
Netscape Personal Security Manager
Version 1.2
7/25/2000
Ces notes de diffusion contiennent les dernières informations sur cette version de Netscape Personal Security Manager. Consultez-les avant d'utiliser le logiciel. Elles comprennent des informations destinées aux informaticiens professionnels familiarisés avec les problèmes de sécurité et d'infrastructure à clé publique.
L'utilisation de ce produit est soumise aux termes détaillés dans l'accord de licence qui l'accompagne (voir license.txt).
Sommaire
Documentation
Modifications par rapport à Personal Security Manager 1.1
Configuration matérielle/logicielle requise
Installation de Personal Security Manager
Utilisation de Personal Security Manager
Problèmes connus de Personal Security Manager 1.2
Commentaires
Documentation
La documentation suivante est disponible avec Personal Security Manager : - Aide de Personal Security Manager -- Vous pouvez également accéder à ce système d'aide en ligne en cliquant sur le bouton Aide de n'importe quelle fenêtre de Personal Security Manager.
- API JavaScript pour Client Certificate Management-- Cette référence décrit une nouvelle API Javascript pour les opérations de gestion de certificats utilisateur avec Personal Security Manager, notamment l'émission par un seul clic, la sauvegarde forcée des certificats par les utilisateurs finaux, l'émission de doubles certificats de chiffrement et de signature de courrier et l'archivage automatique des clés de chiffrement privées.
Pour les dernières notes de diffusion, le guide de déploiement et d'autres informations, voir http://docs.iPlanet.com/docs/manuals/psm.html.
Modifications par rapport à Personal Security Manager 1.1
Les fonctions ou erreurs importantes suivantes ont été modifiées depuis la version 1.1 : - Cette version permet d'afficher davantage de détails sur chaque certificat, notamment les autres certificats de la chaîne de certificats. Pour utiliser cette fonction, cliquez sur l'onglet Certificats de la fenêtre de Personal Security Manager, sélectionnez le certificat à afficher et cliquez sur Afficher. Pour afficher le certificat suivant de la chaîne de certificats, cliquez sur le nom indiqué à côté de "Emis sous" dans la fenêtre Voir le certificat de sécurité. Pour afficher l'intégralité du certificat, cliquez sur Voir plus d'informations dans l'angle supérieur droit de la fenêtre Voir le certificat de sécurité.
- Cette version comprend la prise en charge du gestionnaire de mots de passe de Netscape 6. Pour plus d'informations sur cette fonction, voir http://home.netscape.com/eng/mozilla/ns6/relnotes/pv6-2.html.
- Cette version fonctionne avec Netscape 6 ou Communicator 4.7x (mais pas avec les deux à la fois) sous Windows 95/98/NT sans nécessiter de modification du répertoire C:\Program Files\Fichiers communs\Netscape Shared\Security\. Les versions antérieures nécessitaient de renommer un répertoire Security existant (créé pour la version Communicator 4.7x de Personal Security Manager) avant d'installer Netscape 6 (ou PSM pour Mozilla), et inversement.
Configuration matérielle/logicielle requise
Systèmes d'exploitation pris en charge : Windows NT, Windows 95, Windows 98 ; Solaris 2.5.1, 2.6, 7 et Linux 2.1 et 2.2. Autres logiciels requis :
Vous devez utiliser Communicator 4.7 ou une version plus récente. Procurez-vous la dernière version de Communicator à l'adresse http://home.netscape.comavant de poursuivre.
Si vous utilisez Communicator 4.7, Personal Security Manager nécessite l'activation de JavaScript dans ce programme. Si vous utilisez des versions plus récentes de Communicator, Personal Security Manager fonctionne, que JavaScript soit activé ou non.
