La fin de cet article présente un exemple de mise en place d’une architecture PKI. L’objectif étant d’illustrer les différentes étapes de déploiement des composants décrits précédemment pour permettre une authentification Windows par carte à puce.
Installation des services de certificats
Tout commence par l’installation des
Mise en place des composants nécessaires
services de certificat. Sous ce composant Windows, Microsoft regroupe en un même service une autorité de certification (CA), une autorité d’enregistrement, un outil de gestion de liste de révocation CRL et l’application web d’enrôlement des utilisateurs.
Pour installer les services de certificat, aller dans le « panneau de configuration » | « ajout suppression de programmes » | « ajout de composants Windows ». Cocher l’option d’installation des services de certificats. Voir Figure 4.
Une fois que ces composants sont installés, il n’est plus possible de renommer la machine. De la même façon, il n’est plus possible de promouvoir / dé-promouvoir un contrôleur de domaine sans désinstaller ces services.
Vous avez la possibilité d’installer une autorité de certification entreprise ou indépendante, racine ou subordonnée. Entreprise signifie que l’autorité de certification est intégrée à l’Active Directory. C’est l’option qui sera retenu dans notre exemple. Comme c’est également la première autorité installée, nous choisissons une autorité ‘entreprise’ et ‘racine’. Voir Figure 5.
La fenêtre suivante permet de nommer l’autorité de certification. Ce nom se retrouvera dans les outils d’administration et d’enrôlement. Un nom significatif est donc conseillé. Voir Figure 6. L’installation se finit classiquement en cliquant sur suivant, suivant, suivant…
Configuration des services de certificats
Il existe une console d’administration des services de certificats disponibles dans les outils d’administration du serveur.
Il faut également savoir qu’une grande partie des options de configuration de l’autorité de certification se trouve dans la base de registre et est directement modifiable avec l’outil « certutil ».
La première tâche de configuration à effectuer est la définition des modèles de certificats. Ces modèles définissent les types de certificats qui seront émis par l’autorité (certificat serveur, utilisateur, carte à puce, etc.).
Chaque modèle est lié à une liste de contrôle d’accès (ACL) qui définit qui peut lire, s’enrôler ou configurer ce modèle. Le modèle définit également l’usage des certificats comme leurs finalités, leur durée de validité, etc.
Dans la console d’administration allez dans le dossier « modèles de certificat », supprimez tous les modèles présents et ajoutez les modèles « Agent d’enrôlement » et « utilisateur de carte à puce » (Clique droit, nouveau, certificat à émettre). On ne conserve que les modèles spécifiés par mesure de sécurité.
La gestion des cartes à puce est en général confiée à un administrateur unique de la société. Cet administrateur est responsable de la génération/révocation des certificats attachés.
Pour générer un certificat pour une nouvelle carte à puce, l’administrateur doit posséder un certificat particulier : l’agent d’enrôlement. Par défaut seuls les administrateurs du domaine peuvent récupérer un tel certificat et donc générer des certificats de type carte à puce.
Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
