9999-02 doc ejbca guide-administration 3.0

Guide dadministrationEJBCAEJBCA 3.6.1 [fr]

Version 3.0 Identifiant : Linagora_DOC_EJBCA_Guide-Administration_3.0 Fichier original : 9999-02_DOC_EJBCA_Guide-Administration_3.0.odt

Le 22/08/2008

Groupe LINAGORA 27, rue de Berri 75008 PARIS FRANCESIRET : 431 473 669 00056

Tl. : +33 (0)1 58 18 68 28 Fax : +33 (0)1 58 18 68 29 http://www.linagora.com/Diffusion : Publique

CC-BY-SA, GNU FDL

Rf. : 9999-02

Guide dadministrationEJBCA

Historique des volutions et visasVisasRDACTION NOM FONCTION DATE VISADavid CARELLA Expert PKI

APPROBATION

VALIDATION

Historique des volutionsLajout de son nom par tout nouvel acteur contributeur exprime son consentement exprs et non vici une distribution du document conforme la licence indique en page 3. VERSION1.0 1.1 1.2 1.3 2.0 2.1 2.2 2.3 2.4 2.4.1 2.4.2 2.5 2.6 2.7 2.7.1 2.7.2 2.8 2.8.1 2.8.2 2.9 3.0

DATE01/05/2005 03/10/2006 07/02/2007 25/10/2007 28/11/2007 28/11/2007 12/12/2007 12/12/2007 18/12/2007 18/12/2007 19/12/2007 08/01/2008 06/02/2008 29/04/2008 02/06/2008 05/06/2008 20/06/2008 02/07/2008 17/07/2008 29/07/2008 22/08/2008

ACTEUR CONTRIBUTEURYannick QUENECHDU Bruno BONFILS Nicolas COUDNE Yannick QUENECHDU David CARELLA Yannick QUENECHDU David CARELLA Yannick QUENECHDU David CARELLA David CARELLA Nicolas COUDNE David CARELLA David CARELLA David CARELLA David CARELLA David CARELLA Andr PELL David CARELLA David CARELLA

OBJET DE LVOLUTIONVersion initiale Publication LDAP Mise jour document pour EJBCA 3.4.x HowTo et mise jour pour EJBCA 3.5.x Mise jour de la version du document ! Relecture et corrections Relecture et corrections Mise jour des schmas Ajout de lindex Relecture et corrections Corrections mineures Ajout : Sigles, Service de publication par script Ajout : Supervision Refonte complte du document Mise jour mineure Ajout de rubriques Extraction du HowTo vers un nouveau document Mise jour : Sigles et acronymes Mise jour : Structure, Ajout : rubrique OCSP Ajout des nouvelles rubriques pour EJBCA 3.6.x Relecture et corrections. Mise jour : Description des champs de formulaire Mise jour : Gestion des tokens matriels Mise jour : Cration dun service Validation et mise en application

tat du document : CC-BY-SA, GNU FDL

60 En application Diffusion : Publique Rf. : 9999-02 2 / 53


Licence, diffusion et contributeursLicenceCe document est licenci cumulativement sous licences GNU FDL 1.2 et CC-BY-SA 3.0. La GNU FDL est une licence libre copyleft calque sur la GNU GPL, parfaitement adapte aux documentations et qui ncessite que soit annex systmatiquement le texte de la licence. La CC-BY-SA est une licence libre copyleft parfaitement adapte aux contenus multimdias. Sa grande modularit permet de mixer les ralisations. Cette double licence permet un usage du document qui soit conforme lune ou lautre des licences. Plusieurs avantages peuvent tre avancs : 1. Le contenu sous licence est ds lors compatible avec la totalit des licences qui lui sont adjointes ; 2. Ltendue de la double licence est limite celle de la licence la plus permissive ; 3. Lutilisation dau moins une licence franaise scurise la double licence au regard des dispositions franaises.

LimitationsPar drogation au paragraphe prcdent, certaines limitations peuvent tre apportes la cession de droits telle que consentie par la licence. Les lments concerns par ces limitations sont les suivants :lment Titre et/ou description Licence Remarque

Diffusion du documentPar drogation aux paragraphes prcdents, la diffusion du document est limite de la manire qui suit : Mention de diffusion : NOMTout le monde

Publique ORGANISME

POUR

MDIAWeb

Liste des contributeursYannick QUENECHDU, Bruno BONFILS, Nicolas COUDNE, David CARELLA, Andr PELL.

CC-BY-SA, GNU FDL

Diffusion : Publique

Rf. : 9999-02

3 / 53


Table des matires1 2 Introduction...................................................................................8 Linterface dadministration..........................................................102.1 2.2 Vue gnrale...........................................................................................10 Fonctions dautorit de certification (AC)...............................................11 2.2.1 Fonctions de base..........................................................................11 2.2.2 Profil de certificats.........................................................................12 2.2.3 Service de publication....................................................................13 2.2.4 diter et crer les autorits de certification.......................................14 Fonctions dautorit denregistrement (AE)............................................14 2.3.1 Gestion des donnes externes.........................................................15 2.3.2 Gestion des profils dentits............................................................15 2.3.3 Ajouter une demande dentit.........................................................16 2.3.4 Lister et diter les entits...............................................................18 Gestion des tokens matriels..................................................................19 2.4.1 Gestion des profils de tokens matriels.............................................19 2.4.2 Gestion des metteurs de tokens matriels.......................................20 Fonctions de supervision.........................................................................21 2.5.1 Gestion des requtes......................................................................21 2.5.2 Consulter les journaux....................................................................21 2.5.3 Configuration des journaux.............................................................22 2.5.4 Rapports.......................................................................................22 Fonctions systme..................................................................................23 2.6.1 Configuration du systme...............................................................23 2.6.2 Configurer les services...................................................................26 2.6.3 Gestion des administrateurs............................................................27 2.6.4 Mes prfrences............................................................................27

2.3

2.4

2.5

2.6

3

Annexe A Description des champs de formulaire.......................303.1 Fonctions dautorit de certification (AC)...............................................30 3.1.1 Cration dun profil de certificats.....................................................30 3.1.2 dition dun service de publication...................................................34 3.1.3 dition/Cration dune autorit de certification..................................35 Fonctions dautorit denregistrement (AE)............................................37 3.2.1 dition dun profil de donnes externes............................................37 3.2.2 dition dun profil dentits..............................................................38 Gestion des tokens matriels..................................................................39 3.3.1 Gestion dun profil de tokens matriels.............................................39 3.3.2 Gestion dun metteur de token matriel..........................................40 Fonctions systme..................................................................................41 3.4.1 Cration dun service......................................................................41

3.2

3.3

3.4

4 5

Glossaire.......................................................................................44 Sigles et acronymes......................................................................46

CC-BY-SA, GNU FDL


Rf. : 9999-02

4 / 53


6 7 8

Rfrences....................................................................................49 Table des illustrations..................................................................50 Index............................................................................................51

CC-BY-SA, GNU FDL


Rf. : 9999-02

5 / 53


NotationsLe code informatiqueLes sorties dans un terminal sont reprsentes ainsi :$ commande1 # commande2

Les commandes excuter avec des droits utilisateurs sont prcdes du caractre $ tandis que celles excuter avec les droits root sont prcdes du caractre # . Ces caractres ne sont pas saisir dans la ligne de commandes. Le contenu ou un extrait de fichier est reprsent ainsi :# Ceci est un exemple de fichier parameter1="value" parameter2=""

Dans le corps de texte, les noms de variables, les extraits de code et les adresses web seront composs en police chasse fixe. Exemples : ladresse du site web de Linagora est http://www.linagora.com/ ; le contenu de la variable est de la forme JJ/MM/AAAA.

Les notes hors texteUne remarque sera reprsente de cette faon : Ceci est un point sur lequel votre attention doit tre attire. Une alerte sera reprsente de cette faon : Ceci est un point critique prendre en compte et pour lequel votre attention est requise.

Les langues trangresLes mots anglo-saxons sont composs de deux faons : soit en caractres italiques pour les mots du langage courant ou considrs comme tels, soit en caractres droits pour les titres. Exemples : Voici un English text dans du texte franais. Le protocole Secure Socket Layer est un ...

CC-BY-SA, GNU FDL


Rf. : 9999-02

6 / 53


PrambuleCe document prsente linterface dadministration web de lapplication EJBCA. Lobjectif de ce document est de prsenter de manire exhaustive toutes les fonctions que peut utiliser ladministrateur pour grer lIGC. Il est conseill que ladministrateur de lIGC possde une culture des normes et standards sur les certificats numriques, e.g. ITU-T X.509 (certificats et LCR), protocole OCSP, codage DER. Ce document porte sur EJBCA version 3.6.1 en langue franaise [fr-FR].