Installation de Personal Security Manager
Installation sous Windows 95/98/NT
Pour installer Personal Security Manager sous Windows 95/98/NT, enregistrez le fichier à un emplacement pratique sous un nom de fichier spécifique, et faites glisser l'icône du fichier dans une fenêtre Navigator (c'est-à-dire, une fenêtre de navigateur affichée par Communicator 4.7 ou une version plus récente). Déplacer l'icône du fichier sur la fenêtre du navigateur lance SmartUpdate, qui installe automatiquement Personal Security Manager. Une fois l'installation terminée, quittez Communicator et redémarrez-le. Si votre copie de Communicator est installée à l'emplacement par défaut, SmartUpdate installe les fichiers de Personal Security Manager dans le répertoire C:\Program Files\Fichiers communs\Netscape Shared\Security\ et ajoute le fichier cmnav.dlldans le répertoire C:\Program Files\Netscape\Communicator\Program. Utilisateurs de Windows NT : Sous Windows NT, vous devez disposer des droits d'administrateur pour installer Personal Security Manager avec SmartUpdate.
Utilisateurs de Mozilla et Netscape 6 : Personal Security Manager 1.2 fonctionne sous Windows avec Mozilla, Netscape 6 et Communicator, mais pas lorsque ces navigateurs fonctionnent simultanément. Par exemple, vous devez quitter Netscape 6 avant de lancer Communicator avec Personal Security Manager 1.2 activé.
Installation sous Unix
Avant d'installer Personal Security Manager sous Unix, vous devez être connecté sous le même nom d'utilisateur Unix que lors de l'exécution de Communicator. Pour la réussite de l'installation sous Unix, vous devez posséder des privilèges d'écriture pour le répertoire où résident les fichiers exécutables de Netscape et celui dans lequel le script d'installation crée le répertoire contenant les fichiers de Personal Security Manager. Pour installer Personal Security Manager sous Unix, téléchargez le fichier tar correspondant à la version du produit à installer et procédez comme suit :
- Le cas échéant, quittez Communicator.
- Décompressez le fichier téléchargé à un emplacement pratique.
- Exécutez le programme psm-install.
Le programme psm-install permet de spécifier le répertoire d'installation de Personal Security Manager. Avec cette version, vous devez installer Personal Security Manager localement. Pour ce faire, vous pouvez l'installer à l'emplacement par défaut (/opt/netscape/security) ou à un autre emplacement local. Toutefois, si vous installez Personal Security Manager à un emplacement autre que celui par défaut, Communicator doit également être installé localement. Pour exécuter Personal Security Manager sous Unix, vous devez être connecté sous le même nom d'utilisateur Unix que lors de son installation.
Désactivation de Personal Security Manager
Pour désactiver temporairement Personal Security Manager, il suffit de renommer le fichier cmnav.dll (dans le répertoire du programme Netscape sous Windows 95/98/NT ou le répertoire dans lequel résident les fichiers exécutables de Netscape sous Unix) et de le nommer par exemple cmnav.txt. Sous Unix, vous pouvez renommer le fichier cmnav.so pour désactiver Personal Security Manager.
Utilisation de Personal Security Manager
Les sections suivantes indiquent comment tester certaines des fonctions de Personal Security Manager disponibles avec cette version : Les sections suivantes décrivent brièvement comment tester certaines des fonctions ci-dessous. Pour plus d'informations sur l'interface API JavaScript prise en charge par Personal Security Manager, voir API JavaScript pour Client Certificate Management et le guide de déploiement de Personal Security Manager. Pour obtenir les dernières versions de ces documents, voir http://docs.iPlanet.com/docs/manuals/psm.html.
Démarrage de Personal Security Manager avec Communicator
Procédez comme suit pour démarrer Personal Security Manager avec Communicator. - Lancez Communicator. Personal Security Manager se charge automatiquement en arrière-plan.
- Affichez la page psmtest.html (dans le même répertoire que ces notes de diffusion), puis sélectionnez Source de la page dans le menu Afficher pour voir le code JavaScript utilisable par un programmeur web pour détecter Personal Security Manager et son numéro de version.
