Gestion de la sécurité/utilisateur : Étape 5. Importer une liste de révocation des certificats

Document created by RSA Information Design and Development on Apr 26, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique décrit la procédure permettant d'importer une liste de révocation des certificats (CRL) vers Serveur NetWitness.

Une liste CRL est un fichier contenant une liste détaillée des certificats révoqués, comme le numéro de série et la date de révocation de chaque certificat. Généralement, un certificat est révoqué pour éviter sa compromission par les utilisateurs non autorisés. Par exemple, si un utilisateur NetWitness Suite démissionne d'une organisation, son certificat doit être révoqué par l'autorité de certification émettrice pour éviter la compromission du certificat. 

Vous pouvez importer la liste CRL émise par votre autorité de certification de confiance afin que NetWitness Suite puisse utiliser la liste CRL pour bloquer les utilisateurs non autorisés lorsqu'ils souhaitent accéder à NetWitness Suite. Vous pouvez spécifier ou importer une liste CRL vers NetWitness Suite à l’aide des options suivantes :

  • Serveur HTTP - il s’agit de l’emplacement CRL le plus courant où l’autorité de certification publie la liste CRL dédiée aux applications externes, à l’aide d’un serveur HTTP. Le Serveur NetWitness lit la liste CRL à l’aide de l’URL HTTP.
  • CRL locale - cela vous permet de télécharger manuellement la liste CRL pour une autorité de certification et de la télécharger sur Serveur NetWitness. Pour l’automatisation, vous pouvez exécuter une commande Cron job pour copier la liste CRL vers le répertoire /var/lib/netwitness/uax/pki/crl dans Serveur NetWitness. Serveur NetWitness utilise la liste CRL mise à jour à partir du disque lorsque celle-ci est actualisée (toutes les 5 minutes).
  • Ressource LDAP - cette option est principalement utilisée par les systèmes Windows. Vous devez spécifier une URL LDAP en précisant le nom d’utilisateur et le mot de passe pour accéder à l’objet LDAP. Serveur NetWitness lit la liste CRL à partir de l’URL LDAP.
  • OCSP Responder - pour spécifier un OCSP Responder, vous devez fournir l’URL HTTP et le certificat de signature du OCSP Responder. Assurez-vous que le OCSP Responder est en ligne lorsque vous ajoutez l’entrée. Dans le cas où le certificat de signature de l’OCSP Responder est mis à jour, vous devez mettre à jour manuellement le certificat dans Serveur NetWitness.

Procédure

Spécifiez un fichier CRL sur le serveur HTTP.

Remarque : Assurez-vous que la fiche CRL est disponible et que le serveur HTTP est accessible à partir de Serveur NetWitness.

Pour spécifier un fichier CRL sur le serveur HTTP :

  1. Dans NetWitness Suite, accédez à ADMIN  > Sécurité.
    La vue Sécurité s'affiche avec l'onglet Utilisateurs ouvert.
  2. Cliquez sur l’onglet Paramètres PKI.
  3. Dans la section CRL, cliquez sur Bouton Ajouter.
  4. Dans Type de CRL, sélectionnez La liste CRL se trouve sur un serveur HTTP dans la liste déroulante.
  5. Dans le champ URL, spécifiez l’URL HTTP pour accéder à la liste CRL.
  6. Cliquez sur Tester.
    L’interface utilisateur NetWitness Suite affiche les informations extraites à partir de la liste CRL, comme indiqué ci-dessous.

    Remarque : Si l’URL HTTP se trouve sur un emplacement HTTPS, Serveur NetWitness ne valide pas le certificat de serveur Web du serveur HTTP sur lequel se trouve la liste CRL.

  7. Cliquez sur Enregistrer.
    Le fichier CRL est ajouté avec succès à Serveur NetWitness.

Importer un fichier CRL local à l'aide de l'interface utilisateur NetWitness Suite

Remarque : Assurez-vous que la liste CRL est téléchargée à partir d’un emplacement de CDP.

Pour importer un fichier CRL à l'aide de l'interface utilisateur NetWitness Suite :

  1. Dans NetWitness Suite, accédez à ADMIN >Sécurité.
    La vue Sécurité s'affiche avec l'onglet Utilisateurs ouvert.
  2. Cliquez sur l’onglet Paramètres PKI.
  3. Dans la section CRL, cliquez surBouton Ajouter.
    La boîte de dialogue CRL s'affiche.
  4. Dans Type de CRL, sélectionnez La liste CRL est disponible sous forme de fichier dans la liste déroulante.
  5. Dans le fichier CRL, cliquez sur Parcourir pour télécharger le fichier CRL.

    Remarque : L’extension de fichier CRL doit être .crl.

  6. Cliquez sur Tester.
    L’interface utilisateur NetWitness Suite affiche les informations extraites à partir de la liste CRL, comme indiqué ci-dessous.
  7. Cliquez sur Enregistrer.
    Le fichier CRL est ajouté avec succès à Serveur NetWitness.

Définir CRL comme ressource LDAP à l’aide de l’interface utilisateur NetWitness Suite

Remarque : Assurez-vous que la liste CRL est disponible et que le serveur LDAP est accessible à partir de Serveur NetWitness.

  1. Dans NetWitness Suite, accédez à ADMIN > Sécurité.
    La vue Sécurité s'affiche avec l'onglet Utilisateurs ouvert.
  2. Cliquez sur l'onglet Paramètres PKI.
  3. Dans la section CRL, cliquez surBouton Ajouter.
    La boîte de dialogue CRL s'affiche.
  4. Dans Type de CRL, sélectionnez La liste CRL est publiée en tant que ressource LDAP dans la liste déroulante.
  5. Dans le champr URL, spécifiez l’URL LDAP pour accéder à la liste CRL.

