Source des certificats client et serveur, Mode hors ligne, Mode en ligne – HP Systems Insight Manager Manuel d'utilisation

Le contrôle de révocation de certificat peut être configuré à partir de l'interface utilisateur graphique ;
pour ce faire, sélectionnez Options

→Security→Certificate Revocation Configuration Check.

Vous pouvez également le configurer en saisissant : mxcert -L depuis la ligne de commande.

Source des certificats client et serveur

Les certificats client sont envoyés à HP SIM par le portail Web, les demandes des partenaires et
les services WBEM.

Les certificats serveur sont envoyés à HP SIM par les systèmes gérés.

Activation ou désactivation du contrôle de la révocation de certificat

HP SIM permet de désactiver le contrôle de révocation de certificat pour les certificats serveur et
client. La désactivation du contrôle de la révocation de certificat n'affecte pas l'authentification à
deux facteurs, au cours de laquelle la révocation du certificat client (appelé certificat utilisateur)
est toujours contrôlée.

L'activation du contrôle de la révocation de certificat peut affecter les performances du système,
car elle télécharge la liste de révocation des certificats (CRL) à partir du serveur de certificats lors
du traitement du contrôle de la révocation. Le téléchargement du fichier de liste de révocation des
certificats (CRL) est effectué uniquement si aucun fichier CRL n'est actuellement mis en cache sur le
serveur ou si le fichier CRL mis en cache a expiré.

L'activation ou la désactivation du contrôle de la révocation de certificat ne nécessite pas de
redémarrer HP SIM.

Mode hors ligne et en ligne du contrôle de la révocation de certificat

Le contrôle de la révocation de certificat est effectué hors ligne et/ou en ligne.

Mode hors ligne

Le mode hors ligne est le mode de contrôle de la révocation de certificat par défaut. Le mode hors
ligne s'attend à ce que des fichiers de liste de révocation des certificats (CRL) soient mis en cache
dans le système. Vous devez régulièrement renseigner les fichiers CRL associés aux certificats dans
un répertoire géré par HP SIM. Sous Windows, le répertoire est \data\crl ; sous Linux/HPUX,
ce répertoire est /var/opt/mx/data/crl.

Alerte d'expiration du fichier de liste de révocation des certificats (CRL)

Si l'un des fichiers de liste de révocation des certificats présents dans ce répertoire a expiré, HP
SIM envoie alors une alerte au système. Ces alertes sont visibles à la page « All Events » (Tous les
événements).

L'objectif de cette alerte est d'informer l'utilisateur qu'il doit mettre à jour le répertoire de liste de
révocation de certificats (CRL) à l'aide des fichiers CRL les plus récents.

Pour configurer certains des paramètres associés à l'alerte CRL, suivez la procédure ci-dessous.

Mode en ligne

L'activation du mode en ligne est facultative. L'activation du mode en ligne ne contourne pas le
mode de contrôle de liste de révocation des certificats (CRL) hors ligne.

Si le fichier CRL associé à un certificat n'est pas présent dans le répertoire ci-dessus, ou si le fichier
CRL mis en cache a expiré, HP SIM vérifie alors si le mode en ligne a été activé. Si le mode en
ligne est activé, HP SIM tente de télécharger le fichier CRL depuis le serveur de certificats. Une
fois le fichier CRL téléchargé, HP SIM le met en cache dans le répertoire ci-dessus.

Méthodes d'activation du mode en ligne

Il existe deux méthodes d'activation du mode en ligne. La première utilise les paramètres de proxy
et la seconde est une méthode directe.

Gestion des informations d'identification 109