de transfert.

Pour supprimer un partenaire de transfert, procédez comme suit :

1. A partir de l'écran Transfer Partner List (Liste des partenaires de transfert), mettez en surbrillance le Transfer Partner ID (ID de partenaire de transfert) que vous souhaitez supprimer et cliquez sur le bouton Delete (Supprimer). La boîte de dialogue de confirmation de la suppression du partenaire de transfert s'affiche.

   
   

2. Cliquez sur le bouton Yes (Oui) pour supprimer le partenaire de transfert. Le partenaire de transfert sélectionné est supprimé et vous êtes redirigé vers l'écran Transfer Partner List (Liste des partenaires de transfert).

Menu Key Transfer Public Key List (Liste des clés publiques de transfert de clés)

Pour partager des clés entre partenaires de transfert, les responsables de la sécurité doivent d'abord accéder aux informations de clés publiques correspondant à leur cluster OKM. Ce menu fournit des informations sur les clés publiques. La clé publique et l'ID correspondant affichés par cette commande doivent être transmis au partenaire de transfert.

Affichage de la liste des clés publiques de transfert de clés

Pour afficher la liste des clés publiques de transfert de clés, procédez comme suit :

1. Dans le menu System Management (Gestion du système), sélectionnez Key Transfer Public Key List (Liste des clés publiques de transfert de clés).

Vous pouvez également faire défiler la base de données et filtrer la liste des clés publiques de transfert de clés selon l'un des critères suivants :

• Public Key ID (ID de clé publique)

• Created Date (Date de création)

• Public Key (Clé publique)

Le bouton Use (Utiliser) applique le filtre à la liste affichée des clés publiques de transfert de clés.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Sélectionnez des options de filtre pour filtrer la liste affichée des clés publiques. Seules les clés publiques qui satisfont à tous les filtres sont affichées.

Boîte combinée Filter Attribute (Attribut de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez un attribut pour le filtrage. Valeurs possibles :

• Public Key ID (ID de clé publique)

• Created Date (Date de création)

• Public Key (Clé publique)

Boîte combinée Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre à appliquer à l'attribut sélectionné. Cette option de filtre n'est pas affichée pour tous les attributs de filtre. Valeurs possibles :

• Egal à =

• Différent de <>

• Supérieur à >

• Inférieur à <

• Supérieur ou égal à >=

• Inférieur ou égal à <=

• Commence par ~

• Vide

• Non vide

Zone de texte Filter Value (Valeur de filtre) :

Saisissez une valeur avec laquelle filtrer l'attribut sélectionné. Cette option de filtre n'est pas affichée pour tous les attributs de filtre.

Boîte combinée Filter Value (Valeur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez une valeur avec laquelle filtrer l'attribut sélectionné. Cette option de filtre n'est pas affichée pour tous les attributs de filtre.

Boîte combinée Filter Value (Valeur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez une valeur avec laquelle filtrer l'attribut sélectionné. Cette option de filtre n'est pas affichée pour tous les attributs de filtre.

Cliquez sur le bouton plus (+) pour ajouter des filtres.

Cliquez sur le bouton moins (-) pour supprimer un filtre. Ce bouton apparaît uniquement si plusieurs filtres sont affichés.

Use (Utiliser) :

Ce bouton permet d'appliquer les filtres sélectionnés à la liste affichée et d'accéder à la première page.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste affichée. Il n'applique pas les filtres sélectionnés depuis la dernière utilisation du bouton Use (Utiliser) ou Reset (Réinitialiser) et ne modifie pas la page de la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'éléments pouvant être affichés sur la page active. Ajoute la mention "(last page)" (dernière page) au nombre d'éléments si vous vous trouvez à la fin de la liste. Le nombre maximal d'éléments affichés sur une page est défini par la valeur de Query Page Size (Taille d'une page de requête) dans la boîte de dialogue Options.

Public Key ID (ID de clé publique) :

Affiche l'identificateur unique différenciant les clés publiques les unes des autres. Cette valeur peut comporter entre 1 et 64 caractères. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

Created Date (Date de création) :

Affiche la date et l'heure de création de cette clé publique. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

La clé privée correspondant à la clé publique la plus récente est utilisée pour signer tous les fichiers de transfert de clés exportés.

Public Key (Clé publique) :

Affiche la clé publique utilisée pour transférer des clés entre partenaires de transfert. Cette valeur est affichée en base 64. Cliquez sur le nom de cette colonne pour trier selon cet attribut.

Public Key Fingerprint (Empreinte de la clé publique) :

Hachage de la clé publique. Cette valeur sert à vérifier que la clé publique a été transmise correctement et est affichée en base 64.

Affichage d'informations détaillées sur les clés publiques de transfert

Pour afficher les informations détaillées d'une clé publique de transfert de clés, procédez comme suit :

1. Sélectionnez une clé publique, puis cliquez sur le bouton Details (Détails).

   La boîte de dialogue Key Transfer Public Key Details (Détails de la clé publique de transfert de clés) apparaît.

Création d'une clé publique de transfert de clés

Pour créer une clé publique de transfert de clés, procédez comme suit :

1. Cliquez sur le bouton Create (Créer).

2. Fournissez la nouvelle clé à tous les partenaires de transfert existants.

   Etant donné que les fichiers de transfert de clés créés après la définition de la nouvelle clé publique de transfert seront signés au moyen de cette nouvelle clé, les partenaires doivent en disposer avant d'importer les nouveaux fichiers de transfert de clés.

Menu Backup List (Liste des sauvegardes)

L'option de menu Backup List (Liste des sauvegardes) permet au responsable de la sécurité d'effectuer les opérations suivantes :

• Affichage de l'historique des sauvegardes

• Affichage des détails d'un fichier de sauvegarde

• Restauration des sauvegardes

Affichage de l'historique des fichiers de sauvegarde

Pour afficher l'historique des fichiers de sauvegarde, procédez comme suit :

Dans le menu Secure Information Management (Gestion des informations sécurisées), sélectionnez Backup List (Liste des sauvegardes). L'écran Backup List (Liste des sauvegardes) s'affiche.

Vous pouvez également faire défiler la base de données et filtrer les fichiers de sauvegarde selon l'un des critères suivants :

• Backup ID (ID de la sauvegarde)

• KMA ID (ID du KMA)

• Created Date (Date de création)

• Destroyed Date (Date de destruction)

• Destruction Status (Statut de destruction)

• Destruction Comment (Commentaire de destruction)

Le bouton Use (Utiliser) applique le filtre à la liste affichée du fichier de sauvegarde.