CC-BY-SA, GNU FDL


Rf. : 9999-02

7 / 53


1

Introduction

crit en Java/J2EE, EJBCA est une infrastructure de gestion de cls (IGC) Open Source pouvant grer plusieurs autorits de certification (AC). Les bases du projet EJBCA sont de fournir une IGC avec un haut niveau de paramtrage comprenant les composants de bases des IGC, la gestion et la dlgation des droits dadministration. Pour raliser bien les oprations du cycle de vie des certificats, une IGC comprend au minimum les lments suivants : une autorit de certification (AC) : elle est responsable de la dlivrance et de la rvocation des certificats ; une autorit denregistrement (AE) : elle vrifie le lien entre les cls publiques et les identits des titulaires (vrification de lidentit des demandeurs de certificats). LAE est responsable des fonctions qui lui sont dlgues par lAC, en vertu de la politique de certification ; une autorit denregistrement locale (AEL) : elle permet aux personnes, machines ou les agents de logiciel de demander des certificats qui pourront tre employs pour signer, chiffrer, etc. ; un ou plusieurs dpts : qui stockent et rendent disponibles les certificats et les listes des certificats rvoqus (LCR) ; une politique de certification : elle dfinit les processus organisationnels et les informations de scurit, ainsi que les procds et les principes pour lusage de la cryptographie. Ce dcoupage par entits, corresponds aux diffrents menus et fonctions que lon retrouve dans lIGC et que le ou les administrateurs manipuleront selon leur habilitation.

CC-BY-SA, GNU FDL


Rf. : 9999-02

8 / 53

Linterface dadministration

CC-BY-SA, GNU FDL


Rf. : 9999-02

9 / 53


2

Linterface dadministration Linterface

Linterface est dcoupe en trois grands thmes qui sont la reprsentation des entits : AC, AE et supervision (gestion des droits et des journaux). La prsentation des fonctions par entits est ralise la suite de cette section.

Illustration 2.1: Interface dadministration Architecture gnrale

2.1

Vue gnrale

Voici la page daccueil de la console dadministration web dEJBCA.

Illustration 2.2: Console dadministration Page daccueil CC-BY-SA, GNU FDL Diffusion : Publique Rf. : 9999-02 10 / 53


2.2

Fonctions dautorit de certification (AC)

Le menu principal nomm Autorit de certification (AC) regroupe un ensemble de sousmenus lis aux fonctionnalits de base dune autorit de certification. Cest--dire la gestion des certificats des autorits de certification mises au sein dEJBCA. Pour avoir accs aux fonctions de lautorit de certification, il est ncessaire de pouvoir se connecter EJBCA en tant quadministrateur possdant les droits daccs lentit dAC. Les principales fonctions de lautorit de certification sont : affichage et rcupration des certificats dAC et la gnration des LCR ; cration et dition de profils de certificats ; paramtrage du service de publication des certificats et des LCR ; dition et cration des certificats dautorit ; gnration des LCR.

2.2.1

Fonctions de base

Cette page fournit des informations sur les LCR et les AC actives. Le format daffichage permet de visualiser la hirarchie de dcoupage entre les diffrentes AC. Les fonctions offertes par cette interface sont : la rcupration des certificats dAC selon plusieurs formats ; la rcupration des LCR ; la visualisation des informations sur les AC et leur certificat ; la gnration des LCR de manire manuelle ; la date de gnration des LCR et le nombre mis. Remarque : la gnration des LCR est ralise de manire automatique par lIGC, elle ne ncessite pas dintervention manuelle. La gnration peut tre enclenche manuellement dans le cas o vous souhaiteriez voir apparatre rapidement dans la LCR certaines donnes de rvocation. La gnration manuelle de LCR ne perturbe pas le processus automatis.

CC-BY-SA, GNU FDL


Rf. : 9999-02

11 / 53


Illustration 2.3: Fonctions de base

2.2.22.2.2.1

Profil de certificatsNotions de profils

Dans EJBCA, il existe deux types de profils bien distincts : les profils de certificats qui permettent de dfinir le contenu dun certificat par rapport la norme X.509 (dfinition des certificats) ; les profils dentits qui permettent de dfinir les informations lies au propritaire du certificat. Le terme dentit est li au porteur du certificat, lentit peut tre une personne physique, un serveur, un code applicatif, etc. Le menu profil de certificats permet de crer et de modifier des profils de certificats qui sont tablis selon la norme ITU-T X.509 ou le standard RFC 5280 [PKIX:RFC5280]. Un certain nombre de profils de certificats marqus FIXED sont crs ds la premire excution de lapplication et ne peuvent pas tre modifis ni supprims : ce sont les profils se rfrant aux types de certificats rcurrents comme les certificats dentit ou dAC. Un profil de certificats ne prend pas en charge lensemble du paramtrage des DN : seulement la slection ou non de tel et tel attribut. Le fait quun attribut soit requis et/ou modifiable est paramtr dans les profils dentit.

2.2.2.2

Gestion des profils de certificats

Le processus de gnration de profils de certificats est dcoup en deux tapes : 1. Cration dun profil ; 2. Dfinition de ce profil. CC-BY-SA, GNU FDL Diffusion : Publique Rf. : 9999-02 12 / 53


Illustration 2.4: Profil de certificats

2.2.3

Service de publication

Cet ensemble de fonctions permet de crer et de paramtrer des services de publication pour lIGC. Un service de publication est un service de dpt pour les donnes considres comme publiques , les certificats publics mis par une ou plusieurs AC ainsi que les LCR par exemple. Un service de publication permet de dfinir les paramtres de la connexion et de paramtrer les informations (p. ex. AC, LCR) qui seront adresses vers le ou les dpts souhaits. Par dfaut, un service de publication peut tre configur pour utiliser soit un annuaire LDAP de type v3 ou un Active Directory de Microsoft. En complment, il est possible dajouter son propre service de publication. Pour ce faire, EJBCA fournit la possibilit dajouter une classe dobjets qui dfinit le protocole de communication entre EJBCA et ce nouveau dpt.

Illustration 2.5: Services de publication

CC-BY-SA, GNU FDL


Rf. : 9999-02

13 / 53


2.2.4

diter et crer les autorits de certification

Les autorits de certification sont cres et dites partir de cette rubrique. Une AC peut tre cre de plusieurs faons au choix : lIGC EJBCA gnre la bicl et le certificat de la future autorit de certification ; le certificat et la bicl sont imports depuis un fichier externe au format PKCS #12 ; une requte de certificat est gnre depuis EJBCA et est exporte pour tre signe par une autorit externe.

Illustration 2.6: diter/Crer des AC

2.3

Fonctions dautorit denregistrement (AE)

Le menu principal nomm Autorit denregistrement regroupe un ensemble de sous-menus lis aux fonctionnalits de base dune autorit denregistrement (AE), cest--dire la gestion des requtes et des certificats mis au sein dEJBCA. Pour avoir accs aux fonctions de lautorit denregistrement, il est ncessaire de pouvoir se connecter EJBCA en tant quadministrateur possdant les droits daccs lautorit denregistrement.

CC-BY-SA, GNU FDL


Rf. : 9999-02

14 / 53


2.3.1

Gestion des donnes externes

Ce module via lajout de classes dobjets spcifiques permet dimporter des donnes provenant de sources externes, tels quun annuaire LDAP, une base de donnes ou une autre PKI vers EJBCA. Le but tant de gnrer des certificats, LCR automatiquement partir de donnes externes EJBCA. En complment, il est possible dimporter des certificats et des LCR existants pour quils soient pris en charge par EJBCA. Linterface permet de dfinir le traitement effectuer sur les donnes externes, via les fonctions suivantes : les champs que lon veut utiliser pour le DN, leurs valeurs autorises et par dfaut ; les dates de dbut et fin de validit des certificats par dfaut ; le type de certificat utilis ; les AC utilisables et celle par dfaut ; les tokens utilisables et celui par dfaut ; les notifications ventuelles la cration dune entit. Remarque : lintgration de donnes utilisateur ncessite un dveloppement pour intgrer la classe dappel et les classes EJBCA de gestion des donnes.

Illustration 2.7: Gestion des donnes externes

2.3.2

Gestion des profils dentits

Ce menu permet de crer les profils dentits qui seront utiliss lors des requtes de certificats.

CC-BY-SA, GNU FDL


Rf. : 9999-02

15 / 53


Illustration 2.8: Gestion des profils dentits

2.3.3

Ajouter une demande dentit

Ce menu permet un administrateur de prparer des requtes de certificat. Dans EJBCA, la fonction de cration dune requte de certificat dsigne le fait de crer une demande de certificat pour une entit (p. ex. une personne, un serveur). Une demande de certificat se base et est associe un profil dentits et un profil de certificats donns. Attention : cette fonction ne gnre pas de requte de certificat signe (e.g. au format CSR/ PKCS #10) ni mme de paire de cls. Un processus de gnration dun certificat dentit est le rsultat de deux actions dcorrles. La premire action consiste pour un administrateur raliser une requte de certificat, la deuxime action est la gnration de la bicl soit par lentit, soit par la PKI elle-mme. La demande de certificat est tablie selon un profil dentits pralablement dfini ou bien selon le profil par dfaut VIDE (EMPTY, en anglais). Ce profil par dfaut contient tous les champs possibles pour une demande de certificat. Il convient de remplir les champs du profil dentits choisi et ensuite de valider la cration de cette demande. partir de cette page, il est galement possible de consulter et dditer les demandes ainsi faites. Remarque : EJBCA ne permet pas de gnrer de certificat dentit en un seul traitement. Un processus de gnration de certificat dentit est le rsultat de deux actions dcorrles. La premire action consiste pour un administrateur raliser une requte de certificat, la seconde est la gnration de la bicl soit par lentit, soit par la PKI elle-mme et la signature de la requte de certificat.

