Upload
alphormcom
View
1.620
Download
22
Embed Size (px)
DESCRIPTION
La formation complète est disponible ici: http://www.alphorm.com/tutoriel/formation-en-ligne-le-pki-avec-adcs-2012-r2 Au travers des modules couvrant la totalité des rôles ADCS 2012 R2 Microsoft, cette formation vous guide graduellement à l'expertise des architectures PKI Windows 2012 R2 qui constituent aujourd'hui la "pierre angulaire" de toutes stratégies de sécurité informatique. Vous acquérez toutes les compétences et connaissances nécessaires pour planifier, déployer (avec automatisation), configurer, administrer, maintenir et dépanner, et implémenter des hiérarchies sécurisées d'autorités de certification pour une sécurité et une souplesse maximale de votre PKI. Tous les modules sont illustrés de travaux pratiques pour une approche pragmatique et 100% concrète. Les concepts cryptographiques sont également abordés pour une compréhension complète et claire de la gestion des certificats. Cette formation est utile dans la préparation de certaines certifications Microsoft (70-412...).
Citation preview
Titre de vidéo
Implémenter une PKI avec ADCS 2012 R2
Présentation de la formation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Titre de vidéoPrésentation de la formation
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Présentation du formateur
• Pourquoi une session sur les Pki 2012 R2?
• Publics concernés et prérequis
• Le plan de formation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Les ateliers pratiques
• Architecture de base des ateliers pratiques
Le formateur• IZZO Patrick
• Travailleur indépendant après salariat en SSII
• Formateur technique Windows serveur 2012 r2
• MCP, MCST, MCSA 2008 r2, MCSA 2012 r2
MCT (1997 - 2014) [email protected]
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• MCT (1997 - 2014)
• Mes références :� LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458� Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo� Alphorm http://www.alphorm.com/auteur/patrick-izzo� Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx
(Login : 692101 password : 58964781)
Pourquoi une formation PKI 2012 R2?• Pki (Public Key Infrastructure
� Environnement sécurisé de gestion et d’utilisation de certificats
� La base de toute sécurité d’entreprise !!
• Des concepts nouveaux
• Une implémentation multi-composantes
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Une implémentation multi-composantes
• Richesse de fonctionnalités
• Gain de temps
• Aide au passage des certifications Microsoft (70-412)
Publics concernés
• Techniciens de support
• Administrateurs, ingénieurs systèmes
• Architecture informatique
• Spécialiste en sécurité
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Spécialiste en Pki d’entreprise
• Passage des certifications Microsoft (70-412)
Connaissances requises
• Connaissances de base sur la gestion des systèmes d’exploitation Windows
• Connaissances de base sur les réseaux
• Connaissances sur l’Active Directory
• Pas de prérequis sur la cryptographie (couvert par la session)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Pas de prérequis sur la cryptographie (couvert par la session)
Le plan de formation1. Présentation
2. CryptographieType de chiffrementCertificats, Clés publiques\privés
3. Autorité de certification EntreprisePrésentation d’une autorité de certificationInstallation d’une autorité de certification
5. Sites Web sécurisés
Implémentation de SslNouveautés IIS 8 et IIS 8,5
6. Révocation de certificats
Révocation LanRévocation WanServeur OCSP
7. Sécurisation d'une infrastructure de clé publiques
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
4. Inscription de certificatsModèles de certificatsInscription manuelleInscription via le WebInscription automatiqueItinérance des certificatsAgent d'inscription
7. Sécurisation d'une infrastructure de clé publiques
Sauvegarde et restaurationArchivage des certificatsArchitectures sécuriséesInstallations automatisées autorité racineInstallations automatisées autorité secondaire
8. Autres rôles Pki
Certificate Enrollment Web Services (Cep\Ces)Network Device Enrollment Service (Ndes)
9. Conclusion
Ateliers pratiques
• Exemples d’ateliers …
� Cryptage de fichiers Efs\Agent de récupération (Domaine \ Workgroup)
� Cartes à puce\Agent de récupération
� Vpn SSTP
� Signature de code PowerShell
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Signature de code PowerShell
� Sites Web Sécurisés …
• Architecture des ateliers
� Machines virtuelles (Hyper-V 3)
Liens des ressources logicielles• Source Windows 8.1 (version Entreprise)
� http://technet.microsoft.com/fr-fr/windows/hh771457.aspx
• Source Windows 2012 Server � http://technet.microsoft.com/fr-fr/evalcenter/hh670538.aspx
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Architecture domaine : Corp.lan
Applications Pratique
ActiveDirectory
s1.corp.lan
�
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s5.corp.lans2.corp.lan
Autorité de certification
w811.corp.com s4.corp.lan
10.0.0.1
10.0.0.2
80.0.0.11 10.0.0.4 10.0.0.5
Ce qu’on a couvert
• Présentation dur formateur
• Pourquoi les une session sur les Pki 2012 r2 ?
• Les prérequis de la formation
• Le contenu (plan et ateliers pratiques)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� C’est parti !!
Cryptographie
Introduction au PKI
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Introduction au PKI et à la Cryptographie
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Rôle des PKI
• Utilisation des PKI
• Composantes de PKI
• Technologies de Cryptographie
• Cryptage Symétrique\Asymétrique
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Cryptage Symétrique\Asymétrique
• Certificats
• Application : Chiffrement de fichiers (EFS)La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
Rôle des PKI
• Pki (Public Key Infrastructure ou Infrastructure de clé publique)
� Technologies de cryptographie pour la sécurisation de votre environnement informatique
� Utilisé pour :
• Confidentialité (Chiffrement)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Confidentialité (Chiffrement)
• Authentification (Utilisateur, Ordinateur)
• Intégrité (Données non modifiées)
Exemples d’utilisation des PKI
• Fichiers (Efs, Bitlocker)
• Pilotes, ActiveX, Macros, Scripts PowerShell
• Site Web (Ssl)
• Connexions réseau (Vpn, Wifi…)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Sécurisation de trafic réseau (IpSec…)
• Authentification Forte (Cartes à puce)
• Mails
• …
Composantes d’une architecture de PKI
• Cryptographie
� Algorithmes mathématiques
� Certificats
• Autorités de certifications (Gestion des certificats)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cryptage symétrique
• Algorithme mathématique + Clé (élément variable de l’algorithme)
� Algorithmes mathématiques : Des, 3Des ou Aes …
� Une seule clé (128, 256 bits)
• La clé symétrique doit être transmise à l’aide de moyen de communication sécurisé
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Bonjour
communication sécurisé
3Décaler de :
ErqmrxrErqmrurErqmourErqjourErnjourBonjourBonjourEonjourErqmrxu
3Décaler de :
Erqmrxu
Bob
EonjourErnjourErqjourErqmourErqmrurErqmrxrErqmrxuErqmrxu
Composantes Cryptage asymétrique
• Certificat
� Utilisation des clés, propriétaire, durée de vie…)
� Clé publique
• Clé Privé
Stocké dans un emplacement protégé sur l’ordinateur
Bob
Clé Publiquede Bob
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Stocké dans un emplacement protégé sur l’ordinateur
� Lien mathématique de 1 à un entre la clé privé et la clé publique
Clé Privéede Bob
1 1
Bob
Clé Publiquede Bob
Cryptage asymétrique
• Certificat avec Clé publique + Clé Privé
� Je chiffrer avec la « Clé publique » de Bob
� Bob déchiffrer avec sa « clé privée »
Clé Privéede Bob
Clé Publiquede Bob
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Bonjour !Erqmrxu Bonjour
Bob
Bob
1 1
Comparatif types de cryptage ?
• Cryptage symétrique
� Plus rapide, une seule clé de petite taille (128, 256 bits)
� Requiert une communication déjà sécurisée pour l’échange de la clé
• Cryptage Asymétrique
Plus lent (100 fois ou plus …), deux clés (Publique\Privé + un certificat)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Plus lent (100 fois ou plus …), deux clés (Publique\Privé + un certificat)
� Taille des clés plus importante (1024, 2048, 4096 bits)
� Totalement sécurisé
• Lequel utiliser ??
Combinaison Symétrique \ Asymétrique
• On utilisera toujours une combinaison de cryptage Symétrique \Asymétrique !!!
