Mise en oeuvre des permissions CLM : un exemple

ne s’intéresse qu’au flux Enroll. Dans un déploiement classique, les flux doivent être définis pour chaque stratégie de gestion dans le modèle de profil. Par exemple, des flux séparés peuvent être définis pour révoquer des certificats et les récupérer.)

Définir des détails de profil.
Pour créer un nouveau modèle de profil, il faut dupliquer un modèle de profil existant. Comme ce dernier émettra un certificat de type logiciel, vous pouvez effectuer la démarche suivante pour dupliquer le CLM Sample Profile Template qui est livré avec ILM 2007.

1. Démarrez Microsoft Internet Explorer (IE).

2. Naviguez jusqu’à http://clmserver/clm.

3. Cliquez sur le logo Microsoft Certificate Lifecycle Manager.

4. Sur la page Home, dans la section Administration, cliquez sur Manage profile templates.

5. Sur la page Profile Template Management, dans la section Profile Template List, cochez la case CLM Sample Profile Template, puis cliquez sur Copy a selected profile template.

6. Sur la page Duplicate Profile, dans la section Profile Template Name, dans la case New Profile Template Name, tapez Code Signing Certificates et cliquez sur OK.

7. Dans la section Certificate Templates, cliquez sur Add new certificate template.

8. Dans la section Certificate Authorities, sélectionnez CAName.

9. Dans la section Certificate Templates, sélectionnez CodeSigning et cliquez sur Add.

10. Dans la section Certificate Templates, cochez la case User puis cliquez sur Delete selected certificate templates.

Cela étant fait, le Profile Template aura les paramètres Profile Details que montre la figure 2. (Remarque : Si vous deviez déployer des smart cards, il vous faudrait aussi configurer la smart card Cryptographic Service Provider – CSP, les détails de smart card et, si nécessaire, les paramètres d’impression de smart card dans les détails du profil.

Définir la stratégie Enroll.
La stratégie Enroll définit le flux d’émission des certificats. Mon exemple utilise un flux délégué, dans lequel les gestionnaires de certificats doivent initier le flux pour le certificat de signature de code émis vers l’abonné au certificat. Pour définir la stratégie Enroll, suivez les étapes ci-après qu’illustre la figure 3.

1. Dans la section Select a view, cliquez sur Enroll Policy.

2. Dans la section Workflow : General, cliquez sur Change general settings.

3. Désactivez l’option Use self serve et cliquez sur OK.

4. Dans la section Workflow : Initiate Enroll Requests, ajoutez le groupe Domain\Certificate Managers et supprimez le groupe NT Authority\System.

5. Dans la section Data Collection, cliquez sur Sample Data Item.

6. Changez le nom de la rubrique Data Collection en Photo Identification, changez le Data Item Originator en Certificate Manager et cliquez sur OK.

7. Dans la section One-Time Passwords, laissez la situation par défaut d’un mot de passe ponctuel unique.

8. Dans la section Password Distribution, laissez l’option par défaut Display on screen. Le secret ponctuel sera ensuite affiché aux yeux du gestionnaire de certificats et sera fourni à l’abonné au certificat après validation de son identification photo.

 
Définir des permissions.
Pour permettre le traitement du flux, il faut attribuer des permissions aux cinq emplacements d’attribution des permissions. Quand vous utilisez la procédure précédente pour définir la stratégie Enroll, seules les permissions Management Policy sont définies. Il faut attribuer les permissions additionnelles suivantes.

Service Connection Point – Attribuer au groupe Certificate Managers des permissions CLM Enroll pour permettre au groupe d’initier un processus d’enrôlement. Certificate Subscribers Group – Attribuer au groupe Certificate Managers la permission CLM Enroll. Cette attribution définit que les Certificate Managers peuvent initier l’enrôlement uniquement pour les membres du groupe CLM Subscribers.

Code Signing Certificates Profile Template – Attribuer aux deux groupes Certificate Managers et Certificate Subscribers, les permissions Read et CLM Enroll. Dans un modèle délégué, à la fois le manager et les abonnés doivent avoir des permissions CLM Enroll. Code Signing Certificate Template – Attribuer au groupe Certificate Subscribers les permissions Read et Enroll. Vous devez attribuer les permissions Read et Enroll uniquement au groupe qui soumet la requête à la CA. Le groupe Certificate Managers ne fait qu’initier la requête. Le groupe Certificate Subscribers soumet la requête à la CA.