CC-BY-SA, GNU FDL


Rf. : 9999-02

16 / 53


Illustration 2.9: Demande dentit pour le profil VIDE

CC-BY-SA, GNU FDL


Rf. : 9999-02

17 / 53


2.3.4

Lister et diter les entits

Cest le menu qui permet de lister les entits ainsi que leur tat, et le cas chant de les rvoquer un par un ou par lot. Ce menu permet galement de changer ltat dune entit. Ce menu se prsente sous la forme dun outil de recherche avec deux modes (simple et avanc), il a pour objectif laccs des donnes lies des entits (personne physique, matriel ou application) dEJBCA. Le rsultat dune recherche sur une ou plusieurs entits permet : dobtenir lhistorique dune entit ; de consulter les certificats dune entit ; de consulter les requtes de certificats lies cette entit ; de recouvrir les cls dune entit ; modifier une requte de certificats dune entit ; rvoquer un certificat de manire unitaire ; rvoquer les certificats par lot ; supprimer des donnes : entits, certificats, requtes, etc. On peut lister les entits laide dune recherche sur un ou plusieurs attributs du DN, laide doprateurs boolens (et, ou, non) et des dates de cration et/ou de modification de ces certificats.

Illustration 2.10: Lister et diter les requtes de certificat en mode normal

CC-BY-SA, GNU FDL


Rf. : 9999-02

18 / 53


Illustration 2.11: Lister et diter les requtes de certificat en mode avanc

2.4

Gestion des tokens matriels

Pour avoir accs la gestion des tokens (cryptographiques) matriels, il est ncessaire de pouvoir se connecter EJBCA en tant quadministrateur possdant les droits daccs la gestion des tokens matriels et dactiver la production de tokens matriels dans la configuration du systme.

2.4.1

Gestion des profils de tokens matriels

Les tokens matriels rpondent des caractristiques qui doivent tre report dans des profils sur EJBCA. Cette opration se fait sur cette page.

CC-BY-SA, GNU FDL


Rf. : 9999-02

19 / 53


Illustration 2.12: Gestion des profils de tokens matriels

2.4.2

Gestion des metteurs de tokens matriels

Une fois le ou les profils de tokens matriels crs, il convient de dfinir les entits mettrices de ce ou ces types de token. Il suffit de dfinir un groupe dadministrateur pouvant mettre des tokens matriels et de les associer un profil.

Illustration 2.13: Gestion des metteurs de tokens matriels

CC-BY-SA, GNU FDL


Rf. : 9999-02

20 / 53


2.5

Fonctions de supervision

Le menu principal nomm Fonctions de supervision regroupe un ensemble de sous-menus lis aux fonctionnalits ne relevant ni de lAC ni de lAE. On trouve dans ce menu la gestion des requtes et la gestion des journaux. Pour avoir accs aux fonctions de supervision, il est ncessaire de pouvoir se connecter EJBCA en tant quadministrateur possdant les droits daccs aux fonctions de supervision.

2.5.1

Gestion des requtes

Ce menu permet dapprouver ou de rejeter les requtes faites une AC comme la cration dun certificat ou sa rvocation. Il suffit de slectionner la requte et de cliquer sur le bouton correspondant pour la valider ou la rejeter.

Illustration 2.14: Gestion des requtes

2.5.2

Consulter les journaux

Il est important de garder une trace des actions et/ou des erreurs faites par EJBCA sous forme de journaux. Ce menu permet dafficher lhistorique des actions effectues sur lIGC sur une priode choisie. La slection de la priode se fait par le biais du menu droulant, qui permet de consulter lhistorique jusqu sept jours. Il est possible aussi dexporter les journaux en les signant ou pas avec une AC.

Illustration 2.15: Consulter les journaux en mode normal

CC-BY-SA, GNU FDL


Rf. : 9999-02

21 / 53


Illustration 2.16: Consulter les journaux en mode avanc

2.5.3

Configuration des journaux

Les journaux contiennent les vnements et les erreurs associs une AC. Sur cette page, il est possible de configurer les types dvnements et derreurs qui seront enregistrs, ou aucun vnement. De plus, les journaux enregistrs localement et sur une autre machine sont configurs de manires spares sur cette mme page.

Illustration 2.17: Choix de lAC pour la configuration des journaux

2.5.4

Rapports

Deux types de rapports sont disponibles la cration : un graphique circulaire des certificats rvoqus et une liste des certificats mis. La cration de ces rapports engendre une charge leve de la base de donnes, il convient de les utiliser avec prcautions. Note : prsents depuis la version 3.5.1, lmission de rapports est un dispositif exprimental.

CC-BY-SA, GNU FDL


Rf. : 9999-02

22 / 53


Illustration 2.18: Supervision : Rapports

2.6

Fonctions systme

Pour avoir accs aux fonctions systmes, il est ncessaire de pouvoir se connecter EJBCA en tant quadministrateur possdant les droits daccs aux fonctions systmes.

2.6.1

Configuration du systme

Cette page permet de modifier des paramtres spcifiques lIGC, tels que : le titre : il permet de dfinir le titre des pages web du site dadministration. En gnral, ce titre apparat dans la barre de titre des navigateurs web ; la bannire den-tte de page : ce champ permet de spcifier la page bannire qui sera utilise en haut de la page du site dadministration ; la bannire de pied de page : ce champ permet de spcifier la page bannire qui sera utilise en bas de la page du site dadministration ; activer la limitation du profil dentits : cette fonction permet dappliquer un contrle daccs aux pages publiques ; activer le recouvrement de cls : cette fonction permet dactiver le gestionnaire de cls de lIGC. Il permet de recouvrir des bicls de certificats dentits en cas de perte de celles-ci. Un administrateur est requis pour grer cette tche auprs des utilisateurs ; production de tokens matriel : ce champ permet de mettre en place un systme de gnration de demandes de certificats associs avec des tokens matriel (p. ex. carte puce, cl USB cryptographique, etc.) ; approbation ncessaire pour afficher le code PUK : nombre dapprobations ncessaires pour afficher les donnes sensibles dun token ; activer la notification des approbations : active la notification par courrier lectronique des administrateurs lorsquune action ncessite une approbation ; adresse o envoyer les notifications administrateurs : adresse lectronique des administrateurs ; adresse metteur de la notification des approbations : adresse de lmetteur utilise pour la notification des approbations ; activer lauto-enrlement : active la fonction dauto-enrlement de certificats pour les systmes Microsoft ;

CC-BY-SA, GNU FDL


Rf. : 9999-02

23 / 53


langue utilise par EJBCA : langue par dfaut (noter que la langue peut tre dfinie par utilisateur via le menu Mes Prfrences ) ; langue secondaire : langue secondaire utiliser lorsquune traduction nest pas dfinie par le langage principal ; thme : choix du thme graphique ; nombre denregistrements par page : nombre denregistrements maximum affichables par page (consultation des entits, des journaux). Ces options constituent la partie configuration web de EJBCA. La page suivante est la partie configuration utilisateur que lon retrouve dans la page Mes prfrences qui permet de paramtrer : la langue utilise par lIGC ; la deuxime langue utilisable sur lIGC, en cas dabsence du premier ; de slectionner un thme pour laffichage graphique ; le nombre de donnes affiches par page.

CC-BY-SA, GNU FDL


Rf. : 9999-02

24 / 53


Illustration 2.19: Configuration du systme : configuration web de EJBCA

CC-BY-SA, GNU FDL


Rf. : 9999-02

25 / 53


Illustration 2.20: Configuration du systme : prfrence de ladministrateur par dfaut

2.6.2

Configurer les services

EJBCA permet la cration de services qui sont excuts par le systme intervalle rgulier, actuellement, il existe deux types de services prdfinis : vrification de validit de la LCR (et gnration dune nouvelle le cas chant) ; suivi de lexpiration de certificats. Il est galement possible dutiliser sa propre classe pour crer un nouveau service.

Illustration 2.21: Gestion des services

CC-BY-SA, GNU FDL


Rf. : 9999-02

26 / 53


2.6.3

Gestion des administrateurs

Ce menu permet dditer et de crer des groupes dadministrateurs pour la gestion de lIGC. La gestion des droits peut tre ralise avec un haut niveau de granularit. Ladministrateur peut avoir des droits sur des ensembles de fonctions (AC, AE, supervision), des pages prcises, des AC prcises, etc. Le dtail des fonctions est prsent dans les pages suivantes.

Illustration 2.22: Gestion des administrateurs

2.6.4

Mes prfrences

La configuration de laspect dEJBCA pour lutilisateur connect se fait sur cette page. Comme expliquer prcdemment les paramtres accessibles sont les langues principale et secondaire utilises, le thme et le nombre denregistrements visibles sur une page dans les menus o on liste des entits, des AC, etc.

CC-BY-SA, GNU FDL


Rf. : 9999-02

27 / 53


Illustration 2.23: Mes prfrences

CC-BY-SA, GNU FDL


Rf. : 9999-02

28 / 53

Annexes

CC-BY-SA, GNU FDL


Rf. : 9999-02

29 / 53


3

Annexe A Description des champs de formulaire

Dans cette annexe, les champs des diffrentes rubriques sont dcrits de manire exhaustive.