• Chiffrement du contenu : Symétrique
� Plus rapide
• Protection de la clé : Asymétrique
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Protection de la clé : Asymétrique
� Totalement sécurisé
� Le chiffrement asymétrique sécurise la clé symétrique !!!
Combinaison Symétrique\Asymétrique
• Chiffrement avec un clé symétrique
• Protection de la clé symétrique en Asymétrique
� Lien mathématique de 1 à un entre la clé privé et la clé publique
Clé Privéede Bob
Clé Publiquede Bob
1 1
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Bonjour !Erqmrxu Bonjour
3# 3
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
Bob
Bob
Cryptage EFS
• Encryption File System
• Chiffrement de fichiers ou de dossiers
• Rapide, performant (intégré au noyau Ntfs)
• Combine cryptage symétrique et asymétrique
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Transparent
• Les fichiers cryptés apparaissent en vert
Fonctionnement du chiffrement EFS
• L’utilisateur demande à crypter son document
• Le système génère une clé aléatoiresymétrique dans l’entête du fichier
• Le document est crypté à l’aide de la clé symétrique
3#Bob
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• La clé symétrique est crypté en asymétrique avec la clé publique de l’utilisateur
Ceci est un document confidentiel
ëH3ÿ 32ö ë! I‹ÉÿÅH‹ÈH‹øÿÅH‹ÏŠð
Déchiffrement EFS
• Fonctionnement du déchiffrement EFS
� L’utilisateur ouvre le document
� Le système récupère la clé privéde l’utilisateur
� le système déchiffre la clé symétriqueà l’aide de la clé privé de l’utilisateur
#3Bob
Clé Privéede Bob
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
le système déchiffre la clé symétriqueà l’aide de la clé privé de l’utilisateur
� Le système déchiffre le document à l’aidede la clé de chiffrement symétrique
Ceci est un document confidentiel
ëH3ÿ 32ö ë! I‹ÉÿÅH‹ÈH‹øÿÅH‹ÏŠð
Application
Application pratique
Chiffrement de fichiers EFS
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Chiffrement de fichiers EFS
Ce qu’on a couvert
• Le fonctionnement de la cryptographie
� Combinaison de cryptage Symétrique et Asymétrique
� Les composantes d’un certificat
� Le rôle des clés, publique et privée, associées
� Application avec le cryptage de fichier (Efs)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Application avec le cryptage de fichier (Efs)
Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
Cryptographie
Partage de fichiers
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Partage de fichiers cryptés
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Partage de fichiers cryptés
• Application : Partage de fichiers cryptés Efs
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
Partage de fichiers cryptés EFS
• L’utilisateur U1 souhaite partager son fichier crypté avec u2 et u3…Sans communiquer sa clé privée !!!
• Fonctionnement :
� Chaque utilisateur pour qui l’on partage le fichier disposera de sa copie de l’entête comprenant la clé symétrique qu’il chiffrera, ou déchiffrera, avec ses clés publique\privé !
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
clés publique\privé !
� Il y aura autant d’entêtes dupliqués que d’utilisateurs avec qui l’on partagera le fichier
Partage d’un fichier chiffré - Entêtes
• Le système décrypte la clé symétriqueà l’aide de la clé privé de Bob
• Le système duplique un nouvelentête pour l’utilisateur « U2 »
• La clé symétrique du nouvel entêteest chiffré en asymétrique à l’aide
3#Bob
3
#U2
Clé Privéede Bob
#
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
est chiffré en asymétrique à l’aidede la clé publique de l’utilisateur « U2 »
• Il y aura autant d’entête que d’utilisateursavec qui l’on partagera le fichier …
ëH3ÿ 32ö ë! I‹ÉÿÅH‹ÈH‹øÿÅH‹ÏŠð
Partage d’un fichier chiffré - Lecture
• L’utilisateur « U2 » n’accède pas à l’entêtede l’utilisateur (Bob)
• L’utilisateur « U2 » accède àson entête
• Il décrypte la clé symétrique à l’aidede sa clé privé d’utilisateur « U2 »
3#
U2 #3
Clé Privéede U2
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
de sa clé privé d’utilisateur « U2 »
• Il déchiffre le document à l’aide de la clé symétrique déchiffrée
ëH3ÿ 32ö ë! I‹ÉÿÅH‹ÈH‹øÿÅH‹ÏŠð
Ceci est un document confidentiel
Application
Application pratique
Partage de fichiers EFS
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Partage de fichiers EFS
Ce qu’on a couvert
• Le fonctionnement de la cryptographie
� Partage de fichiers cryptés Efs
Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
permet une implémentation efficace de votre infrastructure de PKI
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
Cryptographie
Agents de récupération
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Agents de récupération EFS
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Agents de récupération Efs
• Application : Agent de récupération Efs
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
Agents de récupération EFS
• L’agent de récupération accède à tout les fichiers cryptés !!!Sans communiquer les clés privées des utilisateurs à l’agent de récupération
• Le principe est la même que pour le partage de fichiers cryptés
� Chaque « agent de récupération » dispose d’une copie de l’entête comprenant la clé symétrique qu’il chiffre ou déchiffre avec ses clés
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
comprenant la clé symétrique qu’il chiffre ou déchiffre avec ses clés publique\privé !
� Il y aura autant d’entêtes dupliqués que d’ « agents de récupération » déclarés sur l’ordinateur
Agents de récupération - Entête
• Le système décrypte la clé symétriqueà l’aide de la clé privé de Bob
• Le système duplique un nouvelentête pour l’agent de récupération
• La clé symétrique du nouvel entêteest chiffré en asymétrique à l’aide
3#Bob
3
#AR1
Clé Privéede Bob
#
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
est chiffré en asymétrique à l’aidede la clé publique de l’agent de récupération
ëH3ÿ 32ö ë! I‹ÉÿÅH‹ÈH‹øÿÅH‹ÏŠð
Agents de récupération - Déchiffrement EFS
• L’agent de récupération n’accède pas à l’entêtede l’utilisateur (Bob)
• L’agent de récupération accède àson entête
• Il décrypte la clé symétrique à l’aidede sa clé privé d’agent de récupération
3#
AR1 #3
Clé Privéede AR1
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
de sa clé privé d’agent de récupération
• Il déchiffre le document à l’aide de la clé symétrique déchiffrée
ëH3ÿ 32ö ë! I‹ÉÿÅH‹ÈH‹øÿÅH‹ÏŠð
Ceci est un document confidentiel
Application
Application pratique
Agent de récupération EFS
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Agent de récupération EFS
Ce qu’on a couvert
• Le fonctionnement de la cryptographie
� Agent de récupération Efs
Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
permet une implémentation efficace de votre infrastructure de PKI
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
Autorité de certification Entreprise
Présentation d’une autorité
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Présentation d’une autorité de certification
Plan
• Rôle de l’autorité de certification
• Authentification et intégrité des certificats
• Type d’autorité de certification
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Rôle de l’autorité de certification
• Autorité de certification (Certification Authority – CA)
• Gestion des certificats
� Délivrer des modèles personnalisés de certificats(Utilisateur, Ordinateurs, Services)
� Archiver
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Archiver
� Révoquer
• Signature de certificats
� Authentification
� Intégrité
Authentification des certificats - Signature
Clé Publique AC Clé PrivéAC
AC
1 1
�
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autorité decertification
1 1
Bob
Clé PubliqueBob
Clé PrivéBob
��
Authentification des certificats - Intégrité
Bob
Clé PubliqueBob
��Signature CorpCA
• Algorithme mathématique de Hash
� Md5 (plus rapide)
� Sha (plus sécurisé)
• Calculé à la création
Validé à chaque utilisation du certificat
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Validé à chaque utilisation du certificat
�Hash : 12345678910
Hash : 12345678910
Authentification\Integrité des certificats
Clé PubliqueBob
1 1Clé Privé
Bob
Clé Publique AC Clé PrivéAC
AC
1 1
�
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autorité decertification
Bob
Bob1 1 Bob
�Signature CorpCA
�Hash : 12345678910Hash : ##########Hash : 12345678910
Hash : 12345678910
Application
Application pratique
Calcul de valeurs de Hash
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Calcul de valeurs de Hash
Type d’Autorité de certification
Autonome
� Ne requiert pas Active Directory
� Ne requiert pas que le serveur « Autorité de certification » soit membre du domaine
� Demande de certificats exclusivement par navigateur Internet
Entreprise
� Requiert Active Directory
� Le serveur « Autorité de certification » doit être membre du domaine
� Approbation automatique des requêtes de certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Les utilisateurs fournissent des informations d’identifications
� Demandes en attentes jusqu’à approbation manuelle
� Modèles de certificat non personnalisables
� Pour un usage interne et externe (Internet)
� Demande de certificatsNavigateur WebManuelle (Mmc composant certificat)Automatique (Stratégies de groupe)Agent d’inscription
� Modèles de certificat personnalisables
� Pour un usage interne à l’entreprise
Ce qu’on a couvert
• Rôle de l’autorité de certification
• Authentification et intégrité des certificats
• Type d’autorité de certification
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
Autorité de certification Entreprise
Installation d’une autorité
