Configurer CA et IAS dans le domaine Win2K

automatiquement
confiance aux certificats émis par le
CA. Ce mode vous permet aussi de déployer automatiquement ces certificats
dans des ordinateurs Windows 2003,
XP et Win2K. Dans notre réseau
exemple, nous installons Certificate
Services sur le DC ad1, comme le
montre la figure 1.
Pour installer Certificate Services,
connectez-vous au serveur, ouvrez
l’applet Control Panel Add/Remove
Programs, puis sélectionnez Add/Remove
Components pour démarrer le
Windows Component Wizard. Cochez
la case Certificate Services, cliquez sur
Next jusqu’à  obtenir l’écran Certification
Authority Type, sélectionnez
Enterprise Root CA comme premier
CA puis suivez les indications du reste
du wizard. Comme Certificate Services
a besoin de Microsoft IIS, si vous
n’avez pas déjà  installé IIS, Win2K l’installera.
Quelques heures après avoir
créé le CA d’entreprise, chaque ordinateur
Win2K et ultérieur dans le domaine
ajoutera automatiquement un
certificat autosigné à  son stockage de
certificats Trusted Root Certification
Authorities, établissant ainsi une relation
vis-à -vis de tous les certificats présentés
par d’autres ordinateurs que
votre CA a signés.
Ensuite, vous devez déployer les
certificats vers les ordinateurs client
qui utiliseront le VPN pour se connecter
au réseau, afin qu’ils puissent établir
la liaison IPSec initiale vers le serveur
VPN. Pour déployer les certificats
vers les ordinateurs Win2K et ultérieurs
qui font partie du domaine, vous
pouvez utiliser des stratégies de
groupe. Ouvrez le snap-in Microsoft
Management Console (MMC) Active
Directory Users and Computers, sélectionnez
la racine du domaine, et déployez
un certificat vers chaque ordinateur
du domaine. (Vous pouvez
aussi sélectionner l’OU – organizational
unit – qui stocke l’information
concernant tous les ordinateurs distants.)
Faites un clic droit sur le nom
du domaine, sélectionnez Properties
pour ouvrir les propriétés pour la racine
du domaine puis sélectionnez
l’onglet Stratégie de groupe. Sous le
Default Domain Policy Group Policy
Object (GPO), naviguez vers Computer
Configuration\Windows SettingsSecurity Settings\Public Key Policies,
faites un clic droit sur Automatic
Certificate Request Settings, sélectionnez
New puis sélectionnez Automatic
Certificate Request. L’Automatic
Certificate Request Settup Wizard
s’ouvrira et vous demandera quel
modèle de certificat et CA vous
voulez utiliser. Sélectionnez le
Computer certificate template, sélectionnez
votre nouveau CA, puis
allez jusqu’à  la fin du wizard pour
terminer le processus d’ajout
d’une nouvelle requête au CA local.
Désormais, chaque ordinateur
qui applique un GPO demandera
un certificat au CA, sans
autre action de votre part. Le CA
approuve automatiquement la requête
parce que les permissions
par défaut sur le Computer certificate
template permettent aux DC
de demander un certificat, et l’ordinateur
peut utiliser Kerberos
pour s’authentifier vis-à -vis du CA,
parce que les deux ordinateurs
appartiennent au même domaine.
Pour déployer des certificats destinés
à  des ordinateurs pré-Win2K et à 
des systèmes d’employés itinérants,
vous devez demander et installer manuellement
le certificat de l’ordinateur
client ainsi que le certificat du CA. Pour
cette requête, vous pouvez utiliser le
site Web du certificat, disponible à 
\\computername\certserv.
Ensuite, vous devez installer IAS
sur le DC pour traiter les requêtes
d’authentification provenant du serveur
VPN validé pour RADIUS. Ouvrez
à  nouveau l’applet Add/Remove Programs
puis sélectionnez Add/Remove
Components. Cette fois-ci, sélectionnez
Networking Services puis Details.
Cochez la case Internet Authentication
Service et continuez au travers du wizard.
Après avoir installé IAS, vous devez
le configurer pour qu’il accepte les requêtes RADIUS provenant du serveur
VPN, qui est un client du serveur
IAS. Ouvrez le snap-in Internet
Authentication Service, faites un clic
droit sur le dossier Clients puis sélectionnez
New Client. Entrez le nom du
serveur VPN (ici, j’ai entré le nom testras)
puis cliquez sur Next. A l’invite,
ajoutez le nom du client dans la boîte
de dialogue RADIUS Client (dans cet
exemple, j’ai entré le nom testras.
ad.local), changez le paramètre Client-
Vendor en Microsoft, puis entrez une
chaîne de caractères qui servira de secret
partagé. Le secret partagé limite
les demandes d’authentification au
seul serveur VPN légitime sur lequel
vous entrerez le même secret partagé
pour authentifier avec le domaine.
Win2K utilise aussi ce secret pour crypter
et confirmer l’intégrité des données
échangées entre le serveur VPN
et le serveur RADIUS. Le secret partagé
protège le trafic RADIUS sensible des
yeux indiscrets et des mains baladeuses
pendant qu’il circule sur le réseau
interne. Microsoft recommande
22 caractères au moins pour le secret,
avec un mélange de lettres majuscules
et minuscules, de chiffres et de symboles.
Une fois le secret partagé entré,
cliquez sur Finish pour sortir du wizard.
Le DC est maintenant prêt à  accepter
des requêtes en provenance du serveur
VPN mais, avant d’aller trop loin,
vous devez faire un petit réglage de sécurité
que le wizard IAS omet. Ouvrez
le snap-in Internet Authentication
Service, puis sélectionnez le dossier
Clients. Double-cliquez sur l’enregistrement
client pour le serveur VPN
pour ouvrir la boîte de dialogue
Properties du serveur, qu’illustre la figure
2, puis cochez la case Client must
always send the signature attribute in
the request. Cette activation garantit
que Windows applique une protection
maximale au trafic RADIUS sur votre
réseau interne, en obligeant le client à 
authentifier chaque requête et en procurant
au serveur RADIUS un moyen
de garantir que la requête n’a pas été
modifiée en cours de transit.