> Tech > Mise en place des composants nécessaires

Mise en place des composants nécessaires

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

La fin de cet article présente un exemple de mise en place d’une architecture PKI. L’objectif étant d’illustrer les différentes étapes de déploiement des composants décrits précédemment.

Installation des services de certificats Tout commence par l’installation des services de certificat. Sous ce composant Windows, Microsoft regroupe

Mise en place des composants nécessaires

en un même service une autorité de certification (CA), une autorité d’enregistrement, un outil de gestion de liste de révocation CRL et l’application web d’enrôlement des utilisateurs.

Pour installer les services de certificat, aller dans le « panneau de configuration » | « ajout suppression de programmes » | « ajout de composants Windows ». Cocher l’option d’installation des services de certificats. Voir Figure 4

Une fois que ces composants sont installés, il n’est plus possible de renommer la machine. De la même façon, il n’est plus possible de promouvoir / dé-promouvoir un contrôleur de domaine sans désinstaller ces services.

Vous avez la possibilité d’installer une autorité de certification entreprise ou indépendante, racine ou subordonnée. Entreprise signifie que l’autorité de certification est intégrée à l’Active Directory. C’est l’option qui sera retenu dans notre exemple. Comme c’est également la première autorité installée, nous choisissons une autorité ‘entreprise’ et ‘racine’. Voir Figure 5

La fenêtre suivante permet de nommer l’autorité de certification. Ce nom se retrouvera dans les outils d’administration et d’enrôlement. Un nom significatif est donc conseillé. Voir Figure 6 L’installation se finit classiquement en cliquant sur suivant, suivant, suivant…

Configuration des services de certificats Il existe une console d’administration des services de certificats disponibles dans les outils d’administration du serveur. Il faut également savoir qu’une grande partie des options de configuration de l’autorité de certification se trouve dans la base de registre et est directement modifiable avec l’outil « certutil ».

La première tâche de configuration à effectuer est la définition des modèles de certificats. Ces modèles définissent les types de certificats qui seront émis par l’autorité (certificat serveur, utilisateur, carte à puce, etc.).

Chaque modèle est lié à une liste de contrôle d’accès (ACL) qui définit qui peut lire, s’enrôler ou configurer ce modèle. Le modèle définit également l’usage des certificats comme leurs finalités, leur durée de validité, etc.

Dans la console d’administration allez dans le dossier « modèles de certificat », supprimez tous les modèles présents et ajoutez les modèles « Agent d’enrôlement » et « utilisateur de carte à puce » (Clique droit, nouveau, certificat à émettre). On ne conserve que les modèles spécifiés par mesure de sécurité. Voir Figure 7

La gestion des cartes à puce est en général confiée à un administrateur unique de la société. Cet administrateur est responsable de la génération/révocation des certificats attachés.

Pour générer un certificat pour une nouvelle carte à puce, l’administrateur doit posséder un certificat particulier : l’agent d’enrôlement. Par défaut seuls les administrateurs du domaine peuvent récupérer un tel certificat et donc générer des certificats de type carte à puce.

Installation du poste de travail Pour pouvoir utiliser un certificat sur une carte à puce ou un jeton USB, il est nécessaire d’installer un package contenant les composants nécessaires au fonctionnement du système.

Ce package contient en général les drivers pour le lecteur, un driver un peu particulier pour les cartes qu’on appelle le CSP (Crypto Service Provider) et des outils de gestion.

Windows intègre par défaut un certain nombre de drivers et de CSP dont ceux de Gemplus. Mais il est en général indispensable de les mettre à jour !

Les outils de gestion des cartes sont en général assez simples et peuvent être préconfigurés par l’administrateur lors du déploiement. Cela permet par exemple de s’assurer que tous les codes PIN ont la même complexité. Voir Figure 8

L’agent d’enrôlement Cette étape consiste à générer l’agent d’enrôlement qui est nécessaire à l’émission des certificats de type carte à puce.

Pour récupérer un certificat de type agent d’enrôlement, il faut se connecter à partir du poste de l’administrateur sur le site web d’enrôlement de l’autorité de certificat : http://nom-du-serveur/certsrv

Sur la première page d’accueil cliquez sur la première tâche (demande de certificat) puis sur le lien « soumettre une demande de certificat auprès de cette autorité». Dans la page suivante, vous retrouvez les deux modèles de certificat précédemment définis. Sélectionner « agent d’enrôlement » et cliquer soumettre. Voir Figure 9

Le certificat est automatiquement généré et sauvé dans votre profil Windows.

La génération d’un certificat carte à puce Dans cette étape, l’administrateur va générer un certificat utilisateur sur une carte à puce. Pour générer un certificat utilisateur carte à puce, il faut également utiliser l’interface web d’enrôlement.

Retournez sur le site http://nom-du-serveur/certsrv puis cliquez sur le lien de demande de certificat. Demandez un certificat pour une carte à puce au nom d’un autre utilisateur.

Dans le formulaire suivant, sélectionnez le modèle de certificat « Utilisateur carte à puce » et sélectionnez l’utilisateur Voir Figure 10 La génération des clés et l’inscription du certificat dans la carte à puce prend quelques dizaines de secondes. Il vous faudra certainement saisir le PIN code par défaut de la carte.

Il est maintenant possible de distribuer la carte à l’utilisateur. Si vous distribuez les cartes avec le code PIN par défaut, apprenez à vos utilisateurs comment changer ce code.

La configuration du client Outlook Dans Outlook Express la configuration se fait presque automatiquement. Du moment que vous signez un mail, Outlook Express vous demandera avec quel certificat signer votre mail.

Dans Outlook, il faut au préalable configurer les certificats dans les options avancées. Il faut aller dans le menu « Outils »| « Options »| « Sécurité » | « Paramètres » puis cliquer choisir pour sélectionner le certificat utiliser pour signer et chiffrer les mails. Voir Figure 11

Ensuite, l’utilisation est relativement simple. Quel que soit le client de messagerie, lors de la composition d’un message, il existe deux boutons : une cocarde pour signer le mail et un cadenas pour chiffrer le mail. Il suffit de cliquer sur l’un ou sur les deux pour signer et/ou chiffrer le message. Voir Figure 12

Cet article décrit les éléments essentiels à la mise en place de la signature et du chiffrement de messages électroniques. Ces éléments peuvent être mis en place rapidement. La principale difficulté d’une infrastructure PKI d’entreprise est beaucoup plus organisationnelle. Il faut en effet pourvoir mettre en oeuvre les processus de gestion du cycle de vie des cartes à puce. Qui les distribue ? Que fait-on quand un utilisateur perd sa carte ? Comment accéder aux archives d’un collaborateur qui a quitté l’entreprise …

Note : les figures, codes sources et fichiers auquels fait référence l’article sont visualisables au sein de la rubrique abonné. Découvrez tous les avantages du compte abonné Exchange Magazine !

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010