Étape 1 : Comment émettre un nouveau certificat avec votre propre CA

Les actions spécifiques à réaliser pour émettre un nouveau certificat de sous-autorité dépendent de votre environnement.

Option A : Votre autorité de certification (CA) est accessible sur votre réseau

1. Fermez Security Controls.
2. Utilisez votre système local pour émettre le nouveau certificat depuis votre CA.
   Vérifiez que le certificat répond bien à la configuration requise.
3. Enregistrez le nouveau certificat sur la machine de console, dans le magasin Autorités de certification intermédiaires.
4. Dans la console, ouvrez une fenêtre d'invite de commandes Administrateur et accédez au répertoire d'installation Security Controls.
   Le répertoire d'installation par défaut est : C:\Program Files\Ivanti\Security Controls.
5. Utilisez l'outil de ligne de commande STMgmt pour émettre la commande select_subauthority -thumbprint <thumbprint> afin de spécifier que le nouveau certificat doit jouer le rôle de certificat de sous-autorité.

Exemple : stmgmt.exe -select_subauthority -thumbprint 3e656d7ca744c131c2daba3e4fb4e8731784824e

N'oubliez pas d'inclure l'argument -thumbprint, qui indique à Security Controls qu'il faut utiliser ce certificat comme certificat de sous-autorité. Voici l'une des méthodes permettant d'obtenir l'empreinte :

1. Copiez l'empreinte depuis le nouveau certificat vers une application telle que le Bloc-notes.
2. Supprimez tous les espaces et caractères spéciaux.
3. Enregistrez le fichier au format ANSI.
4. Collez le caractère d'empreinte du fichier de Bloc-notes dans la commande select_subauthority.

Pour en savoir plus sur l'utilisation de STMgmt, entrez ce qui suit à l'invite de commandes Administrateur sur la machine de console :

C:\Program Files\Ivanti\Security Controls>stmgmt

6. Reportez-vous à « Diffusion du certificat dans l'ensemble du système » pour savoir pourquoi il faut attendre 30 jours la validation du nouveau certificat.

Option B : Votre autorité de certification (CA) n'est pas accessible sur votre réseau (elle est hors ligne ou sur un réseau déconnecté)

1. Dans la console, ouvrez une fenêtre d'invite de commandes Administrateur et accédez au répertoire d'installation Security Controls.
   Le répertoire d'installation par défaut est C:\Program Files\Ivanti\Security Controls.
2. Utilisez l'outil de ligne de commande STMgmt pour émettre la commande request_subauthority -of <requestfile> pour créer une demande de certificat de sous-autorité.

Exemple : stmgmt.exe -request_subauthority -of samplerequestfilename.req

Cette opération permet de demander l'émission du nouveau certificat de sous-autorité Security Controls. Elle crée toutes les informations nécessaires pour qu'une autorité de certification (CA) émette un certificat et l'enregistre dans un fichier. Le fichier créé est une demande de certificat PKCS10 au format binaire, qui servira à générer le certificat dans la CA. Vous pouvez avoir besoin de convertir ce fichier vers le format codé en Base64, selon votre CA.

3. Déplacez le fichier vers la CA.
4. Demandez à votre autorité de certification (CA) d'émettre le nouveau certificat de sous-autorité et de l'enregistrer dans un fichier.
   Vérifiez que le certificat répond bien à la configuration requise.
5. Déplacez ce fichier vers la machine de console et enregistrez-le dans un répertoire local.
6. Utilisez l'outil de ligne de commande STMgmt pour émettre la commande accept_subauthority -if <issuedcert> .

Exemple : stmgmt.exe -accept_subauthority -if sampleresponsefilename.cer

Cette commande effectue plusieurs opérations. À savoir :

• Acceptation du nouveau certificat généré via l'autorité de certification (CA) de confiance
• Liaison avec la clé privée sur la console
• Spécification du fait que ce certificat doit servir à Security Controls de certificat de sous-autorité
• Gestion de l'installation du nouveau certificat
7. Reportez-vous à « Diffusion du certificat dans l'ensemble du système » pour savoir pourquoi il faut attendre 30 jours la validation du nouveau certificat.