Gestion des certificats

Les certificats sont utilisés pour signer, valider, chiffrer et déchiffrer divers objets tels que les assertions SAML et les jetons Web JSON (JWT) OAuth et OpenID Connect.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur.
Remarque : si vous utilisez un certificat signé par une autorité de certification (CA), tous les certificats intermédiaires et racine de la chaîne doivent être importés dans IBM Verify le magasin de confiance. Une liste de révocation de certificat valide doit être définie pour le certificat signé par l'autorité de certification et le site de la liste de révocation de certificat doit être accessible.

A propos de cette tâche

Verify utilise les certificats suivants :
Certificat personnel

Certificat de confiance numérique qu'un client ou un serveur attribue à d'autres clients ou serveurs pour l'authentification.

Le certificat personnel contient à la fois un certificat de signataire ou une clé publique et une clé privée pour la signature et le chiffrement des données.

Le fournisseur d'identité signe toujours sa réponse d'authentification « SAML ». Lorsque vous configurez l'authentification unique d' SAML, vous devez fournir au fournisseur de services le certificat du signataire ou la clé publique du certificat personnel. Ces informations valident l'identité du fournisseur d'identité. Le certificat de signature ou clé publique du certificat personnel est automatiquement renseigné dans les Applications > Connexion instructions.

Le certificat est également utilisé pour signer des jetons d'identification pour les applications de connexion unique OIDC.

Verify comprend un certificat personnel. Toutefois, ce certificat est uniquement utilisé à des fins de démonstration, de preuve du concept ou de validation de technologie. N'utilisez pas le certificat fourni dans un environnement de production. Ajoutez un autre certificat personnel lors de la configuration initiale Verify .

Vous pouvez également ajouter plusieurs certificats personnels mais vous devez toujours avoir un certificat :
  • Lorsque le nom descriptif est défini sur server.
  • défini en tant qu'élément par défaut. Seul le certificat par défaut est utilisé pour signer la réponse d'authentification de l' SAML.

Lorsque le certificat personnel par défaut est sur le point d'expirer, vous devez le modifier puis reconfigurer la connexion unique pour l'application qui utilisait la clé publique de ce certificat personnel. Sinon, la configuration de connexion ne peut pas fonctionner si la clé publique n'est pas compatible avec le nouveau certificat personnel par défaut.

Certificat de signataire

Certificat de confiance numérique qui est généré et fourni par le fournisseur de services et est spécifique au compte ou à l'instance d'application cible.

Le certificat de signataire contient la clé publique qui est associée au certificat personnel de l'application cible. Le certificat de signataire valide et approuve l'émetteur du certificat. Verify utilise ce certificat pour valider la demande d'authentification signée SAML qu'il reçoit de l'application cible et pour indiquer qu'il Verify fait confiance à cette dernière.

Si le prestataire de services signe sa demande d'authentification SAML, il fournit son certificat de signature. Vous pouvez généralement obtenir les détails du certificat de signataire des métadonnées du fournisseur de services. Importez-le dans Verify avant de configurer l'authentification unique d' SAML pour l'application cible.

Si le fournisseur de services ne signe pas sa demande d'authentification SAML, il ne fournit pas de certificat de signature.

Vous pouvez ajouter plusieurs certificats de signataire.
Remarque : lorsque vous ajoutez un fournisseur d'identité d'entreprise SAML, son certificat de signature est automatiquement importé dans la page Sécurité > Certificats > Certificats de signature.

Procédure

  1. Sélectionnez Sécurité > Certificats
  2. Affichez les informations de certificat.
    1. Sélectionnez le certificat pour afficher la boîte de dialogue « Détails du certificat », qui fournit les informations suivantes :
      Tableau 1. Détails du certificat
      Informations Descriptions
      Nom usuel

      Également appelé alias de certificat. Il s'agit du nom d'affichage. Il s'agit d'une référence ciblée au certificat, plutôt qu'au numéro de série et au DN de l'émetteur.

      Le texte doit être en minuscules. N'utilisez que des caractères alphanumériques.

      Type de certificat

      Identifie le certificat en tant que certificat personnel ou certificat de signataire.

      Nom distinctif de l'émetteur Nom distinctif de l'entité qui a signé et émis le certificat. Il s'agit généralement de l'autorité de certification.