Les champs et leur description sont présentés ci-dessous :

Filter (Filtre) :

Affiche les champs que vous pouvez utiliser pour filtrer les résultats des requêtes adressées au KMA. Valeurs possibles :

• Backup ID (ID de la sauvegarde)

• Created Date (Date de création)

• Destroyed Date (Date de destruction)

• Destruction Status (Statut de destruction)

• Destruction Comment (Commentaire de destruction)

Zone Filter Operator (Opérateur de filtre) :

Cliquez sur la flèche vers le bas et sélectionnez l'opérateur de filtre souhaité. Valeurs possibles :

• Egal à =

• Différent de <>

• Supérieur à >

• Inférieur à <

• Supérieur ou égal à >=

• Inférieur ou égal à <=

• Commence par ~

Zone Filter Value 1 (Valeur de filtre 1) :

Si vous avez sélectionné un filtre de date, cliquez sur Set Date (Définir la date) pour indiquer une date et une heure de début. La valeur apparaît comme valeur de départ de la plage de clés du filtre. Si vous avez sélectionné tout autre filtre, entrez une valeur dans ce champ.

Zone Filter Value 2 (Valeur de filtre 2) :

Si vous avez sélectionné un filtre de date, cliquez sur Set Date (Définir la date) pour indiquer une date et une heure de fin. La valeur apparaît comme valeur de fin de la plage de clés du filtre.

Use (Utiliser) :

Ce bouton permet d'appliquer le filtre à la liste affichée.

Refresh (Actualiser) :

Ce bouton permet d'actualiser la liste.

Reset (Réinitialiser) :

Ce bouton permet de supprimer tous les filtres et de réinitialiser la liste affichée sur la première page.

Ce bouton permet d'accéder à la première page de la liste.

Ce bouton permet d'accéder à la page précédente.

Ce bouton permet d'accéder à la page suivante.

Results in Page (Résultats de la page) :

Affiche le nombre d'enregistrements par page qui ont été configurés dans le champ Query Page Size (Taille de la page de requête) de la boîte de dialogue Options.

Backup ID (ID de sauvegarde)

Affiche un identificateur unique généré par le système qui identifie chaque fichier de sauvegarde.

KMA ID (ID du KMA)

Affiche le KMA pour lequel le fichier de sauvegarde a été généré.

Created Date (Date de création)

Affiche la date de création de la sauvegarde.

Destroyed Date (Date de destruction)

Affiche la date à laquelle la sauvegarde a été marquée comme ayant été détruite manuellement.

Destruction Status (Statut de destruction)

Indique le statut de la sauvegarde par rapport à sa destruction. Valeurs possibles :

NONE (AUCUN)

Le fichier de sauvegarde n'a pas été détruit et ne contient pas de clés d'unité de données détruites.

PENDING (EN ATTENTE)

Le fichier de sauvegarde n'a pas encore été détruit manuellement et contient des copies de clés d'unités de données détruites.

DESTROYED (DETRUIT)

Le fichier de sauvegarde a été détruit manuellement.

Destruction Comment (Commentaire de destruction)

Affiche des informations fournies par l'utilisateur concernant la destruction du fichier de sauvegarde.

Details (Détails) :

Cliquez sur ce bouton afin d'afficher des informations plus détaillées sur une sauvegarde.

Create Backup (Créer une sauvegarde) :

Cliquez sur ce bouton afin de créer une sauvegarde. Ce bouton n'est pas activé si vous êtes responsable de la sécurité.

Restore (Restaurer) :

Cliquez sur ce bouton afin de restaurer une sauvegarde.

Confirm destruction (Confirmer la destruction) :

Cliquez sur ce bouton pour confirmer la destruction d'une sauvegarde. Ce bouton n'est pas activé si vous êtes responsable de la sécurité.

Si vous souhaitez obtenir des informations plus détaillées sur une sauvegarde, mettez cette sauvegarde en surbrillance et cliquez sur le bouton Details (Détails). Pour plus d'informations, reportez-vous à la section "Affichage d'informations détaillées sur une sauvegarde".

Cliquez sur le bouton Restore (Restaurer) afin de restaurer la sauvegarde sélectionnée. Pour plus d'informations, reportez-vous à la section "Restauration d'une sauvegarde".

Affichage d'informations détaillées sur une sauvegarde

La boîte de dialogue Backup Details (Détails de la sauvegarde) est utilisée pour afficher les détails d'un fichier de sauvegarde.

Remarque:

Les fichiers de sauvegarde sont créés et restaurés sur le KMA.

Pour afficher les détails d'un fichier de sauvegarde, procédez comme suit :

1. Dans l'écran Backups List (Liste des sauvegardes), cliquez deux fois sur l'entrée de sauvegarde pour laquelle vous souhaitez obtenir plus d'informations ou mettez l'entrée de sauvegarde en surbrillance et cliquez sur le bouton Details (Détails). La boîte de dialogue Backup Details (Détails de la sauvegarde) s'affiche avec tous les champs en lecture seule.

   
   

2. Les champs et leur description sont présentés ci-dessous :

   Backup ID (ID de sauvegarde)

   Affiche un identificateur unique généré par le système qui identifie chaque fichier de sauvegarde.

   KMA ID (ID du KMA)

   Affiche le KMA sur lequel ce fichier de sauvegarde est généré.

   Created Date (Date de création)

   Affiche la date de l'heure de création du fichier de sauvegarde.

   Completed Date (Date de fin)

   Affiche la date et l'heure de fin du fichier de sauvegarde.

   Downloaded Date (Date de téléchargement)

   Affiche la date et l'heure de téléchargement du fichier de sauvegarde.

   Destroyed Date (Date de destruction)

   Affiche la date de destruction du fichier de sauvegarde.

   Destruction Status (Statut de destruction)

   Indique le statut de la sauvegarde par rapport à sa destruction.

   Destruction Comment (Commentaire de destruction)

   Affiche des informations fournies par l'utilisateur concernant la destruction du fichier de sauvegarde.

3. Cliquez sur le bouton Close (Fermer) pour fermer cette boîte de dialogue.

Restauration d'une sauvegarde

Cette fonction vous permet de télécharger et de restaurer une sauvegarde composée d'un fichier de sauvegarde et d'un fichier de clés de sauvegarde sur le KMA. Avant de restaurer un fichier de sauvegarde sur un KMA, assurez-vous de bénéficier du quorum d'authentification requis.

