AD CS : Nouveautés apportées aux services de certificats de Windows Server 2008 (6)

l’entreprise, il sera certainement utile de déléguer à certaines personnes l’enrôlement de certains périphériques uniquement. Ainsi, vous pourrez restreindre les agents d’enrôlement en déclarant sur chaque autorité de certification fonctionnant sous Windows Server 2008 des Agents d’enrôlement délégués spécifiquement configurés. De cette manière, chaque certificat d’agent d’enrôlement ne pourra être utilisé que pour certains périphériques.

• Le fait de ne pas créer de délégation implique que le service d’inscription de périphériques réseau a tout pouvoir pour délivrer des certificats pour tout demandeur. Attention! Cette fonctionnalité n’est disponible que sur les autorités de certification fonctionnant sous Windows Server 2008 Edition Entreprise.

La figure web 7 montre qu’Alice Martin dispose d’une restriction lui permettant, sur le modèle nommé « Chiffrement CEP v3 » d’autoriser l’utilisateur Bob Durand à enrôler un certificat basé sur ce modèle, tandis que l’utilisateur JFAprea dispose de permissions différentes. En effet, Windows Server 2003 Edition Entreprise ne permet pas à un agent d’enrôlement d’enrôler des certificats pour certains sujets particuliers. Les autorités de certification fonctionnant sous Windows Server 2008 permettent désormais à une entreprise de contrôler de manière très stricte quels modèles de certificats sont utilisables par l’agent et pour qui. Le fait de limiter l’étendue des agents d’enrôlement, permet de mieux contrôler la délégation de la confiance à des tiers approuvés et ainsi les risques qui y sont associés.

Définition d’une période de validité correcte pour les certificats de périphériques
Il est nécessaire de trouver un compromis entre facilité d’administration et niveau de sécurité exigé. Plus la période de validité du certificat est grande et moins il sera nécessaire que le processus d’enrôlement et de renouvellement doive se produire. L’inconvénient d’une telle stratégie sera qu’un hacker disposera de plus de temps pour calculer la clé privée. Par défaut, la période de validité est fixée à un an. Il est recommandé que pour un nombre limité de périphériques et si le risque en matière de sécurité est acceptable, la période de validité soit étendue à deux ans. Une telle politique permettra de minimiser les opérations de renouvellement de certificats et donc, de minimiser les tâches d’administration.

Sécurisation des demandes et disponibilité du service SCEP
Il n’est pas nécessaire que le service d’enregistrement de périphériques soit disponible en permanence. En effet, une fois les périphériques enrôlés, il pourra être judicieux de stopper les services IIS. Les services IIS seront à nouveau rendus disponibles avant l’expiration des certificats. Dans le cas où le service IIS serait utilisé par d’autres applications, il est aussi possible de ne stopper que le pool applicatif utilisé par le site responsable des services d’enregistrement de périphérique. Le fait de stopper IIS efface toutes les données temporaires utilisées par le service SCEP, telles que par exemple, les mots de passe en attente d’utilisation.