3.13.1.1

Fonctions dautorit de certification (AC)Cration dun profil de certificats

Les champs du formulaire de cration dun profil de certificats permettent de spcifier les valeurs qui seront ensuite dfinies dans le certificat et de spcifier linteraction entre certaines entits. Chaque champ est dcrit ci-dessous :Champs Dure de validit (jours) Autoriser la surcharge de la validit (requte CMP) Autoriser la surcharge dextensions (requte CMP) Utiliser les contraintes de base (Basic Constraints) Description Ce champ permet de spcifier la dure de validit dun certificat. Permet pour les requtes de type CMP de ne pas respecter les dates indiques dans le champ validit. En proposant une nouvelle date. Permet pour les requtes de type CMP de ne pas respecter les extensions indiques dans le champ extension en proposant d'autres valeurs, venant des requtes CMP. Le champ basicConstraints identifie si le sujet du certificat peut remplir le rle dAC en utilisant la cl prive pour signer les certificats. Il dfinit aussi la contrainte de longueur maximum du chemin de certification. La prsence du champ et la valeur vrai indiquent que le certificat est un certificat dAC :

cocher pour les certificat d'AC ; dcocher pour les certificats finaux.Contraintes de base (Basic Constraints) critique Cette extension doit apparatre comme critique dans tous les certificats dAC qui contiennent des cls publiques permettant de vrifier la signature numrique des certificats. Pour les autres certificats, son utilisation est recommande.

cocher pour les certificats d'AC ; dcocher pour les certificats finaux.Utiliser la contrainte de longueur Ce champ permet de spcifier une contrainte sur la longueur de la de chemin de certification chane de certificats. La valeur indique le nombre maximum dAC subordonne pouvant figurer dans la chane de certification. Par exemple, la valeur 0 (zro) signifie que cette AC ne peut dlivrer que des certificats dentits finales. Utiliser les usages de cl (Key Usage) Usages de cl (Key Usage) critique Utiliser lidentifiant de la cl publique du sujet (Subject Key Identifier) Utiliser lidentifiant de la cl publique de lmetteur (Authority Key Identifier) Le champ keyUsage (utilisation de la cl) renseigne sur lutilisation qui doit tre faite de la cl. Voir les fonctions de la cl. Quand lextension keyUsage est utilise dans un certificat, il est recommand de la spcifier comme critique. Lextension subjectKeyIdentifier fournit le moyen didentifier la cl publique du certificat. Pour faciliter la recherche des chemins de certification, cette extension doit tre prsente dans les certificats dAC (o lextension Basic Constraints est gale vrai). Lextension authorityKeyIdentifier fournit le moyen didentifier la cl publique correspondante la cl prive qui a t employe pour signer le certificat. Cette extension doit tre utilise dans tous les certificats, sauf pour les certificats auto-signs pour lesquels elle est facultative.

Utiliser un nom alternatif du Lextension subjectAltName permet de positionner un autre nom au sujet (Subject Alternative Name) certificat, tel quune adresse lectronique, un nom DNS, une URL.

CC-BY-SA, GNU FDL


Rf. : 9999-02

30 / 53


Champs Nom alternatif du sujet (Subject Alternative Name) critique Utiliser des attributs dannuaire du sujet (Subject Directory Attributes) Utiliser les points de distribution de LCR (CRL Distribution Points) Points de distribution de LCR (CRL Distribution Points) critique Utiliser un point de distribution de LCR dj dfini pour une AC

Description Cette extension doit tre critique si le champ sujet du certificat est vide. Lextension subjectDirectoryAttributes est utilise pour transmettre des attributs didentification (par exemple, la nationalit) du sujet. Ce champ indique lutilisation de lextension cRLDistributionPoints (point de distribution pour rcuprer les listes des certificats rvoqus). Cette extension ne devrait pas tre Critique.

Permet dutiliser les informations sur le point de distribution de LCR de lAC qui signera un certificat associ ce profil.

URI dun point de distribution de Ce champ permet dindiquer lURI pour la rcupration de la LCR LCR Nom distinctif de lmetteur de la LCR (CRL Issuer) Utiliser les points de distribution de delta LCR (Freshest CRL) Utiliser lextension Freshest CRL dfinie pour lAC Autorit de certification signant la LCR. Ce champ indique lutilisation de lextension freshestCRL : point de distribution pour rcuprer les delta LCR (listes des certificats rvoqus). Permet dutiliser les informations sur le point de distribution de delta LCR de lAC qui signera un certificat associ ce profil.

URI dun point de distribution de Ce champ permet dindiquer lURI pour la rcupration de la delta LCR delta LCR (Freshest CRL) Utiliser OCSP sans vrification (de signature) Utiliser les accs aux informations de lmetteur (Authority Information Access) Utiliser un serveur OCSP dfini pour une AC URL du service OCSP Utiliser la Politique de certification Politique de certification critique Permet d'utiliser le service OCSP sans vrifier la signature de la rponse. Ce champ permet lutilisation dun service de validation de certificat en ligne (OCSP). Permet dutiliser les informations propos du service OCSP (URI) dune autre lAC, telles que les informations de lAC qui signera le certificat associ avec ce profil. Ce champ permet dindiquer ladresse URI du serveur OCSP. Lextension certificatePolicies permet de spcifier la PC sous laquelle sont mis les certificats. Si cette extension est indique comme Critique, lapplication de validation de chemin de certification doit tre capable dinterprter cette extension. Il est recommand de ne pas marquer cette extension comme Critique. Cette extension permet dindiquer sous forme dun identifiant nomm OID le rfrencement de la PC. Par dfaut, il est possible de spcifier lOID 2.5.29.32.0 (anyPolicy) qui dsigne nimporte quelle PC . Lavis dutilisateur est destin tre affich dautres parties. Il permet de positionner une synthse de la PC ou une information lie la PC, tels que limit la signature de code . Ce champ permet de spcifier une URL pointant vers la politique de certification. Permet la gnration de certificats conformes au RFC 3039. Si ce champ est vrai, une application doit tre en mesure de comprendre lensemble de lextension.

Identifiant (OID) de la politique de certification

Notification utilisateur

URI de la politique de certification Utiliser les certificats qualifis Utiliser les dclarations de certificats qualifis (QC Statements)

CC-BY-SA, GNU FDL


Rf. : 9999-02

31 / 53


Champs Dclarations de certificats qualifis (QC Statements) critique Utiliser la dclaration PKIX QCSyntax-v2 (profils de certificats qualifis v2) Identifiant de smantique (Semantics Identifier) (OID) Nom de lAE Utiliser la conformit ETSI CQ

Description Permet de marquer lextension Dclarations de certificats qualifis (QC Statements) comme critique. Si cette extension est marque comme critique, alors une application doit considrer toutes les informations contenues dans cette extension comme critiques. Respect de la syntaxe des certificats qualifis dfini par lIETF dans le RFC 3739 [PKIX:RFC3739]. Ce champ doit contenir un OID qui dfinit la smantique pour les attributs et le nom dans le certificat final. Spcifie le nom de lautorit denregistrement qui est responsable des attributs ou nom du sujet du certificat. Ce champ permet de respecter la norme ETSI sur le format des certificats qualifis (dclaration prtendant que les certificats sont de types certificats qualifis). Dclaration indiquant que la cl prive lie la cl publique certifie rside dans un Dispositif de Cration de Signature Scuris (p. ex. une carte puce). La dclaration des limites sur la valeur de transactions, sil est utilis, les trois champs suivants (les trois champs dans ce tableau) doivent tre complts. P. ex. EUR, USD, etc. P. ex. 975. P. ex. 0, 1, 2, etc. Valeur = quantit 10^exposant.

Utiliser le dispositif de cration de signature scuris ETSI Utiliser la limite de valeur de transaction ETSI Devise de la Limite de valeur Quantit de la Limite de valeur Exposant de la Limite de valeur

Utiliser une chane QC-statement Inclure cette dclaration de CQ personnalise dans lextension de personnalise dclaration de CQ dans les certificats. OID QC-statement personnalis Texte QC-statement personnalis Usages de cl (Key Usage) Indiquer votre OID pour votre dclaration de CQ personnalise. Description par le biais dun test de votre dclaration de CQ personnalise. Type dutilisation de cl : digitalSignature signature numrique (0) Ce bit est positionn lorsque la cl du sujet est utilise pour la signature de donnes autre que la signature de certificat (5) et la signature de LCR (6). nonRepudiation non-rpudiation (1) Similaire digitalSignature, mais en tant que service (autrement dit la volont dajouter un service de non-rpudiation une signature). Pour du S/MIME, bit positionn avec digitalSignature typiquement. keyEncipherment chiffrement de cls (2) Ce bit est actif quand la cl publique est utilise pour le chiffrement de cl (i.e. pour les cls secrtes dalgorithme symtrique gnralement, p. ex. cl de session SSL/TLS). dataEncipherment chiffrement de donnes (3) Ce bit est actif lorsque la cl publique est utilise pour le chiffrement de donnes utilisateur (ne doit pas tre utilis pour le chiffrement de cl de session (2), de LCR ni de certificat). keyAgreement change de cls (4) Ce bit est positionn quand la cl publique est utilise pour la ngociation de cl de session. keyCertSign signature de certificats (5) Positionn lorsque la cl publique du sujet est utilise pour signer des demandes de certificats dAC subordonnes. cRLSign signature de LCR (6)

CC-BY-SA, GNU FDL


Rf. : 9999-02

32 / 53


Champs

Description Positionn lorsque la cl publique du sujet est utilise pour signer les listes des certificats rvoqus (LCR, delta LRC, ). Gnralement utilis dans les certificats dAC. encipherOnly chiffrement seulement (7) Ce bit na pas de sens en labsence du bit keyAgreement. Quand ces deux bits sont positionns, la cl publique du sujet peut tre utilise uniquement pour chiffrer les donnes durant la ngociation de cl de session. decipherOnly dchiffrement seulement (8) Ce bit na pas de sens en labsence du bit keyAgreement. Quand ces deux bits sont positionns, la cl publique du sujet peut tre utilise uniquement pour dchiffrer les donnes durant la ngociation de cl de session.

