Présentation de la création de certificats numériques

Si vous souhaitez utiliser des certificats numériques pour exécuter des tests sur des applications nécessitant des certificats numériques côté client afin d'authentifier les utilisateurs, déterminez avec l'aide des administrateurs serveur appropriés les types de certificat à créer.

Dans la cryptographie, un certificat de clé publique est un document qui utilise une signature numérique pour lier une clé publique à une identité physique. Ces certificats sont souvent appelés certificats numériques ou certificats numériques client. La norme la plus répandue de certificat numérique est la norme X.509.

Dans la cryptographie de clé publique, chaque certificat dispose de deux clés associées : une clé publique et une clé privée. La clé publique est intégrée au certificat X.509 et est toujours disponible avec le certificat lui-même. La clé privée reste toujours privée (autrement dit, elle n'est jamais transmise). Pour une meilleure portabilité, les deux clés (et le certificat) peuvent être incluses dans un format chiffré et protégées par phrase passe, également appelée PKCS#12.

Afin de vérifier l'authenticité d'un certificat, ce dernier est chiffré de manière numérique par un autre certificat, appelé autorité de certification (CA). Ce certificat CA peut être créé (et être conservé sécurisé) par une société hébergeant une application sécurisée, ou il peut être créé par une société, telle Verisign.

Lorsqu'une application Web requiert des certificats numériques, un administrateur crée généralement des certificats numériques pour chaque utilisateur autorisé. L'administrateur signe numériquement chaque certificat utilisant le certificat CA système. Ces certificats, ainsi que les clés publiques et privées, sont distribués aux utilisateurs. Souvent, ces clés sont distribuées au format PKCS#12. Les utilisateurs importent ensuite ces certificats dans leurs navigateurs Web. Lorsque le serveur demande une authentification auprès du navigateur, il génère son certificat.

Lors de l'importation de certificats pour des applications Web, sélectionnez la case à cocher qui indique que les clés peuvent être exportées. Avec cette indication, le certificat peut être exporté dans un fichier formaté PKCS#12 pour une utilisation ultérieure par d'autres programmes.

N'utilisez pas les certificats qui sont attribués à des utilisateurs à des fins de test des performances. Utilisez les certificats test qui ne correspondent pas à des utilisateurs réels.

Quatre types de certificat peuvent être utilisés dans les tests :

Les certificats d'auto-signature sont utilisés lorsqu'aucune entité doit vérifier l'authenticité du certificat. Ce sont les certificats les plus simples à créer et à utiliser. Généralement, cependant, un certificat signé est utilisé pour représenter un utilisateur particulier.

Les certificats signés sont utilisés lorsqu'un certificat ne doit être créé et envoyé qu'à un et un seul utilisateur. Ces certificats sont signés par une autorité de certification (CA).

Les certificats de l'autorité de certification (CA) sont des certificats d'auto-signature utilisés pour signer (certifier) les certificats.

Les certificats non signés sont des certificats ni signés par une autorité de certification, ni auto-signés. La plupart des applications Web n'utilisent pas de certificats non signés.

Lorsque vous créez un certificat auto-signé ou signé (y compris les certificats de l'autorité de certification), vous pouvez spécifier un objet. L'objet d'un certificat correspond à l'ensemble d'attributs d'un nom distinctif X.500 codé dans le certificat. L'objet permet au destinataire d'un certificat d'obtenir des informations sur le propriétaire du certificat. L'objet décrit le propriétaire du certificat, mais il n'est pas obligatoirement unique. Les objets peuvent être considérées comme des entrées d'un annuaire ; il peut exister plusieurs entrées pour Jean Martin, mais chaque entrée fait référence à une personne différente.

L'objet peut contenir de nombreux types de données d'identification différents. Généralement, l'objet inclut les éléments suivants :

Attribut Exemple
COMMON NAME (CN) CN=Jean Martin
ORGANIZATION (O) O=IBM Corporation
ORGANIZATIONAL UNIT (OU) OU=IBM Software Group
COUNTRY (C) C=IN
LOCALITY (L) L=Bangalore
STATE or PROVINCE (ST) ST=Kanataka
E-MAIL ADDRESS (emailAddress) emailAddress=jmartin@abc.ibm.com

Ces informations peuvent être saisies dans une même chaîne, en utilisant des barres obliques pour séparer les données.

Par exemple, l'objet ci-dessus peut être saisi comme suit :

/CN=Jean Martin/O=IBM Corporation/OU=IBM Software Group/C=IN/L=Bangalore/ST=Karnataka/emailAddress=jmartin@abc.ibm.com

Pour plus d'informations sur l'utilisation du programme de ligne de commande fourni pour la création de certificats, voir Création d'un espace de stockage de certificats numériques.


Retour d'informations