Configurer le rôle Assistant d'unité pour la gestion des certificats - Security Center 5.12

Avant que le rôle Assistant d'unité puisse effectivement gérer les certificats d'unité, vous devez configurer les paramètres de gestion de certificats et le profil de certificat.

1. Connectez-vous à Security Center avec Config Tool installée sur le serveur qui héberge le rôle Assistant d'unité.
2. Sur la page d'accueil de Config Tool, ouvrez la tâche Système, puis cliquez sur la vue Rôles.
3. Sélectionnez le rôle Assistant d'unité, puis cliquez sur l'onglet Propriétés.
4. Dans la section Sécurité, configurez les paramètres Gestion de certificats.

   Stratégies de sécurité

   Autoriser le renouvellement des certificats expirés

   Activez ce réglage (activé par défaut) pour permettre au système de renouveler automatiquement le certificat des unités, même lorsqu’ils ont expiré. Si vous ne souhaitez pas que les certificats ayant expiré soient renouvelés automatiquement, désactivez cette option. Vous pouvez toujours renouveler les certificats ayant expiré manuellement depuis la tâche Inventaire matériel.

   Activer le HTTPS sur les unités après l’installation réussie d’un certificat

   Activez ce réglage (activé par défaut) pour forcer l’unité à basculer en HTTPS une fois que le certificat a été installé avec succès. Les ports HTTPS configurés dans Security Center pour les unités peuvent changer durant le processus si le rôle Assistant d’unité détecte le bon port.

   Notifications

   Spécifiez, en jours, le délai de notification par le système avant l’expiration du certificat (7 jours par défaut).

   Si vous avez configuré votre système pour qu’il renouvelle automatiquement les certificats X jours avant leur expiration, réglez cette valeur sur X moins N, où N correspond au nombre de jours de tentatives de renouvellement automatique par le système avant qu’il n’émette un avertissement. Veillez également à prévoir le temps nécessaire pour étudier la raison pour laquelle un certificat n’a pas été renouvelé après la réception de l’avertissement.

   Informations sur le certificat

   Période de validité

   Il s’agit de la période de validité d’un certificat après un renouvellement. Cette valeur est héritée de l’AC. Elle ne peut être modifiée que depuis la page Profil de certificat.

   Afficher les options avancées

   Cliquez sur ce bouton pour afficher les propriétés facultatives que vous pouvez affecter aux certificats créés par votre système. Pays, État, Localité, Organisation et Unité d’organisation permettent d’identifier un certificat émis pour votre organisation. Ces valeurs peuvent être remplacées lors du renouvellement de certificats particuliers.

5. Dans la section Infrastructure à clés publiques, cliquez sur Définir un terminal personnalisé.
6. Dans le champ Terminal, entrez l'URL de votre autorité de certificat (CA).
   REMARQUE : Pour Security Center 5.12, l’AC est le rôle Signature de certificats.

   Voici la syntaxe des URL :

   Code

   https://hostname:port/management

   

   où hostname est le nom d’hôte ou l’adresse IP du serveur qui héberge le rôle Signature de certificats, et port est le numéro de port configuré sur la page Propriétés du rôle Signature de certificats. Vérifiez que le serveur qui héberge le rôle Assistant d’unité peut accéder à cette URL.

   IMPORTANT : Pour simplifier la configuration du basculement, l’URL est réglée par défaut sur https://localhost:port/management. Cela suppose que les rôles Assistant d’unité et Signature de certificats sont toujours hébergés sur le même serveur. Si vous décidez d’héberger les deux rôles sur des serveurs distincts, alors en cas de basculement, vous devez modifier l’URL manuellement ici et redémarrer le rôle Assistant d’unité.
7. Cliquez sur Appliquer.
8. Redémarrez le rôle Assistant d'unité pour que la modification de l'URL du terminal prenne effet.
   1. Dans le volet de gauche, faites un clic droit sur Assistant d'unité, puis cliquez sur Maintenance > Désactiver le rôle.
   2. Lorsque le rôle devient rouge, faites un clic droit sur Assistant d'unité, puis cliquez sur Maintenance > Activer le rôle.
9. Cliquez sur Profil de certificat pour configurer the politiques et les limites imposées sur les demandes de certificat appliquées par l'AC.

   Nom du domaine autorisé

   Doit correspondre au nom du domaine de votre réseau. Laissez-le vide si vous ne souhaitez pas inclure le nom du domaine dans les certificats.

   Plage IPv4 autorisée

   Entrez la plage IPv4 des unités que vous comptez connecter à votre réseau. Laissez-la vide si vous ne souhaitez pas que les unités utilisent l’IPv4.

   La plage IP doit suivre la convention CIDR. Toutes les unités doivent appartenir à cette plage d’adresses IP. Nous ne prenons pas en charge les plages d’adresses IP distinctes.

   Plage IPv6 autorisée

   Entrez la plage IPv6 des unités que vous comptez connecter à votre réseau. Laissez-la vide si vous ne souhaitez pas que les unités utilisent l’IPv6.

   La plage IP doit suivre la convention CIDR. Toutes les unités doivent appartenir à cette plage d’adresses IP. Nous ne prenons pas en charge les plages d’adresses IP distinctes.

   Période de validité

   Spécifiez, en jours ou en mois, la période de validité des certificats renouvelés en fonction de vos politiques de sécurité. Nous recommandons une période de six à douze mois.

10. Cliquez sur Appliquer.
11. Redémarrez le rôle Assistant d'unité pour que les modifications apportées à la page Profil de certificat soient prises en compte.
12. Sélectionnez les dysfonctionnements liés aux certificats que vous souhaitez surveiller.
    Voici les dysfonctionnements liés aux certificats que vous pouvez surveiller :

    Avertissement lié au certificat

    Le certificat est sur le point d'expirer.

    Erreur de certificat

    Il y a une erreur qui rend les communications avec l'appareil peu sûres.

    Certificat valable

    Le certificat est à nouveau en état valable après une erreur ou un avertissement.

    Ces événements sont disponibles sous les groupes Unité de contrôle d'accès et Unité vidéo.

    BONNE PRATIQUE : Nous vous recommandons vivement de créer des associations événement-action pour informer votre administrateur système en cas de problèmes liés aux certificats.