> Tech > Règles de policy de PKI .Net Server

Règles de policy de PKI .Net Server

Tech - Par iTPro - Publié le 24 juin 2010
email

La PKI (public key infrastructure) Windows .NET Server supporte la définition et l'imposition des contraintes de noms, de la policy applicative, et des règles de policies d'émission, conformément aux stipulations de l'Internet Engineering Task Force (IETF) Request for Comments (RFC) 2959 (disponible à  http://www.ietf.org). RFC 2459 définit des extensions de

certificats spécifiques qui contiennent des informations
précises sur la règle de policy de PKI. Pour imposer ces règles au
moment de la validation des certificats, le logiciel côté client doit comporter
du code supplémentaire. Au moment où nous écrivons ces
lignes, ce code n’existe que dans les clients Windows XP. Microsoft
pourrait fournir des outils spéciaux ou des extensions logicielles spéciales
pour les anciens clients Windows.

Vous ne pouvez appliquer des règles de contraintes de noms
qu’aux certificats CA (Certificate Authority). Ces règles définissent un
espace de nom ; tous les noms sujets de certificats que le CA ou ses
CA subordonnés émettent, doivent résider dans ces namespaces. Vous
pouvez fonder la spécification du namespace sur les noms DNS, les DN (distinguished names) X.500, les adresses e-mail ou les adresses
IP. Un CA subordonné ne peut que réduire – jamais étendre – la règle
de contraintes de noms reçues de son CA parent.

Les règles de policy d’application définissent quelles applications
peuvent utiliser un certificat particulier. Un OID (Object Identifier) identifie
une règle de policy d’application. L’extension de certificat Application
policy remplace l’extension EKU (Enhanced Key Usage) des
certificats Windows 2000.

Les règles de policies d’émission définissent les conditions sous
lesquelles un CA peut émettre un certificat. Dans .NET Server, ces
règles se trouvent dans l’extension de certificat Certificate policies.
Comme la règle de policy d’application, un OID identifie les règles de
policies d’émission. Une telle règle peut contenir des restrictions quant
à  la manière dont le CA identifie l’utilisateur au moment de la
demande de certificat, ou sur la manière dont la clé privée est stockée
(par exemple, sur une carte intelligente). Le tableau A résume les trois
niveaux de règles de policies d’émission prédéfinis : bas, moyen, et
haut. Le niveau bas convient pour une règle de policies d’émission
intranet classique. Les deux autres niveaux sont destinés à  des policies
d’émission pour extranet, Internet ou intranet avancé.

Comme les versions PKI Windows précédentes, la PKI .NET Server
supporte également des règles de policy de contrainte basiques. Ces
règles définissent si le sujet d’un certificat est un CA et peuvent limiter
la longueur du chemin de chaîne du certificat que le logiciel PKI utilise
pendant la validation de la chaîne.

Tableau A : Niveaux de policies d’émission :


Niveau de policies
d’émission
Identification utilisateurStockage des clés privées
Bas Références domaine ; accorde l’approbation automatique Logiciel
Moyen Autorité d’enregistrement ; demande l’intervention de
l’administrateur ; l’émission demande généralement un face
à  face avec l’utilisateur
Matériel
Haut Autorité d’enregistrement ; demande l’intervention
de l’administrateur ; l’émission demande généralement des
vérifications supplémentaires concernant l’utilisateur
Matériel

Téléchargez gratuitement cette ressource

Aborder la Blockchain, comprendre et démarrer

Aborder la Blockchain, comprendre et démarrer

Une véritable révolution se prépare progressivement... les entreprises doivent veiller à ne pas rester à l’écart et se faire prendre de vitesse. Tout comme la mobilité ou encore le cloud, la blockchain est une composante essentielle de la transformation numérique. Découvrez, dans ce dossier, comment aborder, comprendre et démarrer la Blockchain

Tech - Par iTPro - Publié le 24 juin 2010