Installation des cartes à  puce

un prestataire tel que VeriSign, ou utiliser une combinaison des deux.

Je me limite ici au scénario le plus simple qui soit, à  savoir un seul ordinateur
servant de contrôleur de domaine AD, Certificate Server installé sur une CA racine
d’entreprise et un seul lecteur de carte à  puce. La CA racine se trouve au niveau
le plus haut de la hiérarchie d’approbation.
Une CA d’entreprise signifie que le serveur de certificats utilisera AD comme
source de données et offrira ainsi un hôte pour héberger les fonctions de gestion
des certificats.
Les serveurs Web publics possèdent normalement une CA autonome utilisant une base
de données locale au lieu d’AD, pour émettre des certificats aux utilisateurs
d’Internet.

Pour pouvoir utiliser les cartes à  puce, il faut disposer de la PKI, qui
accompagne Certificate Server et Active Directory

Après l’installation de Windows 2000 comme contrôleur de domaine exécutant DNS
et Internet Information Server, il faut installer Certificate Server. Allez à 
l’applet Ajouter/Supprimer des composants Windows dans le Panneau de configuration
et sélectionnez Services de certificats. Installez Certificate Server dans une
CA d’entreprise racine.
A l’exception du nom qu’il faut spécifier, vous pouvez utiliser les valeurs par
défaut dans les boîtes de dialogue qui suivent. Vous devez ensuite définir les
types de certificats que peut émettre votre nouvelle CA et les possibilités sont
nombreuses et variées, selon les objectifs poursuivis : validation des serveurs
Web, chiffrement des fichiers avec Encrypting File System (EFS) et sécurisation
du courrier électronique.
Un modèle de certificat – fonction de gestion propres aux CA d’entreprise – définit
les utilisations valides d’un certificat particulier.On peut voir sur l’écran
1 que j’ai ajouté des modèles à  ma CA et que je vais ajouter le modèle Smartcard
Logon. (On accède à  ces modèles par le snap-in MMC Certificate Authority, disponible
après la configuration de Certificate Server).

Comme leur nom l’indique, les certificats Smartcard Logon (Connexion par carte
à  puce) se limitent au logon ; les certificats Smartcard User permettent d’utiliser
une seule carte à  puce pour se connecter et signer le courrier électronique. Il
faut également ajouter le modèle Enrollment Agent (Agent d’inscription), indispensable
pour créer de nouveaux certificats.
Vous avez à  présent une PKI en mesure d’authentifier les utilisateurs via des
cartes à  puce.Il convient ensuite d’installer le lecteur de carte à  puce GCR410,
c’est une étape simple grâce au Plug and Play (PnP). Arrêtez le système, puis
connectez les deux câbles du lecteur à  l’ordinateur. Le câble PS/2 s’insère entre
le port PS/2 et le câble du clavier ou de la souris. Le lecteur est alimenté par
le port PS/2.
Le câble série, qui se branche dans un port série disponible, établit la communication
entre le système et le lecteur. Lorsque vous démarrez votre système, Windows 2000
détecte automatiquement le nouveau lecteur – une bannière de bienvenue vous invite
à  vous connecter avec une carte à  puce ou un mot de passe.