Notez que le numéro de version est en deux parties. La première est la version de la bibliothèque client PSM et la seconde la version de la bibliothèque serveur PSM. Test de base de SSL
Connectez-vous à un magasin en ligne, un service bancaire, une agence de courtage ou un autre site web prenant SSL en charge. Vérifiez que l'icône de cadenas dans l'angle inférieur gauche de la fenêtre du navigateur est verrouillée lorsque vous affichez les pages pour lesquelles SSL doit être activé, par exemple, une page vous invitant à entrer votre numéro de carte de crédit. Obtention d'un certificat client SSL
Adressez-vous à une AC publique ou privée et demandez un certificat client SSL. Pour tester l'émission de certificat à l'aide d'un clic, les certificats à double biclé et d'autres fonctions de Personal Security Manager, les administrateurs système doivent télécharger, installer et configurer Netscape Certificate Management System. Pour obtenir une documentation complète sur CMS et d'autres informations, voir http://docs.iPlanet.com/docs/manuals/cms.html. Pour télécharger la dernière version de CMS, voir http://www.iplanet.com/downloads/download/.
Affichage du certificat
Une fois le certificat obtenu, procédez comme suit pour l'afficher : - Cliquez sur l'icône Sécurité de la barre d'outils de Navigator.
- Cliquez sur l'onglet Certificats.
- Cliquez pour sélectionner le certificat désiré.
- Cliquez sur Afficher.
Des informations sur le nouveau certificat s'affichent. Authentification client test
Personal Security Manager permet au serveur et au client SSL de négocier le certificat à utiliser et ils choissent généralement de commun accord un seul certificat correct à présenter pour le client. Dans ce cas, l'utilisateur peut accéder à un site SSL nécessitant une authentification client sans clic supplémentaire. Pour tester l'authentification client avec Netscape Enterprise Server, les administrateurs système doivent procéder comme suit :
- Installez Enterprise Server et configurez-le pour l'authentification client comme décrit à l'annexe Appendix D, Using SSL with Enterprise Server 3.x du Netscape Certificate Management System Installation and Deployment Guide.
- Testez l'installation d'Enterprise Server comme décrit à la fin de cette annexe à l'aide de Personal Security Manager.
Demande et utilisation de certificats distincts de signature et de chiffrement ("certificats à doubles biclés")
Les certificats de signature et de chiffrement distincts, parfois appelés "certificats à doubles biclés", sont des certificats spéciaux utilisés uniquement avec S/MIME. Le terme "double biclé" fait référence au fait que deux paires de clés publiques et privées, totalisant quatre clés, correspondent à deux certificats. La clé privée d'une biclé est utilisée pour les opérations de signature de courrier et les clés publique et privée de l'autre biclé pour les opérations de chiffrement et de déchiffrement de courrier. Chaque biclé correspond à un certificat. Auparavant, Communicator prenait en charge les fonctions de signature et de chiffrement de S/MIME avec un seul certificat combiné de signature et de chiffrement.
Cette version de Personal Security Manager permet de demander des certificats à double biclé à partir d'une seule page d'inscription spécialement configurée fournie par Netscape Certificate Management System. Les certificats résultants sont associés sous un seul pseudonyme dans le volet Certificats/Mien affiché par Personal Security Manager. Pour afficher ce volet après l'installation de Personal Security Manager, cliquez sur le bouton Sécurité dans la barre d'outils de Communicator, puis cliquez sur l'onglet Certificats. Lorsque vous sélectionnez un pseudonyme représentant une paire de certificats de signature et de chiffrement associés, cliquez sur Afficher ou sur un autre bouton agissant sur la sélection pour qu'une boîte de dialogue permette de sélectionner le certificat désiré.
Pour obtenir des instructions sur la configuration de Certificate Management System pour émettre des certificats à double biclé et archiver la clé de chiffrement privée, voir Chapter 25, Recovering Encrypted Data dans Netscape Certificate Management System Administrator's Guide.
