06/03/13 Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx 1/8

TechNet Magazine Rechercher sur TechNet Magazine avec BingConnexionFrance - Français

Get Ready for Windows 8lundi, août 20

Discover the New Office for IT Proslundi, juil. 23

Windows Phone 8 Makes its Business Caselundi, juil. 2

TechNet Magazine > Accueil > Tous les numéros > 2009 > TechNet Magazine Mai 2009 > Améliorations de PKI dans Windows 7 et Windows ...

Ce contenu traduit automatiquement peut être modifié par les membres de la communauté. Nous vous invitons à améliorer la traduction

en cliquant sur le lien « Modifier » associé aux phrases ci-dessous.

Security

PKIEnhancementsinWindows7 andWindowsServer2008 R2John MorelloThis article is based on pre-release code. All informationherein is subject to change.

AT A GLANCE:

Server Consolidation

Improved Existing Scenarios

Software + Services

Strong Authentication

Contents

Server Consolidation Improved Existing Scenarios Software + Services Strong Authentication Wrapping Up

It seems like just yesterday I was writing an article titled

“PKI Enhancements in Windows.” That article, which ran in

the August 2007 issue of TechNet Magazine, focused on

some of the innovations that shipped in Windows Vista

and Windows Server 2008. These innovations included

such things as enrollment UI improvements and OCSP

(Online Certificate Status Protocol) capabilities. While those

enhancements were valuable and well received by users,

you could argue that the changes were really incremental

changes from an IT professional's perspective. Windows 7,

however, will deliver PKI enhancements that greatly

improve the deployment and operational experience for

users, enabling powerful new scenarios while decreasing

operational costs.

The improvements in Windows 7 and Windows Server

2008 R2 are focused around four core areas (shown in

Figure 1 ):

Server consolidation. This allows organizations to reduce

the total number of certificate authorities (CAs) required to

meet their business objectives.

Improved existing scenarios. This focus is on such elements

as offering more complete SCEP (Simple Certificate

Enrollment Protocol) support and including a Best Practices

Analyzer (BPA).

Software + Services. This is to enable autonomous

enrollment of users and devices for certificates regardless of

network boundaries and certificate providers.

Strong authentication. This area focuses on improvements

to the smart card experience, the introduction of the

Windows Biometric Framework, and so on.

Sécurité

Améliorationsde PKIdansWindows7 etWindowsServer2008 R2John MorelloCet article repose sur le code préliminaire. Toutes lesinformations dans le présent document sont susceptiblesd'être modifiées.

VUE D'ENSEMBLE :

Consolidation de serveur

Améliorée de scénarios existants

Logiciels + services

Authentification forte

Contenu

Consolidation de serveur Améliorée de scénarios existants Logiciels + services Authentification forte Conclusion

Il semble simplement hier j'a été écrire un article intitulé “

améliorations PKI dans Windows ”. Cet article, ce qui a

exécuté dans le août 2007 de TechNet Magazine, axé sur

des innovations qui livrés dans Windows Vista et Windows

Server 2008. Ces innovations inclus telles que l'inscription

de l'interface utilisateur Améliorations et fonctionnalités

OCSP (Online Certificate état Protocol). Lorsque ces

améliorations étaient utile et bien reçus par les utilisateurs,

vous pouvez dire que les modifications étaient vraiment

incrémentielles modifications de perspective un

INFORMATICIEN professionnel. Toutefois, Windows 7, offre

une améliorations PKI qui considérablement améliorer la

déploiement et opérationnelle expérience des utilisateurs,

l'activation de nouveaux scénarios puissants tout en

réduisant les coûts opérationnels.

Les améliorations de Windows 7 et Windows Server 2008

R2 sont axé autour quatre zones principales (illustrés La

figure 1 ):

Consolidation des serveurs. Cela permet aux organisations

de réduire le nombre total d'autorités de certificat requis

pour atteindre leurs objectifs métier.

Améliorée de scénarios existants. Cette vue est sur des

éléments tels qu'offrant la prise en charge SCEP (Simple

Certificate d'inscription Protocol) plus complète et

comprenant une utilisation pratiques Analyzer (BPA).

Logiciels + services. Il est de permettre autonome

d'inscription des utilisateurs et des périphériques pour les

certificats indépendamment des limites du réseau et

fournisseurs de certificat.

Une authentification renforcée. Cette zone porte sur les

améliorations apportées à l'expérience de carte à puce,

l'introduction de la cadre biométrique pour Windows et

ainsi de suite.

More TechNet Features

TechNet Flash Newsletter

TechNet News Feed

MSDN Magazine

MSDN Flash Newsletter

Vous n'êtes pas abonné à Technet ?

Évaluez les logiciels Microsoft et planifiez leursdéploiements en toute confiance grâce à unabonnement Microsoft TechNet.

Windows 8

Windows Server 2012

Afficher la liste complète...

Accueil Abonnement RSS Nous Contacter

Dernier Numéro Tous les numéros Sujets Rubriques Auteurs Videos Fichiers d'aide HTML Téléchargements

Affichage du contenu : côte à côte

TechNet Features

Resources

06/03/13 Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx 2/8

Figure 1 The four core areas of PKI improvements

In this article, I explore some of the major changes in these

areas from the perspective of an IT professional.