Important – Avant de commencer cette procédure, vous devez effectuer les étapes de la section "Restauration d'un cluster depuis une sauvegarde".

Pour restaurer une sauvegarde, procédez comme suit :

1. Dans l'écran Backup List (Liste des sauvegardes), mettez en surbrillance la sauvegarde que vous souhaitez restaurer et cliquez sur le bouton Restore (Restaurer). La boîte de dialogue Restore Backup (Restauration d'une sauvegarde) s'affiche.

2. Sélectionnez la sauvegarde de sécurité principale voulue, le fichier de clés de sauvegarde et le fichier de sauvegarde. Le fichier de clés de sauvegarde et la sauvegarde doivent correspondre. Autrement dit, ils doivent avoir été créés au même moment. La sauvegarde de sécurité principale peut être plus ancienne ou plus récente que ces deux fichiers. Il est possible d'utiliser n'importe quel fichier de sauvegarde de sécurité principale avec tout fichier de clés de sauvegarde et tout fichier de sauvegarde.

3. Cliquez sur le bouton Start (Démarrer).

   
   

4. Une fois le processus de téléchargement terminé, la boîte de dialogue Restore Backup (Restauration d'une sauvegarde) vous en informe, puis la boîte de dialogue Key Split Quorum Authentication (Authentification par quorum de scission de clés) s'affiche. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Remarque:

   Le responsable de la sécurité doit fournir un quorum suffisant de références de scission de clés. Vous définissez initialement la valeur Key Split Threshold (Seuil de scission des clés), laquelle détermine la taille du quorum, dans le processus décrit à la section "Saisie des références de scission de clés". La valeur du quorum peut être modifiée selon les indications de la section "Modification de la configuration de scissions de clé".

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

5. La boîte de dialogue Restore Backup (Restauration d'une sauvegarde) s'affiche, en indiquant le statut du processus de restauration.

6. Les champs et leur description sont présentés ci-dessous :

   Backup File Name (Nom du fichier de sauvegarde)

   Nom du fichier de sauvegarde.

   Backup Wrapping Key File Name (Nom de fichier de la clé d'encapsulation de sauvegarde)

   Affiche le nom du fichier de clés de sauvegarde.

   Core Security Backup File Name (Nom du fichier de la sauvegarde de sécurité principale)

   Nom du fichier de sauvegarde contenant les informations sur les clés de la sécurité principale.

7. Une fois la restauration terminée, un message vous en informe. Cliquez sur le bouton Close (Fermer) pour fermer cette boîte de dialogue. La base de données et le magasin de clés sécurisé sont restaurés sur le KMA.

Remarque:

Après avoir restauré une sauvegarde, vous devez mettre à jour les paramètres d'adresse IP du KMA. Les paramètres réseau ne sont pas sauvegardés, et donc pas restaurés. Reportez-vous aux sections "Configuration de l'adresse IP de gestion du KMA" et "Configuration des adresses IP de service du KMA".

Menu System Dump (Vidage système)

Le menu System Dump (Vidage système) crée un vidage système permettant de résoudre des problèmes et le télécharge dans un fichier compressé situé sur le système lorsque OKM Manager est en cours d'exécution. Le fichier téléchargé est enregistré dans un format compatible avec les utilitaires de compression.

Remarque:

Le vidage ne contient aucune information sur les clés permettant de déduire celles-ci.

Création d'un vidage système

1. Pour créer un vidage système, dans le menu System Management (Gestion du système), sélectionnez System Dump (Vidage système). L'écran s'affiche, présentant un fichier *.tar.Z généré automatiquement. Le cas échéant, vous pouvez cliquer sur Browse (Parcourir) afin de sélectionner un chemin de destination.

2. Cliquez sur le bouton Start (Commencer) pour commencer le téléchargement. Le système affiche en temps réel des messages indiquant la quantité d'informations de vidage système en cours de téléchargement et vous informe de la fin de l'opération.

3. Accédez au chemin de destination et ouvrez le fichier *.tar.Z afin d'afficher les informations de vidage système.

Les champs et leur description sont présentés ci-dessous :

File Name (Nom du fichier) :

Affiche un nom de fichier *.tar.gz généré automatiquement.

Browse (Parcourir) :

Cliquez sur ce bouton pour spécifier l'emplacement de ce fichier.

Start (Démarrer) :

Cliquez sur ce bouton pour lancer le processus de téléchargement.

Menu Security Parameters (Paramètres de sécurité)

Le menu Security (Sécurité) donne au responsable de la sécurité la possibilité de visualiser et de modifier les paramètres de sécurité du KMA.

Récupération des paramètres de sécurité

Remarque:

Le bouton Master Key Provider (Fournisseur de clés principales) sert uniquement si vous souhaitez que le cluster OKM récupère des clés principales d'un mainframe IBM. Le bouton est activé uniquement lorsque la version de réplication du cluster OKM est définie sur 11 ou une version supérieure et que la valeur FIPS Mode Only (Mode FIPS uniquement) est "Off".

Reportez-vous au document OKM-ICSF Integration Guide pour plus d'informations.

Pour récupérer les paramètres de sécurité, procédez comme suit :

Dans le menu Security (Sécurité), sélectionnez Security Parameters (Paramètres de sécurité). L'écran Security Parameters (Paramètres de sécurité) s'affiche en mode lecture seule.

Les champs et leur description sont présentés ci-dessous :

Remarque:

Pour les six champs suivants liés à la conservation, il existe un seul journal d'audit, lequel réside dans le plus grand système de fichiers du KMA.

Il est intéressant d'ajuster ces paramètres afin de contrôler le nombre d'entrées de journal d'audit renvoyées dans les requêtes que vous émettez à partir du menu Audit Event List (Liste des événements d'audit, reportez-vous à la section "Affichage des journaux d'audit").

Les entrées du journal d'audit peuvent être conservées à court terme, moyen terme ou long terme. Le KMA tronque (supprime) les anciennes entrées de journal d'audit en fonction de la limite et du cycle de vie qui leur sont assignés.

Par exemple, les entrées de journal d'audit à court terme sont généralement tronquées plus souvent que celles à moyen terme, qui sont elles-mêmes tronquées plus souvent que les entrées à long terme.

Le responsable de la sécurité peut définir ces limites et ces cycles de vie de conservation afin de contrôler la fréquence à laquelle les anciennes entrées de journal d'audit sont supprimées.