Une fois les certificats à double biclé obtenus, vous pouvez les utiliser avec Personal Security Manager pour signer et chiffrer du courrier. Vous pouvez également les sauvegarder et les importer à l'aide des boutons du volet Certificats/Mien et définir le certificat à utiliser pour la signature dans le volet Applications/Messenger.
Validation de certificats à l'aide du protocole OCSP
Personal Security Manager prend en charge l'utilisation du protocole OSCP (On-Line Certificate Status Protocol) pour vérifier la validité de certificats en temps réel. Vous trouverez des informations sur ce protocole et la configuration de Personal Security Manager 1.2 et d'une prochaine version de Certificate Management System pour le prendre en charge à l'adresse http://docs.iPlanet.com/docs/manuals/psm.html. Il est important de noter que Personal Security Manager acceptera les signatures de répondeurs uniquement dans les conditions suivantes :
- La réponse a été signée par un répondeur délégué, c'est-à-dire que le certificat du répondeur a été signé par la même AC que le certificat que vous tentez de vérifier et sa section extendedKeyUsage est configurée pour indiquer que le certificat est un signataire de réponse OCSP. Le certificat doit correspondre à un certificat AC avec l'ajout de la section extendedKeyUsage.
- L'utilisateur a désigné un répondeur par défaut dans la boîte de dialogue Paramètres OCSP (disponible sous Options dans l'onglet Avancé).
Voici quelques-uns des problèmes courants : - Décalage entre les machines client et serveur. Personal Security Manager s'attend à ce que le temps de réponse se situe dans les dernières 24 heures. S'il existe un décalage avec l'horloge de la machine utilisée pour signer la réponse de sorte que Personal Security Manager ait l'impression que cette dernière a été signée dans le futur, Personal Security Manager l'interprète comme une erreur. Exécutez ntp sur les deux machines pour régler ce problème.
- La réponse n'inclut pas les certificats requis pour compléter la chaîne nécessaire pour vérifier le certificat du signataire. Le client ne possède généralement pas tous les certificats de la base de données nécessaires pour vérifier le certificat du signataire, auquel cas Personal Security Manager ne peut vérifier le certificat du signataire et OCSP échoue. Veillez à inclure la chaîne entière avec chaque réponse. Il s'agit de la manière la plus sûre d'éviter ce problème.
- Si vous utilisez ValiCert, l'autorité de validation peut ne pas envoyer la chaîne de certificats correctement (notamment le certificat de base AC et le certificat du répondeur OCSP) en cas de mauvaise configuration.
Récupération automatique de certificats à partir d'un répertoire
Personal Security Manager peut rechercher le certificat associé à une adresse électronique dans un répertoire spécifié. Cette recherche s'effectue automatiquement lors de l'envoi d'un message (notez que cela ne fonctionne pas avec SSL dans cette version ; voir Problèmes connus de Personal Security Manager 1.2). Pour activer cette fonction, vous devez spécifier un serveur de répertoires pour la recherche. Pour ce faire, sélectionnez Préférences dans le menu Fichier de Communicator, puis cliquez sur Adressage sous Messagerie et forums. Dans le volet de droite, cliquez sur Serveur de répertoire sous Adresse de l'emplacement, sélectionnez le répertoire désiré dans le menu déroulant et cliquez sur OK. Personal Security Manager utilise ce répertoire pour la vérification automatique de certificats lors de l'envoi d'un message électronique chiffré.
Si le répertoire désiré ne figure pas dans le menu déroulant sous Adresse de l'emplacement, vous pouvez l'ajouter à la liste à l'aide du carnet d'adresses de Communicator. Pour ce faire, sélectionnez Carnet d'adresses dans le menu Communicator, puis sélectionnez Nouveau répertoire dans le menu Fichier. Vous devez alors ajouter des informations concernant le répertoire à ajouter. Une fois le répertoire ajouté au carnet d'adresses, vous pouvez le spécifier dans les préférences comme décrit ci-dessus.
