Architecture et composantes

Côté client Web, CLM est optimisé pour travailler avec Microsoft Internet Explorer (IE) 6.0 ou version ultérieure. En arrière-plan (back end), l’application CLM communique avec un Windows 2000 Server ou Windows 2003 AD et un SQL Server 2000 Service Pack 3a (SP3a) ou serveur de base de données ultérieur.

CLM stocke dans la base de données ses données de configuration et d’historique. Pour ce qui touche à l’intégration CA, CLM est relié à un CA Windows 2003 Enterprise (c’est-à-dire intégré à l’AD). Pendant l’opération d’installation, un module de stratégie et un module de sortie spécifiques à CLM sont installés et validés sur le CA Windows (comme le montre la figure 3). Le module de stratégie permet au CA Windows d’ajouter des attributs X.509 propres à CLM aux certificats qu’il émet. Le module de sortie permet au CA Windows de communiquer avec la base de données CLM SQL Server. Ces modules s’activent en coulisse et vous ne travaillez pas directement avec eux, sauf pour quelques options de configuration que montre la figure 3.

Le wizard d’installation CLM étend le schéma d’AD avec un ensemble d’objets et d’attributs propres à CLM. CLM utilise ces objets d’AD pour stocker l’information de profil de certificats et de cartes intelligentes CLM. Les profils CLM contiennent des stratégies de gestion qui sont reliées à un certain type de certificat ou de carte intelligente. On y trouve les stratégies d’enrôlement, de reprise, de renouvellement, de révocation, de désactivation, de déblocage (pour les cartes intelligentes seulement), et de duplication (pour les cartes intelligentes seulement). Vous devez définir les profils CLM, leurs propriétés, et leurs stratégies de gestion associées dans l’interface Edit Profile Template (illustrée figure 4), à laquelle vous pouvez accéder par l’option Administration \Manage profile templates dans l’interface de gestion CLM (vous trouverez la section Administration quand vous défilerez dans la page montrée figure 1).

CLM profite aussi de l’AD pour stocker les données utilisateur et administrateur CLM et pour définir la délégation administrative CLM. Pour ce dernier, le wizard d’installation CLM étend le modèle d’autorisation d’AD en ajoutant les permissions spécifiques CLM suivantes à l’AD : CLMS Audit, CLMS Request Enroll, CLMS Enrollment Agent, CLMS Request Recover, CLMS Request Renew, CLMS Request Revoke, CLMS Request Unblock Smart Card et CLMS Enroll. Vous pouvez utiliser ces permissions propres à CLM pour définir comment les utilisateurs et les groupes peuvent interagir avec le système CLM. Ainsi, vous pouvez indiquer qu’un utilisateur particulier peut initier une demande de certificat vers le système CLM ou qu’un administrateur particulier peut demander au système CLM de révoquer un certificat.

Les permissions propres à CLM peuvent être définies sur les objets des profils utilisateur AD, groupe et CLM, en utilisant les outils de gestion d’AD classiques. La figure 5 montre comment vous pouvez donner à un utilisateur d’AD des permissions propres à CLM à partir du snap-in MMC Active Directory Users and Computers. Pour donner à un utilisateur la permission de s’enrôler pour un type de certificat ou de carte intelligente CLM particulier, vous devez définir les permissions sur l’objet profil CLM correspondant. Vous pouvez faire cela à partir du noeud Services\Public Key Services\ Profile Templates dans le snap-in MMC Active Directory Sites and Services, comme le montre la figure 6.

CLM peut s’interfacer avec les cartes intelligentes, leurs lecteurs et les jetons USB de divers fournisseurs. Pour que CLM et Windows puissent interopérer avec une carte intelligente particulière, le fournisseur doit rendre disponible un module logiciel CSP (Cryptographic Service Provider) conforme à Windows CryptoAPI. Ce CSP doit aussi être déployé sur toutes les machines Windows (clients et serveurs) sur lesquelles les cartes intelligentes, les jetons USB et CLM seront utilisés. Vous trouverez une liste des fournisseurs de cartes intelligentes CLM Microsoft préférées à cette adresse.

On l’a vu, la gestion intégrée CLM des cartes intelligentes ou des jetons USB dans un environnement d’AD demande aussi l’installation du logiciel client CLM, livré avec le package de distribution de serveur CLM. Le client CLM comporte un outil qui permet aux utilisateurs de redéfinir leur PIN de carte intelligente ou de jeton USB sans intervention de l’administrateur.