Procédure de chiffrement des communications avec les DSA

Pour chiffrer les communications avec les DSA, vous avez besoin d’un certificat racine et d'un certificat de DSA.
cad140fr
Pour chiffrer les communications avec les DSA, vous avez besoin d’un certificat racine et d'un certificat de DSA.
  1. Définissez les certificats.
  2. Assurez-vous que les éléments suivants sont définis pour chaque DXserver :
    • Le port sur lequel il écoute les demandes.
    • L’emplacement des certificats de DSA et d’utilisateur, et des clés publiques et privées.
    • L’emplacement du certificat racine.
    Remarque :
    Si vous utilisez un HSM, vous devez également fournir ses informations.
Chiffrement des liaisons LDAP
Vous pouvez forcer le chiffrement SSL sur les liaisons LDAP, pour les liaisons anonymes et authentifiées.
Pour forcer le chiffrement SSL sur les liaisons anonymes, insérez la commande suivante dans le fichier de configuration des paramètres du DSA :
set force-encrypt-anon = true | false
Lorsque ce paramètre est activé, si un utilisateur tente de créer une liaison anonyme sans SSL, le DSA ne l’autorise pas et renvoie une erreur Inappropriate authentication (Authentification inappropriée).
Pour forcer le chiffrement SSL sur les liaisons authentifiées, insérez la commande suivante dans le fichier de configuration des paramètres du DSA :
set force-encrypt-auth = true | false
Lorsque ce paramètre est activé, si un utilisateur tente de créer une liaison authentifiée sans SSL, le DSA ne l’autorise pas et renvoie une erreur Inappropriate authentication (Authentification inappropriée).
Le paramètre 
set force-encrypt-auth
n’empêche pas l'envoi des informations d’identification sans chiffrement sur le réseau. Toutefois, il refuse toute demande de liaison non chiffrée.
Remarque :
Lorsque vous utilisez le chiffrement de liaison entre les DSA qui résident sur le même ordinateur, vous ne pouvez pas utiliser le paramètre
trust-flags=ssl-encryption-remote
avec ces commandes. Utilisez plutôt le paramètre
trust-flags=ssl-encryption
. Dans le cas contraire, les connexions locales entre les DSA échouent au niveau de l’authentification par mot de passe en texte clair, car le lien n’est pas chiffré. De même, vous pouvez forcer le chiffrement SSL sur les DSA routeur uniquement et empêcher les clients de se connecter directement aux DSA de données. Utilisez la commande
set disable-client-binds = true
 afin d’empêcher les clients de se connecter directement aux DSA de données. Ce paramètre permet d'utiliser le paramètre
trust-flags = ssl-encryption-remote
.
Configuration des DSA en tant que client LDAP avec chiffrement SSL
Vous pouvez configurer le chiffrement SSL entre des serveurs LDAP tiers et votre dorsale CA Directory.
Les DSA CA Directory fonctionnent en tant que clients SSL lorsqu’ils sont définis en tant que clients LDAP pour communiquer avec les serveurs LDAP. Cela signifie que les serveurs LDAP n'ont pas besoin de copies des certificats racine ou de DSA du DSA CA Directory.
Vous pouvez sécuriser les connexions à l’aide du chiffrement SSL à l’aide de la procédure suivante :
  1. Assurez-vous que vous avez accès à une autorité de certification.
  2. A l’aide de l'autorité de certification, générez des certificats de serveur pour le serveur LDAP et le DSA, puis signez-les avec le certificat racine de l’autorité de certification.
  3. Configurez CA Directory et le serveur LDAP pour qu'ils approuvent l’autorité de certification en important le certificat racine.
  4. Configurez CA Directory et le serveur LDAP pour qu'ils utilisent le certificat du serveur signé par l’autorité de certification pour les opérations SSL.
  5. Configurez CA Directory pour qu'il se connecte au serveur LDAP.
  6. Testez que tout fonctionne correctement, comme suit :
    1. Démarrez le serveur LDAP.
    2. Démarrez le DSA.
    3. Sur une console de DSA, vérifiez que le protocole SSL est utilisé à l’aide de la commande suivante :
    trace x500;
    Les opérations SSL ont désormais le préfixe
    (SSL)
    .