.NET Server ajoute de nouvelles fonctions importantes au logiciel PKI (Public Key Infrastructure) Option Pack NT 4.0 original. CAPICOM DLL est peut-être la plus grande amélioration de PKI apportée à .NET Server.
CAPICOM permet aux développeurs d'applications d'ajouter assez simplement une sécurité rigoureuse fondée sur des clés publiques à des
applications qualifiées pour PKI. CAPICOM expose les fonctions et procédures de CAPI (CryptoAPI). Les programmes C++ et les scripts VB (Visual Basic) et même les ASP (Active Server Pages) fondés sur des applications Web, peuvent faire appel à CAPICOM pour engendrer et valider des signatures numériques, crypter et décrypter des données, et manipuler le stockage des certificats. Pour plus d’informations sur CAPICOM, consultez la documentation Security and Cryptography de SDK (Software Deployment Kit) de Windows Platform, disponible en ligne à http://msdn.microsoft.com/library.
Du point de vue de l’infrastructure, les améliorations de PKI les plus utiles de .NET Server sont les suivantes : prise en compte de la certification croisée et de la subordination qualifiée, inclusion de modèles (templates) de certificats modifiables et un service de reprise de clés (key recovery), et une extension du champ des cartes intelligentes.
Contrairement à un modèle de confiance CA (Certificate Authority) hiérarchique, le modèle de confiance par certification croisée de .NET Server permet aux CA d’être simultanément des CA racines et subordonnés. La certification croisée étend la CTL (Certificate Trust List) de Win2K et est cruciale quand différentes entreprises et organisations en relation d’affaires utilisent des certificats. Grâce à la certification croisée, deux organisations qui font confiance à des CA différents peuvent établir un accord de confiance PKI et permettre la confiance par certificat (Certificate Trust) entre leurs utilisateurs de PKI.
La subordination qualifiée permet de restreindre les confiances (trusts) – y compris les relations de confiance par CA fondés sur la certification croisée – entre différents CA. On peut utiliser des fonctions de subordination qualifiée de .NET Server pour définir des politiques de certificats (CP, Certificate Policies) de granularité fine pour n’importe quel type de certificat émis dans l’entreprise ou vers les partenaires externes. Pour assurer la compatibilité avec les anciens clients, la certification croisée et la subordination qualifiée exigent l’installation d’un code spécial sur ces clients. (Au moment où nous écrivons ces lignes, Microsoft n’avait pas encore diffusé ce code.)
On utilise les modèles de certificats modifiables (editable certificate templates) de .NET Server, appelés modèles Version 2, pour valider la subordination qualifiée. .NET Server supporte encore des modèles Version 1 non modifiables de Win2K. On peut également copier le contenu d’un modèle Version 1 dans un modèle Version 2, dont on pourra ensuite modifier le contenu. Le snap-in MMC Certificate Templates permet de modifier les modèles de certificats Version 2 existants, et d’en créer de nouveaux. Les extensions de certificats, les durées de vie des certificats, les réglages d’auto enrôlement et la politique d’archivage des clés font partie des paramètres de modèles que l’on peut modifier.
Le service de reprise de clé centrale de .NET Server intègre les services de reprise de clé pour différentes applications de type PKI avec la base de données CA. Avant .NET Server, la reprise des clés n’était possible que pour EFS et Secure MIME. S/MIME et Microsoft Exchange Server utilisent une solution centralisée fondée sur KMS (Key Management Server), mais le prochain pack de services majeur pour Exchange 2000 Server adoptera le service de reprise de clés de .NET Server. EFS continuera à utiliser son système de reprise de clés de type NTFS décentralisé.
XP Pro et .NET Server résolvent également certains des problèmes associés aux cartes intelligentes de Win2K. Win2K n’offre aux administrateurs qu’une utilisation de cartes intelligentes limitée. Dans .NET Server, les administrateurs peuvent utiliser des cartes intelligentes pour exécuter DCPROMO, exécuter des commandes Net et Runas, et utiliser des services de terminal pour administrer des machines à distance. Grâce au nouveau commutateur Runas /smartcard, vous pourrez fournir des références à partir de votre carte intelligente.
Je vous conseille de vous entraîner avec les nouvelles fonctions PKI : elles en valent la peine. L’assistance PKI est le domaine de .NET Server dans lequel Microsoft a le plus investi pour améliorer la sécurité. Les nouvelles fonctions PKI pourraient mettre PKI et les applications qui l’utilisent à portée du grand public.
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