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Installation d’une autorité de certification
Plan
• Considération pré-installation
• CAPolicy.inf
• Post installation
• Installation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Inscription de certificats
Considération pré-installation
• Installation complète ou minimale (Serveur Core) de Windows
• Appartenance au domaine et nom d'ordinateur non modifiable après le déploiement d'une autorité de certification (quelque soit le type)
• Le choix du fournisseur de service de chiffrement cryptographique
� Compatible avec les applications, services
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Compatible avec les applications, services
� Nom avec un caractère # : Fournisseur (CNG Cryptography Next Generation)
• Valeur de la clé (2048 minimum recommandé)
• Durée de vie du certificat de l’autorité
CAPolicy.inf
� Paramètre de configuration de l’autorité appliqués à l’installation et lors du renouvellement du certificat de l’autorité de certification
[Version]Signature= "$Windows NT$"
[Certsrv_Server]RenewalKeyLength=2048
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
RenewalKeyLength=2048RenewalValidityPeriodUnits=20RenewalValidityPeriod=years
� Doit être placé dans le dossier %windir%
Post installation
• Appliquer les paramètres de fonctionnement (certUtil)
� certutil -setreg CA\CRLPeriodUnits 3
� certutil -setreg CA\CRLPeriod "Days"
� certutil -setreg CA\AuditFilter 127
• Publier une liste de révocation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Publier une liste de révocation
• Personnalisation de modèles de certificats
• Tester l’inscription d’un certificat (Mmc : Certificats)
• Sauvegarder l’autorité de certification
Application
Application pratique
Implémentation d’une autoritéde certification racine entreprise
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certification
w811.corp.lanClient
Ce qu’on a couvert
• Considération pré-installation
• CAPolicy.inf
• Post installation
• Installation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Inscription de certificats
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
Inscription de certificats
Modèles de certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Modèles de certificats
Plan
• Qu’est ce qu’un modèle de certificat
• Les versions des modèles de certificat
• Application pratique : Personnaliser un modèle de certificat et l’inscrire
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Qu’est ce qu’un modèle de certificat ?
• Il définit les propriétés des certificats émis
� La durée de validité
� Le\les rôles
� Qui peut inscrire le certificats
� Méthode d’inscription
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� …Partition Configuration
• Il est stocké dans l’Active Directory ()
• Il est répliqué sur toutes les autorités de certifications de la forêt
Versions des modèles de certificat
• Systèmes d’exploitation et versions
� Windows 2000 Server : Version 1
� Windows Server 2003 Enterprise : Version 1 et 2
� Windows Server 2008 Enterprise Edition : Version 1, 2 et 3
� Windows Server 2012 : Versions 1, 2, 3 et 4
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Prise en charge des modèles de certificats
� Avant Windows Server 2008 R2, uniquement avec les éditions Entreprise
� Windows Server 2008 R2 \2012 et 2012 r2 aussi avec les éditions Standard
Versions des modèles de certificats
• Version 1
� Compatibles toutes versions d’autorités de certifications Microsoft
� Non modifiables
• Version 2
� Obtenu par duplication d’une version 1 et personnalisables
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Obtenu par duplication d’une version 1 et personnalisables
• Version 3
� Prends en charge CNG (Cryptography Next Generation) et Algorithmes Cryptographie Suite B)
� Nouveau modèle « signature de réponse OCSP »
Versions des modèles de certificat
• Version 4 \ Windows Serveur 2012 et Windows 8
� l'onglet Compatibilité : Liste les fonctions non disponibles en fonction du système client et de l’autorité de certification
� Prise en charge de plus de CSP
� Prise en charge du renouvellement avec une même clé
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Prise en charge du renouvellement avec une même clé
• Mise à niveau des modèles après mise à niveau de l’autorité de certification vers 2012 \ 2012 r2 (oui à l’invite de mise à jour des modèles)
Application
Application pratique
Création et inscriptiond’un modèle de certificat personnalisé
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certification
Modèle : CorpUser
w811.corp.lanClient
Inscription du certificat
Ce qu’on a couvert• Les modèles de certificats
� Créer et personnaliser
� Gestion des versions
� Inscription d’un certificat basé sur les nouveaux modèles
La création de nouveaux modèles personnalisés permet le contrôle
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
La création de nouveaux modèles personnalisés permet le contrôledes certificats inscrits ainsi que de leurs propriétés.
Inscription via le Web
Inscription de certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Inscription via le Web
Plan
• Qu’est ce que l’inscription via le Web
• Configuration requise pour le navigateur Web
• Application pratique : Inscription d’un modèle personnalisé via le Web
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Inscription via le Web • Demande de certificat avancée ou si l'inscription automatique ne peut pas être utilisée
• Inscription manuelle au travers d’un site Web
• Rôle « Inscription de l’autorité de certification via le Web »
� Ajout d’un serveur Web IIS
� Ajout de page Web pour la demande de certificats
• Utiliser l’url « http(s)://nom serveur/certsrv »
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Configuration du navigateur Web
• Requiert un certificat Ssl pour un accès en Https
• Accès en http pour l’intranet
� Ajouté au « Sites de confiance » ou au site « Intranet local »
• Personnaliser le niveau …
- Connexion automatique uniquement dans la zone intranet
- Contrôles d’initialisation et de script non marqués comme sécurisé pour l’écriture de script
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
- Contrôles d’initialisation et de script non marqués comme sécurisé pour l’écriture de script
• Autorisations « Lire » et « Inscription » sur le modèle de certificat
• Ne peux pas être utilisé pour les certificats machines
Application
Application pratique
Inscription de certificats via le Web
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certificationInscription de certificat
http://s2.corp.lan/certsrv
w811.corp.lanClient
Ce qu’on a couvert• Inscription de certificats via le Web
� Implémentation du rôle
� Configuration du navigateur
� Inscription d’un certificat via le Web
L’inscription via le Web est utile lors d’inscription de certificats pour des
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
L’inscription via le Web est utile lors d’inscription de certificats pour des utilisateurs qui ne disposent pas de compte utilisateurs dans Active Directory.
Inscription automatique
Inscription de certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Inscription automatique
Plan
• Implémenter Efs avec Active Directory
• Inscription automatique de certificats
• Application pratique : Personnaliser le modèle Efs pour l’inscription automatique
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Particularité pour le modèle EFS
• Le modèle Efs de base est codé en dur dans le code du système
� Créer un nouveau modèle personnalisé
� Paramétrer Efs par stratégie de groupe :
• Autoriser le chiffrement Efs
• Changer le modèle Efs utilisé par défaut par le modèle personnalisé
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Interdire l’utilisation de certificats auto-signé
• Ajouter le menu contextuel « Chiffrer\Déchiffrer »
Inscription automatique
• Autorité de certification « Entreprise » et membre du groupe « admins du domaine » ou « administrateurs de l'entreprise »
• Autorisation « Inscription automatique » à des groupes « globaux » ou « universels » (requiert les autorisations : « Lire » et « Inscription »)
• Autorisation « Lecture » au groupe « Utilisateur authentifié »
� Affichage des modèles de certificats dans AD DS
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Permet à l'Autorité de certification, exécutée dans le contexte Système, d'afficher les modèles de certificats lors de l'attribution de certificats
• Autoriser la stratégie de groupe « Client des services de certificats - Inscription automatique », coté utilisateur et\ou coté ordinateur
Inscription automatique
• L'inscription automatique s’exécute toutes les huit heures
• Le modèle de certificat peut spécifier une interaction utilisateur à l’inscription (fenêtre contextuelle 1mn après ouverture de session)
• Permet aussi (par stratégie de groupe) :
� Le renouvellement automatique de certificat
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Le remplacement des modèles obsolètes
• Onglet modèles obsolètes du nouveau modèle
Application
Application pratique
Inscription automatiqued’un modèle de certificat « CorpEfs »
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s1.corp.lanContrôleur de domaine
Stratégies EFS
s2.corp.lanAutorité de certification
Modèle : CorpEfs
w811.corp.lanClient
Chiffrement de fichiers
Ce qu’on a couvert• L’utilisation de modèles de certificat pour EFS en contexte Active
Directory
• L’inscription automatique de certificats (Efs)
L’inscription automatique fournie une gestion totalement transparente des certificats. Aussi bien pour les utilisateurs (inscription\renouvellement de certificats) que pour les administrateurs (renouvellement de modèle de
certificats).
