Enrôlement pour les périphériques réseau à l’aide du protocole MSCEP
Les autorités de certification fonctionnant sous Windows Server 2008 supporte le protocole SCEP - Simple Certificate Enrollment Protocol, lequel est aujourd’hui référencé en tant que standard Internet (Draft). Ce RFC décrit le protocole de communication capable de
AD CS : Nouveautés apportées aux services de certificats de Windows Server 2008 (4)
permettre à divers types d’éléments réseau de communiquer avec une autorité d’enregistrement – RA, Registration Authority (RA), pour l’enrôlement des certificats. Le protocole SCEP pouvait déjà être implémenté sous Windows Server 2003 via IIS 6.0 et un filtre ISAPI installé directement sur l’autorité de certification, cette possibilité a été étendue et intégrée aux services AD CS.
Microsoft et SCEP: MSCEP!
Windows Server 2008 implémente des fonctionnalités plus avancées que la version publiée à l’IETF. Cette version est appelée MSCEP pour Microsoft SCEP. Au départ, le protocole SCEP a été développé par Cisco comme extension des méthodes d’enrôlement existantes. Il est lui-même basé sur le protocole développé par Verisign pour les matériels Cisco. Vous pouvez obtenir plus de détails en vous référant à ce lien. Le protocole SCEP n’est pas disponible dans les versions Standard et Web de Windows Server 2008, mais seulement dans les versions Entreprise et Datacenter.
L’implémentation de la DLL ISAPI responsable du protocole MSCEP prend en charge les fonctionnalités suivantes :
• La génération de mots de passe à usage unique (one-time passwords) pour les administrateurs.
• La prise en charge des demandes d’enrôlement transportées par le protocole SCEP issu des périphériques réseau tels que des switchs, des routeurs ou d’autres éléments actifs supportant le protocole SCEP.
• La récupération des demandes en attente stockées sur l’autorité de certification.
Services d’enrôlement de périphériques – Déploiement
Le déploiement des services d’inscription de périphériques réseaux nécessite un minimum de planification. Le premier concept consiste à installer le service adéquat, lequel ne peut être installé en même temps que l’autorité de certification elle-même.
Cette première étape est réalisée très simplement en utilisant l’option « Ajouter des services de rôle » dans la rubrique « Services de certificats Active Directory » du Gestionnaire de serveur.
Taille des clés et CSP utilisés par SCEP
L’assistant d’installation permet de renseigner le CSP – Cryptographic Service Provider, à utiliser pour générer les clés de cryptage qui seront utilisées pour crypter les trafics entre l’autorité de certification et l’autorité d’enregistrement. Il sera aussi nécessaire de faire le même type de choix concernant la sécurisation des flux entre l’autorité d’enregistrement et le ou les périphériques réseau. Dans les deux cas, il faudra aussi définir la taille des clés de cryptage, par défaut fixées à 2048 bits.
Téléchargez gratuitement cette ressource
Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance
Ce livre blanc expose les problématiques auxquelles sont confrontés les DAF modernes et souligne les bénéfices de la facturation électronique pour la trésorerie. Il dévoile également le processus de déploiement de ce projet de transformation digitale que la réglementation rendra bientôt obligatoire.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- SEKOIA : de l’intelligence sur les menaces jusqu’à l’automatisation de la réponse !
- Les managers face à l’impact du télétravail
- A la découverte de Keda dans Kubernetes
- Cloud Computing dans le secteur bancaire – Comment mettre en œuvre les exigences de conformité ?
- Les nouveaux usages hybrides des DSI pour s’adapter aux nouvelles contraintes