Server Consolidation

One of the predominant themes in IT over the past few

years has been server consolidation. Simply put, this is

about reducing the total footprint of your server

computing environment while still meeting, or even

expanding, your business objectives. The current global

economy has made cost savings a top priority for many IT

groups, and server consolidation can certainly be one

component of that general strategy. While most

organizations do not have large, absolute numbers of CAs,

many do have more than they need solely based on

certificate creation throughput. In other words, many

organizations have CAs that are vastly underutilized.

There are two primary reasons for this underutilization.

First, some organizations may require separate CAs for

regulatory or security policy reasons. For example, some

customers have chosen to issue certificates to external

parties from a completely separate CA than the ones that

issue certificates to internal users and machines. In these

cases, virtualizing the CA on Hyper-V can eliminate the

need for separate server hardware (though the CA itself

must still be managed, even as a VM).

The second common reason is that autoenrollment has

only been supported in intra-forest scenarios. Specifically, a

CA has only been able to automatically enroll entities for

certificates when those entities are part of the same forest

that it is joined to. Even in cases where bi-directional forest

level trusts exist, separate CAs have been required for each

forest where autoenrollment is used.

One of the key new features in Windows Server 2008 R2 is

the ability to perform autoenrollment across-forest trust

relationships, creating the potential to drastically reduce

the total number of CAs required in an enterprise. Consider

a typical enterprise network that has already done some

consolidation work and now has four forests: production,

development, test, and edge. Prior to R2, if you wanted to

provide autoenrollment on each forest, at least four issuing

CAs were required, even though all the forests trusted each

other. With R2, you can reduce the total number of CAs in

this scenario down to one, having a single CA in one of the

forests issue certificates to entities in all the other forests.

For environments with more complex multi-forest designs,

the total reduction in CAs can be even more dramatic and

provide an immediate return on investment for the

upgrade to R2.

Cross-forest enrollment also makes it easier to extend a PKI

during mergers and acquisitions, since certificates can start

being provisioned to the newly acquired assets as soon as

a forest trust is put into place. And since cross-forest

enrollment is a purely server-side change, the enrollment

can start without making any changes to the client

machines and it works with older client operating systems,

such as Windows XP.

So how does cross-forest enrollment work? To the end

user, the experience is completely seamless. As with any

other autoenrollment scenario, the user just gets the

certificates with little or no interaction required on his part.

End users will likely never know from what forest the CAs

have come and they will not need to take any special

actions to obtain the certificates.

For an IT pro, the basic building blocks are mostly the same

as with traditional intra-forest autoenrollment. The key

difference is that the CA is now able to process requests

received from an external forest and retrieve metadata

about the request from a trusted Active Directory.

Figure 1 que les quatre zones de PKI améliorations debase

Dans cet article, J'AI Explorer certaines des modifications

dans ces zones principales du point de vue d'une

informatique professionnel.

Consolidation de serveur

Parmi les thèmes prédominante dans IT au cours des

dernières années a été consolidation des serveurs. Plus

simplement, il s'agit sur réduire l'encombrement total de

votre environnement informatique serveur lors de la

réunion toujours, ou même développement, vos objectifs

commerciaux. L'économie globale actuelle a apporté des

économies une priorité supérieure pour plusieurs groupes

INFORMATIQUES et consolidation des serveurs peut être

certainement un composant de cette stratégie général. Bien

que la plupart des entreprises ne disposent pas absolue,

numéros des autorités de certification, nombre ont plus

dont ils ont besoin uniquement en fonction de débit de

création de certificat. En d'autres termes, nombreuses

organisations ont autorités de certification qui sont

considérablement sous-utilisé.

Il existe deux raisons principales pour cette underutilization.

Tout d'abord, certaines organisations peuvent nécessiter

des autorités de certification distinct pour réglementaires

ou raisons de stratégie de sécurité. Par exemple, certains

clients ont choisi d'émettre des certificats à des parties

externes d'une autorité de CERTIFICATION complètement

distincte que celles qui émettent des certificats à des

utilisateurs internes et des ordinateurs. Dans ce cas, le

virtualiser l'autorité de CERTIFICATION de la technologie

Hyper-V pouvez éliminent la nécessité de matériel de

serveur distinct (bien que l'autorité de CERTIFICATION doit

toujours être gérée, même en qu'un ordinateur virtuel).

La raison la deuxième courante est que cette inscription

automatique a été uniquement pris en charge dans intra-

forêt scénarios. Plus précisément, une autorité de

CERTIFICATION a uniquement réussi à inscrire

automatiquement les entités pour les certificats lorsque ces

entités sont une partie de la même forêt qui est joint.

Même dans les cas où les approbations de forêt

bidirectionnelle niveau existent, distinct autorités de

certification ont été nécessaires pour chaque forêt où

l'inscription automatique est utilisée.