Comme l’inscription des cartes à  puce est une fonction d’administration aussi
sensible que l’affectation des ID et des mots de passe aux utilisateurs, il faut
la restreindre à  des utilisateurs et à  des postes de travail spécifiques. Par
conséquent, la prochaine étape consiste à  désigner un système dédié à  l’inscription
des certificats de cartes à  puce. Commencez par demander un certificat d’Agent
d’inscription pour l’administrateur qui inscrira les utilisateurs de cartes à 
puce (c’est-à -dire affectera les cartes à  puce aux utilisateurs).
Lorsque l’administrateur demande des certificats de cartes à  puce pour de nouveaux
utilisateurs, Windows 2000 signe la demande avec ce certificat d’Agent d’inscription.
Ouvrez ensuite le snap-in MMC Certificats. Celui-ci permet de gérer les certificats
associés avec votre compte d’utilisateur et d’en demander de nouveaux.
Demandez un nouveau certificat d’Agent d’inscription, indiquez un nom et cliquez
sur Installer.Les étapes précédentes ne servent qu’à  l’installation initiale.
Celles qui suivent doivent, en revanche, être répétées pour chaque utilisateur
ayant besoin d’une carte à  puce. (Dans l’exemple pris ici, il n’y a qu’un ordinateur
et l’utilisateur devra avoir le droit de se connecter localement à  ce serveur,
en étant membre du groupe Opérateurs de serveur, par exemple).Vous pouvez à  présent
demander des certificats de cartes à  puce au nom des autres utilisateurs. Sélectionnez
un compte d’utilisateur existant ou créez-en un nouveau. Ouvrez Internet Explorer
et entrez le nom de serveur de votre CA (par exemple b1) suivi de /CertSrv, comme
le montre l’URL de l’écran 3.
Demandez un certificat, puis spécifiez une demande avancée sur l’écran suivant.
Sur l’écran suivant, choisissez de demander un certificat de carte à  puce au nom
d’un autre utilisateur au moyen de la station d’inscription des cartes à  puce.
L’écran 4 montre l’écran final d’inscription des utilisateurs de Certificate Server.
Sélectionnez le modèle de certificat (c’est-à -dire Smartcard User ou Smartcard
Logon). Vous pouvez aussi spécifier la CA à  utiliser, bien que cette zone ait
par défaut la valeur de la CA que vous avez installée. Vous pouvez spécifier le
CSP (Cryptographic Service Provider) à  utiliser avec ce certificat.
Le CSP assure les services cryptographiques de base à  l’OS et aux applications.
Un CSP spécifique à  la carte à  puce utilise la carte à  puce pour remplir les demandes
de services utilisant la clé privée. L’écran 4 montre que GemSAFE est sélectionné
comme CSP. Vous pouvez aussi spécifier le certificat d’Agent d’inscription qui
signera cette demande. Utilisez celui que vous avez créé précédemment. Spécifiez
enfin l’utilisateur pour lequel vous demandez ce certificat, puis validez en bas
à  droite. Le système vous invitera à  insérer la carte à  puce dans le lecteur et
à  entrer le code PIN. Certificate Server affichera une page dans votre navigateur
vous informant du succès de l’opération. Vous pouvez alors visualiser le certificat
sur la carte à  puce ou inscrire un autre utilisateur.

Insérez votre carte à  puce et entrez le code PIN : vous n’avez rien d’autre
à  faire pour vous connecter

Vous voilà  prêt à  vous connecter avec votre carte à  puce. Commencez par vous déconnecter
du système et réinsérez la carte. Le lecteur notifie au système que vous avez
inséré une carte et celui-ci vous demande le code PIN.
Entrez ce code et vous n’avez rien d’autre à  faire pour vous connecter. Windows
2000 envoie le code PIN à  la carte à  puce pour authentification. Puis ce dernier
accomplit les fonctions cryptographiques que Windows 2000 demande (par exemple
il demande à  la carte à  puce de signer une demande de connexion).Microsoft a facilité
une proposition de l’IETF (Internet Engineering Task Force) baptisée PKINIT pour
étendre le protocole d’authentification de la version 5 de Kerberos (V5), afin
d’ajouter l’authentification basée sur les clés publiques et les clés privées
à  la méthode des clés symétriques secrètes partagées de Kerberos. La station de
travail envoie par conséquent la demande de logon à  un contrôleur de domaine via
une demande AS (Authentification Service) de Kerberos.

Le KDC (Key Distribution Center) de Kerberos tournant sur le contrôleur de domaine
vérifie la demande au moyen de la clé publique de votre certificat publiée par
la CA. Si tout se vérifie, Kerberos accorde un ticket et vous pouvez vous connecter.
Si un utilisateur perd sa carte à  puce, il suffit d’ouvrir le snap-in MMC Services
de certificats, de sélectionner le certificat dans Certificats émis, de le révoquer,
de publier la liste des révocations de certificats (CRL) mise à  jour et d’émettre
une nouvelle carte à  puce pour l’utilisateur. Si quelqu’un tente de se connecter
avec la carte à  puce à  présent invalide, Windows 2000 refusera la connexion.