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
certificats) que pour les administrateurs (renouvellement de modèle de certificats).
Itinérance des certificats
Inscription de certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Itinérance des certificats
Plan
• Problématique certificats\utilisateurs itinérants
• Solution : Itinérance des certificats
• Application pratique : Signature de code PowerShell
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Problème : Utilisateurs itinérants
• Problème : L’utilisateur itinérant inscrit un certificat sur chaque machine sur laquelle il se connecte
• Implique : Plus de certificats émis, disfonctionnements (Efs), perte de certificats lors suppression\corruption de profils utilisateur
• Solution : Activation des profils itinérants où utilisation de carte à puce
• Compatible avec Windows Server 2003 Sp3 \ Xp Sp2
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Compatible avec Windows Server 2003 Sp3 \ Xp Sp2
• Correctif (KB 907247) pour Windows XP and Windows Server 2003 qui est une mise à jour du schéma pour le support des informations identification itinérants
Solution : Itinérance des certificats
• Itinérance des certificats (Credential Roaming)
• Stocke le certificat de façon centralisée dans Active Directory !!!
• Utilise les mécanismes d'ouverture de session et d'inscription automatique pour télécharger les certificats et les clés sur un ordinateur local et\ou les supprimer lorsque l'utilisateur se déconnecte
• Déclenché également :
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Déclenché également :
� Au verrouillage\déverrouillage de l'ordinateur
� Au changement d’une clé privée ou d’un certificat
� A l’actualisation de la stratégie de groupe
Implémentation
• Requiert niveau de schéma forêt Windows 2008
• Activation par stratégie de groupe
� Activer la stratégie
� Accepter l’exclusion de ces données du profils itinérant de l’utilisateur dans la stratégie de groupe
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Sur le modèle cocher « Enregistrer le certificat dans Active Directory »
• Désactiver le coté « ordinateur » de la stratégie
• Lier la stratégie à tous les domaines de la forêt
Signature de code PowerShell
• Permet de n’exécuter que les scripts PowerShell signés
• Requiert un certificat basé sur le modèle « Signature de code »
• Les scripts sont signés avec le certificat
• Vérification de :
� L’authentification
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� L’authentification
� De l’intégrité
� De la révocation
Application
Application pratique
Signature de code \ Credential Roaming
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s1.corp.lanContrôleur de domaine
Stratégie Credential Roaming
s2.corp.lanAutorité de certification
Modèle : Corp_SigningCode
w811.corp.lanClient
Signature de code
w812.corp.lanClient
Signature de code
Ce qu’on a couvert• Itinérance des certificats
� Basé sur Active Directory (Stockage centralisé)
� Activé par stratégies de groupe
� Utilisation de certification pour la signature de code
L’itinérance des certificats permet, pour les utilisateurs itinérants, de disposer
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
L’itinérance des certificats permet, pour les utilisateurs itinérants, de disposer du même certificat quelque soit l’ordinateur sur lequel ils se connectent.
Agent d’inscription
Inscription de certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Agent d’inscription
Plan
• Qu’est ce qu’un « Agent d’inscription » de certificats?
• Implémentation d’un « Agent d’inscription »
• Application pratique : Inscription de certificats de carte à puce
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Agent d’inscription
• L'agent d'inscription peut inscrire des certificats au nom d'autres utilisateurs (cartes à puce …)
• « Agent d’inscription restreint » sur l’autorité de certification
� Quel agent d’inscription ? (Windows Server 2008 Entreprise)
� Pour quels groupes d'utilisateurs ? (Windows Server 2008 Entreprise)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Pour quels modèles de certificats ? (Windows Serveur 2012)
• Ne requiert pas de droits administratifs (responsable\employé de confiance)
Implémentation : Agent d’inscription
• Créer un Nouveau modèle « d’Agent Inscription »
• Inscrire un certificat « d’Agent d’Inscription »
• Sur l’autorité de certification spécifier
� Les agents d’inscription
� Pour quel groupes d’utilisateurs
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Pour quel groupes d’utilisateurs
� Pour quel types de certificats
• Inscrire les certificats (cartes à puces des utilisateurs)
Application
Application pratique
Agent D’inscription (carte à puces)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certification
Modèle « Corp Agent Inscription »
s3.corp.lanInscription d’un certificat « Agent d’inscription »Inscription des certificats carte à puce utilisateur
Ce qu’on a couvert• Agents d’inscription
� Créer et inscrire un agent d’inscription
� Inscription de certificat pour d’autres utilisateurs
Les agents d’inscriptions sont indispensable dans certains contexte (carte à puce) où ils offrent alors une gestion plus simplifié et plus sécurisé des
certificats émis.
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
certificats émis.
Sites Web Sécurisés
Implémentation de SSL
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation de SSL
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Fonctionnement du protocole SSL
• Rôle des certificats avec le protocole SSL
• Application Pratique : Implémentation d’un serveur Web SSL
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Sécurisation de sites Web
� Protocole Ssl (Secure Socket Layer)
• Url Https
• Port TCP : 443
• Authentification du serveur Web (Anti Fishing)
• Sécurisation des données transférées (Chiffrement symétrique)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Sécurisation des données transférées (Chiffrement symétrique)
Processus de connexion SSL
• Le serveur Web refuse les connexions en http, exige une connexion en https et renvoi son certificat (qui contient sa clé publique)
• Le client vérifie l'authenticité du certificat du serveur (à l’aide du certificat de l’autorité de certification)
• Le client génère une clé symétrique aléatoire
• Le client envoie la clé symétrique au serveur Web (cryptée en asymétrique avec clé publique du certificat du serveur Web)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Le client envoie la clé symétrique au serveur Web (cryptée en asymétrique avec clé publique du certificat du serveur Web)
• Le serveur Web décrypte la clé symétrique avec sa clé privé
• Connexion sécurisée établie (cadenas dans la barre d état et Url affichée en vert)
Fonctionnement SSL
Clé Publiquewww.corp.lan
Clé Publique AC
AC �Hash : 12345678910
Hash : 12345678910
Hash : ##########Clé Privé AC11
�
Clé Publiquewww.corp.lan
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s3.corp.lanServeur Web SSL
https://www.corp.lan
w811.corp.lanClient
www.corp.lanwww.corp.lan https://www.corp.lan 3
�
##3 �
Application Pratique
Implémentation de sites Web SSL
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certification
s3.corp.lanServeur Web SSL
https://ww.corp.lan
w811.corp.lanClient
Ce qu’on a couvert
• Fonctionnement de Ssl (Certificats)
• Implémentation du protocole SSL
La sécurisation de site Web est l’une des utilisations fondamentale d’une Pki.SSL sécurise les sites Web, mais aussi les portails applicatifs (Owa, Applications
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
SSL sécurise les sites Web, mais aussi les portails applicatifs (Owa, Applications bureau à distance, Connexion Bureau à distance…)
Sites Web Sécurisés
Nouveautés IIS 8 et 8.5
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Nouveautés IIS 8 et 8.5
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Nouveautés IIS 8 et 8.5 Ssl\Certificats
� Indication du server de nom (Server Name Indication - Sni)
� Magasin de certificats centralisé (Centralized Certificate Store - Ccs)
• Application Pratique : Gestion de sites Web SSL avec Sni et Ccs
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Indication du nom du serveur
• « Indication du nom du serveur » (Server Name Indication - Sni)permet de faire tourner plusieurs sites Web en SSL sur :
� la même adresse Ip
� le même port (443)
• Immédiatement disponible sous IIS 8 \ IIS 8.5
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• La correspondance s’effectue sur le nom d’hôte du site
• Les liaisons ne sont plus effectuées au démarrage de IIs mais à la demande (puis mise ne cache)
• Meilleure gestion de la mémoire et gain de performances
Implémentation Ccs
• Magasin de certificats centralisé (Centralized Certificate Store - Ccs)
� Créer un partage de fichiers (Dfs ou cluster)
• Lire pour le compte qui aura accès au certificats
� Créer les certificat Ssl (exportés en .pfx, nommé avec la bonne url)
� Installer CSS
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Installer le rôle IIS : « Prise en charge centralisée des certificats »
• Paramétrer l’icone « Certificats Centralisés »
• Vérifier l’utilisation du magasin de « certificats centralisé » lors de la liaison Ssl
� !! Scénario de ferme de serveur
Application Pratique
Implémentation Sni\Css sur sites Web Ssl
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certification
s3.corp.lanServeur Web SSL
https://intra.corp.lanhttps://rh.corp.lan
w811.corp.lanClient
Ce qu’on a couvert
• Nouveautés IIs 8 \ IIS 8.5
� Indication du nom du serveur (Server Name Indication - Sni)
� Magasin de certificats centralisés (Centralized Certificate Store)
Ces nouveautés permettent une montée en charge plus efficace (plusieurs
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ces nouveautés permettent une montée en charge plus efficace (plusieurs serveurs Web Ssl sur le même serveur IIS - Sni) et … une gestion plus simple des clusters de sites Web Ssl (centralisation des certificats - Ccs)
Révocation Lan
Révocation de certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Révocation Lan
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Concept
• Raisons de révocation
• Type de listes de révocation
• Application Pratique : Révocation de certificats de site Web SSL et de certificats de signature de code PowerShell
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
certificats de signature de code PowerShell
Concept
• La révocation permet de rendre invalide un certificat « avant » sa date de fin de validité et donc … d’interdire l’usage de l’applicatif ou du service associé !
