SSL - Certificats client - Jetons matériels - Aladdin eTokens

MOVEit Transfer prend en charge l'utilisation des certificats client SSL, notamment les certificats sur les jetons matériels, pour l'authentification auprès de MOVEit Transfer via ses interfaces FTPS ou HTTPS. Ce document vous explique comment configurer un appareil Aladdin eToken Pro pour une utilisation avec MOVEit Transfer.

L'eToken Pro est un petit appareil cryptographique de type USB qui peut stocker des certificats client. Lorsqu'un client FTP avec SSL activé ou un navigateur Web tente d'utiliser un certificat client stocké sur un eToken, les pilotes du logiciel Aladdin obtiennent le certificat à partir du jeton et le présentent à l'application. Le jeton doit être physiquement connecté à l'ordinateur au moment où le certificat est nécessaire.

Installation de l'eToken

Avant de connecter l'eToken à l'ordinateur, insérez le CD-ROM Aladdin et choisissez Install eToken RTE (Installer eToken RTE). Cela permet d'installer les pilotes USB et un utilitaire « eToken Properties » (Propriétés eToken) simple. Si vous voulez être en mesure de copier des certificats vers un jeton, vous devez également choisir Install Utilities (Installer les utilitaires) à partir du CD.

En ce qui concerne les utilitaires eToken : Il n'est pas nécessaire de disposer d'un ordinateur d'administration distinct pour la gestion des eToken : les utilisateurs finals ont la possibilité d'effectuer eux-mêmes toutes les configurations eToken sur leurs propres ordinateurs. Si vous voulez que les utilisateurs finals puissent gérer eux-mêmes les certificats sur leurs eToken, les utilitaires eToken doivent alors être installés sur chaque ordinateur.

Si un administrateur se charge de la gestion des certificats pour tous les eToken sur un seul ordinateur d'administration, vous n'avez pas besoin d'installer les utilitaires eToken sur les ordinateurs des utilisateurs finals. Toutefois, pour qu'un administrateur soit en mesure de configurer tous les eToken à partir d'un seul ordinateur d'administration, il faut que les certificats clients individuels soient aussi installés sur cet ordinateur.

Une fois le logiciel installé, insérez le jeton USB. (Vous n'avez pas besoin de redémarrer l'ordinateur.) Le voyant rouge à l'intérieur du jeton (visible de toutes parts) doit s'allumer.

Exécutez Start | Programs | eToken | eToken Properties (Démarrer | Programmes | eToken | Propriétés eToken) et changez le mot de passe par défaut du jeton qui est 1234567890.

Copie des certificats vers l'eToken

Une fois que vous avez créé et installé un certificat sur l'ordinateur, vous pouvez le copier vers l'eToken :

• Exécutez Start | Programs | eToken | Utilities | eToken Certificate Converter (Démarrer | Programmes | eToken | Utilitaires | Convertisseur de certificats eToken).
• Choisissez un nom de certificat existant dans le volet gauche.
• Vous devrez probablement cocher la case « Delete original certificate and keys » (Supprimer le certificat et les clés d'origine). Cela permettra de retirer la clé du magasin de certificats local une fois qu'elle aura été copiée vers le jeton. Si vous choisissez de ne pas cocher cette case, vous pourrez le faire par la suite dans Internet Explorer, en choisissant Tools | Internet Options... | Content | Certificates... (Outils | Options Internet... | Contenu | Certificats...). Si la clé du certificat réside à la fois sur l'ordinateur et sur le jeton, il n'est guère utile de disposer d'un jeton matériel.
• Choisissez >> Import to eToken >> (Importer vers eToken). Vous serez invité à entrer le mot de passe de l'eToken connecté à votre ordinateur.
• Entrez le mot de passe. Après quelques secondes, vous verrez « The operation was successful » (L’opération a réussi).
• Choisissez OK. Vous voyez alors s'afficher le certificat dans le volet droit.
• Choisissez Exit (Quitter).

Si vous déplacez le jeton matériel vers un autre ordinateur, vous n'aurez à effectuer aucune opération particulière (autre que l'installation de l'eToken RTE) pour cet ordinateur pour pouvoir utiliser le certificat.

Vous pouvez réexécuter le programme « eToken Properties » (Propriétés eToken) pour confirmer que le certificat se trouve désormais sur le jeton. Vous pouvez également utiliser Internet Explorer pour confirmer que le certificat est disponible, en choisissant Tools | Internet Options... | Content | Certificates... (Outils | Options Internet... | Contenu | Certificats...). Si vous débranchez le jeton, l'applet Certificats de Microsoft n'affichera pas le certificat.

Lorsque vous exécutez un client FTP ou un navigateur Web qui utilise le certificat, vous voyez s'afficher une boîte de dialogue eToken Base Cryptographic Provider (Fournisseur de service cryptographique de base eToken) vous demandant d'entrer le mot de passe du jeton et ce, à chaque fois que le programme s'exécute.