Authentification
Certificats root
Client Automation utilise des certificats de l'utilisateur racine sécurisés pour valider les certificats utilisés pour l'authentification. Plusieurs certificats racines peuvent être utilisés en parallèle pour autoriser la gestion de différentes chaînes d'autorité ou pour aider à la migration d'une chaîne de certificat vers une nouvelle chaîne.
Pour que deux nœuds communiquent avec succès et s'authentifient ensuite, le nœud authentificateur (répondeur) requiert l'accès au certificat de l'utilisateur racine qui a signé le certificat de la partie en cours d'authentification (initiateur). Si le certificat n'est pas disponible, non reconnu ou non valide, l'authentification échoue. Au cours de la migration planifiée du certificat, l'authentificateur peut être mis à jour grâce à un ou plusieurs certificats de l'utilisateur racine sécurisés, pour autoriser la migration par
étapes des clients. Les initiateurs disposant de différentes versions de certificats s'authentifient toujours avec succès s'ils sont signés par des certificats de l'utilisateur racine sécurisés par le répondeur.
Stockage de certificats
Les certificats d'authentification sont stockés de manière sécurisée sur chaque nœud
Client Automation. Les fichiers de certificat sont protégés par un mot de passe ; le mot de passe d'utilisation est chiffré à l'aide de la configuration Client Automation.
Certificats d'identité de l'hôte standard
Chaque nœud Client Automation dispose d'un certificat qui fournit une identité d'hôte standard (BHI) installée par défaut. D'autres certificats sont installés avec les services
qui les requièrent pour des objectifs précis (reportez-vous à la section Certificats actuels
(page 583)). L'installation de CA Client Automation est accompagnée d'un certificat standard par défaut signé par un certificat de l'utilisateur racine Client Automation. Ce certificat est installé sur chaque nœud Client Automation dans l'entreprise.
Vous recommandons aux utilisateurs finaux d'envisager la création de leur propre certificat de l'utilisateur racine, des certificats d'identité d'hôte standard (BHI) et des certificats spécifiques à l'application. Pour plus d'informations sur le remplacement des certificats par défaut par des certificats spécifiques aux utilisateurs finaux, consultez
"Comment introduire vos propres certificats X.509 dans l'image d'installation"
(page 235).
Lors de la création de nouveaux certificats BHI, il existe trois paradigmes principaux :
■
Création d'un certificat d'identité d'hôte unique utilisé sur tous les nœuds Client
Automation dans l'entreprise. Il s'agit de la solution la plus simple car l'image d'installation personnalisée doit être générée seulement une fois pour créer un package personnalisé.
Chapitre 11: Fonctionnalités de sécurité Client Automation 411