• Autorisation « Emettre et gérer les certificats » pour révoquer
• Ajout du numéro de série du certificat révoqué à une « liste de révocation »
• La liste est publiée dans un emplacement centralisé accessible aux machines et utilisateurs : Active Directory !
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
utilisateurs : Active Directory !
� Publication manuelle
� Publication planifiée
Raisons de la révocation
• Non spécifié
• Clé compromise
• Autorité de certification compromise
• Modification de l’affiliation
• Certificat remplacé
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Certificat remplacé
• Cessation de l’opération
• Certificat retenu (annulation de la révocation possible)
Types de listes de révocation
• Liste de révocation complète (Certificate Revocation List - Crl)
� Contient toutes les empreintes numériques de tous les certificats révoqués
• Liste de révocation delta (Certificate Revocation List Delta - Crl Delta)
� Contient uniquement les nouvelles révocations depuis la dernière publication de liste de révocation complète
Support depuis Windows 2000 \ Xp
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Support depuis Windows 2000 \ Xp
� Requiert la publication d’une liste de révocation complète
Problématiques possibles …
• Désactivation ou « non supporté »(Efs ne prends pas en charge la révocation – In design !!)
• Accès pour l’applicatif\Service à l’emplacement de publication(Active Directory)
• Latence due à la planification
• Mise en cache locales des liste de révocation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Mise en cache locales des liste de révocation
� certutil -setreg chain\ChainCacheResyncFiletime @now(Synchronise le cache local avec la liste de publication de révocation)
Application Pratique
Révocation de certificats de sites Web SSL
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est
endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis
ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.
Liste de révocation
25e5855869855684585956415125125122
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.
s1.corp.lanContrôleur de domaine
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.
s2.corp.lanAutorité de certification
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.
s3.corp.lanServeur Web SSL
https://intra.corp.lanhttps://rh.corp.lan
w811.corp.lanClient
Ce qu’on a couvert
• Le processus de révocation sur le lan
• L’implémentation et le dépannage de la révocation
La révocation est une fonction clé de la gestion des certificats.Contrairement aux certificats auto-signés, les certificats émis par une autorité de certification sont révocables, permettant ainsi à l’administrateur un contrôle total
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
certification sont révocables, permettant ainsi à l’administrateur un contrôle total des applicatifs et services associés.
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.
Révocation Wan
Révocation de certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Révocation Wan
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Problématique … et solution !!
• Emplacement des listes de révocations (Cdp)
• Emplacement des informations de l’autorité (Aia)
• Implémentation de nouveaux emplacements pour Internet
• Application Pratique : Validation et dépannage de la révocation depuis Internet
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Application Pratique : Validation et dépannage de la révocation depuis Internet avec un VPN SSTP
Problématique fréquente !!
• Le chemin d’accès à la liste de révocation n’est pas disponible !!
• Solution :
� Stocker la liste de révocation sur un emplacement accessible depuis Internet
� Exposer ces listes via un serveur Web (http)
Inclure les nouveau chemins d’accès aux listes de révocations dans le
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Inclure les nouveau chemins d’accès aux listes de révocations dans le certificats émis
• Emplacement de vérification des listes de révocation(CDP - Crl Distribution Point)
Emplacements des listes de révocation
Autoritéde certification
Serveur WebPublic
�
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
ActiveDirectory
Partagede fichier
Serveur Web Interne
Implémentation de nouvelles URLs CDP
• Déterminer les chemins de publication des URLs Crl (Serveur Web)
• Créer les points de publication (Serveur Web)
� Un dossier pour stocker les listes de révocation
� Un dossier virtuel IIS pour les exposer en http
• Publier les listes de révocation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Publier les listes de révocation
• Ajouter les nouvelles URLs aux nouveaux certificats émis
� Modifier les « extensions » de l’autorité de certification pour ajouter les nouveaux chemins de publication des Crl CDP
� Tout nouveau certificat émis intégrera les nouvelles URLs
Autres informations nécessaires (AIA)
• Emplacement de vérification des autorités de certification(AIA - Authority Information Access)
• Contient les emplacements vers lesquels les certificats de l'autorité de certification peuvent être téléchargés si nécessaire
• Permet de remonter/valider la chaine de certification
• Certificat de vérification de la signature des listes de révocation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Certificat de vérification de la signature des listes de révocation
• Emplacement de vérification des autorités de certification(AIA - Authority Information Access)
Emplacements des informations de l’autorité
Autoritéde certification
Serveur WebPublic
�
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
ActiveDirectory
Partagede fichier
Serveur Web Interne
Serveur FTPInterne
Implémentation de nouvelles URLs AIA
• Déterminer les chemins de publication des URLs AIA (Serveur Web)
• Créer les points de publication (Serveur Web)
� Un dossier pour stocker les listes de révocation
� Un dossier virtuel IIS pour les exposer en http
• Publier les listes de révocation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Publier les listes de révocation
• Ajouter les nouvelles url au certificats émis
� Modifier les « extensions » de l’autorité de certification pour ajouter les nouveau chemins de publication des Crl AIA
� Tout nouveau certificat émis intégrera les nouvelles URLs
Dépannage des urls CDP\AIA
• Mise en cache des listes de révocation
� Certutil -setreg chain\ChainCacheResyncFiletime @now(recharger le cache)
� Certutil -urlcache CRL(Voir les URLs des caches de listes de révocation)
� Certutil -urlcache CRL delete(Vider les caches de listes de révocation)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Certutil -urlcache CRL delete(Vider les caches de listes de révocation)
• Teste des URLs
� Certutil –url fichier certificat.cer
� Console « PKI Entreprise »
SSTP
• Secure Socket Tunneling Protocol (SSTP)
• Nouveau protocole VPN
� Utilise le port : 443
� Un certificat pour l’authentification du serveur VPN SSTP
• C’est du VPN mais c’est surtout du SSL !!!
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• C’est du VPN mais c’est surtout du SSL !!!
