L'authentification d'un serveur Middle Tier ZfD à l'aide d'un agent de gestion ZfD repose sur un processus de stimulation/réponse. Lorsqu'un serveur Middle Tier ZfD demande à un agent de s'authentifier, il envoie un certificat X.509. L'agent vérifie l'intégrité et la fiabilité du certificat et des données confidentielles sont alors échangées par le biais de techniques de codage de clés publiques/privées et de clés de session.
Lors de l'installation, un certificat NetIdentity est installé sur le serveur Middle Tier ZfD. Sous NetWare, ce certificat est signé par l'autorité de certification de l'arborescence à laquelle appartient le serveur. Sous Windows 2000, il s'agit d'un certificat factice signé automatiquement. Bien que leur codage soit valide, ces certificats ne sont pas signés par des autorités de certification approuvées, et ne doivent donc pas être approuvés en dehors d'un environnement contrôlé. Par défaut, le programme d'installation de l'agent de gestion ZfD accepte ce type de certificat, mais il s'agit d'un paramètre d'installation configurable. Lorsqu'ils sont déployés en dehors d'un environnement contrôlé, les serveurs Middle Tier ZfD doivent être configurés avec un certificat signé par une autorité de certification racine approuvée. Ils doivent également être configurés pour appliquer des contrôles de fiabilité stricts.
Si un certificat SSL valide (en d'autres termes, signé par une autorité de certification racine approuvée) existe déjà pour le serveur, ce certificat peut être utilisé par la procédure d'authentification NetIdentity.
Si le serveur est un serveur NetWare, notez le nom de la paire de clés du certificat SSL (il s'agit du nom de l'objet Certificat affiché dans ConsoleOne). S'il s'agit d'un serveur Windows 2000, notez le nom convivial du certificat.
Dans un navigateur, ouvrez la page NSAdmin pour le serveur Middle Tier ZfD (http://ip-address/oneNet/nsadmin).
Dans la page de configuration Général, reportez le nom du certificat que vous avez noté à l'Etape 1.
Envoyez la modification.
Redémarrez le serveur Middle Tier ZfD.
S'il n'existe pas de certificat SSL valide pour le serveur, un certificat X.509 valide (c'est-à-dire, signé par une autorité de certification racine approuvée) doit être configuré pour ce serveur.
Obtenez un certificat signé par une autorité de certification racine approuvée. Suivez les étapes décrites dans Création d'une requête de signature du certificat et Installation de l'autorité de certification racine sur le serveur Middle Tier ZfD en fonction de la plate-forme utilisée.
Si le nom de la paire de clés, ou le nom convivial (selon la plate-forme utilisée), n'est pas " NetIdentity ", configurez le serveur Middle Tier ZfD avec le nom approprié. Reportez-vous aux étapes allant de l'Etape 1 à l'Etape 4 de la procédure ci-dessus.
Redémarrez le serveur Middle Tier ZfD.
REMARQUE : dans un cas comme dans l'autre, si le certificat a été signé par une autorité de certification qui ne figure pas dans la liste des autorités de certification racine approuvées, le certificat signé automatiquement émanant de cette autorité doit être importé sur chaque poste de travail. Pour plus d'informations, reportez-vous à Installation d'un certificat sur un poste de travail Windows .
Une fois que le serveur Middle Tier ZfD a été configuré avec un certificat signé par une autorité de certification approuvée, les agents de gestion ZfD peuvent être configurés pour contrôler de manière stricte la fiabilité des certificats NetIdentity. Pour cela, modifiez la clé de registre suivante :
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001
La valeur de fiabilité par défaut correspond à 0 (zéro). L'absence de valeur ou la configuration de la valeur 0x0 (zéro) entraîne l'approbation de tous les certificats. La définition de la valeur 0x1 entraîne la configuration des agents de gestion ZfD pour faire en sorte qu'ils rejettent tout certificat dont la fiabilité ne peut pas être intégralement vérifiée.