Autoriser la surcharge des usages de cl (Key Usage) Utiliser les usages de cl tendus (Extended Key Usage)

Cocher si lon souhaite utiliser la surcharge des fonctions de cls. Le champ extKeyUsage indique, en supplment du champ KeyUsage, un ou plusieurs buts supplmentaires dutilisation de la cl publique. Il est important de valider la conformit en relation avec les fonctions de cls utilises dans chaque cas. Cocher cette case si lon souhaite utiliser les extensions de fonctions de cls. Lextension extKeyUsage peut tre marque critique. En gnral, il nest pas recommand de le faire. Type dextension selon les besoins : N'importe quel usage de cl tendu (anyExtendedKeyUsage) Authentification de serveur web (serverAuth) : bits dutilisation : digitalSignature, keyEncipherment ou KeyAgreement Authentification de client (clientAuth) : bits dutilisation : digitalSignature et (ou) keyAgreement Signature de code excutable (codeSigning) : bits dutilisation: digitalSignature Chiffrement de courrier lectronique (emailProtection) : bits dutilisation : digitalSignature, nonRepudation et (ou) keyAgreement ou keyEncipherment Horodatage dun objet via son empreinte numrique (timeStamping) : bits dutilisation : nonRepudation et/ou digitalSignature MS Smartcard Logon (login par carte puce) - bits d'utilisation : digitalSignature et (ou) keyAgreement Serveur de rponse OCSP (OCSPSigning) : bits dutilisation : digitalSignature et/ou nonRepudiation MS Encrypted File System (systme de fichiers chiffr) MS EFS Recovery (restauration de donnes chiffres) change de cl internet (IKE) pour IPsec (ipsecIKE) RFC 4945 [PKIX:RFC4945] Serveur SCVP (scvpServer) RFC 5055 [PKIX:RFC5055] Client SCVP (scvpClient) RFC 5055 MS Document Signing (signature de documents) [EJBCA 3.6.2+]

Usages de cl tendus (Extended Key Usage) critique Usages de cl tendus (Extended Key Usage)

Utiliser un gabarit (template) MS Spcifique aux certificats Microsoft pour les contrleurs de domaines (PDC). Valeur du gabarit (template) Permet de spcifier la valeur de lextension du gabarit Microsoft dans

CC-BY-SA, GNU FDL


Rf. : 9999-02

33 / 53


Champs Microsoft Utiliser le suffixe de CN

Description le certificat. Donne spcifique EJBCA qui permet de compartiment en certificat spcifique en distinguant un certificat de chiffrement dun certificat de signature. Ce champ contient la chane de caractres qui sera automatiquement ajoute la fin du CN spcifi lors de la demande de certificat.

Suffixe de CN Texte appos la fin du premier attribut CN

Utiliser les sous-lments du DN Cocher cette case pour restreindre lutilisation dattributs dans le DN du sujet du sujet des certificats. Sous-lments du DN du sujet Utiliser les sous-lments du nom alternatif Attributs autoriss dans le DN du sujet des certificats. Cocher cette case pour restreindre lutilisation de noms alternatifs pour le sujet des certificats.

Sous-lments du nom alternatif Champs autoriss dans les noms alternatifs du sujet des certificats du sujet Taille de cl disponible AC disponible Service de publication Type Ce champ permet de slectionner les tailles de cl disponibles lors de la gnration du certificat. Ce champ permet de slectionner les AC lies un profil de certificats. Ce champ permet de slectionner le service de publication qui recevra les cls publiques. Ce champ permet de slectionner le type de certificat associ ce profil :

AC racine : certificat dAC racine ; AC subordonne : certificat dAC subordonne ; Entit : certificat final (client ou serveur). Extension marque critique : lors de lutilisation dun certificat, si une application dcouvre une extension marque critique quelle ne peut pas identifier, alors lapplication doit rejeter le certificat et le considrer comme non valide (cf. RFC 5280 [PKIX:RFC5280]).

3.1.2

dition dun service de publication

Les diffrents champs de la page ddition dun service de publication sont dcrits ci-dessous :Champs Nom Type de service de publication Paramtres de lannuaire LDAP Nom dhte Port Utiliser SSL DN de base Positionner les champs pour former le DN de base de lannuaire. Identifiant (sous forme de DN) Indique le nom de la machine qui hberge lannuaire LDAP, peut tre le nom de la machine ou une adresse IP. Ce champ indique le port de lannuaire LDAP externe. Cocher cette case si vous souhaitez utiliser un annuaire en mode SSL (c.--d. le protocole LDAPS). Ce champ indique le DN de larbre LDAP partir duquel seront copies les donnes. Ce champ indique lidentifiant sous forme de DN de ladministrateur ayant des droits dcriture dans lannuaire LDAP. Description Indique le nom du service de publication prcdemment cr. Permet de dfinir le type de service dannuaire LDAP : LDAPv3, Active Directory, autre.

CC-BY-SA, GNU FDL


Rf. : 9999-02

34 / 53


Champs Mot de passe Crer les utilisateurs inexistants Modifier les utilisateurs existants Modifier les attributs existants Ajouter les attributs inexistants Crer des nuds intermdiaires Ajouter plusieurs certificats par utilisateurs Supprimer les certificats rvoqus Supprimer lutilisateur LDAP lors de la rvocation de lutilisateur Classe dobjets utilisateur Classe dobjets de lAC Attribut du certificat utilisateur Attribut du certificat d'AC Attribut de la LCR Attribut de la LAR (liste des autorits rvoques) Champs de ladresse LDAP provenant du DN du certificat Paramtres gnraux Description

Description Mot de passe de ladministrateur identifi la ligne au-dessus. Ce champ permet de crer un utilisateur avec son certificat en cas dabsence de celui-ci dans lannuaire. Ce champ permet de modifier un utilisateur existant dans lannuaire. Ce champ permet de modifier un attribut existant dans lannuaire. Ce champ permet d'ajouter un attribut dans lannuaire. Ce champ permet d'ajouter des nuds intermdiaires lannuaire. Plusieurs certificats pour un mme utilisateur. Permet de retirer les certificats de lannuaire LDAP quand ils sont rvoqus par lAC. Permet de retirer les donnes dun utilisateur de lannuaire LDAP quand il est rvoqu par lAC. Ce champ permet de spcifier la classe dobjets utilise par lannuaire LDAP pour les utilisateurs. Ce champ permet de spcifier la classe dobjets utilise par lannuaire LDAP pour les autorits de certification. Ce champ permet de spcifier lattribut utilis par lannuaire LDAP pour les certificats utilisateur. Ce champ permet de spcifier lattribut utilis par lannuaire LDAP pour les certificats dAC. Ce champ permet de spcifier lattribut utilis par lannuaire LDAP pour les LCR. Ce champ permet de spcifier lattribut utilis par lannuaire LDAP pour les LAR. Ce champ permet de slectionner les attributs provenant du sujet du certificat qui seront associs lutilisateur dans lannuaire LDAP en complment de son certificat.

Ce champ fourni un descriptif du service publication. Ce champ est de type informatif.

3.1.3

dition/Cration dune autorit de certification

Les champs de cette page permettent de spcifier les valeurs qui seront ensuite dfinies dans le nouveau certificat dAC et dans le comportement de lIGC lgard de cette AC. Ces champs sont dcrits ci-aprs :Champs Format de lAC Token du certificat de lAC Description Type de certificat, ne gre que les certificats X.509 en version 3. Ce champ permet de spcifier le type de support qui conservera la cl prive de lautorit de certification. Il existe deux modes sur lIGC : logiciel ou matriel. La version logiciel conserve la cl sur un support disque (dans la base de donnes). La version matriel permet de conserver la cl sur une carte cryptographique. Ce champ permet de spcifier le code utiliser pour l'auto-

Code dauthentification

CC-BY-SA, GNU FDL


Rf. : 9999-02

35 / 53


Champs (code courant pour lautoactivation) Activer lauto-activation pour lAC Algorithme de signature

Description activation. Permet dactiver lauto-activation pour lAC. Ce champ permet de spcifier lalgorithme de signature. Les algorithmes supports sont : SHA-1 avec RSA ; SHA-256 avec RSA ; MD5 avec RSA ; SHA-256 avec RSA et MGF1 ; SHA-1 avec ECDSA ; SHA-256 avec ECDSA. Il est fortement dconseill dutiliser un algorithme bas sur la fonction de hachage MD5 (128 bits). ce jour (2008), il est prfrable de choisir un algorithme bas sur la fonction SHA-1 (160 bits). Il nest pas recommand dutiliser un algorithme bas sur la fonction SHA-256 (256 bits) qui nest pas reconnue, au moins, par les versions 7.0 et infrieures du navigateur Internet Explorer de Microsoft.

