Gestion des certificats

Modifier en ligne

Les certificats sont utilisés pour signer, valider, chiffrer et déchiffrer divers objets tels que les assertions SAML et les jetons Web JSON (JWT) OAuth et OpenID Connect.

Avant de commencer

  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la console d'administration IBM® Verify en tant qu'administrateur.
Remarque: Si un certificat signé par une autorité de certification est utilisé, tous les certificats intermédiaires et racine de la chaîne doivent être importés dans le magasin de clés de confiance IBM Verify . Une liste de révocation de certificat valide doit être définie pour le certificat signé par l'autorité de certification et le site de la liste de révocation de certificat doit être accessible.

A propos de cette tâche

Verify utilise les certificats suivants:
Certificat personnel

Certificat de confiance numérique qu'un client ou un serveur attribue à d'autres clients ou serveurs pour l'authentification.

Le certificat personnel contient à la fois un certificat de signataire ou une clé publique et une clé privée pour la signature et le chiffrement des données.

Le fournisseur d'identité signe toujours sa réponse d'authentification SAML . Lorsque vous configurez la connexion unique SAML , vous devez fournir au fournisseur de services le certificat de signataire ou le composant de clé publique du certificat personnel. Ces informations valident l'identité du fournisseur d'identité. Le certificat de signataire ou clé publique du certificat personnel est automatiquement renseigné dans les Applications > Inscription instructions.

Le certificat est également utilisé pour signer des jetons d'identification pour les applications de connexion unique OIDC.

Verify inclut un certificat personnel. Toutefois, ce certificat est uniquement utilisé à des fins de démonstration, de preuve du concept ou de validation de technologie. N'utilisez pas le certificat fourni dans un environnement de production. Ajoutez un certificat personnel différent lors de la configuration Verify initiale.

Vous pouvez également ajouter plusieurs certificats personnels mais vous devez toujours avoir un certificat :
  • Avec Nom explicite défini sur server.
  • défini en tant qu'élément par défaut. Seul le certificat par défaut est utilisé pour signer la réponse d'authentification SAML .

Lorsque le certificat personnel par défaut est sur le point d'expirer, vous devez le modifier puis reconfigurer la connexion unique pour l'application qui utilisait la clé publique de ce certificat personnel. Sinon, la configuration de connexion ne peut pas fonctionner si la clé publique n'est pas compatible avec le nouveau certificat personnel par défaut.

Certificat de signataire

Certificat de confiance numérique qui est généré et fourni par le fournisseur de services et est spécifique au compte ou à l'instance d'application cible.

Le certificat de signataire contient la clé publique qui est associée au certificat personnel de l'application cible. Le certificat de signataire valide et approuve l'émetteur du certificat. Verify utilise ce certificat pour valider la demande d'authentification SAML signée qu'il reçoit de l'application cible et pour indiquer que Verify fait confiance à l'application cible.

Si le fournisseur de services signe sa demande d'authentification SAML , il fournit son certificat de signataire. Vous pouvez généralement obtenir les détails du certificat de signataire des métadonnées du fournisseur de services. Importez-le dans Verify avant de configurer la connexion unique SAML pour l'application cible.

Si le fournisseur de services ne signe pas sa demande d'authentification SAML , il ne fournit pas de certificat de signataire.

Vous pouvez ajouter plusieurs certificats de signataire.
Remarque : lorsque vous ajoutez un fournisseur d'identité d'entreprise SAML, son certificat de signature est automatiquement importé dans la page Sécurité > Certificats > Certificats de signature.
Vous pouvez effectuer les tâches suivantes :

Procédure

  1. Sélectionnez Sécurité > Certificats
  2. Affichez les informations de certificat.
    1. Sélectionnez le certificat pour afficher la boîte de dialogue Détails du certificat , qui fournit les informations suivantes:
      Tableau 1. Détails du certificat
      Informations Descriptions
      Nom usuel

      Également appelé alias de certificat. Il s'agit du nom d'affichage. Il est considéré comme une référence ciblée au certificat à la place du numéro de série et du nom distinctif de l'émetteur.

      Le texte doit être en minuscules. N'utilisez que des caractères alphanumériques.
      Type de certificat

      Identifie le certificat en tant que certificat personnel ou certificat de signataire.
      Nom distinctif de l'émetteur Nom distinctif de l'entité qui a signé et émis le certificat. Il s'agit généralement de l'autorité de certification.