    Remarque : Si l’URL LDAP contient des espaces (par exemple, pour CN=EMC Root CA, les caractères d’échappement s’afficheront comme suit : CN=EMC%20Root%20CA).

  6. Dans Nom d’utilisateur , saisissez votre nom d’utilisateur au format Domaine/Nom_d’utilisateur.
  7. Dans le champ Mot de passe, saisissez le mot de passe permettant d'accéder à la liste CRL.
  8. Cliquez sur Tester.
    L’interface utilisateur NetWitness Suite affiche les informations extraites de la liste CRL, comme indiqué ci-dessous.
  9. Cliquez sur Enregistrer.
    Le fichier CRL est ajouté avec succès à Serveur NetWitness.

Spécifier l’OCSP Responder à l’aide de l’interface utilisateur NetWitness Suite

Remarque : Assurez-vous que l’OCSP Responder est accessible à partir de Serveur NetWitness.

Pour spécifier l’OCSP Responder à l’aide de l’interface utilisateur NetWitness Suite :

  1. Dans NetWitness Suite, accédez à ADMIN > Sécurité.
    La vue Sécurité s'affiche avec l'onglet Utilisateurs ouvert.
  2. Cliquez sur l’onglet Paramètres PKI.
  3. Dans la section CRL, cliquez sur Bouton Ajouter.
    La boîte de dialogue CRL s'affiche.
  4. Dans Type de liste CRL, sélectionnez URL HTTP de l’OCSP Responder dans la liste déroulante.
  5. Dans le champ URL, spécifiez l’URL HTTP.
  6. Dans le champ Certificat, cliquez sur Parcourir pour télécharger le certificat de signature de l’OCSP Responder.
  7. Cliquez sur Tester. L’interface utilisateur NetWitness Suite affiche les informations extraites du certificat de signature de l’OCSP Responder.
  8. Cliquez sur Enregistrer.
    L’OSCP Responder est ajouté avec succès à Serveur NetWitness.

Configurer des paramètres CRL

Vous devez configurer les paramètres de liste CRL pour valider la liste CRL de révocation du certificat.

Pour configurer les paramètres CRL :

  1. Dans NetWitness Suite, accédez à ADMIN > Sécurité. La vue Sécurité s'affiche avec l'onglet Utilisateurs ouvert.
  2. Cliquez sur l’onglet Paramètres PKI.
  3. Dans la section Paramètres CRL, sélectionnez l’une des options suivantes parmi les Modes de défaillance :
    • Autoriser les utilisateurs à se connecter en cas de défaillance du contrôle de révocation - Cela permet aux utilisateurs d’accéder à Serveur NetWitness si :
      • La liste CRL est introuvable pour un émetteur de certificat utilisateur.

      • Le certificat utilisateur n’a pas été révoqué, mais la liste CRL est arrivée à expiration.

      • Le serveur OCSP n'est pas accessible.
    • Empêcher aux utilisateurs de se connecter en cas de défaillance du contrôle de révocation - Cela permet aux utilisateurs de se connecter si :

      • La liste CRL est disponible pour l’émetteur du certificat.
      • Le certificat utilisateur est révoqué et la liste CRL est valide.

      • Le serveur OCSP est joignable et le certificat utilisateur est valide.

  4. Dans le champ Mode de contrôle de révocation, sélectionnez la méthode de validation du certificat utilisateur souhaitée.
    • Si vous sélectionnez le mode CRL uniquement, la liste CRL n’est valide que si les critères suivants sont respectés :
      • Il doit exister une liste CRL délivrée par le même émetteur que celui ayant émis le certificat utilisateur.
      • La liste CRL n’est pas arrivée à expiration.
      • La liste CRL est correctement signée par l’émetteur.
    • Si vous sélectionnez le mode OCSP uniquement, le fichier OCSP n’est valide que si les critères suivants sont respectés :
      • Il doit exister un OCSP Responder délivré par le même émetteur que celui ayant émis le certificat utilisateur.
      • L’OCSP Responder n’est pas arrivé à expiration.
      • L’OCSP Responder est correctement signé par l’émetteur.
    • Si vous sélectionnez CRL puis OCSP, les critères suivants doivent être remplis :
      • Le certificat utilisateur doit être valide.
      • Si le certificat utilisateur est valide lors de l’étape ci-dessus, il est validé à l’aide de l’OCSP Responder.
      • Le certificat sera valide uniquement s’il n’est pas révoqué dans la liste CRL et s’il est validé à l’aide de l’OCSP Responder.
  5. Dans le champ Mode multi CRL, sélectionnez le mode CRL correspondant au traitement de la liste CRL dans le cas où un utilisateur dispose de plusieurs fichiers CRL délivrés par le même émetteur.
    • Effectuer un contrôle de révocation des fichiers CRL récemment émis - La liste CRL possédant la date d’émission la plus récente est considérée comme le fichier CRL le plus récemment utilisé.
    • Effectuer un contrôle de révocation des derniers fichiers CRL arrivés à expiration - la liste CRL possédant la date d’expiration la plus récente est considérée comme le dernier fichier CRL arrivé à expiration.
    • Combiner tous les fichiers CRL pour le contrôle de révocation - tous les certificats révoqués dans les fichiers CRL sont considérés comme étant révoqués.

      Remarque :
      S’il existe plusieurs CRL, une liste CRL est considérée comme unique en tenant compte de :
      - La date de publication d’une liste CRL.
      - La date d’expiration d’une liste CRL.

 

Étape suivante :

Étape 6. Activer PKI

You are here
Table of Contents > Gestion de la sécurité/utilisateur : Étape 5. Importer une liste de révocation des certificats

Attachments

    Outcomes