Permet l'accès à la documentation InForM sur Lotus-Notes et Domino

[In://ForM] - Documentation

SSL

InForM  31 Janvier 2010 01:31:39
La mise en place et l'utilisation de SSL sous Domino est assez simple.

Plusieurs possibilités s'offrent à vous:
- Devenir une autorité de certifications
- Demander un certificat auprès d'une autorité reconnue (Verisign, GeoTrust, Equifax, etc....)
- Créer un certificat auto-certifié

Seul un certificat obtenu auprès d'une autorité de certification reconnue est utilisable sur Internet auprès des clients externes.
Deux choix s'offrent dans ce cas:
- un certificat SSL lié à votre nom de serveur pleinement qualifié (FQDN: exemple, www.mondomaine.com)
- un certificat de type wildcard (générique, exemple: *.inform-france.com)

Un certificat de type wildcard est intéressant si vous avez plusieurs serveurs dans un même domaine (exemple: www.inform-france.com, www2.inform-france.com, support.inform-france.com, iphone.inform-france.com, etc....) toutefois il faut mettre dans la balance un choix financier (moindre coût pour plusieurs FQDN) et une sécurité plus faible. En effet les clés peuvent être copiées sur n'importe quel serveur Domino interne et dans ce cas permettre un accès sécurisé non voulu. C'est un choix d'administration à confirmer rapidement. Si vous avez confiance dans les administrateurs système et Domino, cette dernière solution est la plus simple à mettre en oeuvre et à maintenir.

Pour tous les processus, il faut utiliser les bases fournies par Domino. La base principalement utilisée est la base certsrv.nsf présent sur le serveur Domino. Toutefois vous pouvez utiliser une copie locale si nécessaire.

La base de gestion des certificats

La base certsrv.nsf est créé automatiquement par Domino, si vous ne possédez pas cette base il faudra la créer. Il faut au minimum un client Lotus-Notes version 5 et un OS Windows. Cette base permet de créer un CSR (Certificate Signature  Request) soit auprès d'une organisation connue, soit auprès d'un certificat interne. Si vous ne possédez pas d'autorité de certification interne (voir plus loin la base cca.nsf) ou ne voulez pas payer pour un certificat public, l'option de création de clé auto-certifiée vous permet de tester SSL.
NB: certains sites gratuits ou peu onéreux vous permettent d'avoir des clé SSL. Verisign étant un des plus chers.....
Image:SSL

Les options 1 à 4 concernent les certificats publics ou certifiés avec une autorité de certification interne

L'option sans numéro permet de créer un certificat auto-certifié, ce type de certificat n'est pas reconnu sur Internet (Autorité de certificat non valide) mais permet de mettre en oeuvre SSL de manière très simple. Attention il faut renouveller ce certificat tous les ans...


La base de gestion des autorités de certificats

La base n'existe pas sous Domino, vous devez la créer si vous souhaitez utiliser votre propre autorité de certification. le modèle utilisé est le modèle CCA50.NTF.
Les rôles de cette base sont niombreux mais simples:
- Création et gestion de votre certificat d'autorité de certification
- Création de la clé et certificat pour le serveur d'autorité de certification
- Signature des requêtes clients ET serveurs
- Ajoute des certificats clients validés par des organismes de certification externes.

Cette dernière option permet de propager les certificats dans les fiches clients de l'annuaire Domino et d'être ainsi utilisés pour le chiffrement des messages MIME au niveau de l'entreprise.
Pour ce dernier point, il est possible de sélectionner dans l'annuaire Domino la fiche client de l'utilisateur et via le menu action de lancer la commande Importer le certificat, cela nécessite toutefois d'avoir:
- Le fichier pfx ou pk12 de l'utilisateur
- D'avoir son mot de passe
Dans ce cas le résultat est le suivant au niveau de la fiche client
Image:SSL

Image:SSL



Mise en oeuvre

Pour mettre en oeuvre SSL nous allons commencer par le certificat auto-certifié, toutefois les étapes sont toujours les mêmes et les actions identiques

1. Ouvrir la base certsrv.nsf avec le client Lotus-Notes WINDOWS, la base utilise une DLL ce qui sous MAC et Linux est impossible à faire.
Le client Lotus-Notes doit être utilisé, si vous lancez le client Administrator, vous aurez un message d'erreur. Ce message peut se produire aléatoirement sur le client Lotus-Notes, dans ce cas, fermez le client Lotus-Notes, puis relancez le.

2. Les clés sont composées de deux fichiers, un fichier ayant l'extension .kyr et l'autre .sth. Peu importe le nom, Lotus permet de définir le nom du fichier .kyr (clé publique).
Les deux fichiers seront toujours créés localement, c'est à l'administrateur de les maintenir, sauvegarder, etc..... documentez les mots de passe utilisés. Si vous décidez de mettre en place l'autorité de certification, il faudra nommer les fichiers de clés différemment des fichiers de clés SSL du ou des serveurs.


Certificat auto-certifié

Certificat certifié

Autorité de certification

... to be continued.....