Installation des cartes à  puce

Pour pouvoir utiliser les cartes à  puce, il faut disposer de la PKI, qui accompagne Certificate Server et Active Directory (AD) dans Windows 2000. Il existe une variété impressionnante d'options pour configurer la PKI, selon les cas : héberger sa propre Autorité de certification (CA pour Certificate Authority), l'outsourcer à 

un prestataire tel que VeriSign, ou utiliser une combinaison des deux.

Je me limite ici au scénario le plus simple qui soit, à  savoir un seul ordinateur servant de contrôleur de domaine AD, Certificate Server installé sur une CA racine d'entreprise et un seul lecteur de carte à  puce. La CA racine se trouve au niveau le plus haut de la hiérarchie d'approbation.
Une CA d'entreprise signifie que le serveur de certificats utilisera AD comme source de données et offrira ainsi un hôte pour héberger les fonctions de gestion des certificats.
Les serveurs Web publics possèdent normalement une CA autonome utilisant une base de données locale au lieu d'AD, pour émettre des certificats aux utilisateurs d'Internet.

Pour pouvoir utiliser les cartes à  puce, il faut disposer de la PKI, qui accompagne Certificate Server et Active Directory

Après l'installation de Windows 2000 comme contrôleur de domaine exécutant DNS et Internet Information Server, il faut installer Certificate Server. Allez à  l'applet Ajouter/Supprimer des composants Windows dans le Panneau de configuration et sélectionnez Services de certificats. Installez Certificate Server dans une CA d'entreprise racine.
A l'exception du nom qu'il faut spécifier, vous pouvez utiliser les valeurs par défaut dans les boîtes de dialogue qui suivent. Vous devez ensuite définir les types de certificats que peut émettre votre nouvelle CA et les possibilités sont nombreuses et variées, selon les objectifs poursuivis : validation des serveurs Web, chiffrement des fichiers avec Encrypting File System (EFS) et sécurisation du courrier électronique.
Un modèle de certificat - fonction de gestion propres aux CA d'entreprise - définit les utilisations valides d'un certificat particulier.On peut voir sur l'écran 1 que j'ai ajouté des modèles à  ma CA et que je vais ajouter le modèle Smartcard Logon. (On accède à  ces modèles par le snap-in MMC Certificate Authority, disponible après la configuration de Certificate Server).

Comme leur nom l'indique, les certificats Smartcard Logon (Connexion par carte à  puce) se limitent au logon ; les certificats Smartcard User permettent d'utiliser une seule carte à  puce pour se connecter et signer le courrier électronique. Il faut également ajouter le modèle Enrollment Agent (Agent d'inscription), indispensable pour créer de nouveaux certificats.
Vous avez à  présent une PKI en mesure d'authentifier les utilisateurs via des cartes à  puce.Il convient ensuite d'installer le lecteur de carte à  puce GCR410, c'est une étape simple grâce au Plug and Play (PnP). Arrêtez le système, puis connectez les deux câbles du lecteur à  l'ordinateur. Le câble PS/2 s'insère entre le port PS/2 et le câble du clavier ou de la souris. Le lecteur est alimenté par le port PS/2.
Le câble série, qui se branche dans un port série disponible, établit la communication entre le système et le lecteur. Lorsque vous démarrez votre système, Windows 2000 détecte automatiquement le nouveau lecteur - une bannière de bienvenue vous invite à  vous connecter avec une carte à  puce ou un mot de passe.