Taille de la cl RSA

Indique la taille de la cl RSA en bits. Il est recommand de ne pas utiliser de taille de cls de 1024 bits ou moins. Choisissez une taille de cls de 2048 bits ou plus. Nom de la fonction utilise pour gnrer lellipse (cf. le manuel [EJBCA:MANUAL] en ligne, rubrique ECDSA keys and signatures ). Ce champ dsigne le nom unique de lAC sous forme de DN qui apparatra dans le champ sujet de son certificat. Il est donc trs important de vrifier plusieurs fois cette information. Attention : les valeurs des attributs sont sensibles la casse. Par exemple, cn=entreprise ac racine et cn=Entreprise AC racine dsignent deux AC diffrentes. Ce champ permet de spcifier si le certificat est auto-sign (sign par sa propre cl prive associe) ou par une autre autorit (interne ou externe). Si le certificat dAC est sign par une autre AC, vous devez donc avoir cr un profil dAC subordonnes. Ce champ permet de slectionner un profil de certificats pour le certificat de cette AC. Ce champ permet de spcifier la priode de validit du certificat dAC. Texte informatif et facultatif dcrivant lAC. Ce champ permet de spcifier un nom alternatif pour le certificat. Si vous souhaitez utiliser ce champ, vrifier que ce champ a bien t coch dans le profil de certificat associ ce certificat. Ce champ permet de spcifier la PC (politique de certification) sous laquelle sont mis les certificats. Si le champ est diffrent de celui du profil de certificat, il doit tre indiqu. Dans le cas contraire, il prendra la valeur indique dans le champ OID du profil de certificats. Spcifie le codage utilis dans le texte li la politique de certification. Permet de spcifier le format de codage PrintableString la place de UTF-8 pour le DN.

Spcification de la cl ECDSA

DN du sujet

Sign par

Profil de certificats Validit Description Nom alternatif du certificat

Identifiant (OID) de politique de certification

Utiliser UTF-8 dans le texte de la politique de certification Utiliser le codage PrintableString pour le DN

CC-BY-SA, GNU FDL


Rf. : 9999-02

36 / 53


Champs Donnes spcifiques de LCR

Description

Utiliser Identifiant de la cl publique Cette extension fournit les moyens didentifier la cl publique de lmetteur correspondante la cl prive qui a t employe pour signer la LCR. Utiliser le numro de LCR Ce champ permet la numrotation incrmentale des LCR. Le numro est incrment de 1 chaque nouvelle mission de LCR.

Utiliser le numro de LCR Critique Ne pas cocher. Cette extension ne doit pas tre marque Critique selon le RFC 5280 [PKIX:RFC5280]. Priode de validit de la LCR (h) Spcifie lintervalle de temps entre les champs ThisUpdate et NextUpdate de la LCR. Cest--dire la priode de validit de la LCR. Priode de gnration des LCR.

Intervalle dmission de la LCR (h)

Priode de chevauchement des LCR Intervalle de temps de chevauchement entre deux LCR, entre la (min) fin de vie dune LCR et lmission de la prochaine. Publication de LCR Point de Distribution des LCR par dfaut metteur de LCR par dfaut Service OCSP par dfaut Autres donnes Service OCSP Service XKMS Service CMS Paramtres dapprobation Nombre de requtes approuves Utilisateur final Ce champ permet dindiquer que le service OCSP pour cette AC est actif. Ce champ permet dindiquer que le service XKMS pour cette AC est actif. Ce champ permet dindiquer que le service CMS pour cette AC est actif. Permet dindiquer que cette AC utilisera un service dapprobation pour le recouvrement de cls ou/et pour les requtes de certificats. Spcifie le nombre dapprobations avant validation. Cette case doit tre coche. Elle permet lAC dmettre des certificats. Ce champ permet de spcifier le service de publication qui recevra la LCR. Utiliser comme valeur par dfaut dans le profil de certificats utilisant cette AC. Dlgation dmission de LCR. Utiliser comme valeur par dfaut dans le profil de certificats utilisant cette AC.

3.23.2.1

Fonctions dautorit denregistrement (AE)dition dun profil de donnes externesDescription Slectionner le type de donnes souhaites. Une seule slection possible dans la version 3.4

Champs Type de donnes sources de lutilisateur

Paramtre des donnes spcifiques des sources de lutilisateur Chemin de classe Permet dindiquer la classe Java permettant de raliser les appels une autre source de donnes.

Proprit de paramtrage du service de publication Permet de spcifier les proprits dappels et de connexion vers une autre source de donnes.

CC-BY-SA, GNU FDL


Rf. : 9999-02

37 / 53


Paramtres gnraux Champs modifiables AC applicables Description Permet de spcifier les champs que lAE peut modifier. Permet de spcifier pour quelle AC sont applicables les donnes importes. Permet dajouter un commentaire.

3.2.2Champs Nom

dition dun profil dentitsExplication Ce champ permet de spcifier un nom ou de laisser lutilisateur le saisir lors de la demande : la saisie du champ peut tre rendue obligatoire (cocher requis ) ; le champ peut tre modifiable ou non (cocher modifiable ). Ce champ permet lutilisateur de saisir un mot de passe, utile pour les fichiers PKCS #12 : lIGC peut gnrer le mot de passe alatoirement et lenvoyer par courrier lectronique (dans ce cas, cocher la case Auto-gnr ) ; il est galement possible dimprimer ce mot de passe ; saisir requis si le champ est obligatoire lors de la saisie par lutilisateur. Ce champ permet de gnrer le certificat automatiquement. Ce champ est utilis pour les lots de certificats. Liste des champs que vous souhaitez ajouter au sujet du DN du certificat : un champ peut tre rendu non modifiable et obligatoire en cochant les cases associes au champ slectionn.

Mot de passe

Batch gnration Champ DN du sujet

Champ pour le nom alternatif Ce champ permet de spcifier un nom alternatif au certificat (en relation du certificat avec le profil de certificats) : le type de nom doit respecter la norme X.509v3. Inverser DN du sujet et le Nom Alternatif du sujet Domaine du courrier lectronique Permet dinverser le DN dans le certificat qui sera mis. Dans la version standard le DN est CN, O, C, etc. En mode inverse (p. ex. LDAP), le DN est C, O, CN. Ce champ permet de spcifier un domaine de courrier qui sera gnral toutes les demandes de certificats.

Champs Attribut du sujet Cette extension fournit des moyens didentifier les certificats qui dannuaire (Subject Directory contiennent une cl publique particulire. Attribute) Profil de certificats par dfaut Ce champ permet de dfinir le profil qui sera utilis par dfaut par le profil dentits. Profils de certificats disponibles AC par dfaut AC disponibles Token par dfaut Tokens disponibles Type Ce champ permet de lister les profils de certificats qui peuvent tre utiliss avec ce profil dentits. Ce champ permet de dfinir lAC qui sera utilise par dfaut par le profil dentits. Ce champ permet de lister les AC qui peuvent tre utilises avec ce profil dentits. Ce champ permet de dfinir le token qui sera utilis par dfaut par le profil dentits. Ce champ permet de lister les tokens qui peuvent tre utiliss avec ce profil dentits.

CC-BY-SA, GNU FDL


Rf. : 9999-02

38 / 53


Champs Administrateur

Explication Ce champ permet de spcifier que le certificat peut tre un certificat administrateur : la slection du champ par dfaut , permet ladministrateur lors du processus de demande de certificat dindiquer si cest une demande de certificats administrateur ou non ; la slection du champ requis implique que les demandes de certificats avec ce profil soient automatiquement des demandes de certificats administrateur. Autorise le recouvrement de cls. Ce champ permet de spcifier ladresse de notification du courrier de lIGC. Permet de spcifier ladresse de lexpditeur des notifications (p. ex. [email protected]). Ce champ permet de spcifier un intitul pour le courrier qui sera adress lutilisateur. Ce champ permet de spcifier le message du courrier qui sera adress lutilisateur.

Cl de recouvrement Adresse de notification Expditeur de notifications Sujet de la notification Message de notification

Impression des donnes utilisateur Impression des donnes utilisateur Nom de limprimante Nombre de copies Gabarit Ajouter gabarit Permet limpression des donnes (comme le mot de passe de lentit) lors de la cration dune demande de certificat. Nom de limprimante utilise. Nombre dimpressions effectuer. Indique le gabarit courant. Choix du gabarit dimpression utiliser.

3.33.3.1

Gestion des tokens matrielsGestion dun profil de tokens matrielsExplication Trois profils de token matriel sont prdfinis : Carte eID sudoise ; Carte eID renforce ; Carte eID turque. Limite lalgorithme RSA la cl peut avoir comme longueur minimale 1024 ou 2048.

Champs Type de token matriel

Longueur de cl minimum Paramtres du certificat Certificats r-inscriptibles Certificat de signature Profil de certificats AC Type de PIN

Cest la possibilit de changer le certificat sur un token matriel. Cocher si elle est possible.

Slection dun profil de certificat prdfini. Par dfaut il existe dj un profil qui remplit la fonction de signature, cest HARDTOKEN_SIGN Slection de lAC qui va signer. Il est aussi possible dutiliser le certificat dun utilisateur. Les caractres du PIN peuvent tre cods laide de codages diffrents. Ce champ permet de choisir entre les trois codages suivants :

CC-BY-SA, GNU FDL


Rf. : 9999-02

39 / 53


Champs

Explication

ASCII numriques ; UTF-8 ; ISO-9564-1.Minimum de : Certificat dauthentification Profil de certificats Slection dun profil de certificat prdfini. Par dfaut il existe dj un profil qui remplit la fonction dauthentification, cest HARDTOKEN_AUTH Slection de lAC qui va authentifier. Il est aussi possible dutiliser le certificat dun utilisateur. Idem Type de PIN de Certificat de signature Slection du nombre minimum de caractres pour le PIN.

