Une infrastructure de clés publiques (PKI) est un système qui facilite les communications sécurisées en utilisant des certificats numériques. Vous pouvez utiliser une infrastructure de clés publiques pour l'authentification hôte et utilisateur.
Comme dans le cas de l'authentification par clé publique, l'authentification par certificat utilise des paires clé publique/clé privée pour vérifier l'identité de l'hôte. En revanche, dans le cas de l'authentification par certificat, les clés publiques sont intégrées aux certificats numériques et deux paires de clés sont utilisées. Par exemple, pour l'authentification hôte, le serveur détient une clé privée et l'autorité de certification une deuxième. L'hôte obtient un certificat auprès de l'autorité de certification. Ce certificat contient des informations d'identification sur l'hôte, une copie de la clé publique hôte et une signature numérique créée à l'aide de la clé privée de l'autorité de certification. Il est envoyé au client pendant le processus d'authentification. Pour vérifier l'intégrité des informations provenant de l'hôte, le client doit avoir une copie de la clé publique de l'autorité de certification, contenue dans le certificat racine de l'autorité de certification. Il est inutile que le client possède une copie de la clé publique hôte.
L'authentification par certificat permet de résoudre certains problèmes de l'authentification par clé publique. Par exemple, pour l'authentification par clé publique hôte, l'administrateur système doit soit distribuer les clés hôte pour chaque serveur à la liste d'hôtes connus de chaque client, soit compter sur les utilisateurs pour qu'ils confirment correctement l'identité de l'hôte lorsqu'ils se connectent à un hôte inconnu. Avec l'authentification hôte par certificat, un seul certificat racine de l'autorité de certification peut permettre l'authentification de plusieurs hôtes. En règle générale, le certificat requis est déjà disponible dans la liste de certificats de Windows.
De même, lors de l'authentification client par clé publique, chaque clé publique client doit être téléchargée vers le serveur qui doit être configuré pour reconnaître cette clé. Avec l'authentification par certificat, un seul certificat racine de l'autorité de certification peut permettre l'authentification de plusieurs clients.
Les certificats numériques sont conservés sur votre ordinateur dans des listes de certificats. Une liste de certificats contient les certificats que vous utilisez pour confirmer l'identité de parties distantes. Elle peut également contenir des certificats personnels, que vous utilisez pour vous identifier auprès de parties distantes. Les certificats personnels sont associés à une clé privée sur votre ordinateur.
Vous pouvez utiliser des certificats numériques situés dans l'une des deux listes suivantes ou les deux :
Liste de certificats de Windows
Cette liste peut être utilisée par diverses applications, les navigateurs Web et les clients de messagerie. Certains certificats de cette liste sont inclus lorsque vous installez le système d'exploitation Windows. D'autres peuvent être ajoutés lorsque vous vous connectez à des sites Internet et que vous les approuvez, lorsque vous installez un logiciel ou lorsque vous recevez un message chiffré ou un message signé numériquement. Vous pouvez également importer des certificats manuellement dans votre liste Windows. Gérez les certificats de cette liste à l'aide du Gestionnaire de certificats de Windows.
Liste de certificats de Reflection
Cette liste est utilisée uniquement par les applications Micro Focus. Pour ajouter des certificats à cette liste, vous devez les importer manuellement. Vous pouvez importer des certificats à partir de fichiers et également utiliser des certificats sur des jetons matériels comme les cartes à puce. Gérez les certificats de cette liste à l'aide du Gestionnaire de certificats de Reflection.
Vous pouvez configurer l'authentification de façon à n'utiliser que les certificats situés dans la liste Reflection ou ceux situés dans les listes Reflection et Windows. Le fait d'activer l'authentification hôte au moyen de la liste de certificats de Windows signifie qu'il n'est peut-être pas nécessaire d'importer des certificats, car l'authentification peut s'effectuer au moyen de certificats déjà disponibles. Le fait de désactiver l'authentification au moyen de la liste de certificats de Windows vous permet d'exercer un meilleur contrôle sur les certificats qui sont utilisés pour l'authentification. Pour activer ou désactiver l'authentification avec la liste de certificats de Windows, ouvrez le Gestionnaire de certificats de Reflection et cliquez sur l'onglet Autorités de certification approuvées.
L'authentification de l'infrastructure de clés publiques est prise en charge dans les sessions Secure Shell et SSL/TLS.
Toutes les sessions SSL/TLS nécessitent des certificats pour l'authentification hôte. En l'absence du certificat nécessaire, vous ne pouvez pas établir de connexion hôte. Selon la configuration de l'hôte, il est possible que vous deviez également installer des certificats pour l'authentification utilisateur.
Les sessions Secure Shell nécessitent généralement une authentification hôte et une authentification utilisateur. Des certificats peuvent être utilisés pour l'authentification hôte et/ou utilisateur, mais ne sont pas requis par défaut.