• Permet la connexion VPN depuis toute connexion Internet
� Maison
� Hôtel …
Implémentation d’un VPN SSTP
Application Pratique
ActiveDirectory
s5.corp.lanVPN SSTP
s1.corp.lanContrôleur de domaine
Serveur Web Public(CRL et AIA)�
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Partagede fichier
Serveur Web Interne(CRL et AIA)
s2.corp.lanAutorité de certification
w811.corp.comClient
Ce qu’on a couvert
• La validation de l’accès aux listes de révocation (CDP) depuis l’extérieur de l’entreprise
• La validation des l’accès aux listes d’information de l’autorité (AIA) depuis l’extérieur de l’entreprise
• L’implémentation de Vpn SSTP
La validation des liste CDP et AIA est une problématique classique qu’il faut
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
La validation des liste CDP et AIA est une problématique classique qu’il faut absolument maitriser pour une validation correcte de la validité de vos certificats.
Révocation de certificats
Serveur OCSP
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Serveur OCSP
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Concept
• Fonctionnement du protocole OCSP
• Implémentation et validation d’un serveur OCSP
• Application Pratique : Validation et dépannage de la révocation depuis Internet à l’aide d’un serveur OCSP (VPN SSTP)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Internet à l’aide d’un serveur OCSP (VPN SSTP)
Concept
• OCSP – Online Certificate Status Protocol
� Protocole normalisé
� Première implémentation dans Windows 2008 / Vista
• Fonctionnement
� Télécharge les listes de révocation depuis l’autorité de certification
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Télécharge les listes de révocation depuis l’autorité de certification
� Le serveur OSCP valide la révocation (réponse signée)
� Le client utilise de préférence OCSP
� Performances améliorées lors du contrôle de la révocation
Fonctionnement
ActiveDirectory
s1.corp.lanContrôleur de domaine
�OCSP
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s2.corp.lanAutorité de certification
w811.corp.comClient
Implémenter un serveur OSCP
• Installer le service de rôle « Répondeur en ligne »
• Sur l’autorité de certification
� Personnaliser le modèle de certificat « Signature de réponse OCSP »
� Modifier l’extension AIA de l’autorité de certification
• Sur le serveur Ocsp
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Sur le serveur Ocsp
� Créer la configuration de révocation
• Inscription automatique du certificat de signature OCSP
• Indication des « fournisseurs de révocation » (Active Directory)
• Autant d’autorité à traiter = autant de configuration de révocation
Validation du serveur OCSP
• PKI View
� Valider l’obtention du certificat de signature OCSP (Mmc certificat)
� Requiert un certificat « CA Exchange » récent
• Révoquer le dernier certificat « CA Exchange »
• Certutil -caninfo xchg
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Certutil -caninfo xchg
• Certutil -url fichierCertificat.cer
Implémentation d’un serveur OCSP
Application Pratique
ActiveDirectory
s5.corp.lanVPN SSTP
s1.corp.lanContrôleur de domaine
�s4.corp.lan
OCSP
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s2.corp.lanAutorité de certification
w811.corp.comClient
Ce qu’on a couvert
• Le fonctionnement du rôle OSCP
• L’implémentation et le dépannage du server OCSP
L’implémentation du protocole OCSP améliore les performances lors de la vérification des certificats révoqués et autorise ainsi la montée en
charge de votre infrastructure PKI Windows 2012 r2
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Sécuriser une infrastructure PKI
Sauvegarde et restaurationde l’autorité de certification
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Sauvegarde et restaurationde l’autorité de certification
Plan
• Procédure de sauvegarde
• Procédure de restauration
• Validation de la restauration
• Application pratique : Sauvegarde et restauration complète d’une autorité de certification
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
autorité de certification
Sauvegarde de l’autorité de certification
• Sauvegarde complète du système (Sauvegarde Windows Serveur)
• Sauvegarde par la console Autorité de certification
� Moins lourd et plus rapide (recommandé)
� Sauvegarder la base de donnée, les clés et les journaux
• Console « Autorité de certification »(ou CertUtil -backup « Chemin d’accès »)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Console « Autorité de certification »(ou CertUtil -backup « Chemin d’accès »)
• Sauvegarde des fichiers de post-configuration (commandes certutil) et du fichier CaPolicy.inf
� Support des sauvegardes « incrémentielles »
Procédure de restauration
• Nommer l’ordinateur avec le même nom que celui de l’autorité de certification d’origine
• Intégrer l’ordinateur au même domaine que celui de l’autorité de certification d’origine
• Importer CAPolicy.inf dans le dossier %windir%
• Ajouter et configurer le rôle AD CS
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Ajouter et configurer le rôle AD CS
� Cocher l’option utiliser une clé privé existante
� Sélectionner le certificat de l’autorité de certification originelle
• Appliquer les configurations post-installation
Application
Application pratique
Sauvegarde et restaurationd’une autorité de certification
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
d’une autorité de certificationEntreprise
Ce qu’on a couvert
• Sauvegarde et restauration de l’autorité de certification
L’autorité de certification « Entreprise » s’appuie sur l’infrastructure Active Directory et permet une gestion automatisée des certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Archivage des certificats
Sécuriser une infrastructure PKI
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Archivage des certificats
Plan
• Archivage des certificats
• Agent de récupération (rôle et implémentation)
• Récupération de certificats
• Application pratique : Archivage et restauration de certificats avec l’agent de restauration
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
l’agent de restauration
Archivage des certificats
• Sauvegarde des certificats
� Sauvegarde des certificats émis
� Sauvegarde complète ( Certificat avec clé publique + Clé privé)
� Gérée par l’autorité de certification
� Totalement automatisée
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Restauration sécurisée
� Agent de récupération
� Installation par l’utilisateur
Agent de récupération
• Certaines fonctionnalités intègrent leur agent de récupération (EFS)
• « L’agent de récupération » récupère tout certificats archivé
• Pas de droits administratifs supplémentaires requis
• Bonnes pratiques
� Utilisateur\administrateur de confiance
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Utilisateur\administrateur de confiance
� Sauvegarde manuelle des certificats « d’agent de récupération »
� Plusieurs agents de récupérations recommandés
Implémentation
• Créer un agent de récupération
� Personnaliser le modèle « Agent de récupération »
� L’agent de récupération inscrit un certificat « agent de récupération »
� Sauvegarder les certificats des agents de récupération
• Activer l’archivage des certificats
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Activer l’archivage des certificats
� Associer le\les « Agent de récupération » et Autorité de certification
• Créer de nouveau modèles de certificats avec support de l’archivage
� Dans le modèle : « Archiver la clé privée de chiffrement du sujet »
� Inscrire les nouveaux certificats
Récupération d’un certificat
• Récupérer le certificat archivé (Agent de récupération)
� Se connecter avec « Agent de récupération »
� Créer un fichier Blob (Binary Logical Object)
� Convertir le fichier .Blob en fichier .pfx
• Installer le certificat archivé (compte utilisateur ou machine)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Installer le certificat archivé (compte utilisateur ou machine)
� Importer le .pfx dans le magasin de certificat de l’utilisateur
� Valider la récupération du certificat utilisateur
Application
Application pratique
Sauvegarde et récupérationd’un certificat archivé
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
d’un certificat archivéavec un « Agent de récupération »
Ce qu’on a couvert
• La mise en place de l’archivage des certificats
• La récupération d’un certificat archivé
Les services de certificats Windows Serveur 2012 offre l’archivage des certificats émis, de façon totalement automatisée et sécurisée !
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
certificats émis, de façon totalement automatisée et sécurisée !
