Pour afficher les informations du certificat client
Une fois le certificat client sauvegardé correctement sur la caméra, ses informations apparaissent dans État,
Nom unique de l’émetteur, Nom unique de l’objet,
Période de Validité et Utilisation de la clé étendue.
État : Affiche que l’état du certificat client est valide ou non valide.
Valide signifie que le certificat client est correctement mémorisé et réglé.
Non valide signifie que le certificat client n’est pas correctement mémorisé et réglé.
Les causes possibles pour Non valide sont les suivantes :
– Le mot de passe de clé privée compris dans le certificat client n’est pas spécifié correctement.
– Le mot de passe de clé privée est spécifié malgré le fait que la paire de clés du certificat client ne soit pas chiffrée.
– La paire de clés n’est pas comprise dans le certificat client.
Remarque
Lorsque le certificat client à importer est de format
PKCS#12 et que le mot de passe de clé privée n’est pas spécifié correctement, « <Saisissez le bon mot de passe de clé privée> » s’affiche dans les cases de Nom unique
de l’émetteur, Nom unique de l’objet, Période de
Validité et Utilisation de la clé étendue. Spécifiez le bon mot de passe de clé privée pour vérifier les informations du certificat.
Pour supprimer le certificat client
Cliquez sur Delete et le certificat client mémorisé sur la caméra sera supprimé.
Mot de passe de clé privée
Saisissez le mot de passe pour les informations de clé privée comprises dans le certificat client, en n’utilisant pas plus de 50 caractères.
Laissez la zone de texte vide si les informations de clé privée comprises dans le certificat client ne sont pas chiffrées.
Si aucun mot de passe de clé privée n’est spécifié dans la caméra, la zone de texte s’active pour permettre la saisie d’un mot de passe.
Si un mot de passe de clé privée est déjà spécifié, il s’affiche en lettres inversées.
Reset
Pour changer le mot de passe de clé privée, cliquez sur ce bouton. Le mot de passe actuel est effacé et la zone de texte de mot de passe s’active pour permettre la saisie du nouveau mot de passe.
Remarque
Cliquez sur
Cancel
au bas du menu si vous désirez annuler la modification du mot de passe de clé privée après avoir cliqué sur
Reset
. Cela rétablit les valeurs précédentes des autres paramètres dans l’onglet
Certificat client.
OK/Cancel
Voir « Boutons communs à chacun des menus » à la page 36.
Onglet Certificat CA
Vous pouvez importer un certificat CA de confiance
(certificat de serveur ou certificat de routeur) vers la caméra. Jusqu’à quatre certificats émis par des autorités de certification peuvent être importés vers la caméra.
Seul le format PEM est pris en charge.
Pour importer le certificat CA
Cliquez sur Parcourir... pour sélectionner le certificat
CA à importer.
Cliquez ensuite sur Submit, et le fichier sélectionné sera importé vers la caméra.
Remarque
L’importation sera non valide si le fichier sélectionné n’est pas un certificat CA.
Pour afficher les informations du certificat CA
Une fois le certificat CA sauvegardé correctement sur la caméra, ses informations apparaissent dans Nom
unique de l’émetteur, Nom unique de l’objet, Période
de Validité et Utilisation de la clé étendue.
Utilisation de la fonction d’authentification 802.1X — Menu 802.1X
71
Pour supprimer le certificat CA
Cliquez sur Delete et le certificat CA mémorisé sur la caméra sera supprimé.
Paramétrage de la fonction d’authentification 802.1X
— Exemple avec Windows Server
2003
Cette section explique comment configurer le serveur d’authentification et l’autorité de certification sous
Microsoft Windows Server 2003.
Remarque
Comme cette section décrit l’authentification sur la base de l’interface utilisateur anglaise de Windows Server
2003, la terminologie de l’interface utilisateur et la configuration des pages peuvent être différentes, suivant la version du système d’exploitation ou les Service
Packs et rustines de mise à jour installés.
Avant d’effectuer la configuration
Effectuez les réglages suivants avant de configurer le réseau 802.1X.
Active Directory (contrôleur de domaine)
Dans l’exemple de paramétrage qui suit, nous supposons que Active Directory a été configuré.