      Il se compose de plusieurs paires attribute=value, qui sont séparées par des virgules.

      CN: CommonName
      Nom de domaine complet de l'organisation.
      OU: OrganizationalUnit
      Nom de la division ou du service au sein de l'organisation.
      O: Organization
      Nom légal de l'organisation qui est enregistrée auprès de l'autorité compétente de la ville, de l'état ou du pays/de la région.
      L: Locality
      Ville où se trouve l'adresse de l'organisation.
      ST: StateOrProvinceName
      Etat ou province où l'organisation est physiquement située.
      C® : CountryName
      Code de pays ou de région à deux caractères.
      Nom distinctif du sujet

      Nom distinctif du sujet. Nom de l'entité à qui le certificat est délivré.

      Il se compose de plusieurs paires attribute=value, qui sont séparées par des virgules.
      Valide depuis

      Date de début de validité de ce certificat. Les certificats ne sont valables que pour un délai précis. L'autorité de certification définit et commence la période de validité du certificat lorsqu'elle signe le certificat.

      La date spécifiée dépend des paramètres locaux de date et heure.
      Expire le Le certificat n'est pas valide après cette date.

      La date spécifiée dépend des paramètres locaux de date et heure.
      Numéro de série Identificateur unique pour distinguer le certificat des autres certificats émis par l'autorité de certification.
      Empreintes numériques
      Algorithme de prétraitement permettant d'identifier le certificat. Algorithme utilisé pour le hachage du certificat de clé publique et pour signer les messages SAML 2.0 sortants.
      • SHA-1
        Remarque: les émetteurs de certificats SSL ont déprécié cet algorithme à partir de janvier 2016.
      • SHA-256
      Certificat par défaut

      Indique s'il s'agit du certificat par défaut.

      Il n'est pas possible de modifier ou de supprimer le certificat personnel.
      Algorithme de signature Algorithme de hachage et de chiffrement du certificat.
  3. Ajoutez un certificat personnel.
    1. Sélectionnez Ajouter un certificat personnel. La boîte de dialogue Ajouter un certificat personnel s'affiche.
    2. Recherchez le fichier PKCS#12 (.p12) ou le fichier PKCS#8 (.p8). Vous pouvez également le faire glisser dans la zone de dépôt.
      Remarque: seuls les certificats RSA sont pris en charge dans le format de fichier PKCS#12 et seuls les certificats ECDSA sont pris en charge dans le format de fichier PKCS#8 .
      Le nom du fichier sélectionné s'affiche.
    3. Indiquez les informations suivantes pour le nouveau certificat :
      Tableau 2. Boîte de dialogue Ajouter un certificat personnel
      Informations Descriptif
      Mot de passe du fichier Requis uniquement pour les fichiers .p12.

      Mot de passe pour déchiffrer et installer le fichier de certificat.
      Nom usuel Obligatoire pour les fichiers .p8, mais facultatif pour .p12 files.

      Libellé du certificat.
      Certificat par défaut Indique s'il s'agit du certificat par défaut.
      Remarque: seuls les certificats .p12 peuvent être utilisés comme certificat par défaut.
    4. Sélectionnez OK.
  4. Ajoutez un certificat de signataire .
    1. Sélectionnez Ajouter un certificat de signataire. La boîte de dialogue Ajouter un certificat de signataire s'affiche.
    2. Recherchez le fichier .pem ou faites-le glisser dans la zone de dépôt.
      Le nom du fichier sélectionné s'affiche.
    3. Indiquez le nom usuel du nouveau certificat. Voir Tableau 1 pour plus de détails.
    4. Sélectionnez OK.
      Le certificat s'affiche dans la section Certificats de signataire . Il est également ajouté en tant que valeur pour le certificat de signature du fournisseur de services dans la page Applications > Connexion.
  5. Supprimez un certificat personnel ou un certificat de signataire.
    1. Choisissez l'une des options suivantes :
      • Passez la souris sur le certificat que vous souhaitez supprimer et sélectionnez Supprimer l'icône.
      • Sélectionnez le certificat.
    2. Sélectionnez Supprimer.
    3. Confirmez que vous voulez supprimer définitivement le ou les utilisateurs sélectionnés.