Short Term Retention Audit Log Size Limit (Limite de la taille du journal d'audit de conservation à court terme)

Affiche le nombre d'entrées du journal d'audit à court terme conservées avant leur troncation. La valeur par défaut est égale à 10 000. La valeur minimale est de 1 000 tandis que la valeur maximale est de 1 000 000.

Short Term Retention Audit Log Lifetime (Durée de vie du journal d'audit de conservation à court terme)

Affiche la durée de conservation (en jours) des entrées du journal d'audit à court terme avant leur troncation. La valeur par défaut est de 7 jours. La valeur minimale est 7 jours et la valeur maximale est 25 185 jours (environ 69 ans).

Medium Term Retention Audit Log Size Limit (Limite de la taille du journal d'audit de conservation à moyen terme)

Affiche le nombre d'entrées du journal d'audit à moyen terme conservées avant leur troncation. La valeur par défaut est égale à 100 000. La valeur minimale est de 1 000 tandis que la valeur maximale est de 1 000 000.

Medium Term Retention Audit Log Lifetime (Durée de vie du journal d'audit de conservation à moyen terme)

Affiche la durée de conservation (en jours) des entrées du journal d'audit à moyen·terme avant leur troncation. La valeur par défaut est de 90 jours. La valeur minimale est 7 jours et la valeur maximale est 25 185 jours.

Long Term Retention Audit Log Size Limit (Limite de la taille du journal d'audit de conservation à long terme)

Affiche le nombre d'entrées du journal d'audit de conservation à long terme conservées avant leur troncation. La valeur par défaut est égale à 1 000 000. La valeur minimale est de 1 000 tandis que la valeur maximale est de 1 000 000.

Long Term Retention Audit Log Lifetime (Durée de vie du journal d'audit de conservation à long terme)

Affiche la durée de conservation (en jours) des entrées du journal d'audit à long·terme avant leur troncation. La valeur par défaut est de 730 jours. La valeur minimale est 7 jours et la valeur maximale est 25 185 jours.

Login Attempt Limit (Nombre maximum de tentatives de connexion)

Indique le nombre maximal d'échecs de tentatives de connexion avant la désactivation de l'entité. La valeur par défaut est égale à 5. La valeur minimale est de 1 tandis que la valeur maximale est de 1 000.

Passphrase Minimum Length (Longueur minimale de la phrase de passe)

Affiche la longueur minimale de la phrase de passe. La valeur par défaut est de 8 caractères. La valeur minimale comporte 8 caractères ; la valeur maximale comporte 64 caractères.

Management Session Inactivity Timeout (Délai d'inactivité d'une session de gestion)

Affiche la durée maximale (en minutes) qu'une session OKM Manager ou de console peut rester inactive avant d'être déconnectée automatiquement. La modification de cette valeur est sans effet sur les sessions déjà en cours. La valeur par défaut est égale à 15 minutes. La valeur minimale est de 0 (ce qui signifie qu'aucune valeur temporelle n'est utilisée) tandis que la valeur maximale est de 60 minutes.

FIPS Mode Only (Mode FIPS uniquement)

Affiche les paramètres d'importation de clé et de fichier de transfert de format.

La valeur "Off" spécifie que les KMA encapsulent les clés chaque fois qu'ils communiquent avec les agents prenant en charge l'encapsulation de clés AES. La plupart des clients doivent exécuter un microprogramme de lecteur de bande prenant en charge l'encapsulation des clés AES avec le service de l'agent OKM.

Tous les fournisseurs PKCS#11 compatibles OKM prennent en charge l'encapsulation des clés AES. Pour le confirmer, affichez le journal d'audit OKM et vérifiez que les agents utilisent les opérations de service de l'agent répertoriées ci-dessous. Spécifiez un filtre d'audit pour Operation et sélectionnez l'une des opérations spécifiques suivantes dans la liste déroulante :

• Create Key v2 (Créer une clé v2)

• Retrieve key v2 (Récupérer une clé v2)

• Retrieve key v2 (Récupérer des clés v2)

• Retrieve Protect and Process Key v2 (Récupérer une clé Protection et traitement v2)

La présence d'événements d'audit dans la liste qui s'affiche confirme que l'agent spécifié utilise l'encapsulation des clés AES avec OKM.

La valeur "On" spécifie que les KMA de ce cluster encapsulent les clés à l'aide d'une clé d'encapsulation AES (Advanced Encryption Standard) avant de les envoyer aux agents (lecteurs de bande). Le KMA ne peut pas importer des clés 1.0 . Il permet l'exportation et l'importation de fichiers de transfert de format v2.1 (FIPS) uniquement.

La valeur "On" peut être définie seulement si la réplication est de version 10 ou supérieure.

Pour plus d'informations, reportez-vous au paramètre Export Format (Format d'export) dans la section "Transfer Partner List (Liste des partenaires de transfert)".

Pending Operation Credentials Lifetime (Cycle de vie des références d'opérations en attente) :

Durée (en jours) de conservation des références de scission de clés ayant approuvé une opération de quorum en attente. Si un nombre insuffisant de références de scission de clés approuvent l'opération de quorum en attente avant la fin de ce cycle de vie, ces références expirent. Une fois que les références ont expiré, les membres du quorum doivent approuver à nouveau l'opération de quorum en attente. La valeur par défaut est de 2 jours. Cette valeur est utilisée seulement si la réplication est de version 11 ou supérieure.

Si vous souhaitez modifier les paramètres de sécurité, cliquez sur le bouton Modify (Modifier). Pour plus d'informations, reportez-vous à la section "Modification des paramètres de sécurité".

Modification des paramètres de sécurité

Pour modifier les paramètres de sécurité, procédez comme suit :

1. Dans l'écran Security Parameters List (Liste des paramètres de sécurité), cliquez sur le bouton Modify (Modifier). L'écran Modify Security Parameters (Modifier les paramètres de sécurité) s'affiche.

   
   

   Les champs sont décrits dans la section "Short Term Retention Audit Log Size Limit (Limite de la taille du journal d'audit de conservation à court terme)".

2. Modifiez les paramètres de sécurité selon vos besoins. Lorsque vous avez terminé, cliquez sur le bouton Save (Enregistrer). Les modifications sont enregistrées dans la base de données du KMA.

Core Security (Sécurité principale)

L'élément essentiel du composant Core Security (Sécurité principale) correspond aux informations de clé racine. Il s'agit des données de clé générées au moment de l'initialisation du cluster. Les données de clé racine protègent la clé principale. La clé principale est une clé symétrique destinée à protéger les clés d'unités de données stockées sur le KMA.