Une des clés les nouvelles fonctionnalités dans Windows

Server 2008 R2 est la capacité à exécuter auto-inscription

dans forêt relations d'approbation, création de la possibilité

de réduire considérablement le nombre total d'autorités de

certification requise dans une entreprise. Prendre en

compte un réseau d'entreprise classique qui a déjà des

opérations de consolidation et qui possède maintenant

quatre forêts : production, développement, le test et le

bord. Antérieure à R2, si vous vouliez fournir auto-

inscription sur chaque forêt, au moins quatre émission

autorités de certification sont requis, même si toutes les

forêts approuvé eux. Version 2, vous pouvez réduire le

nombre total d'autorités de certification dans ce scénario à

un, avoir un seul autorité de CERTIFICATION dans une des

forêts émettre des certificats aux entités dans tous les

autres forêts.

Pour les environnements avec modèles multi-forest plus

complexes, la réduction totale d'autorités de certification

peut être encore plus considérables et fournir un retour

immédiat sur investissement de la mise à niveau à R2.

Inscription inter-forêts facilite également l'étendre une PKI

pendant fusions et acquisitions, étant donné que les

certificats peuvent démarrer est mis en service pour les

actifs récemment acquis dès qu'une approbation de forêt

est placée en place. Inscription inter-forêts étant une

modification purement côté serveur, l'inscription pouvez

06/03/13 Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx 3/8

This ability to receive and properly process a request from a

trusted forest is the key new capability in R2 that enables

this scenario to work. In addition to having an R2 CA and

the bi-directional forest trust, certificate templates must be

replicated between the forest holding the CA and all other

forests that will enroll against it. Microsoft will provide a

Windows PowerShell script to automate this replication,

which should be done after every change to a template. In

many cases, it will be a good idea to have this script run

automatically as a scheduled task.

There are a few other smaller features that can help with

server consolidation. One is that the CA now supports

non-persistent requests—these are requests for certificates,

typically short lived, that are not written into the CA's

database. For example, consider Network Access Protection

Health Registration Authorities. These systems may issue

thousands of certificates each day that are only valid for a

few hours. Maintaining all these requests in the CA

database adds little value, but greatly increases the storage

required. With R2, these requests can be configured to not

be written to the database and this configuration can be

made at either the CA or template level (see Figure 2).

Figure 2 Choosing not to store certificates in thedatabase

Another feature designed to make server consolidation

easier is support for Server Core. With R2, the CA role can

be installed on Server Core, though no other AD CS (Active

Directory Certificate Services) role service is available on

Server Core. When installed on Server Core, the CA can be

managed with either local command-line utilities, such as

certutil, or by using the standard MMCs from a remote

system. Note that if hardware security modules (HSMs) are

used, you should ensure that the HSM vendor supports

running their integration components on Server Core.

Improved Existing Scenarios

Windows 7 and R2 include a number of incremental

improvements to existing features. First is a change to SKU

differentiation for Certificate Templates. In prior releases of

AD CS, advanced (version 2 and 3) Certificate Templates

that enable the autoenrollment functionality required

Enterprise edition CAs. In Windows Server 2008 R2, a

Standard edition CA will support all template versions. R2

also introduces some improvements to the Simple

Certificate Enrollment Protocol support. In R2, the SCEP

component will support device renewal requests and

password reuse.

New to AD CS in R2 is a Best Practices Analyzer (see Figure

3). BPAs were created to provide an easy way for

administrators to check their configurations against a

database of best practices created and maintained by

Microsoft feature teams. Data from customer support

services indicate the majority of support calls on AD CS are

caused by incorrect configurations, so the BPA should

improve customer experiences by making it easier to verify

that a CA is configured properly. The analyzer will check for

such issues as missing AIA (Authority Information Access)

or OCSP pointers, certificates near expiration, and trust

chaining problems.

début sans apporter de modifications sur les ordinateurs

client et d'et il fonctionne avec les anciens systèmes

d'exploitation client, tels que Windows XP.

Donc comment entre forêts l'inscription de travail ? À

l'utilisateur final, l'expérience est complètement transparent.

Comme avec n'importe quel autre scénario inscription

automatique, l'utilisateur renvoie uniquement les certificats

avec peu ou pas interaction requise sur son cadre. Les

utilisateurs finaux sont probablement jamais sachent à

partir de quel forêt les autorités de certification ont sont et

ils devrez pas effectuer les actions spéciales pour obtenir les

certificats.

Pour un professionnel de l'informatique, les blocs de

construction de base sont généralement les mêmes comme

avec auto-inscription traditionnel intra-forêt. La différence

essentielle est que l'autorité de CERTIFICATION est

maintenant en mesure de traiter les demandes provenant

d'une forêt externe et récupérer les métadonnées relatives

à la demande à partir d'un Active Directory approuvés.

Cette possibilité de recevoir et de correctement traiter une

demande d'une forêt fiable est la nouvelle fonctionnalité

clée dans R2 qui permet ce scénario à utiliser. En outre à

avoir une autorité de CERTIFICATION R2 et l'approbation

de forêt bidirectionnelle, modèles de certificat doivent être

répliquées entre la forêt contenant l'autorité de

CERTIFICATION et tous les autres forêts sont inscrire sur

cette. Microsoft fournira un script Windows PowerShell

pour automatiser cette réplication, qui doit être effectuée

après chaque modification à un modèle. Dans de nombreux

cas, il sera judicieux d'avoir ce script s'exécute

automatiquement comme une tâche planifiée.

