La fin de cet article présente un exemple de mise en place d’une architecture PKI. L’objectif étant d’illustrer les différentes étapes de déploiement des composants décrits précédemment pour permettre une authentification Windows par carte à puce.
Installation des services de certificats
Tout commence par l’installation des
Mise en place des composants nécessaires
services de certificat. Sous ce composant Windows, Microsoft regroupe en un même service une autorité de certification (CA), une autorité d’enregistrement, un outil de gestion de liste de révocation CRL et l’application web d’enrôlement des utilisateurs.
Pour installer les services de certificat, aller dans le « panneau de configuration » | « ajout suppression de programmes » | « ajout de composants Windows ». Cocher l’option d’installation des services de certificats. Voir Figure 4.
Une fois que ces composants sont installés, il n’est plus possible de renommer la machine. De la même façon, il n’est plus possible de promouvoir / dé-promouvoir un contrôleur de domaine sans désinstaller ces services.
Vous avez la possibilité d’installer une autorité de certification entreprise ou indépendante, racine ou subordonnée. Entreprise signifie que l’autorité de certification est intégrée à l’Active Directory. C’est l’option qui sera retenu dans notre exemple. Comme c’est également la première autorité installée, nous choisissons une autorité ‘entreprise’ et ‘racine’. Voir Figure 5.
La fenêtre suivante permet de nommer l’autorité de certification. Ce nom se retrouvera dans les outils d’administration et d’enrôlement. Un nom significatif est donc conseillé. Voir Figure 6. L’installation se finit classiquement en cliquant sur suivant, suivant, suivant…
Configuration des services de certificats
Il existe une console d’administration des services de certificats disponibles dans les outils d’administration du serveur.
Il faut également savoir qu’une grande partie des options de configuration de l’autorité de certification se trouve dans la base de registre et est directement modifiable avec l’outil « certutil ».
La première tâche de configuration à effectuer est la définition des modèles de certificats. Ces modèles définissent les types de certificats qui seront émis par l’autorité (certificat serveur, utilisateur, carte à puce, etc.).
Chaque modèle est lié à une liste de contrôle d’accès (ACL) qui définit qui peut lire, s’enrôler ou configurer ce modèle. Le modèle définit également l’usage des certificats comme leurs finalités, leur durée de validité, etc.
Dans la console d’administration allez dans le dossier « modèles de certificat », supprimez tous les modèles présents et ajoutez les modèles « Agent d’enrôlement » et « utilisateur de carte à puce » (Clique droit, nouveau, certificat à émettre). On ne conserve que les modèles spécifiés par mesure de sécurité.
La gestion des cartes à puce est en général confiée à un administrateur unique de la société. Cet administrateur est responsable de la génération/révocation des certificats attachés.
Pour générer un certificat pour une nouvelle carte à puce, l’administrateur doit posséder un certificat particulier : l’agent d’enrôlement. Par défaut seuls les administrateurs du domaine peuvent récupérer un tel certificat et donc générer des certificats de type carte à puce.
Téléchargez gratuitement cette ressource
Endpoint Security : Guide de Mise en œuvre
Détournement d’applications légitimes, élévation de privilèges, logiciels malveillants furtifs : comment les solutions de Endpoint Security permettent elles de faire face aux nouvelles techniques d'attaques complexes ? Découvrez, dans ce Guide Endpoint Security, les perspectives associées à leur mise en œuvre.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
