Dell Data Security offre la possibilité de créer et d’utiliser un certificat autosigné pour sécuriser les communications entre le serveur et les clients. Toutefois, comme pour tous les certificats auto-signés, il existe des considérations de sécurité lors du choix du type de certificat à utiliser.
Afin d’améliorer la sécurité, il est recommandé de demander un certificat SSL/TLS à l’aide d’une autorité de certification (Certificate Authority, AC) tierce interne ou bien connue.
Les recommandations et exigences minimales pour un certificat SSL/TLS pour une utilisation par le serveur Dell Data Security sont les suivantes:
- vos demandes de signature de certificat (Certificate Signing Requests, CSR) doivent comprendre un nom commun (CN).
- Les demandes de signature de certificat (CSR) doivent inclure un nom alternatif d’objet (SAN). Il doit s’agir d’une entrée DNS qui correspond au nom commun.
- vous devez inclure d’autres champs communs, tels que le pays (Country, C), l’état (State, ST) et l’organisation (O).
- vous devez utiliser au moins la fonction SHA-256 (la signature SHA-2 doit être utilisée lors de la demande. Cela peut être inutile si l’autorité de certification remplace l’algorithme spécifié dans la demande. Le certificat qui en découle doit être signé avec la fonction SHA-2. Les fonctions MD5 et SHA-1 sont obsolètes et ne sont plus prises en charge).
- vos clés privées doivent correspondre au moins au nombre RSA 2048 bits.
- vos clés privées doivent être exportables.
- Versions 9.3 et antérieures, chaque certificat de la chaîne doit disposer d’un AuthorityKeyIdentifier qui correspond au SubjectKeyIdentifier du certificat de signature.
Remarque : Si des noms DNS sont spécifiés dans l’extension San (Subject Alternative Name) qui se trouve dans la demande, le champ CN n’est pas mis en correspondance lors de la validation du certificat, comme indiqué dans la section 6.4.4 de RFC 6125.
Configurations non prises en charge :
- RSA Probabilistic Signature Scheme (RSASSA-PSS) n’est pas un algorithme de signature pris en charge.
- Les clés privées générées à l’aide de Microsoft Key Storage Provider sont prises en charge dans le serveur v10.2.12 et versions ultérieures.
Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.