Il existe quelques autres fonctionnalités plus petites qui

peuvent aider avec consolidation des serveurs. Un est que

l'autorité de CERTIFICATION prend désormais en charge les

demandes non persistants, ces demandes de certificats,

généralement court résidaient, qui sont ne sont pas écrites

dans la base de données de l'autorité de CERTIFICATION.

Par exemple, envisagez de Network Access Protection

intégrité enregistrement références. Ces systèmes peuvent

émettre des milliers de certificats chaque jour qui sont

uniquement valides pendant quelques heures. Gestion

toutes ces demandes dans la base de données d'autorité

de CERTIFICATION ajoute peu d'intérêt, mais

considérablement l'augmentation le stockage requis. Avec

R2, ces demandes peuvent être configurés pour ne pas

écrites dans la base de données et cette configuration peut

être effectuée au niveau de l'autorité de CERTIFICATION ou

le modèle (voir figure 2 ).

La figure 2 choix ne pas à stocker des certificats dans labase de données

Une autre fonctionnalité conçue pour faciliter la

consolidation des serveurs est prise en charge de Server

Core. Avec R2, le rôle d'autorité de CERTIFICATION peut

être installé sur Server Core, si aucun autre service de rôle

AD CS (services de certificats Active Directory) n'est

disponible sur Server Core. Lorsque installés sur Server

Core, l'autorité de CERTIFICATION peut être gérée avec

deux utilitaires de ligne de commande locales, comme

certutil, ou en utilisant les MMCs standard à partir d'un

système distant. Notez que si matériel sécurité modules

(HSM) sont utilisés, vous devez vous assurer que le

fournisseur HSM prend en charge l'exécution leurs

composants Intégration sur Server Core.

06/03/13 Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx 4/8

Figure 3 Running the new Best Practices Analyzer

In current releases of Windows, choosing a certificate for

client authentication can be difficult for end users. When

multiple certificates are valid for authentication, Windows

doesn't make it easy for users to determine which one is

the right one for a given usage. This leads to more help

desk calls and increased customer support costs. In

Windows 7, the certificate selection interface has been

greatly enhanced to make it much easier to choose the

right certificate for a given scenario. The list ordering has

also been changed in order to assist in making smarter

decisions by presenting the most likely certificate for a

given scenario as the default choice. Finally, the selection UI

now differentiates between certificates on smart cards and

those stored on the file system and presents smart card

certificates highest in the selection list, since they're more

likely to be used. The differences are illustrated in the

screenshots shown in Figure 4. Note that Internet Explorer

8 will make the improved filtering (but not UI changes)

available on downlevel operating systems as well.

Figure 4 A smarter way to present certificates

Software + Services

During the Windows 7 design process, the team hosted a

meeting with many of the top PKI users to brainstorm

which areas should get attention in the new release. An

overwhelming number of users indicated that it's too hard

to manage certificates across organizational boundaries,

such as between two separate companies that are business

partners. Many also said that they see PKI as an ideal

target for outsourcing, since it requires a specialized skill set

to manage effectively. Windows 7 and Windows Server

2008 R2 will deliver a new technology that satisfies both

these needs, making it easier to provision certificates across

boundaries and opening new business models for hosted

PKI solutions. This technology is HTTP enrollment.

Améliorée de scénarios existants

Windows 7 et version 2 incluent un numéro

d'améliorations incrémentielles aux fonctionnalités

existantes. Tout d'abord est une modification à une

différenciation de point de stock pour les modèles de

certificats. Dans les versions antérieures de AD CS, modèles

de certificats avancée (version 2 et 3) qui permettent la

fonctionnalité d'auto-inscription requis Édition Entreprise

autorités de certification. Dans Windows Server 2008 R2,

une édition standard autorité de CERTIFICATION prendra

en charge toutes les versions de modèle. Version 2

introduit également certaines améliorations à la prise en

charge simple Protocol d'inscription de certificat. Dans R2,

le composant SCEP prendra en charge renouvellement de

périphérique les demandes et réutiliser de mot de passe.

Nouveau AD CS dans R2 est un Best Practices Analyzer

(voir figure 3 ). BPAs ont été créées fournit un moyen facile

pour les administrateurs vérifier leurs configurations par

rapport à une base de données de méthodes

recommandées créée et gérée par les équipes de

fonctionnalité de Microsoft. Données de services de

support client indiquent la majorité des appels de support

dans AD CS sont provoquées par configurations

incorrectes, afin du BPA doit améliorer les expériences de

client en facilitant ainsi la vérifier qu'une autorité de

CERTIFICATION est correctement configurée. L'analyseur

vérifie pour ces problèmes comme étant manquants AIA

(autorité informations Access) ou OCSP pointeurs,

certificats près d'expiration et approuver des problèmes de

chaînage.