AC Type de PIN Certificat de chiffrement Profil de certificats AC Type de PIN Cl de recouvrement Rutiliser lancien certificat Paramtres gnraux Prfixe du champ numro de srie du token matriel Token effaable

Slection dun profil de certificat prdfini. Par dfaut il existe dj un profil qui remplit la fonction de chiffrement, cest HARDTOKEN_ENC Slection de lAC qui va chiffrer. Il est aussi possible dutiliser le certificat dun utilisateur. Cest le mme que celui de lauthentification. Il est possible de gnrer une cl de recouvrement tout comme avec une AC numrique. Si cette option est coche, le recouvrement se fera avec lancien certificat, sinon un nouveau sera gnr.

Les tokens matriels ont tous un numro de srie. De manire commune, les tokens qui ont la mme utilisation possdent un prfixe commun. Cest ce champ qui permet de le dfinir. Si le token est r-inscriptible, cette option est cocher.

Les champs suivants sont associs des gabarits dimpression quil faut crer au pralable au format SVG. Les champs concerns sont : Paramtres pour le code PIN ; Paramtres daffichage ; Paramtres du reu ; Paramtres du libell de ladresse.

3.3.2

Gestion dun metteur de token matriel

Les metteurs sont associs un profil de tokens matriel.Champs Description Profils de tokens matriel disponibles Explication Ajout dune description. Choix du ou des profils de tokens matriel utilisables.

CC-BY-SA, GNU FDL


Rf. : 9999-02

40 / 53


3.43.4.1

Fonctions systmeCration dun service

Accs la console dadministration, puis la rubrique : Fonctions systmes > Gestion des services Slection dun service, puis clic sur le bouton Modifier .

3.4.1.1

Tche personnalise

EJBCA fournit un framework pour personnaliser les donnes utilisateurs pour crer des services personnaliss. De mme, il est possible de crer des actions personnalises. Remarque : lintgration dun service ou dune action personnalis ncessite un dveloppement pour intgrer la classe dappel et les classes EJBCA de service.Champs Type de tche Chemin de classe pour la tche Proprits de la tche Type dintervalle Description Tche personnalise. Ce champ permet de dfinir la classe dobjet utilise par le service personnalis. Ce champ permet de paramtrer la classe cre pour le service. Au choix : Intervalle personnalis ; Intervalle priodique. Dfinition de lintervalle. Au choix : Action personnalise ; Aucune action ; Notification par courriel. Activer le service Ajout dune description.

Priode Type daction

Actif Description

Type daction = Action personnalise Chemin de classe pour laction Proprits de laction Ce champ permet de dfinir la classe dobjets utilise par laction personnalise. Ce champ permet de paramtrer la classe cre pour laction.

Type daction = Notification par courriel Adresse de lexpditeur Adresse du destinataire Adresse de lmetteur du courriel. Adresse de ladministrateur du courriel.

3.4.1.2Champs Type de tche

Mise jour des LCRDescription Mise jour des LCR. Un seul choix : Intervalle priodique. Dfinition de lintervalle. Aucune action. [non gr]

Type dintervalle Priode Type daction

CC-BY-SA, GNU FDL


Rf. : 9999-02

41 / 53


Champs Actif Description

Description Activer le service Permet de dcrire le service ou dajouter dautres informations.


Vrification dexpiration de certificatDescription Vrification dexpiration de certificat. Les AC concernes par le processus de vrification. Dlai prcdant la fin de validit du certificat. Notification par courriel, utilise ladresse lectronique saisie lors de la demande de certificat. Vrifier que lutilisateur final a une adresse lectronique dans la base de donnes dutilisateur (pas ncessairement dans le certificat) pour le adresser la notification. Sujet du courrier adress lutilisateur. Message adress lutilisateur. Adresser un message ladministrateur. Sujet du courrier adress ladministrateur. Message adress ladministrateur. Un seul choix : Intervalle priodique. Le temps entre deux intervalles de vrification vers la base de donnes. Au choix : Notification par courriel ; Aucune action. Activer le service. Pour ajouter un commentaire.

AC surveiller Dlai avant lenvoi de la notification Envoyer un message lutilisateur (en utilisant ladresse de lentit)

Sujet de la notification utilisateur Message utilisateur Envoyer un message ladministrateur Sujet de la notification administrateur Message administrateur Type dintervalle Priode Type daction

Actif Description

Type daction = Notification par courriel Adresse de lexpditeur Adresse du destinataire Adresse de lmetteur du courrier. Adresse de ladministrateur du courrier.


Service dexpiration du mot de passe utilisateurDescription Service dexpiration du mot de passe utilisateur. Les AC concernes par le processus de vrification. Dlai prcdant la fin de validit du mot de passe. Notification par courriel, utilise ladresse lectronique saisie lors de la demande de certificat. Vrifier que lutilisateur final a une adresse lectronique dans la base de donnes dutilisateur (pas ncessairement dans le certificat) pour le adresser la notification. Sujet du courrier adress lutilisateur. Message adress lutilisateur.

AC surveiller Temps avant lexpiration du mot de passe utilisateur Envoyer un message lutilisateur (en utilisant ladresse de lentit)

Sujet de la notification utilisateur Message utilisateur

CC-BY-SA, GNU FDL


Rf. : 9999-02

42 / 53


Champs Envoyer un message ladministrateur Sujet de la notification administrateur Message administrateur Type dintervalle Priode Type daction

Description Adresser un message ladministrateur. Sujet du courrier adress ladministrateur. Message adress ladministrateur. Un seul choix : Intervalle priodique. Le temps entre deux intervalles de vrification vers la base de donnes. Au choix : Notification par courriel ; Aucune action. Activer le service. Pour ajouter un commentaire.

Actif Description

Type daction = Notification par courriel Adresse de lexpditeur Adresse du destinataire Adresse de lmetteur du courrier. Adresse de ladministrateur du courrier.

CC-BY-SA, GNU FDL


Rf. : 9999-02

43 / 53


4

Glossaire

Autorit de certification LAC est responsable des certificats signs en son nom et de len(AC) semble de linfrastructure cl publique quelle a mise en place. En particulier, lAC assure les fonctions suivantes : mise en application de la politique de certification (PC) ; mission des certificats ; gestion des certificats ; publication de la liste des certificats rvoqus (LCR) ; journalisation et archivage des vnements et informations relatives au fonctionnement de lIGC. LAC assure ces fonctions directement ou en les sous-traitant, tout ou partie. Dans tous les cas, lAC en garde la responsabilit. Liste des certificats rvoqus (LCR) OID (object identifier) Liste comprenant les numros de srie des certificats ayant fait lobjet dune rvocation. Cette liste est signe par lAC mettrice. Identificateur numrique unique enregistr conformment la norme denregistrement ISO et ITU pour dsigner un objet ou une classe dobjets spcifiques. Les OID officiels sont grs par lIANA (Internet Assigned Numbers Authority).

OCSP (Online Certificate OCSP est un protocole dfini dans le RFC 2560. Le but dOCSP est Status Protocol) de surmonter les limitations imposes par les LCR de base et de fournir une rponse immdiate et jour aux questions sur le statut dun certificat donn. Une information spcifique de rvocation pour un certificat est retourne plutt quune grande liste linaire de recherche sous forme de LCR. Autorit denregistrement (AE) LAE est responsable des fonctions qui lui sont dlgues par lAC, en vertu de la politique de certification. LAE assure habituellement les fonctions suivantes : gestion des demandes de certificats ; vrification de lidentit des demandeurs de certificats ; archivage des dossiers de demandes de certificats ; vrification des demandes de rvocation de certificats. Infrastructure de gestion des cls (IGC) galement appele infrastructure cl publique (ICP), une PKI (public key infrastructure) est un ensemble de technologies, organisations, procdures et pratiques qui supporte limplmentation et lexploitation de certificats bass sur la cryptographie cls publiques.

Politique de certification Ensemble de rgles dfinissant les exigences auxquelles lautorit (PC) de certification se conforme dans la mise en place de prestations adaptes certains types dapplications. La politique de certification doit tre identifie de faon unique par un OID dfini par lautorit de certification. Renouvellement dun certificat Opration effectue la demande dun porteur de certificat ou en fin de priode de validit dun certificat et qui consiste gnrer une nouvelle bicl et mettre un nouveau certificat. Diffusion : Publique Rf. : 9999-02 44 / 53

CC-BY-SA, GNU FDL


Rvocation dun certificat

Opration demande par le porteur de certificat ou le responsable habilit de la socit cliente, par une AC, une AE, et dont le rsultat est la suppression de la caution de lAC sur un certificat donn, avant la fin de sa priode de validit. La demande peut tre la consquence de diffrents types dvnements tels que la compromission dune bicl, le changement dinformations contenues dans un certificat, etc. Lopration de rvocation est considre termine quand le certificat mis en cause est publi dans la liste des certificats rvoqus.

Certificat

Cl publique dun porteur de certificat, ainsi que des informations didentit rendues infalsifiables par la signature numrique de lautorit de certification qui la dlivr. Un certificat contient des informations telles que : lidentit du porteur de certificat ; le numro de srie du certificat, unique par AC ; la cl publique du porteur de certificat ; les dates de dbut et de fin de vie du certificat ; lidentit de lautorit de certification qui la mis ; la signature de lautorit de certification qui la mis.