Architectures sécurisées
Sécuriser une infrastructure PKI
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Architectures sécurisées
Plan
• Architecture sécurisées
• Certificat des autorités de certification secondaires
• Autorité racine hors connexion
• Implémentation d’autorités de certification racine et secondaire
• Atelier pratique : Implémentation d’une architecture pki deux tiers
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Atelier pratique : Implémentation d’une architecture pki deux tiers sécurisée (avec autorité de certification racine hors connexion)
� Organisations différentes
� Eclatement géographique
� Equilibrage de la charge
� Tolérance de panne
� Usages différentes
Architecture
Autorité de certificationSecondaire
Autorité de certificationSecondaire
Autorité de certificationRacine
Hors Connexion
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Usages différentes
� Sécurité renforcée
Autorité de certificationNiveau 3
Autorité de certificationNiveau 3
Autorité de certificationNiveau 3
Autorité de certificationNiveau 3
Certificats de autorités secondaires
• Délivrés par l’autorité parente
• Révocation plus facile
• Pas plus de trois niveaux
Racine
AC
Secondaire Secondaire
�
Clé Privé Racine
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
AC AC
� �
Autorité racine hors connexion
• Système Windows
� Système arrêté en fin de configuration
� Windows Serveur 2012 r2 Standard
� Workgroup
� Machine virtuelle (recommandé pour la sauvegarde Hors connexion)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Modifier les emplacement CDP et d'AIA (Http et\ou Ldap)
• Période de validité pour les listes de révocation de certificats
Implémentation autorité racine autonome
• Installer et configurer le rôle « autorité de certification »
• Configurer des extensions (ldap et\ou http)
• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité secondaire
• Délivrer un certificat pour l’autorité secondaire
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Arrêter la vm
• Mettre le fichier de la vm CorpRootCA au coffre
Implémentation secondaire entreprise
• Installer le rôle « autorité de certification »
• Publier les listes de révocation et le certificat de l’autorité racine dans Active Directory
• Configurer le rôle « autorité de certification »
� Création du certificat de l’autorité de certification secondaire
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Faire signer le certificat de l’autorité secondaire par l’autorité racine
• Installer le certificat sur la secondaire
• Démarrer le service
Publication des certificats et Crl dans AD
• Requiert les droits « Administrateur entreprise »
• Publier le certificat de l’autorité de certification racine dans l’Active Directory
� certutil -dspublish -f « FichierCertificatCARacine.crt » RootCA
• Publier la liste de révocation de l’autorité de certification racine dans l’Active Directory
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� certutil –setreg CA\DSConfigDN C=Configuration,Dc=corp,Dc=lan
� certutil –dspublish -f « FichierRevocationCARacine.crl »
Application Pratique
Implémentation d’une hiérarchiedeux tiers sécurisée
Clé Privé
AC
�Active
Directory
�
AC
�
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Liste révocationCertificat Ca Racine
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certification secondaire entreprise
s5Autorité racine autonome
Directory
�AC
�
Ce qu’on a couvert
• L’installation d’un architecture sécurisée de Pki
� Une autorité racine autonome hors connexion
� Une autorité secondaire entreprise
� Publication des listes de révocation et certificats d’autorité de certification dans Active Directory
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
dans Active Directory
Les hiérarchies d’autorités de certification permettent une plus grande souplesse et montée en charge de votre Pki. La sécurité de la hiérarchie est assurée avec
l’implémentation d’une autorité racine hors connexion.
Architectures sécurisées
Autorité racine autonome Hors connexion
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Hors connexion(Automatisation)
Plan
• Scénario d’implémentation d’une autorité racine autonome hors connexion
• Chemins d’accès Cdp et Aia
• Automatisation de la modification des urls CDP \ AIA
• Automatisation de l’installation et de la configuration
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Automatisation de l’installation et de la configuration
• Application pratique : Installation automatisée d’une hiérarchie d’autorités de certification sécurisée
Implémentation autorité racine autonome
• Installer et configurer l’ordinateur de l’autorité racine
• Installer et configurer le rôle « autorité de certification »
• Configurer des extensions : Ldap et Http
• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité secondaire
• Délivrer un certificat pour l’autorité secondaire
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Arrêter la vm
• Mettre le fichier de la vm au coffre
Automatisations
• CaPolicy.inf
• Scripts d’installation et de configuration des rôles (PowerShell)
• Scripts de modification des Urls (Certutil, PowerShell)
• Scripts de post-installation (Certutil)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Stratégie de groupe
PowerShell (Installation de rôles)
• Get-WindowsFeature ADCS*
• Add-WindowsFeature (-IncludeManagementTools)
� ADCS-Cert-Authority (Autorité de certification)
� ADCS-Web-Enrollment (Inscription via le Web)
ADCS-Online-Cert (Serveur Ocsp)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� ADCS-Online-Cert (Serveur Ocsp)
� ADCS-Enroll-Web-Pol (Sep)
� ADCS-Enroll-Web-Svc (Ces)
� ADSC-Device-Enrollment (Ndes)
PowerShell (Configuration)
• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools
• Install-AdcsCertificationAuthority-CAType StandaloneRootCA-CACommonName « CorpRootCA »-CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR »–KeyLLength 4096-HashAlgorithName SHA1
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
-HashAlgorithName SHA1-CryptoProviderName « RSA#Microsft Software Key Storage Provider »-DatabaseDirectory ‘’D:\CertDB’’-LogDirectory ‘’D:\CertLog’’-ValidityPeriod ‘’Years’’-ValidityPeriodsUnits 20
Variables Chemins CDP \ AIA
TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP \ AIA%1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l’ordinateur de l’autorité de
certification
%2 <ServerShortName> <NomCourtServeur> Nom Netbios de l’ordinateur de l’autorité de
certification
ldap:///CN=<NomTronquéAutoritéCertification><SuffixeNomListeRévocationCertificats>,CN=<NomCourtServeur>,CN=CDP,CN=Public Key Services,CN=Services,<ConteneurConfiguration><ClasseObjetCDP>
ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
%3 <CaName> <NomAutoritéCertification> Nom logique de l’autorité de certification
%4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l’autorité de
certification
%5 <Domain DN> DN (Chemin d’accès Ldap) du domaine
%6 <ConfigDN> <ConteneurConfiguration> Chemin d’accès Ldap à la partition de configuration
%7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l’autorité de certification
(32 caractères)
%8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L’extension des Crls
%9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta
%10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory
%11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory
Variables Chemins CDP \ AIA
TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP \ AIA%1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l’ordinateur de l’autorité de
certification
%2 <ServerShortName> <NomCourtServeur> Nom Netbios de l’ordinateur de l’autorité de
certification
C:\Windows\system32\CertSrv\CertEnroll\<NomAutoritéCertification><SuffixeNomListeRévocationCertificats><ListeRévocationCertificatsDeltaAutorisée>.crl
%windir%\system32\CertSrv\CertEnroll\%3%8%9.crl
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
%3 <CaName> <NomAutoritéCertification> Nom logique de l’autorité de certification
%4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l’autorité de
certification
%5 <Domain DN> DN (Chemin d’accès Ldap) du domaine
%6 <ConfigDN> <ConteneurConfiguration> Chemin d’accès Ldap à la partition de configuration
%7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l’autorité de certification
(32 caractères)
%8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L’extension des Crls
%9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta
%10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory
%11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory
Variables CDPOptions de publications pour emplacements CDP
%1 Publier les listes de révocation des certificats à cet
emplacement
%2 Inclure dans toutes les listes de révocation des certificats.
Indique l’emplacement de destination dans Active Directory
lors des publications manuelles
%4 Inclure dans les listes de révocation des certificats afin de
pouvoir rechercher les listes de révocation des certificats
delta
%8 Inclure dans l’extension des certificats CDP émis
%64 Publier les listes de révocation des certificats delta à cet
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
%64 Publier les listes de révocation des certificats delta à cet
emplacement
%128 Inclure dans l’extension IDP des listes de révocation des
certificats émises
• n2:http://crl.pki.corp.com/CertEnroll/%3%8%9.crl
• n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
Variables AIAOptions de publications pour emplacements AIA%1 Emplacement de publication
%2 Inclure dans l’extension AIA des certificats émis
%32 Inclure dans l’extension OCSP (Online Certificate Status
Protocol)
• 1:c:\inetpub\CertEnroll\%1_%3%4.crt
• n2:http://crl.pki.corp.com/CertEnroll/%1_%3%4.crt
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
_%3%4.crt
• n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"
PowerShell (Urls Cdp \ Aia)• $crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-
CACrlDistributionPoint $crl.uri -Force}
• $aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force}
• Modification d’Urls
� Add-CAcrlDistributionPoint -Uri http://pki.corp.com/pki/<CaName> <CRLNameSuffix><DeltaCRLAllowed>.crl -AddtoCertificateCDP -Force -Verbose
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Add-CAcrlDistributionPoint -Uri http://pki.corp.com/pki/<CaName> <CRLNameSuffix><DeltaCRLAllowed>.crl -AddtoCertificateCDP -Force -Verbose
� Add-CaAuthorityInformationAccess –Uri http://pki.corp.com/pki<ServerDnsName>_<CaName><CertificateName>.crt -AddtocertificateAIA -Force -Verbose
• Restart-service certsvc \ Get-CACRLDistributionPoint \ Get-CAAuthorityInformationAccess
Certutil (Urls Cdp \ Aia)
• Suppression manuelle des Urls existantes(ou utilisation de scripts PowerShell)
• Certutil -setreg CA\CRLPublicationURLs"1:%windir%\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://crl.pki.corp.com/CertEnroll/%3%8.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"
Net Stop Certsrv
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Net Stop Certsrv
• Net Start Certsrv
• Certutil -GetReg ca\CrlPublicationUrls
• Certutil -GetReg CA\CACertPublicationURLs
Application Pratique
Autorité de certificationracine autonome hors connexion
�
Modification de UrlsCDP et AIA
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Liste révocationCertificat Ca Racine
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certification secondaire entreprise
s5Autorité racine autonome
�
Ce qu’on a couvert
• Automatisation de l’installation de l’autorité de certification racine hors connexion
• Automatisation de modifications Urls Cdp \ Aia
• Automatisation de tâches de post-installation
• Implémentation pratique : autorité de certification racine autonome hors connexion
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
connexion
L’automatisation des tâches via « CertUtil » et « PowerShell »autorise une implémentation efficace, sure et rapide de
toutes vos infrastructures complexes de PKI.