La figure 3 exécution nouveau Best Practices Analyzer

Dans les versions en cours de Windows, choix d'un certificat

pour l'authentification du client peut être difficile pour les

utilisateurs finaux. Lorsque plusieurs certificats sont valides

pour l'authentification, Windows ne permettent aux

utilisateurs de déterminer celui qui est celui droite pour une

utilisation donnée. Cela conduit vers d'autres appels de

support technique support et des coûts de support client

accrue. Dans Windows 7, l'interface de sélection de certificat

a été améliorée considérablement pour faciliter grandement

choisir le certificat droit pour un scénario donné. La

commande liste a également été modifié afin d'aider à

décisions plus intelligents en présentant le certificat

probablement pour un scénario donné en tant que choix

par défaut. Enfin, la sélection l'interface utilisateur

maintenant différencie les certificats sur les cartes à puce et

celles stockées dans le système de fichiers et présente des

certificats de carte à puce plus haut dans la liste de

sélection, car ils êtes plus susceptibles d'être utilisée. Les

différences sont illustrées dans les captures d'écran illustré

figure 4 . Notez que Internet Explorer 8 va apporter le

filtrage amélioré (mais pas les modifications de l'interface

utilisateur) disponible sur systèmes d'exploitation de niveau

inférieur ainsi.

06/03/13 Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx 5/8

Figure 5 The new enrollment model

HTTP enrollment is a replacement for the traditional

RPC/DCOM-based protocol used for autoenrollment in

previous releases (note that the RPC approach is still

available in R2). However, HTTP enrollment is more than

just an enrollment protocol—it's really a completely new

approach to providing certificates to end entities,

regardless of where they're located or whether they're a

managed machine and with flexible authentication options.

This new model eliminates many of the barriers found in

traditional autoenrollment across organizational boundaries

and provides a framework for third parties to easily provide

autoenrollment services without requiring additional

software on the clients.

HTTP enrollment implements two new HTTP-based

protocols. The first protocol, known as Certificate

Enrollment Policy Protocol, makes certificate templates

available to users over HTTPS sessions. The end entities can

come from machines in separate forests with no trust

relationships and machines not even joined to a domain.

Authentication uses Kerberos, user names/passwords, or

certificates. The Enrollment Policy Protocol allows users to

poll for templates and determine when to request

certificates based on new or updated templates.

The Certificate Enrollment Service Protocol is an extension

to WS-Trust. The protocol is used for obtaining certificates

once the template information has been determined. It

supports flexible authentication methods and uses HTTPS

as its transport.

The example shown in Figure 5 illustrates how this new

enrollment model works.

In Step 1, Certificate Templates are published fromActive Directory to a server running the CertificateEnrollment Policy Web Service (a role service new toR2). The administrator publishing these templates isusing the same MMCs and other tools with whichthey're already familiar.

In Step 2, a client has polled the Web service viaHTTPS to determine the list of templates available toenroll against. The client learns the URL for the Webservice via Group Policy, script, or manualconfiguration. The client could be a domain-joinedsystem, a system at a business partner, or a user'shome system.

In Step 3, the client has determined what templateshe wants to enroll for and sends a request to theCertificate Enrollment Web Service to perform theactual enrollment.

In Step 4, the server running the Enrollment WebService sends the request to a CA for processing.

In Step 5, the CA has looked up data about therequestor from Active Directory (such as his e-mailaddress or DNS name) that will be included in theissued certificate.

In Step 6, the CA returns the completed certificate tothe Enrollment Web Service.

In Step 7, the Enrollment Web Service completes thetransaction with the client via HTTPS and sends thesigned certificate.

Flexibility was one of the key design principles in this new

service and it's important to note how the design can be

adapted to fit a diverse set of scenarios. Because the

enrollment protocol is HTTPS, clients can easily enroll for

certificates from anywhere, including behind corporate

firewalls or from home ISP connections, without requiring a

VPN. Because three different authentication methods are

supported, clients can be joined to an organization's

internal domain, an untrusted domain of an external

La figure 4 plus intelligents moyen de présenter descertificats

Logiciels + services

Pendant le processus de création Windows 7, l'équipe

hébergé une réunion comporte de nombreux des supérieur

PKI utilisateurs à rechercher équipe les zones doivent

obtenir l'attention dans la nouvelle version. Un nombre

d'utilisateurs énorme indiqué qu'il est trop difficile de gérer

les certificats au-delà des limites de l'organisation, comme

entre deux sociétés distinctes qui sont des partenaires

commerciaux. Nombre dit qu'il voit PKI comme une cible

idéale d'externalisation, car il nécessite un ensemble de

compétences spécialisées pour gérer efficacement.

Windows 7 et Windows Server 2008 R2 offre une nouvelle

technologie qui satisfait à ces deux besoins, facilitant ainsi la

provision certificats frontières et ouverture des nouveaux

modèles d'entreprise des solutions PKI hébergées. Cette

technologie est l'inscription de HTTP.

La figure 5, le nouveau modèle d'inscription

L'inscription de HTTP ne remplace pour le protocole

RPC/DCOM traditionnel utilisé pour l'inscription

automatique dans les versions antérieures (Notez que

l'approche RPC est toujours disponible en version 2).

Toutefois, l'inscription de HTTP est plus qu'un protocole

d'inscription, il est vraiment une totalement nouvelle

approche à fournir des certificats à la fin des entités, quel

que soit où ils vous trouve ou si elles sont un ordinateur

géré et avec les options authentification flexible. Ce

nouveau modèle d'élimine nombre des problèmes liés

trouvés dans l'auto-inscription traditionnelle au-delà des

limites organisationnelles et fournit une infrastructure

permettant de tiers fournir facilement des services

d'inscription automatique sans nécessiter de logiciel

supplémentaire sur les clients.