La sécurité principale est protégée au moyen d'un modèle de scission de clé nécessitant un quorum d'utilisateurs défini dans les références de scission de clé en vue de fournir les noms d'utilisateur et phrases de passe de ces personnes pour déchiffrer les données de clé racine.

Ce mécanisme de sécurité implique deux états de fonctionnement pour le KMA : verrouillé et déverrouillé.

Un KMA verrouillé ne permet pas de déchiffrer les données de clé racine et, de ce fait, ne peut pas accéder aux clés des unités de données. En conséquence, le KMA n'est pas en mesure de répondre aux demandes des agents en vue d'enregistrer de nouvelles unités de données ou de récupérer des clés d'unités de données existantes.

Un KMA déverrouillé est capable d'utiliser les données de clé racine afin d'accéder aux clés d'unités de données et de répondre aux demandes des agents.

Menu Core Security Management (Gestion de la sécurité principale)

Le menu Core Security (Sécurité principale) propose les options suivantes :

Il permet au responsable de la sécurité d'effectuer les opérations suivantes :

• Création d'une sauvegarde de la sécurité principale

• Affichage/Modification des références de scission de clés

• Activation/Désactivation de l'option de déverrouillage autonome

Backup Core Security (Sauvegarder la sécurité principale)

L'option Backup Core Security (Sauvegarder la sécurité principale) permet au responsable de la sécurité de sauvegarder les données de clés de la sécurité principale et de les télécharger dans un fichier situé sur le système local.

Mise en garde:

Veillez à protéger soigneusement les fichiers de sauvegarde de la sécurité principale. Comme le fichier de sauvegarde de la sécurité principale peut s'utiliser avec n'importe quelle paire de fichier de sauvegarde/fichier de clé de sauvegarde, même les anciennes versions peuvent s'avérer utiles.

Création d'une sauvegarde de la sécurité principale

Une nouvelle sauvegarde de la sécurité principale doit être effectuée après chaque modification des références de scission de clés.

Important – Le responsable de la sécurité doit sauvegarder les données de clés de la sécurité principale avant de créer une sauvegarde. Reportez-vous à la section "Création d'une sauvegarde".

1. Dans le menu Core Security (Sécurité principale), sélectionnez Backup Core Security (Sauvegarder la sécurité principale). L'écran Backup Core Security (Sauvegarder la sécurité principale) s'affiche.

   Remarque:

   Les noms des fichiers de sauvegarde sont générés automatiquement. Toutefois, vous pouvez les modifier et choisir le bouton Browse (Parcourir) afin de sélectionner le chemin de destination.
   
   

2. Cliquez sur le bouton Start (Commencer) afin de créer le fichier de sauvegarde de la sécurité principale et de le télécharger vers la destination définie par l'utilisateur.

3. Une fois la sauvegarde terminée, un message s'affiche à l'écran. Cliquez sur le bouton Close (Fermer) pour fermer cette boîte de dialogue.

4. Vous revenez à l'écran Backup Core Security (Sauvegarder la sécurité principale).

Key Split Configuration (Configuration de scissions de clé)

L'option de menu Key Split Configuration (Configuration de scissions de clé) permet au responsable de la sécurité d'afficher et de modifier les références de scission de clés du KMA.

Affichage de la configuration de scissions de clé

Pour afficher la configuration de scissions de clé, procédez comme suit :

1. Dans le menu Core Security (Sécurité principale), sélectionnez Key Split Configuration (Configuration de scissions de clé). La boîte de dialogue Key Split Configuration (Configuration de scissions de clé) s'ouvre.

   
   

Les champs et leur description sont présentés ci-dessous :

Key Split Number (Nombre de scissions de clé)

Affiche le nombre de scissions de clé. La valeur maximale est 10.

Threshold Number (Seuil)

Affiche le nombre d'utilisateurs requis pour l'authentification d'un quorum.

Split User (1-10) (Utilisateur de scission (1-10))

Affiche le nom des utilisateurs de la scission existante.

Si vous souhaitez modifier les noms d'utilisateur, les phrases de passe ou le seuil d'une scission de clé, cliquez sur le bouton Modify (Modifier). Pour plus d'informations, reportez-vous à la section "Modification de la configuration de scissions de clé".

Modification de la configuration de scissions de clé

Pour modifier la configuration de scissions de clé, procédez comme suit :

1. Dans l'écran Key Split Configuration (Configuration de scissions de clé), cliquez sur le bouton Modify (Modifier). La boîte de dialogue Modify Key Split Configuration (Modification de la configuration des scissions de clé) s'affiche.

   
   

2. Définissez les paramètres suivants et cliquez sur le bouton OK :

   Key Split Number (Nombre de scissions de clé)

   Saisissez une nouvelle valeur correspondant au nombre de scissions de clé. Le nombre maximum est de 10.

   Threshold Number (Seuil)

   Indiquez une nouvelle valeur indiquant le nombre d'utilisateurs requis pour former un quorum.

   Split User (Utilisateur de la scission) x

   Saisissez un nouveau nom d'utilisateur. Pour chaque utilisateur de la scission, renseignez les champs de la phrase de passe et de la confirmation de la phrase de passe.

   Remarque:

   Le nombre de champs Split User activés varie en fonction de la valeur saisie dans le champ Key Split Number.

3. Cliquez sur le bouton Save (Enregistrer) une fois le dernier nom d'utilisateur et la dernière phrase de passe indiqués.

4. La boîte de dialogue Key Split Quorum Authentication (Authentification du quorum de scission de clés) s'affiche une fois les références de scission de clés spécifiées. Saisissez le nom d'utilisateur et la phrase de passe correspondant aux références de quorum existantes, puis cliquez sur OK. Cela nécessitait de définir de nouvelles références à l'étape 2 et à l'étape 3.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

5. Le système met à jour les informations de l'ancienne configuration dans la base de données. La nouvelle configuration s'affiche dans l'écran Key Split Credentials (Références de scission de clés).

   Remarque:

   Les données de clé de la sécurité principale sont réencapsulées au moyen des références de scission de clés mises à jour.

6. Créez une nouvelle sauvegarde de la sécurité principale (reportez-vous à la section "Création d'une sauvegarde de la sécurité principale").