Problèmes connus de Personal Security Manager 1.2
- Le fonctionnement de FORTEZZA avec cette version n'est pas garanti. [# 94220]
- LDAP sur SSL ne fonctionne pas pour les recherches dans le carnet d'adresses, l'adresse de l'emplacement ou la récupération automatique de certificats. Ainsi, si vous sélectionnez Carnet d'adresses dans le menu Communicator, choisissez un répertoire dans le cadre de gauche et cliquez sur le bouton Propriétés, la case Protéger ne doit pas être sélectionnée. Dans le cas contraire, les recherches dans ce carnet d'adresses pour ce répertoire ne fonctionneront pas. De même, si cette case est cochée pour un répertoire également spécifié pour l'adresse de l'emplacement, cette dernière ne fonctionnera pas, pas plus que la recherche automatique de certificats. Pour afficher les paramètres de l'adresse de l'emplacement, sélectionnez Préférences dans le menu Edition de Communicator et sélectionnez Adressage dans Messagerie et forums. [# 364811]
- Le serveur proxy sécurisé ne fonctionne pas avec cette version lorsqu'il s'exécute avec Communicator 4.72 ou des versions antérieures. [# 362464] Le serveur proxy sécurisé fonctionne toutefois avec cette version sous Communicator 4.73 et les versions plus récentes. Le serveur proxy HTTP fonctionne avec Communicator 4.72 et les versions antérieures, mais vous devez alors configurer les préférences de Communicator comme suit :
- Sélectionnez Préférences dans le menu Edition, cliquez sur le signe plus à côté de Avancées, puis sur Proxy.
- Dans le volet Proxy, cliquez sur "Configuration manuelle du Proxy". Vous devez configurer le serveur proxy manuellement.
- Cliquez sur Afficher pour voir la configuration du proxy.
- Dans la boîte de dialogue Configuration manuelle de Proxy, entrez le nom d'hôte du serveur proxy HTTP à utiliser dans la zone HTTP et le numéro de port dans la zone correspondante. Ensuite, entrez 127.0.0.1 dans la zone "Exceptions/Ne pas utiliser de serveurs Proxy pour les domaines commençant par :" au bas de la fenêtre (ainsi que le nom d'autres hôtes, au besoin, que vous ne souhaitez pas atteindre par le biais d'un serveur proxy). Ce numéro identifie d'hôte local, qui ne peut utiliser un serveur proxy (faute de quoi Personal Security Manager ne fonctionnera pas). Laissez la zone "Sécurité" vide.
- Il peut éventuellement vous arriver de rencontrer des problèmes tels que l'absence de vérification de certificats valides ou un blocage de Communicator. Si le problème ne semble avoir aucune explication logique, procédez comme suit en dernier recours :
- Quittez Communicator et relancez-le. Au besoin, utilisez Ctrl-Alt-Suppr sous Windows 95/98/NT pour afficher le gestionnaire des tâches et cliquez sur Fin de tâche pour psm.exe et netscape.exe.
- Avertissement : Avant de prendre cette mesure, sauvegardez vos certificats stockés en interne par Personal Security Manager. Si le redémarrage de Communicator ne résout pas le problème, vous pouvez, dans de rares cas, quitter Communicator, puis supprimer ou renommer les fichiers cert7.db et key3.db (situé dans le répertoire de votre profil utilisateur sous Windows 95/98/NT ou dans le répertoire contenant les fichiers exécutables de Netscape sous Unix) et relancer Communicator. Vous devez également rechercher tous les autres fichiers de ce répertoire commençant par cert ou key et se terminant par .db et les supprimer également avant de relancer Communicator.
Commentaires
Pour faire part de vos commentaires à l'équipe de développement de Personal Security Manager, envoyez un courrier électronique à l'adresse psmfeedback@netscape.com. L'équipe lira les commentaires envoyés à cette adresse, mais vous ne recevrez pas de réponse personnelle.