L'inscription de HTTP implémente deux nouveaux

protocoles basés sur HTTP. Le premier protocole appelé

protocole de stratégie de certificat d'inscription, disponibles

modèles de certificats aux utilisateurs via HTTPS sessions.

Les entités de fin peuvent provenir d'ordinateurs dans des

forêts séparées avec aucune relation d'approbation et les

machines même pas joint à un domaine. Authentification

utilise Kerberos, des noms d'utilisateur/mot de passe ou

des certificats. Le protocole de stratégie d'inscription

permet aux utilisateurs d'interroger des modèles et

déterminer le moment demander des certificats basés sur

06/03/13 Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx 6/8

ReferencesIntroduction to the Windows Biometric Framework (WBF)

microsoft.com/whdc/device/input/smartcard/WBFIntro.mspx

About Personal Identity Verification (PIV) of Federal

Employees and Contractors

csrc. nist.gov/groups/SNS/piv/index.html

Windows Server PKI Home

microsoft.com/pki

Windows PKI Blog

blogs.technet.com/pki

RéférencesIntroduction à Windows biométrique Framework (WBF)

Microsoft.com/whdc/device/INPUT/smartcard/WBFIntro.mspx

organization, or no domain at all. Finally, because the

server-side components are implemented as Web services,

they can be installed separately from the CA and support

segmented environments.

In addition to the classic scenario of enrolling end entities

like users and desktops for certificates, HTTP enrollment

also enables opportunities for provisioning certificates from

trusted root CAs. Scenarios such as user S/MIME

certificates, publicly facing Web servers, and other systems

where implicit trust of certificates is important could all

benefit from more autonomous enrollment. For example,

many organizations with large numbers of Web servers

maintain certificates manually, using lists of server names

and expiration dates stored in Microsoft Office Excel

workbooks. With HTTP enrollment, trusted root CAs can

offer a service in which they provide certificates directly to

these Web servers automatically, freeing the administrator

from having to manually maintain the certificates on them.

This combination of software and services allows

organizations to choose the deployment models that fit

their needs best, without having to design around network

or organizational boundaries.

Strong Authentication

Windows 7 includes the first in-box support for biometric

devices with the Windows Biometric Framework (WBF).

Initially focused on fingerprint-based authentication for

consumer scenarios, WBF is designed to make biometrics

an easier and more integrated experience for users. A

unified driver model provides consistent user experiences

across device types with support for Windows logon (both

local and domain), User Account Control (UAC), and

autonomous device discovery. For enterprises, WBF

provides a Group Policy–driven method to disable the

framework for organizations that choose not to use

biometrics. Enterprises can also choose to allow biometrics

for applications, but not for domain logon. Finally, the

enhanced device management can prevent device use in

addition to simply preventing driver installation.

In addition to the biometrics improvements, Windows 7

also enhances user and administrator experiences for smart

card scenarios. Smart cards are now treated as Plug and

Play devices with Windows Update–based driver

installation. The Plug and Play detection and installation

process takes place before logon, meaning users who are

required to log on with smart cards will be able to log on

even in cases where the card has not been previously

detected. Additionally, the installation does not require

administrative privileges, making it suitable in least-

privilege environments.

The smart card class mini-driver now includes NIST SP 800-

73-1 support, so Federal agencies can use their PIV

(Personal Identity Verification) cards without having to use

additional middleware. The mini-driver also includes

support for the emerging INCITS GICS (Butterfly) standard,

providing a Plug and Play experience for those cards.

Windows 7 also introduces support for biometric-based

smart card unlocking and includes new APIs to enable

secure key injection. Finally, Windows 7 adds support for

Elliptic Curve Cryptography (ECC) smart card certificates for

both ECC certificate enrollment and for utilizing those ECC

certificates for logon.

Wrapping Up

Windows 7 and Windows Server 2008 R2 contain some of

the most important new PKI technology since Windows

2000 introduced automatic certificate requests. This new

functionality makes PKIs easier and more efficient to

manage, delivering a better experience for end users.

des modèles de nouveaux ou mis à jour.

Le protocole de service d'inscription de certificat est une

extension WS-Trust. Le protocole est utilisé pour obtenir

des certificats une fois que les informations de modèle a été

déterminées. Il prend en charge les méthodes

d'authentification flexible et utilise des HTTPS en tant que le

transport.

L'exemple présenté dans La figure 5 illustre le fonctionne

de ce nouveau modèle d'inscription.

À l'étape 1, les modèles de certificats sont publiés àpartir d'Active Directory sur un serveur qui exécute lecertificat d'inscription stratégie Web Service (un rôleservice nouveau vers R2). L'administrateur depublication de ces modèles utilise les mêmes MMCset autres outils à laquelle elles sont déjà familiers.

À l'étape 2, un client est interrogé le service Web viaHTTPS pour déterminer la liste des modèlesdisponibles pour s'inscrire à. Le client apprend l'URLdu service Web via stratégie de groupe, de script oud'une configuration manuelle. Le client peut être unsystème joint au domaine, un système à unpartenaire commercial ou système de base d'unutilisateur.