UTF-8

Format de codage des caractres de lUnicode. Le format UTF-8 est un codage taille variable (de 1 4 octets par caractre) et assurant une compatibilit complte pour tous les caractres du code ASCII (7 bits). Par opposition, lUTF-16 est un codage fixe sur 2 octets (16 bits).

CC-BY-SA, GNU FDL


Rf. : 9999-02

45 / 53


5AC ACI AE AEL ARL

Sigles et acronymesDsignation Autorit de certification Access Control Instruction Autorit denregistrement Autorit denregistrement locale Authority Revocation List American Standard Code for Information Interchange Basic Encoding Rules Certificate Authority Certificate Management Protocol Cryptographic Message Syntax Common Name Certificate Policy Certification Practice Statement Certificat qualifi Certificate Revocation List Certificate Request Message Format Certificate Signing Request Comma Separated Value Card Verification Code Card Verification Value Database Domain Component Distinguished Encoding Rules Directory Information Tree Distinguished Name Domain Name System Dclaration des pratiques de certification Enterprise Archive Elliptic Curve Digital Signature Algorithm Electronic Identity (Card) Enterprise JavaBeans EJB Certificate Authority European Telecommunications Standards Institute Hyper Text Transfer Protocol Hyper Text Transfer Protocol over SSL Hardware Security Module Internet Assigned Numbers Authority Infrastructure cl publique [fr-CA] Identifier [en], Identifiant [fr]

Sigle

ASCII BER CA CMP CMS CN CP CPS CQ CRL CRMF CSR CSV CVC CVV DB DC DER DIT DN DNS DPC EAR ECDSA eID EJB EJBCA ETSI HTTP HTTPS HSM IANA ICP ID

CC-BY-SA, GNU FDL


Rf. : 9999-02

46 / 53


Sigle IETF IGC IP ISO ITU J2EE JCE JDBC JDK JKS JNDI JSF JSP LAR LBE LCR LDAP LDAPS LDIF MD5 MGF1 OCSP OID OU PC PDC PEM PIN PKCS PKI PKIX PUK QC RA RFC RSA SCEP SHA-1 SHA-256 SP SQL

Dsignation Internet Engineering Task Force Infrastructure de gestion de cls [fr-FR] Internet Protocol International Organization for Standardization International Telecommunication Union Java 2 Enterprise Edition Java Cryptography Extension Java Database Connectivity J2SE Development Kit Java Key Store Java Naming and Directory Interface Java Server Faces Java Server Page Liste des autorits rvoques LDAP Browser Explorer Liste des certificats rvoqus Lightweight Directory Access Protocol Lightweight Directory Access Protocol over SSL LDAP Data Interchange Format Message Digest 5 Mask Generation Function 1 Online Certificate Status Protocol Object Identifier Organizational Unit Politique de certification Primary Domain Controller (Microsoft Windows NT Server) Privacy Enhancement for Internet Electronic Mail Personal Identification Number Public-Key Cryptography Standards Public Key Infrastructure [en-US], [en] Public Key Infrastructure for X.509 certificates Personal Unblocking Key Qualified Certificate Registration Authority Request for Comments Rivest, Shamir, Adleman (algorithme asymtrique) Simple Certificate Enrollment Protocol Secure Hash Algorithm One Secure Hash Algorithm 256 Service de publication Structured Query Language

CC-BY-SA, GNU FDL


Rf. : 9999-02

47 / 53


Sigle SSL SVG TCP TLS UID URI URL UTF-8 XKMS XML

Dsignation Secure Socket Layer protocol Scalable Vector Graphics Transmission Control Protocol Transport Layer Security protocol Unique Identifier Uniform Resource Identifier Uniform Resource Locator 8-bit Unicode Transformation Format XML Key Management Specification Extensible Markup Language

CC-BY-SA, GNU FDL


Rf. : 9999-02

48 / 53


6

Rfrences

Rfrences LinagoraRFRENCE VER. PROJET TITRE

Rfrences externesRFRENCE VER. DITEUR TITRE

Rfrences webRFRENCEEJBCA:MANUAL PKIX:RFC5280

TITREEJBCA User Guide Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile Internet X.509 Public Key Infrastructure: Qualified Certificates Profile The Internet IP Security PKI Profile of IKEv1/ISAKMP, IKEv2, and PKIX Server-Based Certificate Validation Protocol (SCVP)

LANG ADRESSE WEBen-US en-US http://www.ejbca.org/manual.html http://www.ietf.org/rfc/rfc5280.txt

PKIX:RFC3739

en-US

http://www.ietf.org/rfc/rfc3739.txt

PKIX:RFC4945

en-US


PKIX:RFC5055

en-US


CC-BY-SA, GNU FDL


Rf. : 9999-02

49 / 53


7

Table des illustrations2.1: Interface dadministration Architecture gnrale.....................................10 2.2: Console dadministration Page daccueil.................................................10 2.3: Fonctions de base..................................................................................12 2.4: Profil de certificats.................................................................................13 2.5: Services de publication...........................................................................13 2.6: diter/Crer des AC...............................................................................14 2.7: Gestion des donnes externes.................................................................15 2.8: Gestion des profils dentits....................................................................16 2.9: Demande dentit pour le profil VIDE ..................................................17 2.10: Lister et diter les requtes de certificat en mode normal.........................18 2.11: Lister et diter les requtes de certificat en mode avanc.........................19 2.12: Gestion des profils de tokens matriels...................................................20 2.13: Gestion des metteurs de tokens matriels.............................................20 2.14: Gestion des requtes............................................................................21 2.15: Consulter les journaux en mode normal..................................................21 2.16: 2.17: 2.18: 2.19: 2.20: 2.21: 2.22: 2.23: Consulter les journaux en mode avanc..................................................22 Choix de lAC pour la configuration des journaux......................................22 Supervision : Rapports.........................................................................23 Configuration du systme : configuration web de EJBCA...........................25 Configuration du systme : prfrence de ladministrateur par dfaut.........26 Gestion des services.............................................................................26 Gestion des administrateurs..................................................................27 Mes prfrences..................................................................................28

Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration Illustration

CC-BY-SA, GNU FDL


Rf. : 9999-02

50 / 53


8A

IndexsubjectAltName...................................30 subjectDirectoryAttributes....................31 subjectKeyIdentifier.............................30 extKeyUsage...........................................33

AC................................................8, 11, 44 administrateur............................................ gestion..............................................27 AE..........................................8, 14, 37, 44 AEL.........................................................8 authorityKeyIdentifier...............................30 autorit..................................................... autorit de certification........................11 denregistrement.......................8, 14, 44 denregistrement locale..........................8 de certification................................8, 44 autorit de certification.............................30

Ffonction..................................................... AC....................................................30 autorit denregistrement.....................37 systme.......................................23, 41 freshestCRL............................................31

Ggestion...................................................... des droits...........................................27 des requtes.......................................21

B C

basicConstraints......................................30 certificat.................................................... profil.................................................30 rvocation..........................................45 certificatePolicies.....................................31 champ...................................................30 clientAuth...............................................33 code PUK................................................23 codeSigning............................................33 configuration.............................................. mes prfrences.................................27 services.............................................26 systme.............................................23 console dadministration...........................10 consulter................................................... journaux............................................21 cration..................................................... autorit de certification........................14 profil de certificats...............................30 service de publication..........................41 cRLDistributionPoints................................31 cRLSign..................................................32

Hhistorique...............................................21

IIGC.......................................................44 interface dadministration.........................10

J

journaux.................................................... configuration......................................22 consultation........................................21

K

keyAgreement.........................................32 keyCertSign............................................32 keyEncipherment.....................................32 keyUsage...............................................30

Llangue...................................................24 LCR.......................................................44

M

D

dataEncipherment....................................32 decipherOnly...........................................33 dpt.................................................8, 13 digitalSignature.......................................32 donne externe.......................................15 donnes externes....................................37

EemailProtection.......................................33 EMPTY...................................................16 encipherOnly...........................................33 entit........................................................ profil.................................................15 vnement.............................................22 extensions X.509v3..................................... authorityKeyIdentifier..........................30 basicConstraints..................................30 certificatePolicies.................................31 cRLDistributionPoints...........................31 extKeyUsage......................................33 keyUsage...........................................30

matriels..........................................19, 39 modification............................................... autorit de certification........................35 metteur de token matriel..................40 profil dentits.....................................38 profil de donnes externes....................37 profil de tokens matriels.....................39 service de publication..........................34 supervision........................................21

N

nonRepudiation.......................................32 notification.............................................23

OOCSP.....................................................44 OCSPSigning...........................................33 OID.......................................................44

PPC.........................................................44 politique de certification.............................8

CC-BY-SA, GNU FDL


Rf. : 9999-02

51 / 53


prfrences (configuration).......................27 profil......................................................... dentits............................................38 de donnes externes............................37 de tokens matriels.............................39 publication..............................................13

R S

rapport..................................................22 serverAuth.............................................33 services..................................................... cration.............................................41 subjectAltName.......................................30 subjectDirectoryAttributes.........................31 subjectKeyIdentifier.................................30 systme (configuration)............................23

T

timeStamping.........................................33 titre des pages web..................................23 token...............................................19, 39

U

UTF-8....................................................45

CC-BY-SA, GNU FDL


Rf. : 9999-02

52 / 53


CC-BY-SA, GNU FDL


Rf. : 9999-02

53 / 53

9999-02 doc ejbca guide-administration 3.0

Documents