Configurer le rôle Assistant d'unité pour la gestion des certificats - Security Center 5.11

Guide de l’administrateur Security Center 5.11
Applies to
Security Center 5.11
Last updated
2024-04-03
Content type
Guides > Guides d'administration
Language
Français
Product
Security Center
Version
5.11

Avant que le rôle Assistant d'unité puisse effectivement gérer les certificates d'unité, vous devez configurer les paramètres de gestion de certificats et le profil de certificat.

Avant de commencer

Créez le rôle Signature de certificats

Procédure

  1. Connectez-vous à Security Center avec Config Tool installée sur le serveur qui héberge le rôle Assistant d'unité.
  2. From the Config Tool homepage, open the System task and click the Roles view.
  3. Sélectionnez le rôle Assistant d'unité, puis cliquez sur l'onglet Propriétés.
  4. Dans la section Sécurité, configurez les paramètres Gestion de certificats.
    Stratégies de sécurité
    Autoriser le renouvellement des certificats expirés
    Ce réglage est activé par défaut. Il permet au système de renouveler automatiquement le certificat des unités lorsqu’ils expirent. Si vous ne souhaitez pas que le système renouvelle les certificats arrivés à expiration, désactivez ce réglage. Vous pouvez toujours renouveler le certificat des unités manuellement depuis la tâche Inventaire matériel.
    Activer le HTTPS sur les unités après l’installation réussie d’un certificat
    Activez ce réglage pour forcer l’unité à basculer en HTTPS une fois que le certificat a été installé avec succès. Les ports HTTPS configurés dans Security Center pour les unités peuvent changer durant le processus lorsque le rôle Assistant d'unité détecte le bon port.
    Notifications
    Spécifiez, en jours, le délai de notification par le système avant l’expiration du certificat.
    Informations sur le certificat
    Période de validité
    Spécifiez, en jours, semaines, mois ou années, la période de validité du certificat renouvelé. La valeur maximale est définie par le profil de certificat configuré sur la page Profil de certificat du rôle Assistant d'unité.
    Afficher les options avancées
    Cliquez sur ce bouton pour afficher les propriétés facultatives que vous pouvez affecter aux certificats. Pays, État, Localité, Organisation et Unité d'organisation permettent d’identifier un certificat émis pour votre organisation.
  5. Dans la section Infrastructure à clés publiques, cliquez sur Définir un terminal personnalisé, et dans le champ Terminal, entrez l’URL de votre autorité de certificat (CA).
    REMARQUE : Pour Security Center 5.11, l’AC est le rôle Signature de certificats.
  6. Cliquez sur Appliquer.
  7. Redémarrez le rôle Assistant d'unité.
    1. Dans le volet de gauche, faites un clic droit sur Assistant d'unité, puis cliquez sur Maintenance > Désactiver le rôle.
    2. Lorsque le rôle devient rouge, faites un clic droit sur Assistant d'unité, puis cliquez sur Maintenance > Activer le rôle.
  8. Cliquez sur Profil de certificat pour configurer the politiques et les limites imposées sur les demandes de certificat appliquées par l'AC.
    Nom du domaine autorisé
    Doit correspondre au nom du domaine de votre réseau. Laissez-le vide si vous ne souhaitez pas inclure le nom du domaine dans les certificats.
    Plage IPv4 autorisée
    Entrez la plage IPv4 des unités que vous comptez connecter à votre réseau. Laissez-la vide si vous ne souhaitez pas que les unités utilisent l’IPv4.
    Plage IPv6 autorisée
    Entrez la plage IPv6 des unités que vous comptez connecter à votre réseau. Laissez-la vide si vous ne souhaitez pas que les unités utilisent l’IPv6.
    Période de validité maximale
    Entrez la période de validité maximale autorisée lors du renouvellement d'un certificat. Sélectionnez l'une des valeurs prédéfinies, ou entrez une valeur personnalisée. La syntaxe de la valeur personnalisée est P[xY][yM][zD], où x, y et z correspondent au nombre d'années, de mois et de jours. Toute section entre crochets peut être omise.

    Exemples :

    « P1Y3M10D » correspond à 1 an, 3 mois et 10 jours.

    « P90D » correspond à 90 jours.

  9. Cliquez sur Appliquer.
  10. Sélectionnez les dysfonctionnements liés aux certificats que vous souhaitez surveiller.
    Voici les dysfonctionnements liés aux certificats que vous pouvez surveiller :
    Avertissement lié au certificat
    Le certificat est sur le point d'expirer.
    Erreur de certificat
    Une erreur entraîne des communications non sécurisées avec l'unité.
    Certificat valable
    Le certificat est à nouveau en état valable après une erreur ou un avertissement.
    Ces événements sont disponibles sous les groupes Unité de contrôle d'accès et Unité vidéo.
    BONNE PRATIQUE : Nous vous recommandons vivement de créer des associations événement-action pour informer votre administrateur système en cas de problèmes liés aux certificats.

Lorsque vous avez terminé

Si vous souhaitez modifier ces réglages plus tard, évitez de le faire lorsque le rôle Assistant d'unité met à jour un certificat.
IMPORTANT : Si vous modifiez le port de communication de l’AC (le rôle Signature de certificats) ou tout réglage de la page Profil de certificat, vous devez redémarrer le rôle Assistant d'unité pour que les modifications soient prises en compte. Si vous changez d’AC, tout certificat d’unité qui a été signé par l’ancienne AC doit être renouvelé dès que possible. Dans le cas contraire, si vous déplacez l'unité vers un nouveau rôle, l'unité risque de cesser de fonctionner, car le certificat racine de l’ancienne AC ne sera pas déployé sur le serveur qui héberge le nouveau rôle.

Notez également que le certificat racine de l’ancienne AC n’est pas supprimé automatiquement lorsqu'il n’est plus utilisé. Le cas échéant, vous pouvez le supprimer manuellement du Magasin de certificats Windows une fois que tous les certificats d'unités ont été renouvelés.

Sujet parent : Gestion des certificats d'unité