Configuration de Windows IAS
Configurez Remote access/VPN server dans Manage
Your Server de Windows Server 2003. Ouvrez Add or
Remove Programs dans Control Panel du menu
Windows. Installez Internet Authentication Service dans Add/Remove Windows Components.
Configuration de l’autorité de certification
Pour configurer l’autorité de certification, exécutez les
étapes suivantes :
1
Ouvrez Add or Remove Programs dans Control
Panel du menu Windows.
2
Sélectionnez Add/Remove Windows
Components.
3
Ajoutez Certificate Services dans le menu
Composants.
4
Sélectionnez Enterprise root CA sur CA Type.
5
Saisissez le nom de l’autorité de certification sur
Common Name for this CA, puis configurez l’autorité de certification.
Création d’un groupe de sécurité pour
Active Directory
1
Ouvrez Active Directory Users and Computers dans Administrative Tools du menu Windows.
2
Sélectionnez Users du domaine avec lequel vous désirez effectuer la connexion 802.1X.
3
Sélectionnez New dans le menu contextuel, puis sélectionnez Group et configurez le groupe pour la connexion 802.1X.
À titre d’exemple, le groupe
« Wired_802.1X_Group » est utilisé pour l’explication.
Configuration du service d’authentification Internet
1
Ouvrez Internet Authentication Service dans
Administrative Tools du menu Windows.
2
Cliquez sur Register Server in Active Directory sur le menu d’opération.
3
Lisez attentivement les mises en garde qui s’affichent, et cliquez sur OK pour les accepter.
Poursuivez ensuite avec la configuration de la politique
EAP-TLS.
4
Sélectionnez Remote Access Policy et cliquez avec le bouton droit de la souris.
5
Sélectionnez New dans le menu contextuel, et sélectionnez Remote Access Policy pour ouvrir
« Nouvel assistant de stratégie d’accès distant ».
6
Sélectionnez Set up a custom policy.
7
Réglez les options suivantes :
Policy name : Saisissez par exemple « Allow
802.1X Access ».
Policy conditions : Cliquez sur Add et ajoutez les
éléments suivants :
– Type de port NAS : Ethernet, Wireless-
IEEE802.11, Wireless-Other et Virtual (VPN)
– Groupes Windows : Wired_802.1X_Group
Permissions : Sélectionnez Grant remote access
permission.
Edit Profile :
– Onglet Contraintes pour les appels entrants :
Spécifiez la durée de la session pendant laquelle le client est autorisé à être connecté, si nécessaire.
72
Utilisation de la fonction d’authentification 802.1X — Menu 802.1X
– Onglet Authentification : Décochez toutes les cases. Cliquez sur EAP Method et ajoutez
Smart Card or other certificates.
Poursuivez ensuite avec la configuration du client
RADIUS.
8
Sélectionnez RADIUS Clients et cliquez avec le bouton droit de la souris.
9
Sélectionnez New RADIUS Client dans le menu contextuel.
10
Réglez les options suivantes :
Friendly name : Saisissez par exemple
« authenticator ».
Client address (IP or DNS) : Adresse IP de l’authentificateur
Client-Vender : Standard RADIUS
Shared secret : Spécifiez le secret partagé à régler dans l’authentificateur.
Ajout d’un utilisateur
1
Ouvrez Active Directory Users and Computers dans Administrative Tools du menu Windows.
2
Sélectionnez Users du domaine auquel vous désirez ajouter un utilisateur, et cliquez sur le bouton droit de la souris.
3
Sélectionnez New dans le menu contextuel, puis sélectionnez User.
4
Réglez les options suivantes pour configurer un nouvel utilisateur :
À titre d’exemple, le nom d’utilisateur de connexion « 1XClient » est utilisé pour l’explication.
First name : 1XClient
User logon name : 1XClient@<nom de domaine>
Password : Spécifiez un mot de passe.
Sélectionnez ensuite Password never expires dans les options de compte.
5
Sélectionnez l’utilisateur à ajouter et cliquez sur le bouton droit de la souris.
6
Sélectionnez Properties dans le menu contextuel.
7
Réglez les options suivantes :
Dial-in tab : Sélectionnez Allow access dans
Remote Access Permission (Dial-in or VPN).
