SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 5. Planification des services de l'AC

La gestion des identités (IdM) dans Red Hat Enterprise Linux fournit différents types de configurations d'autorité de certification (CA). Les sections suivantes décrivent différents scénarios et fournissent des conseils pour vous aider à déterminer la configuration la mieux adaptée à votre cas d'utilisation.

CA sujet DN
Le nom distinctif (DN) du sujet de l'autorité de certification (CA) est le nom de l'autorité de certification. Il doit être globalement unique dans l'infrastructure de l'autorité de certification de la gestion des identités (IdM) et ne peut pas être modifié après l'installation. Si vous avez besoin que l'autorité de certification IdM soit signée de manière externe, vous devrez peut-être consulter l'administrateur de l'autorité de certification externe pour connaître la forme que doit prendre le Subject DN de l'autorité de certification IdM.

5.1. Services CA disponibles dans un serveur IdM

Vous pouvez installer un serveur de gestion des identités (IdM) avec une autorité de certification (AC) IdM intégrée ou sans AC.

Tableau 5.1. Comparaison de la gestion de l'identité avec une autorité de certification intégrée et sans autorité de certification
 CA intégréSans CA

Vue d'ensemble :

IdM utilise son propre service d'infrastructure à clé publique (PKI) avec CA signing certificate pour créer et signer les certificats dans le domaine IdM.

  • Si l'autorité de certification racine est l'autorité de certification intégrée, l'IdM utilise un certificat d'autorité de certification auto-signé.
  • Si l'autorité de certification racine est une autorité de certification externe, l'autorité de certification intégrée de l'IdM est subordonnée à l'autorité de certification externe. Le certificat d'autorité de certification utilisé par IdM est signé par l'autorité de certification externe, mais tous les certificats du domaine IdM sont émis par l'instance du système de certification intégré.
  • L'autorité de certification intégrée est également en mesure d'émettre des certificats pour les utilisateurs, les hôtes ou les services.

L'autorité de certification externe peut être une autorité de certification d'entreprise ou une autorité de certification tierce.

IdM ne met pas en place sa propre autorité de certification, mais utilise des certificats d'hôte signés par une autorité de certification externe.

L'installation d'un serveur sans autorité de certification nécessite de demander les certificats suivants à une autorité tierce :

  • Un certificat de serveur LDAP
  • Un certificat de serveur Apache
  • Un certificat PKINIT
  • Chaîne complète des certificats de l'autorité de certification qui a émis les certificats des serveurs LDAP et Apache

Limites :

Si l'autorité de certification intégrée est subordonnée à une autorité de certification externe, les certificats émis dans le domaine IdM sont potentiellement soumis à des restrictions fixées par l'autorité de certification externe pour divers attributs de certificat, tels que

  • La période de validité.
  • Contraintes relatives aux noms de sujets pouvant figurer sur les certificats délivrés par l'autorité de certification IDM ou ses subordonnés .
  • Contraintes sur la possibilité pour l'autorité de certification IDM de délivrer elle-même des certificats d'autorités de certification subordonnées, ou sur le degré de "profondeur" de la chaîne de certificats subordonnés.

La gestion des certificats en dehors de l'IdM entraîne un grand nombre d'activités supplémentaires, telles que :

  • La création, le téléchargement et le renouvellement des certificats sont des opérations manuelles.
  • Le service certmonger ne suit pas les certificats IPA (serveur LDAP, serveur Apache et certificats PKINIT) et ne vous avertit pas lorsque les certificats sont sur le point d'expirer. Les administrateurs doivent configurer manuellement des notifications pour les certificats émis en externe ou définir des demandes de suivi pour ces certificats s'ils veulent que certmonger les suive.

Fonctionne le mieux pour :

Les environnements qui vous permettent de créer et d'utiliser votre propre infrastructure de certificats.

Très rares cas où les restrictions de l'infrastructure ne permettent pas d'installer les services de certificats intégrés au serveur.

Note

Il est possible de passer de l'autorité de certification auto-signée à une autorité de certification externe, ou l'inverse, et de changer l'autorité de certification externe qui délivre le certificat de l'autorité de certification IdM, même après l'installation. Il est également possible de configurer une autorité de certification intégrée même après une installation sans autorité de certification. Pour plus de détails, voir Installation d'un serveur IdM : Avec DNS intégré, sans AC.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.