Chapitre 2. Gestion des certificats pour les utilisateurs, les hôtes et les services à l'aide de l'autorité de certification IdM intégrée
Ce chapitre décrit comment gérer les certificats dans la gestion des identités (IdM) à l'aide de l'autorité de certification intégrée, de l'autorité de certification ipa
et de ses sous-autorités de certification.
Ce chapitre contient les sections suivantes :
- Demande de nouveaux certificats pour un utilisateur, un hôte ou un service à l'aide de l'interface Web IdM.
Demande de nouveaux certificats pour un utilisateur, un hôte ou un service auprès de l'autorité de certification IdM à l'aide de la CLI IdM :
-
Pour un exemple spécifique de demande d'un nouveau certificat d'utilisateur auprès de l'autorité de certification IdM à l'aide de l'utilitaire
certutil
et de son exportation vers un client IdM, voir Demande d'un nouveau certificat d'utilisateur et exportation vers le client.
-
Pour un exemple spécifique de demande d'un nouveau certificat d'utilisateur auprès de l'autorité de certification IdM à l'aide de l'utilitaire
- Demande de nouveaux certificats pour un utilisateur, un hôte ou un service auprès de l'autorité de certification IdM à l'aide d'openssl
Vous pouvez également demander de nouveaux certificats pour un service à l'autorité de certification IdM à l'aide de l'utilitaire certmonger
. Pour plus d'informations, voir Demande de nouveaux certificats pour un service auprès de l'autorité de certification IdM à l'aide de certmonger.
Conditions préalables
Votre déploiement IdM contient une autorité de certification intégrée :
- Pour plus d'informations sur la planification des services de l'autorité de certification dans IdM, voir Planification des services de l'autorité de certification.
- Pour plus d'informations sur l'installation d'un serveur IdM avec DNS intégré et AC intégrée en tant qu'autorité de certification racine, voir Installation d'un serveur IdM : Avec DNS intégré, avec une autorité de certification intégrée comme autorité de certification racine
- Pour plus d'informations sur l'installation d'un serveur IdM avec DNS intégré et une autorité de certification externe en tant qu'autorité de certification racine, voir Installation d'un serveur IdM : Avec DNS intégré, avec une autorité de certification externe comme autorité de certification racine
- Pour plus d'informations sur l'installation d'un serveur IdM sans DNS intégré et avec une autorité de certification intégrée comme autorité de certification racine, voir Installation d'un serveur IdM : Sans DNS intégré, avec une autorité de certification intégrée comme autorité de certification racine.
[Facultatif] Votre déploiement IdM prend en charge les utilisateurs qui s'authentifient à l'aide d'un certificat :
- Pour savoir comment configurer votre déploiement IdM pour prendre en charge l'authentification des utilisateurs à l'aide d'un certificat stocké dans le système de fichiers du client IdM, voir Configuration de l'authentification à l'aide d'un certificat stocké sur le bureau d'un client IdM.
- Pour savoir comment configurer votre déploiement IdM pour prendre en charge l'authentification des utilisateurs à l'aide d'un certificat stocké sur une carte à puce insérée dans un client IdM, voir Configuration de la gestion des identités pour l'authentification par carte à puce.
- Pour savoir comment configurer votre déploiement IdM pour prendre en charge l'authentification des utilisateurs à l'aide de cartes à puce émises par un système de certificats Active Directory, voir Configuration des certificats émis par ADCS pour l'authentification par carte à puce dans IdM.
2.1. Demande de nouveaux certificats pour un utilisateur, un hôte ou un service à l'aide de l'interface Web IdM
Cette section décrit comment utiliser l'interface Web de gestion des identités (IdM) pour demander un nouveau certificat pour n'importe quelle entité IdM auprès des autorités de certification (AC) IdM intégrées : l'AC ipa
ou l'une de ses sous-AAC.
Les entités de l'IdM comprennent
- Utilisateurs
- Hosts
- Services
Les services sont généralement exécutés sur des nœuds de service dédiés sur lesquels les clés privées sont stockées. La copie de la clé privée d'un service sur le serveur IdM n'est pas considérée comme sûre. Par conséquent, lorsque vous demandez un certificat pour un service, créez la demande de signature de certificat (CSR) sur le nœud de service.
Conditions préalables
- Votre déploiement IdM contient une autorité de certification intégrée.
- Vous êtes connecté à l'interface Web IdM en tant qu'administrateur IdM.
Procédure
-
Sous l'onglet
Identity
, sélectionnez le sous-ongletUsers
,Hosts
ouServices
. Cliquez sur le nom de l'utilisateur, de l'hôte ou du service pour ouvrir sa page de configuration.
Figure 2.1. Liste des hôtes
-
Cliquez sur
. - Facultatif : Sélectionnez l'autorité de certification émettrice et l'ID de profil.
-
Suivez les instructions d'utilisation de l'utilitaire de ligne de commande (CLI)
certutil
à l'écran. - Cliquez sur .