Indication du certificat du Serveur d'administration

Le cas échéant, il est possible d'attribuer un certificat spécial au Serveur d'administration à l'aide de l'utilitaire de ligne de commande klsetsrvcert.

Lors du remplacement du certificat, tous les Agents d'administration déjà connectés au Serveur d'administration via SSL se déconnectent du Serveur avec l'erreur « Erreur d'authentification du Serveur d'administration ». Pour désigner le nouveau certificat et rétablir la connexion, vous pouvez utiliser l'utilitaire klmover.

Pour indiquer le nouveau certificat et restaurer la connexion, procédez comme suit :

Dans l'invite de commande, exécutez la commande suivante :

klmover [-address <server address>] [-pn <port number>] [-ps < SSL port number>] [-nossl] [-cert <path to certificate file>]

Le certificat du Serveur d'administration est souvent ajouté aux paquets de l'Agent d'administration à leur création. Dans ce cas, le remplacement du certificat du Serveur à l'aide de l'utilitaire klsetsrvcert n'entraîne pas le remplacement du certificat du Serveur d'administration dans les paquets de l'Agent d'administration déjà créés.

Il est conseillé de remplacer le certificat directement après l'installation du Serveur d'administration, avant la fin de l'Assistant de configuration initiale de l'application.

Si vous indiquez une durée de validité supérieure à 397 jours pour le certificat du Serveur d'administration, le navigateur Internet renvoie une erreur.

Dans certains cas, le remplacement du certificat est requis.

Le certificat spécifié avec l'utilitaire doit inclure toute la chaîne de confiance et doit répondre aux conditions répertoriées dans le tableau ci-dessous.

Les certificats émis par une autorité de certification (CA) publique n'ont pas l'autorisation de signature de certificat, qui est obligatoire pour le certificat du Serveur d'administration, et ne peuvent donc pas être utilisés.

Conditions requises pour les certificats du Serveur d'administration

Type de certificat

Conditions

Commentaires

Certificat commun, certificat de réserve commun ("C", "CR")

Longueur de clé minimale : 2 048.

Contraintes de base :

  • Autorité de certification : vrai
  • Contrainte de longueur de chemin : aucune

    Utilisation des clés :

  • Signature numérique
  • Signature du certificat
  • Chiffrement de la clé
  • Signature CRL

    Utilisation de clés étendues (facultatif) : authentification du serveur, authentification du client.

Le paramètre Utilisation de clés étendues est facultatif.

La valeur Contrainte de longueur de chemin peut varier d'un nombre entier de "Aucune", mais ne peut pas être inférieure à 1.

Certificat mobile, certificat de réserve mobile ("M", "MR")

Longueur de clé minimale : 2 048.

Contraintes de base :

  • Autorité de certification : vrai
  • Contrainte de longueur de chemin : aucune

    Utilisation des clés :

  • Signature numérique
  • Signature du certificat
  • Chiffrement de la clé
  • Signature CRL

    Utilisation de clés étendues (facultatif) : authentification du serveur.

Le paramètre Utilisation de clés étendues est facultatif.

La valeur Contrainte de longueur de chemin peut varier d'un nombre entier de "Aucune" si le certificat commun a une valeur Contrainte de longueur de chemin non inférieure à 1.

Certificat d'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA")

Longueur de clé minimale : 2 048.

Contraintes de base :

  • Autorité de certification : vrai
  • Contrainte de longueur de chemin : aucune

    Utilisation des clés :

  • Signature numérique
  • Signature du certificat
  • Chiffrement de la clé
  • Signature CRL

    Utilisation de clés étendues (facultatif) : authentification du serveur, authentification du client.

Le paramètre Utilisation de clés étendues est facultatif.

La valeur Contrainte de longueur de chemin peut varier d'un nombre entier de "Aucune" si le certificat commun a une valeur Contrainte de longueur de chemin non inférieure à 1.

Pour remplacer le certificat, il faut créer un certificat (par exemple, à l'aide des outils de l'infrastructure à clés publiques de l'entreprise) au format PKCS#12 et le transmettre à l'entrée de l'utilitaire klsetsrvcert (pour connaître les paramètres d' de l'utilitaire, reportez-vous au tableau ci-après).

Syntaxe de l'utilitaire :

klsetsrvcert [--stp <instid>][-t <type> {-i <inputfile> [-p <mot de passe>] [-o <chkopt>] | -g <dnsname>}][-f <heure>][-r <calistfile>][-l <logfile>]

Valeurs des paramètres de l'utilitaire klsetsrvcert

Paramètre

Valeur

--stp <instid>

Identifiant de l'instance.

-t <type>

Le type de certificat à remplacer. Valeurs possibles du paramètre <type> :

  • C — remplacer le certificat pour les ports 13000 et 13291
  • CR — remplacer certificat de réserve pour les ports 13000 et 13291
  • M : remplacer le certificat pour les appareils mobiles du port 13292
  • MR : remplacer le certificat mobile de réserve pour le port 13292
  • MCA : autorité de certification de client mobile pour les certificats utilisateur générés automatiquement

-f <heure>

Horaire de changement du certificat, format "JJ-MM-AAAA hh:mm" (pour les ports 13000 et 13291).

-i <inputfile>

Le conteneur où se trouve le certificat au format PKCS#12 (fichier avec extension .p12 ou .pfx).

-p <password>

Le mot de passe qui protège le conteneur p12 où se trouve le certificat.

-o <chkopt>

Paramètres de validation du certificat (séparés par des points-virgules).

-g <dnsname>

Un certificat est créé pour le nom DNS indiqué.

-r <calistfile>

Liste des autorités de certification racine de confiance, format PEM.

-l <logfile>

Le fichier contenant les résultats. Par défaut l'affichage se réalise dans le flux standard d'affichage.

Haut de page