Dans les sessions Extra! qui utilisent les protocoles SSL/TLS ou SSH, l’authentification client peut être gérée par des certificats numériques Partie intégrante d’une infrastructure de clés publiques. Les certificats numériques (également appelés certificats X.509) sont émis par une autorité de certification, qui veille à la validité des informations précisées sur le certificat. Chaque certificat contient des informations d’identification relatives à son propriétaire, une copie de la clé publique de son propriétaire (utilisée pour le chiffrement et le déchiffrement des messages et des signatures numériques), ainsi qu’une signature numérique (générée par l’autorité de certification à partir du contenu du certificat). La signature numérique permet à un destinataire de vérifier la fiabilité du certificat en s’assurant qu’il n’a pas été falsifié. . Les certificats résolvent certains des problèmes que présente l’authentification de clé publique, comme la nécessité pour le client de télécharger une copie de la clé publique sur chaque serveur.
Votre ordinateur doit être configuré pour reconnaître le certificat de serveur présenté par votre hôte et, si nécessaire, pour fournir un certificat client pour l’authentification. Si votre ordinateur n’est pas correctement configuré, ou si les certificats présentés pour l’authentification ne sont pas valides, vous ne pourrez pas vous connecter.
Autorité de certification signée et certificats auto-signés
Extra! accepte l’autorité de certification signée et les certificats auto-signés. Les certificats signés comprennent un indicateur d’extension qui les identifie en tant que tels. Pour les certificats de serveur signés par l’autorité de certification, le champ Objet identifie le serveur ou l’utilisateur par son nom et le champ Émetteur identifie l’autorité de certification qui a signé le certificat. Les certificats utilisés pour authentifier le certificat de serveur CA doivent être installés dans le magasin d’autorités de certification racine approuvées.
Pour les certificats auto-signés, le champ Émetteur doit correspondre exactement au champ Objet. (Dans ce cas, l’objet est un hôte plutôt qu’une autorité de certification.) Si l’utilisateur accepte la validité du certificat auto-signé, il est installé manuellement dans le magasin d’autorités de certification racine approuvées ou via une stratégie de groupe ou un script de connexion Windows.
Le processus d’authentification
L’authentification peut impliquer plusieurs processus, en fonction du type de certificat que vous utilisez et des paramètres de sécurité que vous avez sélectionnés dans Extra!. Toutefois, dans tous les cas, Extra! vérifie le certificat pour déterminer si la date et la signature numérique sont valides, si les extensions essentielles (telles que l’utilisation de clés étendues) sont correctes et si l’utilisation de clés permet au certificat d’être utilisé pour l’authentification.
L’authentification peut également inclure les éléments suivants :
Si l’identité du serveur doit être vérifiée, le client compare le nom d’hôte de la session au nom commun du certificat.
Si vous utilisez des certificats signés par une autorité de certification, Extra! vérifie toutes les autorités de certification incluses dans le certificat : l’autorité de certification ayant émis le certificat, les autorités de certification intermédiaires dans la chaîne de certification et enfin, l’autorité de certification approuvée (ou l’autorité de certification racine). Cela s’appelle la validation de chemin.
Si la vérification de révocation est activée, le client vérifie que le certificat n’a pas été révoqué. Voir Configuration de la vérification de la révocation des certificats.
Si l’authentification côté serveur est configurée, le serveur demande à l’utilisateur (client) de présenter un certificat pour l’authentification. Les certificats utilisés pour l’identité du client sont enregistrés dans le magasin de certificats personnel de l’utilisateur. Pour les connexions SSH, les certificats peuvent également être enregistrés dans le gestionnaire de certificats de Reflection.