   Remarque:

   Détruisez tous les anciens fichiers de sauvegarde de sécurité principale afin de vous assurer que les anciennes références de scission de clés ne pourront pas être utilisées pour détruire une sauvegarde.

Autonomous Unlock Option (Option de déverrouillage autonome)

L'option de menu Autonomous Unlock Option (Option de déverrouillage autonome) permet au responsable de la sécurité d'activer ou de désactiver l'option autonome s'appliquant au KMA.

Pour activer ou désactiver l'option Autonomous Unlock Option (Option de déverrouillage autonome), procédez comme suit :

1. Dans le menu Core Security (Sécurité principale), choisissez Autonomous Unlock Option (Option de déverrouillage autonome). L'écran Autonomous Unlock Option (Option de déverrouillage autonome) s'affiche, indiquant le statut actuel.

   
   

2. Selon le statut d'initialisation autonome actif, choisissez Enable Autonomous Unlock (Activer le déverrouillage autonome) pour activer cette option ou Disable Autonomous Unlock dans le cas contraire.

   Remarque:

   Le bouton Lock/Unlock (Verrouiller/Déverrouiller) permet de basculer entre les deux états et de définir l'état verrouillé du KMA contraire à l'état actif.

   Vous devez indiquer un quorum permettant d'activer ou de désactiver l'option de déverrouillage autonome.

3. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

Menu Local Configuration (Configuration locale)

Le menu Local Configuration (Configuration locale) propose les options suivantes :

• Verrouillage/Déverrouillage du KMA

• Mise à niveau du logiciel (reportez-vous à la section "Menu Software Upgrade (Mise à niveau du logiciel)")

• Informations de configuration réseau

• Fonction ASR

Lock/Unlock KMA (Verrouiller/Déverrouiller le KMA)

L'option de menu Lock/Unlock KMA (Verrouiller/Déverrouiller le KMA) permet au responsable de la sécurité de verrouiller ou de déverrouiller la sécurité principale du KMA. Reportez-vous à la section "Core Security (Sécurité principale)" pour en savoir plus sur la sécurité principale et le comportement du KMA lorsque celle-ci est verrouillée ou déverrouillée.

Verrouillage du KMA

Pour verrouiller le KMA, procédez comme suit :

1. Dans le menu System Management (Gestion du système), choisissez Lock/Unlock KMA (Verrouiller/Déverrouiller le KMA). L'écran Lock/Unlock KMA (Verrouiller/Déverrouiller le KMA) s'affiche, indiquant l'état du KMA. Dans cet exemple, il s'agit de l'état Unlocked.

   
   

2. Cliquez sur le bouton Lock KMA pour verrouiller le KMA. Une fois le bouton activé, son libellé change de manière à refléter le nouvel état de verrouillage et l'opération autorisée. Le KMA est désormais verrouillé.

   Remarque:

   Le bouton Lock KMA/Unlock KMA permet de basculer entre les deux états et de définir l'état verrouillé du KMA contraire à l'état actif. Une fois le bouton activé, le libellé de texte et le libellé du bouton changent de manière à refléter le nouvel état de verrouillage et l'opération autorisée.

Déverrouillage du KMA

Pour déverrouiller le KMA, procédez comme suit  :

1. Dans l'écran Lock/Unlock KMA (Verrouiller/Déverrouiller le KMA), cliquez sur le bouton Unlock KMA (Déverrouiller le KMA).

   
   

2. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les membres du quorum doivent saisir leur nom d'utilisateur et phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

3. Si l'authentification réussit, la boîte de dialogue Key Split Quorum Authentication (Authentification du quorum de scission de clés) se ferme et le KMA est déverrouillé.

   
   

Software Upgrade (Mise à niveau du logiciel)

L'option Software Upgrade (Mise à niveau du logiciel) vous permet d'appliquer des mises à niveau logicielles. Cette opération se déroule en deux étapes :

• L'opérateur télécharge un fichier de mise à niveau logicielle sur le KMA et applique immédiatement la mise à niveau. Pour plus d'informations, reportez-vous à la section "Chargement et application des mises à niveau logicielles".

• Le responsable de la sécurité active la version logicielle inactive que l'opérateur a téléchargée et appliquée.

Les mises à jour logicielles sont signées par Oracle et vérifiées par le KMA avant d'être appliquées.

Instructions relatives à l'implémentation de mises à niveau logicielles

• Avant d'exécuter cette fonction, sauvegardez votre système. Pour obtenir les procédures, reportez-vous à la section "Création d'une sauvegarde".

• Utilisez une version de l'interface utilisateur du gestionnaire OKM qui correspond à la version de la mise à niveau que vous souhaitez charger sur le(s) KMA.

• Les KMA exécutant OKM 3.0 peuvent afficher jusqu'à trois versions logicielles dans l'écran Software Upgrade (Mise à niveau du logiciel). Les interfaces graphiques utilisateur OKM 2.x ne peuvent pas activer une version logicielle sur un KMA OKM 3.0. Installez et utilisez une interface graphique utilisateur Oracle Key Manager 3.0 avant de télécharger ou d'activer une version logicielle sur un KMA OKM 3.0.

• Dans le cas des KMA OKM&nsbp;3.0, l'écran Software Upgrade (Mise à niveau du logiciel) affiche les versions logicielles dans l'ordre chronologique inversé, c'est-à-dire que la version la plus récente apparaît en premier dans la liste. Examinez la colonne Active (Actif) pour identifier la version active.

• Les KMA OKM 2.x ne peuvent pas être mis à niveau vers OKM 3.0. Ne tentez pas de télécharger ni d'appliquer un package de mise à niveau OKM 3.0 sur un KMA OKM 2.x.

• Les KMA exécutant KMS 2.1 ou une version antérieure doivent effectuer la mise à niveau vers KMS 2.2 avant de pouvoir effectuer la mise à niveau vers OKM 2.3 et les versions ultérieures.

• Le processus de chargement et d'application peut être long si le gestionnaire OKM est connecté à distance au KMA ou si la connexion entre le gestionnaire OKM et le KMA est lente. Pour atténuer cela, le fichier de mise à niveau logicielle peut être téléchargé sur une station de travail ou un ordinateur portable sur lequel le gestionnaire OKM est installé et qui est connecté au même sous-réseau que le KMA. La présence d'un routeur entre le gestionnaire OKM et le KMA peut ralentir le processus de mise à niveau.