À l'étape 3, le client a déterminé quels modèles qu'ilsouhaite inscrire et envoie une demande du servicecertificat d'inscription Web pour effectuer l'inscriptionréelle.

À l'étape 4, le serveur qui exécute le service Webd'inscription envoie la requête à une autorité deCERTIFICATION pour traitement.

À l'étape 5, l'autorité de CERTIFICATION estrecherchée données concernant le demandeurd'Active Directory (comme son adresse de messagerieou nom DNS) qui seront inclus dans le certificat émis.

À l'étape 6, l'autorité de CERTIFICATION renvoie lecertificat terminé à du service Web d'inscription.

À l'étape 7, le service de Web d'inscription se terminela transaction avec le client via HTTPS et envoie lecertificat de signature.

Flexibilité était un des principes de conception clé dans ce

nouveau service et il est important de savoir comment la

conception peut être adaptée à un ensemble varié de

scénarios. Étant donné que le protocole d'inscription est

HTTPS, les clients peuvent facilement inscrire certificats à

partir de n'importe où, y compris derrière des pare-feu

d'entreprise ou de connexions fournisseur de services

Internet personnelle, sans nécessiter un réseau privé virtuel

(VPN). Dans la mesure où trois différentes méthodes

d'authentification sont prises en charge, les clients peuvent

être jointes à domaine interne d'une organisation, un

domaine non approuvé d'une organisation externe ou

aucun domaine ne tout. Enfin, étant donné que les

composants côté serveur sont implémentées en tant que

services Web, ils peuvent être installés séparément à partir

de l'autorité de CERTIFICATION et prend en charge les

environnements segmentés.

Outre le scénario classique d'inscription d'entités de fin tels

que les utilisateurs et ordinateurs de bureau pour les

certificats, l'inscription de HTTP permet opportunités de

mise en service de certificats d'Autorités de certification

racines de confiance. Scénarios tels que les certificats

S/MIME d'utilisateur, publiquement face serveurs Web et

d'autres systèmes où implicite confiance des certificats est

important peuvent tout tirer parti d'inscription plus

autonome. Par exemple, plusieurs organisations avec un

grand nombre de serveurs Web gérer les certificats

manuellement, l'utilisation des listes de noms de serveur et

les dates d'expiration stockées dans des classeurs Microsoft

Office Excel. Avec l'inscription de HTTP, autorités de

certification racines de confiance peuvent offrir un service

dans lequel ils fournissent certificats directement à ces

serveurs Web automatiquement, libérer de l'administrateur

de devoir manuellement gérer les certificats sur eux. Cette

combinaison de logiciels et services permet aux

organisations à choisir les modèles de déploiement selon

leurs besoins meilleur, sans devoir créer autour de réseau

ou des limites organisationnelles.

06/03/13 Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx 7/8

Sur la vérification identité personnelles (PIV) employés

fédérales des Contractors

csrc. NIST.gov/groups/SNS/piv/index.html

Accueil de PKI Windows Server

Microsoft.com/PKI

Blog PKI Windows

blogs.technet.com/PKI

Windows 7 and Windows Server 2008 R2 include powerful

new capabilities that make running a PKI more efficient

while greatly enhancing the autoenrollment function.

Cross-forest enrollment can dramatically reduce the total

number of CAs required by an organization and make it

easier to manage PKI operations during mergers,

acquisitions, and divestitures. The new Best Practices

Analyzer makes it easy for administrators to check for

common configuration problems before outages occur.

Capabilities such as support for Server Core and

nonpersistent requests make it easier to tailor CA

operations to specific organizational needs. And HTTP

enrollment opens up new methods to automatically

provision certificates across organizational and network

boundaries.

End users will also benefit from Windows 7 PKI features

that make it easier to use certificates in their daily work.

The improved certificate selection interface makes it easier

for users to choose the right certificate for a given purpose

and successfully authenticate more quickly. Smart card

improvements like Plug and Play–based driver installation

and native support for card standards mean less time

needs to be spent getting cards to work on user systems.

Finally, the inclusion of native support for biometrics will

provide a more consistent and seamless experience for

both end users and administrators.

Check out the Beta if you haven't already and let us know

what you think via the Feedback Tool or on our blog at

blogs.technet.com/pki .

John Morello has been with Microsoft since 2000. Hespent five years in Microsoft Consulting Services where hedesigned security solutions for Fortune 500 corporations,governments, and militaries around the world. He'scurrently a Principal Lead Program Manager in theWindows Server Group. John has written numerous articlesfor TechNet Magazine, he has contributed to severalMicrosoft Press books, and he speaks regularly atconferences such as TechEd and IT Forum. You can read histeam's blog at blogs.technet.com/WinCAT .

