Gestion des certificats (2)

inclut les trois composantes associées suivantes :

• Un ou plusieurs modèles de certificats, groupés entre eux pour permettre l’enrôlement, la révocation ou le renouvellement en une opération. Ainsi, si vous souhaitez déployer des certificats de signature et de cryptage de courriel séparés, les deux modèles de certificat seront inclus dans un modèle de profil.

• Des détails de profils qui indiquent si un modèle de profil est de type logiciel ou de type smart card. (Les deux genres de certificats – de type logiciel et de type smart card – ne peuvent pas cohabiter dans un même modèle de profil.) Si vous configurez un modèle de profil smart card, les détails du profil incluront des informations sur le middleware smart card utilisé, la génération du PIN utilisateur, et les paramètres de réutilisation.

• Des stratégies de gestion qui définissent les flux utilisés pour gérer un certificat durant tout son cycle de vie. Pour chaque stratégie de gestion, un flux distinct est défini. Il inclut des définitions sur l’auteur des tâches de gestion pendant le flux. Par exemple, vous pouvez désigner différentes personnes pour initier une demande de déblocage de smart card et pour approuver cette demande. Le tableau 1 montre les stratégies de gestion disponibles dans la gestion des certificats ILM 2007.

Conception de flux.
Le principal avantage de la gestion des certificats ILM 2007 est la possibilité de définir des flux pour cette gestion. Par exemple, vous pouvez définir exactement quel processus est utilisé pour obtenir des certificats Secure MIME (S/MIME) ou pour débloquer une smart card. Les modèles courants suivants existent pour la gestion des certificats :

• Dans un modèle Self-Service, tous les processus présents dans un flux sont initiés par l’abonné au certificat défini dans le modèle de profil. Par exemple, un utilisateur peut initier la demande d’un certificat Encrypting File System (EFS). Le self-service pour l’acquisition de certificats est généralement considéré comme un modèle de faible assurance parce que personne d’autre que le demandeur du certificat n’est impliqué dans l’émission de ce dernier. Cependant le self-service est acceptable dans plusieurs cas : certificats IPsec ou certificats de cryptage EFS.

• Dans un modèle Délégué (Delegated), un flux est initié par un gestionnaire de certificats mais est complété par l’abonné au certificat. Ce flux est considéré d’assurance moyenne et généralement utilisé pour des certificats qui demandent une forte validation de l’identité de l’abonné. Par exemple, la demande de certificat pour un agent de reprise EFS ou un Key Recovery Agent pourrait utiliser un flux délégué. Un gestionnaire de certificats initiera la requête, puis le contrôle sera passé à l’abonné par le truchement de secrets ponctuels dans un courriel pour compléter la requête.

• Dans un modèle Centralisé (Centralized), le gestionnaire des certificats se charge de toute la requête. Ce flux est généralement utilisé pour des certificats de haute assurance. Le gestionnaire des certificats se comporte comme un agent d’enrôlement et place l’information sur le nom de l’abonné dans le sujet du certificat émis.