Comme l'inscription des cartes à  puce est une fonction d'administration aussi sensible que l'affectation des ID et des mots de passe aux utilisateurs, il faut la restreindre à  des utilisateurs et à  des postes de travail spécifiques. Par conséquent, la prochaine étape consiste à  désigner un système dédié à  l'inscription des certificats de cartes à  puce. Commencez par demander un certificat d'Agent d'inscription pour l'administrateur qui inscrira les utilisateurs de cartes à  puce (c'est-à -dire affectera les cartes à  puce aux utilisateurs).
Lorsque l'administrateur demande des certificats de cartes à  puce pour de nouveaux utilisateurs, Windows 2000 signe la demande avec ce certificat d'Agent d'inscription. Ouvrez ensuite le snap-in MMC Certificats. Celui-ci permet de gérer les certificats associés avec votre compte d'utilisateur et d'en demander de nouveaux.
Demandez un nouveau certificat d'Agent d'inscription, indiquez un nom et cliquez sur Installer.Les étapes précédentes ne servent qu'à  l'installation initiale. Celles qui suivent doivent, en revanche, être répétées pour chaque utilisateur ayant besoin d'une carte à  puce. (Dans l'exemple pris ici, il n'y a qu'un ordinateur et l'utilisateur devra avoir le droit de se connecter localement à  ce serveur, en étant membre du groupe Opérateurs de serveur, par exemple).Vous pouvez à  présent demander des certificats de cartes à  puce au nom des autres utilisateurs. Sélectionnez un compte d'utilisateur existant ou créez-en un nouveau. Ouvrez Internet Explorer et entrez le nom de serveur de votre CA (par exemple b1) suivi de /CertSrv, comme le montre l'URL de l'écran 3.
Demandez un certificat, puis spécifiez une demande avancée sur l'écran suivant. Sur l'écran suivant, choisissez de demander un certificat de carte à  puce au nom d'un autre utilisateur au moyen de la station d'inscription des cartes à  puce. L'écran 4 montre l'écran final d'inscription des utilisateurs de Certificate Server. Sélectionnez le modèle de certificat (c'est-à -dire Smartcard User ou Smartcard Logon). Vous pouvez aussi spécifier la CA à  utiliser, bien que cette zone ait par défaut la valeur de la CA que vous avez installée. Vous pouvez spécifier le CSP (Cryptographic Service Provider) à  utiliser avec ce certificat.
Le CSP assure les services cryptographiques de base à  l'OS et aux applications. Un CSP spécifique à  la carte à  puce utilise la carte à  puce pour remplir les demandes de services utilisant la clé privée. L'écran 4 montre que GemSAFE est sélectionné comme CSP. Vous pouvez aussi spécifier le certificat d'Agent d'inscription qui signera cette demande. Utilisez celui que vous avez créé précédemment. Spécifiez enfin l'utilisateur pour lequel vous demandez ce certificat, puis validez en bas à  droite. Le système vous invitera à  insérer la carte à  puce dans le lecteur et à  entrer le code PIN. Certificate Server affichera une page dans votre navigateur vous informant du succès de l'opération. Vous pouvez alors visualiser le certificat sur la carte à  puce ou inscrire un autre utilisateur.

Insérez votre carte à  puce et entrez le code PIN : vous n'avez rien d'autre à  faire pour vous connecter

Vous voilà  prêt à  vous connecter avec votre carte à  puce. Commencez par vous déconnecter du système et réinsérez la carte. Le lecteur notifie au système que vous avez inséré une carte et celui-ci vous demande le code PIN.
Entrez ce code et vous n'avez rien d'autre à  faire pour vous connecter. Windows 2000 envoie le code PIN à  la carte à  puce pour authentification. Puis ce dernier accomplit les fonctions cryptographiques que Windows 2000 demande (par exemple il demande à  la carte à  puce de signer une demande de connexion).Microsoft a facilité une proposition de l'IETF (Internet Engineering Task Force) baptisée PKINIT pour étendre le protocole d'authentification de la version 5 de Kerberos (V5), afin d'ajouter l'authentification basée sur les clés publiques et les clés privées à  la méthode des clés symétriques secrètes partagées de Kerberos. La station de travail envoie par conséquent la demande de logon à  un contrôleur de domaine via une demande AS (Authentification Service) de Kerberos.

Le KDC (Key Distribution Center) de Kerberos tournant sur le contrôleur de domaine vérifie la demande au moyen de la clé publique de votre certificat publiée par la CA. Si tout se vérifie, Kerberos accorde un ticket et vous pouvez vous connecter. Si un utilisateur perd sa carte à  puce, il suffit d'ouvrir le snap-in MMC Services de certificats, de sélectionner le certificat dans Certificats émis, de le révoquer, de publier la liste des révocations de certificats (CRL) mise à  jour et d'émettre une nouvelle carte à  puce pour l'utilisateur. Si quelqu'un tente de se connecter avec la carte à  puce à  présent invalide, Windows 2000 refusera la connexion.