Vous pouvez utiliser des certificats client pour augmenter le niveau de sécurité de la passerelle SGD Gateway, en limitant l'accès aux utilisateurs disposant d'un certificat valide.
Un certificat client est un certificat SSL installé dans le navigateur sur le périphérique client. Reportez-vous à la documentation de votre navigateur pour plus d'informations sur la procédure d'installation d'un certificat client.
Reportez-vous à la Section C.7.2, « Procédure de génération d'une demande de signature de certificat pour un certificat client » si vous avez besoin de générer une demande de signature de certificat (CSR) pour obtenir un nouveau certificat client.
Les procédures suivantes font appel à l'application keytool. Reportez-vous à la documentation relative aux outils et utilitaires JDK pour plus d'informations sur le fonctionnement de l'application keytool.
Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.
Arrêtez la passerelle SGD Gateway.
# /opt/SUNWsgdg/bin/gateway stop
Configurez la passerelle SGD Gateway afin qu'ils utilisent des certificats client pour les connexions client HTTPS.
Ajoutez une entrée <needClientAuth>
au fichier /opt/SUNWsgdg/etc/gateway.xml
, comme suit :
<service id="http-ssl-service" class="SSL">
<needClientAuth>true</needClientAuth>
<!-- Decrypts HTTPS traffic -->
<subService id="ssl-splitter">
<binding>*</binding>
</subService>
(Facultatif) Importez le certificat client dans le keystore du client SGD Gateway.
Vous n'avez pas besoin d'effectuer cette étape si le certificat client est signé par une autorité de certification sécurisée.
Utilisez la commande keytool, comme suit :
# /opt/SUNWsgdg/java/default/bin/keytool -importcert \ -alias mycert -keystore /opt/SUNWsgdg/proxy/etc/keystore.client \ -file mycert.crt -storepass ‘cat /opt/SUNWsgdg/etc/password‘
Dans cet exemple, le certificat client mycert.crt
est importé dans le keystore client de SGD Gateway. Le certificat client est enregistré sous l'alias mycert
.
Démarrez la passerelle SGD Gateway.
# /opt/SUNWsgdg/bin/gateway start
Pour obtenir un certificat client que vous pouvez utiliser avec la passerelle, vous devez d'abord générer une demande de signature de certificat. Vous envoyez ensuite la demande de signature de certificat à une autorité de certification (AC) pour signature.
Cette procédure explique comment utiliser l'application keytool sur l'hôte Gateway pour générer une demande de signature de certificat. Toutefois, vous n'êtes pas obligé de suivre les étapes décrites dans cette procédure. Vous pouvez tout à fait utiliser votre outil de gestion des certificats préféré pour générer la demande de signature de certificat.
Connectez-vous à l'hôte en tant que superutilisateur (utilisateur root) à l'hôte SGD Gateway.
Générez un certificat auto-signé et une clé privée correspondante.
Utilisez la commande keytool, comme suit :
# /opt/SUNWsgdg/java/default/bin/keytool -genkeypair -keyalg RSA \ -alias mycert -keystore keystore.mycert -storepass letmein
Dans cet exemple, un certificat auto-signé et une clé privée sont créés et enregistrés dans un keystore appelé keystore.mycert
. La paire de clés est enregistrée sous un alias mycert
.
Générez une demande de signature de certificat pour le certificat auto-signé.
Utilisez la commande keytool, comme suit :
# /opt/SUNWsgdg/java/default/bin/keytool -certreq \
-alias mycert -keystore keystore.mycert -storepass letmein \
-file /tmp/gateway-name
.csr
Dans cet exemple, une demande de signature de certificat est générée et enregistrée dans le fichier /tmp/
, gateway-name
.csrgateway-name
correspondant au nom de la passerelle.