Sécurité : Appareil de sécurité de courriel Cisco

Création de certificat ESA pour l'usage avec la signature S/MIME

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment créer des Certificats pour l'usage avec sécurisé/MIMES (S/MIME) se connectant l'appliance de sécurité du courrier électronique de Cisco (ESA).

Contribué par Robert Sherwin, ingénieur TAC Cisco.

Informations générales

Quand vous créez un certificat S/MIME pour le message signant, il doit répondre aux exigences décrites dans RFC 5750 : Version 3.2 sécurisée/extensions MIME (S/MIME) - délivrez un certificat la manipulation.

Pour ce processus, l'utilisation d'une application externe est exigée afin de générer le certificat. Le certificat X et la gestion des clés (XCA) est une application qui gère des clés asymétriques, telles que Rivest-Shamir-Addleman (RSA) ou algorithme de signature numérique (DSA), et est destiné pour être un petit Autorité de certification (CA) pour la création et la signature des Certificats. Il utilise la bibliothèque ouverte de Secure Sockets Layer (OpenSSL) pour les exécutions cryptographiques.

Remarque: Le XCA est une application tierce qui n'est pas prise en charge par Cisco. L'utilisation de cette application est donnée seulement pour l'illustration et la facilité de la gestion pour la gestion, le test, et la configuration S/MIME. Pour les détails complets et les instructions sur XCA, référez-vous au XCA - certificat X et document de gestion des clés.

Vous pouvez télécharger l'application XCA à l'un ou l'autre de ces emplacements :

Créez un certificat

Terminez-vous ces étapes afin de créer un certificat S/MIME :

  1. Employez l'application XCA afin de créer une nouvelle base de données XCA ou ouvrir une base de données du courant XCA, si on existe déjà.

    1. De la barre de menus, naviguez pour classer > nouvelle base de données > nom <DB de votre choice> :



    2. Cliquez sur Save. Maintenant vous devez entrer un mot de passe pour le cryptage de vos clés privées qui sont associées à cette base de données. Ce mot de passe est seulement pour la base de données XCA.



    3. Cliquez sur OK afin de terminer la création de base de données.

  2. Des Certificats tabulez, nouveau certificat choisi et l'écran de certificat de la création x509 apparaît.

    1. Aucune modification n'est exigée de l'onglet de source, car les valeurs par défaut peuvent être utilisées :



    2. De l'onglet soumis, écrivez l'information requise dans la section de nom unique. Dans la section de clé privée, le clic génèrent une nouvelle clé et choisissent 2048 le bit ou le bit 1024 pour le keysize. Cliquez sur créent afin de générer la clé privée et l'associer avec ce certificat.



    3. De l'onglet d'extensions, dans la section de base de contraintes, autorité de certification choisie pour le type.

      Remarque: Des demandes de signature de certificat ultérieures (CSRs) peuvent être signées par l'intermédiaire de ce CA avec le positionnement de type à non défini.


      Dans la section de validité, entrez les détails selon vos conditions requises (365 jours par défaut). Vous pouvez choisir d'ajouter un nom alternatif soumis (SAN) pour le Système de noms de domaine (DNS), l'adresse e-mail, et le semblable avec l'utilisation du bouton d'éditer pour cette ligne. De la fenêtre externe SAN, cliquez sur Add et sélectionnez le type SAN et le contenu associé. Une fois que terminé, cliquez sur Apply afin d'appliquer ces modifications et retourner aux extensions tabulez la fenêtre :



    4. De l'onglet d'utilisation principale, dans la section d'utilisation principale, la signature numérique de point culminant et le chiffrement de clé. Dans la section étendue d'utilisation principale, protection de courrier électronique de point culminant. Ce sont les éléments exigés pour S/MIME :



  3. Cliquez sur OK au bas de l'écran et une notification instantanée apparaît :



  4. Votre certificat de création récente semble maintenant dans le clic de tableau de certificat le certificat afin de mettre en valeur lui et l'exportation de clic. Sélectionnez le nom du fichier, l'emplacement auxquels le certificat devrait être enregistré, et le format d'exportation.

    Remarque: Vous devriez exporter votre certificat dans PKCS12 et Certificats formatés du Privacy Enhanced Mail (PEM). Le certificat PKCS12 sauvegarde comme nom du fichier formaté par .p12. Le certificat PEM sauvegarde comme nom du fichier formaté par .crt.




    1. Cliquez sur OK et vous êtes présenté avec le mot de passe de cryptage pour le certificat PKCS12, qui est nécessaire quand vous importez le certificat sur l'ESA :



      Remarque: Quand vous exportez le certificat PEM-formaté, vous n'êtes pas incité pour un mot de passe, car il n'est pas nécessaire.


    2. Afin de visualiser les détails du certificat, cliquez sur les Certificats et le mouvement par les onglets d'état, de sujet, d'émetteur, et d'extensions :



    En ce moment votre certificat est prêt à être utilisé sur votre ESA.

Importez un certificat

Maintenant que le certificat est créé, vous devez l'importer sur votre ESA. Terminez-vous ces étapes afin d'importer le certificat :

  1. Naviguez vers le réseau > les Certificats > ajoutent le certificat… > certificat d'importation.

  2. Choisissez le fichier PKCS12 (.p12) formaté que vous avez créé dans la section précédente, entrent le mot de passe qui est associé à ce certificat, et cliquent sur Next :



  3. Examinez le certificat et cliquez sur Submit afin de commettre vos modifications :



    En ce moment votre certificat est maintenant prêt à être utilisé pour S/MIME sur votre ESA.

Associez un certificat PEM

Vous devez maintenant ajouter votre certificat PEM-formaté aux clés publiques S/MIME. Terminez-vous ces étapes afin d'ajouter le certificat PEM-formaté :  

  1. Naviguez pour envoyer par mail des stratégies > des clés publiques S/MIME > ajoutent la clé publique….

  2. Écrivez le nom, au besoin.

  3. Ouvrez le certificat formaté PEM (.crt) dans un éditeur de texte compétent (tel que Notepad++ ou atome).

  4. Copiez le contenu de -----COMMENCEZ LE CERTIFICAT----- à travers -----CERTIFICAT D'EXTRÉMITÉ-----.

  5. Collez ce contenu dans la section de clé publique S/MIME et cliquez sur Submit :



  6. Commettez toutes les modifications. En ce moment votre clé publique S/MIME est maintenant placée pour votre ESA.

Informations connexes



Document ID: 118853