La PKI (public key infrastructure) Windows .NET Server supporte la définition et l'imposition des contraintes de noms, de la policy applicative, et des règles de policies d'émission, conformément aux stipulations de l'Internet Engineering Task Force (IETF) Request for Comments (RFC) 2959 (disponible à http://www.ietf.org). RFC 2459 définit des extensions de
Règles de policy de PKI .Net Server
certificats spécifiques qui contiennent des informations
précises sur la règle de policy de PKI. Pour imposer ces règles au
moment de la validation des certificats, le logiciel côté client doit comporter
du code supplémentaire. Au moment où nous écrivons ces
lignes, ce code n’existe que dans les clients Windows XP. Microsoft
pourrait fournir des outils spéciaux ou des extensions logicielles spéciales
pour les anciens clients Windows.
Vous ne pouvez appliquer des règles de contraintes de noms
qu’aux certificats CA (Certificate Authority). Ces règles définissent un
espace de nom ; tous les noms sujets de certificats que le CA ou ses
CA subordonnés émettent, doivent résider dans ces namespaces. Vous
pouvez fonder la spécification du namespace sur les noms DNS, les DN (distinguished names) X.500, les adresses e-mail ou les adresses
IP. Un CA subordonné ne peut que réduire – jamais étendre – la règle
de contraintes de noms reçues de son CA parent.
Les règles de policy d’application définissent quelles applications
peuvent utiliser un certificat particulier. Un OID (Object Identifier) identifie
une règle de policy d’application. L’extension de certificat Application
policy remplace l’extension EKU (Enhanced Key Usage) des
certificats Windows 2000.
Les règles de policies d’émission définissent les conditions sous
lesquelles un CA peut émettre un certificat. Dans .NET Server, ces
règles se trouvent dans l’extension de certificat Certificate policies.
Comme la règle de policy d’application, un OID identifie les règles de
policies d’émission. Une telle règle peut contenir des restrictions quant
à la manière dont le CA identifie l’utilisateur au moment de la
demande de certificat, ou sur la manière dont la clé privée est stockée
(par exemple, sur une carte intelligente). Le tableau A résume les trois
niveaux de règles de policies d’émission prédéfinis : bas, moyen, et
haut. Le niveau bas convient pour une règle de policies d’émission
intranet classique. Les deux autres niveaux sont destinés à des policies
d’émission pour extranet, Internet ou intranet avancé.
Comme les versions PKI Windows précédentes, la PKI .NET Server
supporte également des règles de policy de contrainte basiques. Ces
règles définissent si le sujet d’un certificat est un CA et peuvent limiter
la longueur du chemin de chaîne du certificat que le logiciel PKI utilise
pendant la validation de la chaîne.
| Niveau de policies d’émission | Identification utilisateur | Stockage des clefs privés |
| Bas | Références domaine ; accorde l’approbation automatique | Logiciel |
| Moyen | Autorité d’enregistrement ; demande l’intervention de l’administrateur ; l’émission demande généralement un face à face avec l’utilisateur |
Matériel |
| Haut | Autorité d’enregistrement ; demande l’intervention de l’administrateur ; l’émission demande généralement des vérifications supplémentaires concernant l’utilisateur |
Matériel |
Téléchargez cette ressource
Guide de technologie 5G pour l’entreprise
Pourquoi la 5G est-elle faite pour votre entreprise ? La 5G peut améliorer la vitesse, la fiabilité et la capacité de votre réseau, permettant ainsi une meilleure collaboration, une productivité accrue et une prise de décision plus rapide. Notre livre blanc " The Big Book of Enterprise 5G" vous fournit les informations stratégiques dont vous avez besoin pour prendre des décisions éclairées et préparer votre entreprise à prospérer dans l'ère de la 5G. Cradlepoint, part of Ericsson est le leader mondial des solutions de réseau sans fil 4G LTE et 5G fournies via le cloud. Connectez vos employés, lieux et objets avec la 4G LTE et la 5G pour un WAN sans fil d'entreprise.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
