Source des certificats client et serveur, Mode hors ligne, Mode en ligne – HP Systems Insight Manager Manuel d'utilisation

Expiration des certificats et contrôle de la révocation de certificat (contrôle CRL)

HP SIM offre la prise en charge du contrôle de révocation de certificat. Par défaut, le contrôle de
révocation est activé pour les certificats client et serveur. Cependant, la révocation des certificats
serveur est contrôlée uniquement si vous avez activé l'option Require Trusted Certificate (Exiger
des certificats approuvés) (Options

→Security→Credentials→Trusted Systems→Trusted Certificates).

Le contrôle de révocation de certificat peut être configuré à partir de l'interface utilisateur graphique ;
pour ce faire, sélectionnez Options

→Security→Certificate Revocation Configuration Check.

Vous pouvez également configurer la révocation de certificat en entrant : mxcert -L à partir de
la ligne de commande.

Source des certificats client et serveur

Les certificats client sont envoyés à HP SIM par le portail Web, les demandes des partenaires et
les services WBEM.

Les certificats serveur sont envoyés à HP SIM par les systèmes gérés.

Activation ou désactivation du contrôle de la révocation de certificat

HP SIM permet de désactiver le contrôle de révocation de certificat pour les certificats serveur et
client. La désactivation du contrôle de la révocation de certificat n'affecte pas l'authentification à
deux facteurs, au cours de laquelle la révocation du certificat client (appelé certificat utilisateur)
est toujours contrôlée.

L'activation du contrôle de la révocation de certificat peut affecter les performances du système,
car elle télécharge la liste de révocation des certificats (CRL) à partir du serveur de certificats lors
du traitement du contrôle de la révocation. Le téléchargement du fichier de liste de révocation des
certificats (CRL) est effectué uniquement si aucun fichier CRL n'est actuellement mis en cache sur le
serveur ou si le fichier CRL mis en cache a expiré.

L'activation ou la désactivation du contrôle de la révocation de certificat ne nécessite pas de
redémarrer HP SIM.

Mode hors ligne et en ligne du contrôle de la révocation de certificat

Le contrôle de la révocation de certificat est effectué hors ligne et/ou en ligne.

Mode hors ligne

Le mode hors ligne est le mode de contrôle de la révocation de certificat par défaut. Le mode hors
ligne s'attend à ce que des fichiers de liste de révocation des certificats (CRL) soient mis en cache
dans le système. Vous devez régulièrement renseigner les fichiers CRL associés aux certificats dans
un répertoire géré par HP SIM. Dans Windows, le répertoire est \data\crl, et dans Linux/HPUX,
ce répertoire est /var/opt/mx/data/crl.

Alerte d'expiration du fichier de liste de révocation des certificats (CRL)

Si l'un des fichiers de liste de révocation des certificats présents dans ce répertoire a expiré, HP
SIM envoie alors une alerte au système. Ces alertes sont visibles à la page « All Events » (Tous les
événements).

L'objectif de cette alerte est d'informer l'utilisateur qu'il doit mettre à jour le répertoire de liste de
révocation de certificats (CRL) à l'aide des fichiers CRL les plus récents.

Pour configurer certains des paramètres associés à l'alerte CRL, suivez la procédure ci-dessous.

Mode en ligne

L'activation du mode en ligne est facultative. L'activation du mode en ligne ne contourne pas le
mode de contrôle de liste de révocation des certificats (CRL) hors ligne.

Si le fichier CRL associé à un certificat n'est pas présent dans le répertoire ci-dessus, ou si le fichier
CRL mis en cache a expiré, HP SIM vérifie alors si le mode en ligne a été activé. Si le mode en

116

Présentation des fonctions de sécurité de HP SIM