      Il se compose de plusieurs paires attribute=value, qui sont séparées par des virgules.

      CN: CommonName
      Nom de domaine complet de l'organisation.
      OU: OrganizationalUnit
      Nom de la division ou du service au sein de l'organisation.
      O: Organization
      Nom légal de l'organisation qui est enregistrée auprès de l'autorité compétente de la ville, de l'état ou du pays/de la région.
      L: Locality
      La ville où se trouve l'adresse de l'organisation.
      ST: StateOrProvinceName
      Etat ou province où l'organisation est physiquement située.
      C® : CountryName
      Code de pays ou de région à deux caractères.
      Nom distinctif du sujet

      Nom distinctif du sujet. Nom de l'entité à qui le certificat est délivré.

      Il se compose de plusieurs paires attribute=value, qui sont séparées par des virgules.

      Valide depuis

      Date de début de validité de ce certificat. Les certificats ne sont valables que pour un délai précis. L'autorité de certification définit et commence la période de validité du certificat lorsqu'elle signe le certificat.

      La date spécifiée dépend des paramètres locaux de date et heure.

      Expire le Le certificat n'est pas valide après cette date.

      La date spécifiée dépend des paramètres locaux de date et heure.

      Numéro de série Identificateur unique pour distinguer le certificat des autres certificats émis par l'autorité de certification.
      Empreintes numériques
      Algorithme de prétraitement permettant d'identifier le certificat. Algorithme utilisé pour le hachage du certificat de clé publique et pour signer les messages SAML 2.0 sortants.
      • SHA-1
        Remarque : les émetteurs de certificats de l' SSL e ont cessé de prendre en charge cet algorithme depuis janvier 2016.
      • SHA-256
      Certificat par défaut

      Indique s'il s'agit du certificat par défaut.

      Il n'est pas possible de modifier ou de supprimer le certificat personnel.

      Algorithme de signature Algorithme de hachage et de chiffrement du certificat.
  3. Ajouter un certificat personnel.
    1. Sélectionnez « Ajouter un certificat personnel ». La boîte de dialogue Ajouter un certificat personnel s'affiche.
    2. Recherchez le fichier « PKCS#12 » (.p12) ou « PKCS#8 » (.p8). Vous pouvez également le faire glisser dans la zone de dépôt.
      Remarque : seuls les certificats RSA sont pris en charge dans le format de fichier PKCS#12, et seuls les certificats ECDSA sont pris en charge dans le format de fichier PKCS#8.
      Le nom du fichier sélectionné s'affiche.
    3. Indiquez les informations suivantes pour le nouveau certificat :
      Tableau 2. Boîte de dialogue « Ajouter un certificat personnel »
      Informations Descriptif
      Mot de passe du fichier Requis uniquement pour les fichiers .p12.

      Mot de passe pour déchiffrer et installer le fichier de certificat.

      Nom usuel Obligatoire pour les fichiers .p8, mais facultatif pour .p12 files.

      Libellé du certificat.

      Certificat par défaut Indique s'il s'agit du certificat par défaut.
      Remarque : seuls .p12 les certificats peuvent être utilisés comme certificat par défaut.
    4. Cliquez sur OK.
  4. Ajouter un certificat de signataire.
    1. Sélectionnez « Ajouter un certificat de signataire ». La boîte de dialogue Ajouter un certificat de signataire s'affiche.
    2. Recherchez le .pem fichier ou faites-le glisser dans la zone de dépôt.
      Le nom du fichier sélectionné s'affiche.
    3. Indiquez le nom descriptif du nouveau certificat. Pour plus de détails, voir le tableau 1.
    4. Cliquez sur OK.
      Le certificat s'affiche dans la section « Certificats de signataire ». Elle est également ajoutée en tant que valeur pour le certificat de signature du fournisseur de services sur la page Applications > Connexion.
  5. Supprimer un certificat personnel ou un certificat de signataire.
    1. Choisissez l'une des options suivantes :
      • Passez la souris sur le certificat que vous souhaitez supprimer, puis cliquez sur Supprimer l'icône.
      • Sélectionnez le certificat.
    2. Sélectionnez « Supprimer ».
    3. Confirmez que vous voulez supprimer définitivement le ou les utilisateurs sélectionnés.