DominoArea.org [Archive]

[heatseeker]

Bonjour,

Quelqu'un a-t-il déjà mis en place le remplacement de clés par un document de politique ? (key rollover).

Merci pour votre retour.

Jean-Marc

[[In://ForM]]

Oui

[heatseeker]

Dans le document politique que j'ai créé, j'ai configuré à 1 le champ
"Spread new key generation for all users over this many days" comme il est expliqué dans la technote suivante :
http://www-01.ibm.com/support/docview.w ... wg21245475

Mais les nouvelles clés ne sont pas générées quand les utilisateurs s'authentifient par la suite avec le serveur.

Peux-tu me dire comment tu as configuré le document de paramètres et le document de politique ?

Manuellement, depuis un id, je suis capable de générer de nouvelles clés, mais ce qui m'intéresse, c'est de faire une politique.

Jean-Marc

[[In://ForM]]

OK,

Donc 1 la tâche CA est nickel?
2. Tous les clients sont en 8?
3. Le certificateur a été le premier traité manuellement (ensuite les OU, mais il faut l'org en premier lieu) faire aussi les certifications croisées s'il y a lieu (IBM recomande après le point 5 ci-dessous).
4. Traiter les serveurs (sinon rien)
5. Laisser la politique faire son job à partir de ce point (le fait de mettre 1 au lieu de 128, ben non, sur un système Domino important, adminp met tous les serveurs sur les rotules (risque majeur), IBM déconseille un rollover sur un système étendu (style IBM.....).

[heatseeker]

Bonjour,

Les clients et serveurs sont en R7.

J'ai affecté la politique à deux utilisateurs la semaine dernière.
Je démarre mon client ce matin, et miracle, notes m'informe qu'une requête de certificats a été soumise pour mon nouveau jeu de clés publiques. Mon collègue lui n'a toujours rien reçu.

Par contre, je n'utilise pas la tache CA, et je n'ai pas traité les certificateurs.

Devrais-je le faire ?

Jean-Marc

[[In://ForM]]

La tâche CA peut être intéressante, mais à des fois des délais importants sur la validation des clés (dépend de l'architecture). Pour les certificateurs, c'est préférable.
Pour le collègue, cela peut dépendre de la config et de la politique, s'assurer que la politique s'applique bien et qu'il n'a pas d'erreur (ouvrir la vue cachée $Policies du names local pour s'assurer que les données sont ok et valider avec l'outil de sinopsys)

[heatseeker]

Pour ce qui est du renouvellement de clés des ids utilisateurs, je trouve la procédure trop lourde : on pose des questions incompréhensibles à l'utilisateur (voulez-vous accepter les nouvelles clés publiques ? Voulez-vous créer de nouvelles clés pour ce fichier id ? Niveau de clé, demander certification via...).

[heatseeker]

Bonjour,

Quand on utilise la fonctionnalité de replacement de clés (key rollover process), que fait-on exactement ?

Je comprends qu'on change les clés publiques dans l'id de l'utilisateur.
Qu'en est-il des clés privées (ou de la clé privée) ?

Est-ce que le process de rollover crée également une ou deux clés privées associée aux deux clés publiques (pourquoi deux clés d'ailleurs)

Les clés publiques générées ne sont-elles pas associées à des clés privées ?

Merci pour vos éclaircissements sur le sujet.

Jean-Marc

[[In://ForM]]

Comme indiqué dans la doc, il y a bien 2 clés de gérése par Notes l'ancienne avec sa clé publique ET privée puis la nouvelle composée de la clé publique et privée PLUS (et là c'est le top une troisième clé utilisée pour permettre l'ajout de la nouvelle clé, cette clé sera supprimée, l'ancienne par contre est conservée afin de permettre le déchiffrement des mails et l'accès aux bases déjà chiffrées....). le but étant de recadrer tout un système de certificat que l'on pense peu sécurisé. Généralement on le fait pour éviter tout risque de manquement de sécurité sur un site (Style armée, gouvernement), pour les banques je crois que cela les dépasse, déjà géré SSL et l'accès à des sites distants c'est compliqué, alors la sécurité Domino......