Member Of tab : Ajoutez
« Wired_802.1X_Group ».
Les préparatifs de configuration d’un réseau 802.1X sont alors achevés.
Poursuivez avec l’émission du certificat à importer vers la caméra.
Émettre le certificat CA
Préparez un ordinateur client Windows (ci-après dénommé « ordinateur client ») pour mémoriser temporairement le certificat, et configurez de sorte que l’ordinateur client et l’ordinateur tournant sous
Windows Server 2003 puissent être connectés via le réseau.
1
Lancez Internet Explorer sur l’ordinateur client.
2
Saisissez l’URL de l’autorité de certification dans la barre d’adresse, et cliquez sur Go To.
L’URL de l’autorité de certification est généralement comme suit :
La page « Microsoft Certificate Services » s’ouvre.
Remarque
Si la page Microsoft Certificate Services n’apparaît pas en utilisant l’URL ci-dessus, vérifiez ce qui suit :
– Le service de site Web est-il activé dans Internet
Information Service (IIS) ?
– Certificate Services est-il activé ?
– La connexion est-elle bloquée par le pare-feu ou un logiciel antivirus sur l’ordinateur client ?
– Les paramètres de configuration réseau et d’Internet Explorer sont-ils corrects sur l’ordinateur client ?
3
Lorsque Internet Explorer vous invite à saisir le nom de connexion et le mot de passe, saisissez le nom d’utilisateur comme suit.
Exemple : si le nom d’utilisateur est « 1XClient » et le nom de domaine « localnetwork.net »
[email protected]
Utilisation de la fonction d’authentification 802.1X — Menu 802.1X
73
4
Cliquez sur Download a CA certificate,
certificate chain, or CRL.
5
Sélectionnez Base 64 dans Encoding method et cliquez sur Download CA certificate.
La boîte de dialogue « File Download » s’ouvre.
6
Spécifiez l’emplacement de sauvegarde du fichier et sauvegardez le certificat CA.
Une fois le certificat CA sauvegardé, importez-le vers la caméra. La procédure d’importation du certificat CA est alors achevée.
Télécharger le certificat client
Cette section explique comment télécharger le certificat client.
1
Lancez Internet Explorer sur l’ordinateur client et saisissez l’URL de l’autorité de certification dans la barre d’adresse.
L’URL de l’autorité de certification est généralement comme suit :
2
Cliquez sur Go To.
3
Saisissez le nom de connexion et le mot de passe correctement.
La page « Microsoft Certificate Services » s’ouvre.
4
Cliquez sur Request a certificate, advanced
certificate request et Create and submit a
request to this CA dans cet ordre.
5
Réglez les options suivantes.
– CSP : Microsoft Enhanced Cryptographic
Provider v1.0
– Taille de clé : 1024
– Cochez Mark keys as exportable.
Additional Options : Sélectionnez SHA-1 pour
Hash Algorithm (algorithme de hachage).
6
Cliquez sur Submit.
Le message « The certificate you requested was issued to you. » apparaît.
7
Cliquez sur Install this certificate. pour installer le certificat dans le magasin de certificats sur l’ordinateur client.
8
Cliquez sur Internet Options, Content et
Certificates dans Internet Explorer, dans cet ordre.
Le nouveau certificat client s’affiche dans l’onglet
Personnel.
9
Sélectionnez le certificat installé et cliquez sur
Export....
« Certificate Export Wizard » s’ouvre.
10
Cliquez sur Next et sélectionnez comme suit.
Do you want to export the private key with the
certificate? : Sélectionnez Yes, export the
private key.
Select the format you want to use : Sélectionnez
Personal Information Exchange –
PKCS#12(PFX).
Password : Spécifiez le mot de passe de clé privée.
File to export : Spécifiez le nom du fichier à exporter.
Le certificat est exporté. Importez le fichier exporté vers la caméra en tant que certificat client de la caméra.
Pour plus de détails, voir « Pour importer le certificat
client » dans l’onglet Certificat client à la page 70.
Certificate Template : Utilisateur
Key Options : Créez un nouveau jeu de clés
74
Utilisation de la fonction d’authentification 802.1X — Menu 802.1X