• Les processus de chargement et application, avec une bonne connexion entre le gestionnaire OKM et le KMA, nécessitent au mieux 30 minutes. Le processus d'activation nécessitent au mieux entre 5 et 15 minutes. Si le processus de chargement est très lent, essayez de vous connecter au même sous-réseau que le KMA.

• Chargez et appliquez le fichier de mise à niveau logicielle sur chaque KMA l'un après l'autre (pour aider à étaler la charge du réseau), puis activez la mise à niveau logicielle sur chaque KMA l'un après l'autre (pour réduire le nombre de KMA simultanément hors ligne).

• Si l'un des processus de mise à niveau échoue (chargement, vérification, application, activation, changement de la version de réplication), le gestionnaire OKM génère des messages d'audit décrivant le motif de l'échec et une solution proposée.

• Le compte de support technique est désactivé sur les KMA mis à niveau et les comptes doivent être réactivés si nécessaire.

Activation d'une version logicielle

Une fois que l'opérateur a téléchargé et appliqué la mise à niveau logicielle, le responsable de la sécurité active la version logicielle inactive.

1. Dans le menu Local Configuration (Configuration locale), sélectionnez Software Upgrade (Mise à niveau du logiciel). L'écran Software Upgrade (Mise à niveau du logiciel) s'affiche.

   La version active du logiciel est mise en surbrillance et la colonne Active est définie sur True (Vrai). Toutes les versions inactives sont également affichées. Pour les KMA OKM 3.0, la chaîne de version a le format suivant : <OKM release>-5.11-<OKM build>. Par exemple : 3.0.0-5.11-2012.

   
   

   Les boutons affichés sur cet écran incluent :

   Activate (Activer)

   Sélectionnez une version logicielle inactive, puis cliquez sur ce bouton pour activer la version logicielle sélectionnée. Des messages s'affichent pour indiquer que cette version logicielle est activée et le KMA se réinitialise.

   Switch Replication Version (Changer la version de réplication)

   Sélectionnez la version logicielle active, puis cliquez sur ce bouton pour changer la version de réplication.

   Software Upgrade File Name (Nom du fichier de mise à niveau logicielle)

   L'opérateur peut entrer le nom du fichier de mise à niveau logicielle.

   Browse (Parcourir)

   L'opérateur peut cliquer sur ce bouton pour rechercher le fichier de mise à niveau logicielle sur votre système local.

2. Assurez-vous qu'il existe une sauvegarde actuelle du cluster OKM.

   Pour activer le fichier de mise à niveau, sélectionnez la nouvelle version dans la liste des versions disponibles en haut de l'écran, puis cliquez sur le bouton Activate (Activer). Jusqu'à ce qu'elle soit activée, la nouvelle version reste inactive sur le système.

   Remarque:

   Le KMA redémarre dans le cadre du processus d'activation. Etant donné que le KMA est hors ligne lors de sa réinitialisation, il n'est peut-être pas souhaitable d'activer plusieurs KMA simultanément dans un cluster.

   Les utilisateurs restent connectés jusqu'à la réinitialisation du KMA. Lorsque vous accédez à nouveau à l'écran Software Upgrade (Mise à niveau du logiciel), la nouvelle version logicielle téléchargée est affichée comme étant la version active.

3. La boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum) s'ouvre. Les utilisateurs membres du quorum doivent saisir leur nom d'utilisateur et leur phrase de passe afin d'authentifier l'opération.

   
   

   Si vous fournissez un nombre suffisant de références de scission de clés de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), les informations sont alors mises à jour dans le cluster OKM après avoir fourni un quorum et non pas lorsque vous cliquez sur le bouton Save (Enregistrer).

   Si vous ne fournissez pas un nombre suffisant de quorum dans la boîte de dialogue Key Split Quorum Authentication (Authentification de scission de clés de quorum), deux conséquences différentes peuvent se produire en fonction de la version de réplication :

   • La nouvelle version logicielle peut inclure de nouvelles fonctionnalités qui seront disponibles uniquement si la version de réplication du cluster OKM est passée à une valeur supérieure.

   • Le cluster OKM doit être basculé sur la nouvelle version de réplication pour activer toutes les nouvelles fonctionnalités de cette nouvelle version logicielle.

   Version de réplication :	Résultats :
   10 or lower (10 ou inférieur)	L'opération échoue et aucune information n'est mise à jour dans le cluster OKM.
   11 or higher (11 ou supérieur)	L'opération est en attente. Autrement dit, le système ajoute l'opération à une liste d'opérations du quorum en attente (reportez-vous à la section "Menu Pending Quorum Operation List (Menu de la liste des opérations du quorum en attente)"). Un message contextuel s'affiche une fois que l'opération est ajoutée à la liste. Aucune information n'est mise à jour dans le cluster OKM jusqu'à ce que les utilisateurs ayant un rôle Quorum Member (Membre du quorum) se connectent et fournissent un nombre suffisant de quorum.

   
   

Changement de la version de réplication

Certaines fonctionnalités de la version logicielle actuelle sont disponibles seulement si la version de réplication du cluster OKM est définie sur la plus grande valeur prise en charge par cette version logicielle.

Le responsable de la sécurité définit la version de réplication manuellement. Elle ne fait jamais l'objet d'une modification automatique.

1. Ouvrez une session sur un KMA qui a été activé et accédez à l'écran Software Upgrade (Mise à niveau du logiciel). Si la colonne Supported Replication Versions (Versions de réplication prises en charge) présente une version supérieure à celle de la colonne Current Replication Version (Version de réplication actuelle), cliquez sur le bouton Switch Replication Version (Changer la version de réplication).

   
   

2. Sélectionnez une nouvelle version de réplication et cliquez sur le bouton OK.

   La version de réplication actuelle affiche désormais la version la plus élevée et le changement de réplication est notifié à tous les autres KMA du cluster OKM.

   Remarque:

   Tous les KMA du cluster doivent répondre et tous les KMA doivent exécuter une version KMS ou OKM prenant en charge la version de réplication que le responsable de la sécurité souhaite configurer.

Le Tableau 5-2 dresse la liste des fonctionnalités qui nécessitent une version de réplication spécifique (ou version supérieure) dans les différentes versions de KMS et d'OKM.

