Réduire les coûts de gestion
de l’infrastructure à clé publique

Automatisation des tâches pour travailler avec des supports de clés et des certificats

Certificate Manager

L’utilisation de l’infrastructure à clé publique implique de nombreuses opérations de routine pour émettre, contrôler l’utilisation et révoquer des certificats et des supports de clés. Les outils de base des Centres de certification ne sont pas orientés à la gestion de cartes à puce des utilisateurs et ne permettent d’effectuer que les opérations de base avec les certificats. Nous avons la nécessité d’utiliser des outils spécialisés pour la gestion du cycle de vie de cartes et des certificats lorsque:

    • User certificates are used for business-critical operations. In this case, one has to make use of all smart card options as protected device. This, in turn, requires controlling the smart cards usage.
    • Une organisation utilise plus d’un certificat pour chaque utilisateur. Avec l’augmentation du nombre de certificats, il y a aussi une augmentation de la charge en département informatique et département de sécurité de l’information en termes de délivrance et de mise à jour, en temps voulu, des certificats.
    • Remote use of smart cards. If a smart card is locked remotely, it is necessary to provide for the opportunity of secure device unlocking, without compromising the administrator PIN code.
    • Construire le système de contrôle d’accès intégré basé sur des certificats et des cartes à puce. Les cartes à puce modernes ont la capacité de les utiliser en dehors de l’Infrastructure à clés publiques. Les exemples de ces scénarios sont l’utilisation de cartes à puce hybrides avec la puce RFID pour passer les tourniquets du système de contrôle d’accès, l’utilisation de systèmes de classe Single Sign-On, etc.

Description de la tâche

En général, nous pouvons formuler les tâches suivantes pour améliorer la gestion des supports et des certificats:

    • Utilisez des stratégies d’émission de certificats centralisées qui déterminent quels employés doivent émettre ou révoquer quels certificats.
    • La notification opportune des utilisateurs et / ou des administrateurs sur ce certificat est sur le point d'expirer.
    • Distribution centralisée des stratégies de codes PIN
    • Mise à disposition de mécanisme de self-service aux employés afin d’effectuer rapidement les principales opérations d’utilisation des cartes à puce.
    • Enregistrement des opérations de délivrance, de suspension et de révocation de certificats.

Solution

Pour résoudre tous ces problèmes, les fonctions correspondantes sont mise en œuvre dans Indeed Certificate Manager (Indeed CM).

Stratégies centralisées d’émission des certificats

Tous les paramètres de Indeed CM sont distribués via le mécanisme de stratégies. La stratégie contient les données nécessaires à la connexion aux centres de certification, et la liste de certificats à l’émission et les paramètres supplémentaires des certificats (par exemple, la création d’une copie de sauvegarde de clés, l’approbation automatique de l’émission, etc.). La stratégie est affectée à un nœud de structure organisationnelle (par exemple, une unité d’organisation de domaine Active Directory) et tous les utilisateurs situés dans ce nœud ou dans ses objets enfants reçoivent des paramètres de la stratégie. En outre, le domaine de la stratégie peut être filtré par un groupe d’utilisateurs. Dans ce cas, par exemple, plusieurs stratégies peuvent être affectées à un objet de la structure organisationnelle et les utilisateurs peuvent être divisés entre eux à l’aide de groupes.

Dans le cadre de la stratégie, le certificat peut être marqué comme obligatoire pour la libération. Dans ce cas, lors de l’émission du support de clés, le certificat est automatiquement émis et écrit dans la mémoire de l’appareil. Le certificat peut également être marqué comme facultatif. Dans ce cas, lors de l’émission d’une carte à puce, l’opérateur pourra décider d’émettre un tel certificat ou non.

Notifications des utilisateurs et des administrateurs

Le mécanisme de notification par courrier électronique de Indeed CM est implémenté. Tout événement système peut être configuré pour déclencher une notification de l'administrateur, de l'utilisateur ou de l'utilisateur supérieur. Des exemples de tels événements sont l'expiration du certificat à venir, le verrouillage de l'appareil, la réémission du certificat, etc.

