Pour illustrer les possibilités de la composante gestion des certificats d’ILM 2007, voyons un exemple qui montre comment mettre en oeuvre des permissions CLM. Ici, le groupe Certificate Managers utilise un modèle d’enrôlement délégué pour émettre des certificats de signature de code au groupe Certificate Subscribers. (Remarque : Cet exemple
Mise en oeuvre des permissions CLM : un exemple

ne s’intéresse qu’au flux Enroll. Dans un déploiement classique, les flux doivent être définis pour chaque stratégie de gestion dans le modèle de profil. Par exemple, des flux séparés peuvent être définis pour révoquer des certificats et les récupérer.)
Définir des détails de profil.
Pour créer un nouveau modèle de profil, il faut dupliquer un modèle de profil existant. Comme ce dernier émettra un certificat de type logiciel, vous pouvez effectuer la démarche suivante pour dupliquer le CLM Sample Profile Template qui est livré avec ILM 2007.
1. Démarrez Microsoft Internet Explorer (IE).
2. Naviguez jusqu’à http://clmserver/clm.
3. Cliquez sur le logo Microsoft Certificate Lifecycle Manager.
4. Sur la page Home, dans la section Administration, cliquez sur Manage profile templates.
5. Sur la page Profile Template Management, dans la section Profile Template List, cochez la case CLM Sample Profile Template, puis cliquez sur Copy a selected profile template.
6. Sur la page Duplicate Profile, dans la section Profile Template Name, dans la case New Profile Template Name, tapez Code Signing Certificates et cliquez sur OK.
7. Dans la section Certificate Templates, cliquez sur Add new certificate template.
8. Dans la section Certificate Authorities, sélectionnez CAName.
9. Dans la section Certificate Templates, sélectionnez CodeSigning et cliquez sur Add.
10. Dans la section Certificate Templates, cochez la case User puis cliquez sur Delete selected certificate templates.
Cela étant fait, le Profile Template aura les paramètres Profile Details que montre la figure 2. (Remarque : Si vous deviez déployer des smart cards, il vous faudrait aussi configurer la smart card Cryptographic Service Provider – CSP, les détails de smart card et, si nécessaire, les paramètres d’impression de smart card dans les détails du profil.
Définir la stratégie Enroll.
La stratégie Enroll définit le flux d’émission des certificats. Mon exemple utilise un flux délégué, dans lequel les gestionnaires de certificats doivent initier le flux pour le certificat de signature de code émis vers l’abonné au certificat. Pour définir la stratégie Enroll, suivez les étapes ci-après qu’illustre la figure 3.
1. Dans la section Select a view, cliquez sur Enroll Policy.
2. Dans la section Workflow : General, cliquez sur Change general settings.
3. Désactivez l’option Use self serve et cliquez sur OK.
4. Dans la section Workflow : Initiate Enroll Requests, ajoutez le groupe Domain\Certificate Managers et supprimez le groupe NT Authority\System.
5. Dans la section Data Collection, cliquez sur Sample Data Item.
6. Changez le nom de la rubrique Data Collection en Photo Identification, changez le Data Item Originator en Certificate Manager et cliquez sur OK.
7. Dans la section One-Time Passwords, laissez la situation par défaut d’un mot de passe ponctuel unique.
8. Dans la section Password Distribution, laissez l’option par défaut Display on screen. Le secret ponctuel sera ensuite affiché aux yeux du gestionnaire de certificats et sera fourni à l’abonné au certificat après validation de son identification photo.
Définir des permissions.
Pour permettre le traitement du flux, il faut attribuer des permissions aux cinq emplacements d’attribution des permissions. Quand vous utilisez la procédure précédente pour définir la stratégie Enroll, seules les permissions Management Policy sont définies. Il faut attribuer les permissions additionnelles suivantes.
Service Connection Point – Attribuer au groupe Certificate Managers des permissions CLM Enroll pour permettre au groupe d’initier un processus d’enrôlement. Certificate Subscribers Group – Attribuer au groupe Certificate Managers la permission CLM Enroll. Cette attribution définit que les Certificate Managers peuvent initier l’enrôlement uniquement pour les membres du groupe CLM Subscribers.
Code Signing Certificates Profile Template – Attribuer aux deux groupes Certificate Managers et Certificate Subscribers, les permissions Read et CLM Enroll. Dans un modèle délégué, à la fois le manager et les abonnés doivent avoir des permissions CLM Enroll. Code Signing Certificate Template – Attribuer au groupe Certificate Subscribers les permissions Read et Enroll. Vous devez attribuer les permissions Read et Enroll uniquement au groupe qui soumet la requête à la CA. Le groupe Certificate Managers ne fait qu’initier la requête. Le groupe Certificate Subscribers soumet la requête à la CA.
Téléchargez cette ressource

Rapport Forrester sur les solutions de sécurité des charges de travail cloud (CWS)
Dans cette évaluation, basée sur 21 critères, Forrester Consulting étudie, analyse et note les fournisseurs de solutions de sécurité des charges de travail cloud (CWS). Ce rapport détaille le positionnement de chacun de ces fournisseurs pour aider les professionnels de la sécurité et de la gestion des risques (S&R) à adopter les solutions adaptées à leurs besoins.
Les articles les plus consultés
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Afficher les icônes cachées dans la barre de notification
- Et si les clients n’avaient plus le choix ?
- Activer la mise en veille prolongée dans Windows 10
Les plus consultés sur iTPro.fr
- Les risques liés à l’essor fulgurant de l’IA générative
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