Authentification forte

Windows 7 prend en la première dans zone charge

périphériques biométriques avec la WBF (Windows

biométrique Framework). WBF êtes initialement

l'authentification en fonction par empreinte digitale pour

les scénarios de consommateur, est conçu pour rendre

biométrie une expérience plus facile et plus intégrée pour

les utilisateurs. Un modèle de pilote unifiée fournit

utilisateur cohérente expériences sur les types de

périphériques avec prise en charge de l'ouverture de

session Windows (local et domaine), contrôle (compte

d'utilisateur et découverte de périphérique autonome. Pour

les entreprises, WBF fournit une méthode Policy–driven de

groupe pour désactiver l'infrastructure pour les

organisations qui choisissez de ne pas utiliser la biométrie.

Les entreprises peuvent également choisir d'autoriser

biométrie pour les applications, mais pas pour ouverture de

session de domaine. Enfin, la gestion des périphériques

renforcée peuvent empêcher usage de périphérique en plus

pour tout simplement empêcher l'installation du pilote.

Avec les améliorations biométrie, Windows 7 améliore

également utilisateur et administrateur rencontre pour les

scénarios de carte à puce. Les cartes à puce sont désormais

traités comme des périphériques Plug-and-Play avec

installation de pilote Windows Update–based. Le processus

de détection et l'installation de Plug-and-Play a lieu avant

ouverture de session, utilisateurs signification qui sont

nécessaires pour vous connecter avec cartes à puce sera en

mesure de se connecter même dans les cas où la carte n'a

pas été précédemment détectée. En outre, l'installation ne

nécessite pas des privilèges d'administration, rendant

approprié dans les environnements de moindre privilège.

Le mini-driver classe carte à puce inclut désormais prise en

charge NIST 800 73 SP-1, ce agences fédérales peuvent

d'utiliser leurs fiches PIV (vérification d'identité personnels)

sans devoir utiliser middleware supplémentaire. Le mini-

driver également prend en charge la nouvelle INCITS GICS

(papillon) standard, fournissant une expérience de Plug-

and-Play pour ces cartes.

Windows 7 également introduit la prise en charge pour le

déverrouillage de carte à puce biométrique basé et inclut

les nouvelles API pour permettre l'injection de clé sécurisée.

Enfin, Windows 7 apporte une prise en charge des

certificats de carte à puce chiffrement courbe elliptique

(ECC) pour les deux Inscription de certificat ECC et pour

l'utilisation de ces certificats ECC pour l'ouverture de

session.

Conclusion

Windows 7 et Windows Server 2008 R2 contiennent de la

nouvelle technologie PKI plus importante étant donné que

Windows 2000 introduit des demandes automatiques de

certificats. Cette nouvelle fonctionnalité facilite PKIs et plus

efficace pour gérer, remise une meilleure expérience aux

utilisateurs finaux.

Windows 7 et Windows Server 2008 R2 incluent les

nouvelles fonctionnalités puissantes qui exécute une

infrastructure PKI plus efficace tout en considérablement

améliorer la fonction d'inscription automatique. Inscription

inter-forêts peut considérablement réduire le nombre total

d'autorités de certification requise par une organisation et

faciliter la gérer les opérations d'infrastructure de clé

publique (PKI) au cours des fusions, les acquisitions et

divestitures. Nouveau Best Practices Analyzer facilite pour

les administrateurs rechercher courants des problèmes de

configuration avant de pannes se produisent.

Fonctionnalités, telles que prise en charge de Server Core et

des demandes nonpersistent facilitent adapter les

opérations d'autorité de CERTIFICATION à besoins

organisationnels spécifiques. Et l'inscription de HTTP ouvre

des nouvelles méthodes pour activer automatiquement les

certificats sur l'organisation et les limites du réseau.

Les utilisateurs finaux profitez également des

fonctionnalités Windows 7 PKI qui la rendent plus facile à

06/03/13 Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx 8/8

utiliser les certificats dans leur travail quotidien. L'interface

de sélection de certificat améliorée facilite aux utilisateurs

de sélectionner le certificat droit à un objectif donné et

authentifiés plus rapidement. Améliorations de carte à puce

comme Plug-and-Play Play–based installation du pilote et

prise en charge native des normes de carte impliquent

moins de temps doit à dépenser, à l'obtention des cartes

pour travailler sur des systèmes de l'utilisateur. Enfin,

l'inclusion de prise en charge native de biométrie s'offrent

une expérience plus cohérente et transparente pour les

utilisateurs finaux et les administrateurs.

Extraire la version Bêta Si vous ne l'avez pas déjà fait et

dites-nous ce que vous pensez via l'outil de commentaires

ou sur notre blog sur blogs.technet.com/PKI .

Morello Jean travaille chez Microsoft depuis 2000. Il apassé cinq ans dans Microsoft Consulting Services où ilconçu solutions de sécurité pour les entreprises entreprisesclassées dans Fortune 500, gouvernements et les militariesdans le monde entier. Il est actuellement principalresponsable responsable de programme dans le groupe deserveurs Windows. Jean a écrit de nombreux articlesTechNet Magazine, il a contribué à plusieurs ouvragesMicrosoft Press, et il parle régulièrement à des conférencestelles que TechEd et forum informatique. Vous pouvez lirele blog de son équipe à blogs.technet.com/WinCAT .

Gérer votre profil | Contactez-nous | Newsletter

© 2013 Microsoft. Tous droits réservés. Conditions d'utilisation | Marques | Confidentialité