Chapitre 5. Création et gestion de profils de certificats dans la gestion des identités
Les profils de certificats sont utilisés par l'autorité de certification (AC) lors de la signature des certificats pour déterminer si une demande de signature de certificat (CSR) est acceptable et, le cas échéant, quelles sont les caractéristiques et les extensions présentes sur le certificat. Un profil de certificat est associé à l'émission d'un type particulier de certificat. En combinant les profils de certificats et les listes de contrôle d'accès (ACL) de l'autorité de certification, vous pouvez définir et contrôler l'accès aux profils de certificats personnalisés.
Les procédures décrivant la création de profils de certificats utilisent les certificats S/MIME à titre d'exemple. Certains programmes de messagerie électronique prennent en charge le courrier électronique signé et crypté numériquement à l'aide du protocole Secure Multipurpose Internet Mail Extension (S/MIME). L'utilisation de S/MIME pour signer ou crypter des messages électroniques exige que l'expéditeur du message dispose d'un certificat S/MIME.
- Qu'est-ce qu'un profil de certificat ?
- Création d'un profil de certificat
- Qu'est-ce qu'une liste de contrôle d'accès CA ?
- Définition d'une CA ACL pour contrôler l'accès aux profils de certificats
- Utilisation des profils de certificats et des listes de contrôle de l'autorité de certification pour émettre des certificats
- Modification d'un profil de certificat
- Paramètres de configuration du profil de certificat
5.1. Qu'est-ce qu'un profil de certificat ?
Vous pouvez utiliser les profils de certificat pour déterminer le contenu des certificats, ainsi que les contraintes liées à l'émission des certificats, telles que les suivantes :
- Algorithme de signature à utiliser pour chiffrer la demande de signature du certificat.
- La validité par défaut du certificat.
- Les motifs de révocation qui peuvent être utilisés pour révoquer un certificat.
- Si le nom commun du mandant est copié dans le champ du nom alternatif du sujet.
- Les caractéristiques et les extensions qui doivent figurer sur le certificat.
Un profil de certificat unique est associé à l'émission d'un type particulier de certificat. Vous pouvez définir différents profils de certificats pour les utilisateurs, les services et les hôtes dans l'IdM. L'IdM inclut par défaut les profils de certificats suivants :
-
caIPAserviceCert
-
IECUserRoles
-
KDCs_PKINIT_Certs
(utilisé en interne)
En outre, vous pouvez créer et importer des profils personnalisés, qui vous permettent d'émettre des certificats à des fins spécifiques. Par exemple, vous pouvez limiter l'utilisation d'un profil particulier à un seul utilisateur ou à un seul groupe, empêchant ainsi les autres utilisateurs et groupes d'utiliser ce profil pour émettre un certificat à des fins d'authentification. Pour créer des profils de certificats personnalisés, utilisez la commande ipa certprofile
.
Ressources supplémentaires
-
Voir la commande
ipa help certprofile
.