Gestion des certificats
Exigences relatives aux certificats
La passerelle ENC utilise les certificats X.509 v3 émis pour être utilisés par le protocole de sécurité standard TLS 1.0 (SSL3.1). La passerelle ENC peut utiliser les certificats TLS standard, mais prend également en charge une extension Extended Key Usage pour autoriser le sous-système ENC à identifier les certificats essentiellement utilisés par la passerelle ENC.
La passerelle ENC recherche le meilleur certificat à charger pour son identité. Lors du premier passage, elle recherche les certificats valides (avec les clés privées associées) marqués par l'extension de l'utilisation CA ENC (voir (1) dans le tableau suivant) ainsi que l'extension de l'utilisation TLS pour l'authentification client (2) ou l'authentification serveur (3), respectivement.
Marqueur
(1)
(2)
(3)
(4)
Le tableau ci-dessous fournit des détails supplémentaires sur les termes marqués de (1)
à (4) dans le paragraphe précédent :
Informations
CA Technologies a attribué en interne un identificateur de l'objet (OID) à utiliser dans les certificats X.509 v3 sous forme d'identificateur Enhanced Key Usage (voir RFC2459 section 4.2.1.13). Cet OID indique que le certificat est à utiliser par le sous-système de sécurité ENC.
■
L'identificateur de l'objet est "1.3.6.1.4.1.791.2.10.8.3"
■
La balise des identificateurs de l'objet est "OID_PKIX_KP_CA_CMS_ENC_TLS_AUTH"
■
L'extension d'utilisation peut être marquée comme critique ou non critique.
■
L'OID de base CA Technologies est "1.3.6.1.4.1.791" enregistré par l'IANA.
L' OID de l'authentification du client TLS est "1.3.6.1.5.5.7.3.2"
L' OID de l'authentification du serveur TLS est "1.3.6.1.5.5.7.3.1"
Pour les noeuds de passerelle ENC qui servent à la fois de client et de serveur (routeurs et serveurs de passerelle), le sous-système de sécurité peut utiliser un certificat unique marqué pour l'authentification client et serveur, ou des certificats individuels marqués comme authentification client uniquement et authentification serveur uniquement, respectivement.
Si la passerelle ENC ne trouve pas les certificats appropriés, elle répète la recherche sans l'exigence de l'extension d'utilisation CA ENC.
Lorsque vous créez des certificats utilisés par la passerelle ENC, nous vous recommandons d'ajouter l'OID d'utilisation de clé étendue CA aux certificats ; toutefois, la passerelle ENC fonctionnera également sans.
510 Manuel d'implémentation