Distribution centralisée des stratégies de codes PIN

Avant la production de l’appareil, Indeed CM peut l’initialiser en définissant les paramètres nécessaires pour le code PIN: la longueur minimale et maximale, les caractères requis, la durée de vie et un autre ensemble de paramètres spécifique déterminé par le fabricant de l’appareil. En outre, le système peut générer un code PIN aléatoire d’utilisateur et, par exemple, envoyer un code PIN par courrier électronique ou l’imprimer sur une enveloppe PIN

Mécanisme de self-service

Indeed CM contient un mécanisme de self-service, implémenté comme une application Web. Avec ce service, les utilisateurs peuvent émettre un appareil, mettre à jour des certificats, modifier le code PIN, révoquer un certificat, etc. L'ensemble des opérations disponibles pour les utilisateurs est défini par l'administrateur dans les stratégies Indeed CM.

Enregistrement des opérations avec des cartes à puce et des certificats

Le journal des événements enregistre toutes les opérations effectuées dans le système. Le journal est stocké sur le serveur système et peut être visualisé par l'administrateur via la console Web de gestion. Les événements du journal peuvent être filtrés par utilisateur, par périphérique, par événement ou par composant composant l'événement.

La schéma générale de solution est ci-dessous

Public Key Infrastructure Management Schema

Indeed CM features

Soupporter les divers fabricants de cartes à puce

Indeed CM est conçu pour fonctionner avec différentes cartes à puce, tandis que toutes les cartes supportées ne peuvent être utilisées que dans le cadre d'une infrastructure. L'architecture de la solution permet de soutenir rapidement les nouveaux supports de clés. À ce stade, les supports de clés suivants sont pris en charge:

Carte à puce virtuelle

Indeed CM prend en charge la carte à puce virtuelle Indeed Air Key Enterprise, qui est une implémentation logicielle d’une carte à puce vous permetant d’effectuer l’ensemble des opérations disponibles pour les supports de clés matérielles. La carte virtuelle peut être livrée à distance à l'ordinateur de l'utilisateur. Cela permet, par exemple, de délivrer rapidement une copie virtuelle d'une carte à puce à l'utilisateur s'il a oublié ou cassé sa carte matérielle.

Gestion des imprimantes de cartes à puce

L’utilisation de l’imprimante de cartes à puce spécialisée peut fabricants de cartes réduire considérablement le temps nécessaire pour personnaliser et délivrer beaucoup de cartes à puce aux employés. En une seule opération de traitement par lots, Indeed CM vous permet d’émettre des certificats et de les écrire sur les cartes à puce, ainsi que de personnaliser les cartes avec des impressions de photos et les données des employés.

EN SAVOIR PLUS
case for your industry

Learn how the implementation of new technologies will help to solve the problems of information security in different industries.

Indeed for industry
INDUSTRIE AUTOUR DE NOUS
KuppingerCole Leadership
Dans le rapport du 21 mars 2016 de KuppingerCole, Indeed Identity a été mentionné en tant que « fournisseur spécialisé » du segment du marché de la gestion d’accès qui fournit les solutions d’authentification des utilisateurs, de cryptage des messages et de sécurisation des informations sur les téléphones mobiles.
KuppingerCole
le premier analyste européen sur les thèmes de la sécurité de l’information
X Infotech
"Indeed Identity est un partenaire important de la Softline depuis très longtemps. Ensemble, nous avons réalisé plusieurs projets réussis dans de nombreux domaines économiques. Les entreprises internationales choisissent Indeed ID en raison de ses logiciels fiables, de ses prix compétitifs et de ses services remarquables."
Sergey Yeliseyev
Groupe Softline, responsable de la promotion régionale de la sécurité de l’information
Softline
Indeed Identity est la société de professionnels opérant dans le domaine de la sécurité de l’information. Ils fournissent des solutions haut de gamme pour la gestion de l’infrastructure à clé publique et le contrôle d’accès aux ressources de l’entreprise. Nous vous recommandons cette société en tant que partenaire fiable.
Michael Lisnevsky
Propriétaire de X-Infotech, directeur du développement