Tableau 5-2 Versions de réplication/Fonctionnalités

Version de réplication	Version KMS/OKM	Fonctionnalités activées
8	2.0	Toutes les fonctionnalités liées à la version initiale
9	2.0.2	Clés dans la sauvegarde (les clés prêtes apparaissent dans les sauvegardes)
10	2.1	Adresses IPv6 Encapsulation des clés AES (mode FIPS)
11	2.2	Intégration ICSF Quorum distribué Protocole SNMP version 2c
12	2.3	Accélération des mises à jour initiales
13	2.4	Roaming des agents
14	2.5.2	Allow Agents To Revoke Keys (Autoriser les agents à révoquer les clés)
15	3.0	Traitement des durées disponibles dans les rapports sur les performances

Informations de configuration réseau

L'option de menu Network Configuration (Configuration réseau) permet d'afficher les paramètres de configuration réseau du KMA auquel vous êtes connecté. Ces paramètres sont établis dans les écrans de configuration décrits à la section "Utilisation de la console OKM".

Affichage de la configuration réseau

Pour afficher la configuration réseau, dans le menu Local Configuration (Configuration locale), sélectionnez Network Configuration (Configuration réseau). L'écran Network Configuration (Configuration réseau) s'affiche.

Ces champs sont les suivants :

Description

Indique si les informations associées s'appliquent à l'adresse du réseau de gestion ou à l'adresse du réseau d'assistance.

Interface Name (Nom de l'interface)

Nom d'hôte du réseau de gestion ou du réseau d'assistance établi dans le programme QuickStart.

IP Address (Adresse IP)

Adresse IP du réseau de gestion ou du réseau d'assistance.

Netmask (Masque de réseau)

Adresse du masque de sous-réseau du réseau de gestion ou du réseau d'assistance.

DNS Server(s) (Serveur(s) DNS)

Un ou plusieurs serveurs de noms DNS (le cas échéant) utilisés par ce KMA.

DNS Domain Name (Nom de domaine DNS)

Domaine DNS (le cas échéant) utilisé par ce KMA.

DNS Configured by DHCP (DNS configuré via DHCP)

Indique si ces paramètres DNS ont été configurés implicitement via DHCP.

Remarque:

Lorsque l'interface graphique utilisateur Oracle Key Manager est connectée à un KMA OKM 3.0, le panneau Network Configuration (Configuration réseau) n'affiche pas l'option DNS Configured by DHCP (DNS configuré via DHCP). Le programme QuickStart affiche des information DNS acquises via DHCP, mais l'utilisateur doit saisir des informations DNS statiques ou désactiver cette fonction complètement, en suivant les instructions de la section "Définition des paramètres DNS". Par conséquent, la case DNS Configured by DHCP (DDNS configuré via DHCP) n'apparaît pas.

Using DHCP (Utilisation de DHCP)

Indique si le réseau de gestion ou d'assistance utilise le protocole DHCP.

Destination

Sous-réseau ciblé par le trafic réseau issu de ce KMA.

Gateway (Passerelle)

Adresse IP de la passerelle vers laquelle le trafic réseau est acheminé pour le réseau de gestion ou le réseau d'assistance.

Modifiable

Indique si la configuration de la passerelle est modifiable ou non. Les passerelles qui sont configurées automatiquement ne sont pas modifiables.

Menu Current Load (Charge en cours)

Ce menu vous permet de demander les informations de charge relatives au KMA auquel l'interface utilisateur est connectée. Tous les rôles utilisateur peuvent accéder à ces informations.

Affichage de la charge en cours

Pour afficher la charge en cours, cliquez sur Current Load (Charge en cours) dans le menu Local Configuration (Configuration locale).

Menu System Time (Heure système)

L'option de menu System Time (Heure système) vous permet de régler l'horloge système à laquelle vous êtes connecté. Pour garantir le bon fonctionnement de la solution OKM, il est extrêmement important de maintenir les heures des différents KMA d'un cluster dans une plage d'écarts maximale de cinq minutes les unes par rapport aux autres. Vous pouvez fournir une adresse IPv6 pour un serveur NTP externe.

Récupération des informations sur l'horloge locale

Pour récupérer les informations sur l'horloge locale, procédez comme suit :

Dans le menu System Management (Gestion du système), sélectionnez System Time (Heure système). L'écran System Time (Heure système) s'affiche.

Les champs et leur description sont présentés ci-dessous :

Current System Time (Heure système actuelle)

Affiche l'heure actuelle du système.

System Time Retrieved At (Heure système récupérée à)

Affiche l'heure locale du client au moment de la récupération de l'heure système du KMA.

Adjust Time (Régler l'heure)

Cliquez sur ce bouton pour modifier l'heure système.

Si vous souhaitez modifier l'horloge du KMA, cliquez sur le bouton Adjust Time (Régler l'heure). Pour plus d'informations, reportez-vous à la section "Réglage de l'horloge locale du KMA" ci-dessous.

NTP Server (Serveur NTP)

Affiche le serveur NTP utilisé par ce KMA (le cas échéant). Le responsable de la sécurité peut fournir une adresse IPv6 pour un serveur NTP externe. Cette adresse IPv6 ne doit pas contenir de crochets ou une longueur de préfixe.

Specify NTP Server (Spécifier le serveur NTP)

Cliquez sur ce bouton pour spécifier le serveur NTP devant être utilisé par ce KMA.

Réglage de l'horloge locale du KMA

Vous pouvez uniquement régler l'horloge d'un KMA une fois par jour d'un écart maximal de plus ou moins 5 minutes. Un réglage positif (+) fait avancer l'horloge lentement tandis qu'un réglage négatif (-) la fait reculer.

Pour régler l'heure locale du KMA, procédez comme suit :

1. Dans le menu System Time (Heure système), cliquez sur le bouton Adjust Time (Régler l'heure). La boîte de dialogue Adjust System Time (Réglage de l'heure système) s'affiche.

   
   

2. Sélectionnez le bouton radio Move System Time Forward (+) (Avancer l'heure système) afin d'appliquer un réglage positif à l'horloge. Sinon, sélectionnez le bouton radio Move System Time Backward (-) (Reculer l'heure système) pour appliquer un réglage négatif à l'horloge.

3. Dans la zone de texte Offset Minutes (Minutes de décalage), sélectionnez un nombre.

4. Dans la zone de texte Offset Seconds (Secondes de décalage), sélectionnez un nombre.

   Remarque:

   Si le décalage spécifié est trop grand, un message d'erreur s'affiche, vous invitant à saisir une valeur plus petite. Cliquez sur le bouton OK pour fermer la boîte de dialogue, puis saisissez une nouvelle valeur.

5. Cliquez sur le bouton Save (Enregistrer) pour accepter les modifications. L'horloge système est réglée.