Architectures sécurisées
Autorité de certificationsecondaire entreprise
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
secondaire entreprise(Automatisation)
Plan
• Scénario d’implémentation de l’autorité secondaire entreprise
• Automatisation « PowerShell » et « Certutil »
• Publication des certificats \ listes de révocation
• CaPolicy.inf
• L’installation et les tâches de post-installation
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• L’installation et les tâches de post-installation
• Application pratique : Installation automatisée d’une hiérarchie d’autorités de certification sécurisée
Implémentation secondaire entreprise
• Installer le rôle « autorité de certification »
• Publier les listes de révocation et le certificat de l’autorité racine(localement, Active Directory, Site Web)
• Obtenir le certificat signé pour l’autorité secondaire et démarre le service
• Publier le certificat de l’autorité de certification racine aux ordinateurs du domaine (stratégie de groupe)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
(stratégie de groupe)
• Autres tâches …
� Créer les modèles de certificats personnalisés
� Activer le déploiement automatique de certificats et\ou l’itinérance de certificats
� Activer l’archivage automatique
• Sauvegarder les autorités de certification
Automatisations
• CaPolicy.inf
• Scripts d’installation et de configuration des rôles (PowerShell)
• Scripts de modification des Urls (Certutil, PowerShell)
• Scripts de post-installation (Certutil)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Stratégie de groupe
Publication des certificats\Liste de révocation
• Requiert les droits « Administrateur entreprise »
• Publier le certificat de l’autorité de certification racine
� Certutil -dspublish -f « FichierCertificatCARacine.crt » rootca
� Certutil –addstore –f root c:\s2_CorpRootCA.crt
• Publier la liste de révocation de l’autorité de certification racine dans l’Active Directory
Certutil -dspublish -f c:\CorpRootCA.crl
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Certutil -dspublish -f c:\CorpRootCA.crl
� Certutil –addstore –f root c:\CorpRootCA.crl
• La publication Active Directory s’effectue dans le conteneur « Configuration » (cn=configuration, dc=corp, dc=lan)
CAPolicy.inf CorpSubEntCA
• Paramètre de configuration de l’autorité appliqués à l’installation
� Déclaration des pratiques de certification(CPS - Certification Practice Statement)Définit les mesures prises pour sécuriser les opérations de l’autorité et la gestion des certificats émis
� Identificateur d'objet (OID - Object IDentifier)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Identificateur d'objet (OID - Object IDentifier)Inscrit auprès de l’IANA (Internet Assigned Number Autority)Associé à la CPS
� Taille des clés et période de validité du certificat
� Intervalles de publication des listes de révocations
PowerShell (Installation de rôles)
• Get-WindowsFeature ADCS*
• Add-WindowsFeature (-IncludeManagementTools)
� ADCS-Cert-Authority (Autorité de certification)
� ADCS-Web-Enrollment (Inscription via le Web)
ADCS-Online-Cert (Serveur Ocsp)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� ADCS-Online-Cert (Serveur Ocsp)
� ADCS-Enroll-Web-Pol (Sep)
� ADCS-Enroll-Web-Svc (Ces)
� ADSC-Device-Enrollment (Ndes)
PowerShell (Configuration)
• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools
• Install-AdcsCertificationAuthority-CAType StandaloneRootCA-CACommonName « CorpRootCA »-CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR »–KeyLLength 4096-HashAlgorithName SHA1
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
-HashAlgorithName SHA1-CryptoProviderName « RSA#Microsft Software Key Storage Provider »-DatabaseDirectory ‘’D:\CertDB’’-LogDirectory ‘’D:\CertLog’’-ValidityPeriod ‘’Years’’-ValidityPeriodsUnits 20
Post Installation
Période de chevauchement Crl et CrlDelta
� Certutil -SetReg CA\CRLOverlapPeriodUnits 24
� Certutil -SetReg CA\CRLOverlapPeriod "Hours"
Activation de l’audit
Certutil -SetReg CA\AuditFilter 127
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Certutil -SetReg CA\AuditFilter 127
• Net Stop Certsvc
• Net Start Certsvc
• Certutil -Crl
Application Pratique
Implémentation d’une hiérarchiedeux tiers sécurisée
Clé Privé
AC
�Active
Directory
�
AC
�
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Liste révocationCertificat Ca Racine
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certification secondaire entreprise
s5Autorité racine autonome
Directory
�AC
� Serveur Web
Ce qu’on a couvert
• Automatisation de l’installation de l’autorité secondaire entreprise
• Automatisation de modifications Urls Cdp \ Aia
• Automatisation de tâches de post-installation
• Implémentation pratique complète
L’automatisation des tâches via « CertUtil » et « PowerShell »
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
L’automatisation des tâches via « CertUtil » et « PowerShell »autorise une implémentation efficace, sure et rapide de
toutes vos infrastructures complexes de PKI.
Autres Rôles PKI
Certificate Enrollment Web
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Certificate Enrollment Web Services (Cep\Ces)
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Plan
• Concept
• Fonctionnement
• Scénarios d’utilisation
• Paramétrages
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Mode « Renouvellement seul »
• Atelier pratique : Implémentation et validation de Cep\Ces
Concept
• Inscription et renouvellement de certificats clients en Https
• Certificate Enrollment Policy Web Service (Cep)
• Certificate Enrollment Web Service (Ces)
• Cep\Ces Open document (client ouvert)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Inscription par mot de passe
• Renouvellement avec authentification sur la base du certificat inscrit
• Mode « renouvellement seul »
Fonctionnement
• Avec des ordinateurs « membres du domaine » : Ldap, Kerberos et Rpc\Dcom
• Ordinateurs non membres du domaine et\ou pas d’accès à travers le pare-feu
• Flux en Https
� CEP - Certificate Enrollment Policy Web Service (Ldap)
� CES - Certificate Enrollment Web Service (Rpc \ Dcom)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� CES - Certificate Enrollment Web Service (Rpc \ Dcom)
• Les deux services Cep and Ces (peuvent être sur le même pc)
• Inscription par le web est interactive (construction de requêtes spécifiques). Cep\ces fournit l’inscription et le renouvellement automatique de certificats
• Paramétrage client par stratégie locale(Windows 7\Windows 2008 r2 et supérieur)
Fonctionnement
ActiveDirectory
CEPCertificate Enrollment Policy Web Service
ClientWorkgroup ou Domaine
Ldap
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autoritéde certification
CESCertificate Enrollment Web Service
Uniquement en HttpS
Rpc \ Dcom
Scénarios d’utilisation
• Consolidation de forêt avec connexion Https sur une seule autorité de certification dans la forêt
� Authentification Kerberos
� Délégation
• Dans le même domaine ou en Workgroup mais hors entreprise(ne peuvent communiquer qu’en HttpS avec Cep \ Ces en Dm)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
(ne peuvent communiquer qu’en HttpS avec Cep \ Ces en Dm)
• Direct AccessCertificats obtenus lors du processus de boot
• Ordinateurs en Workgroup
Pares-feu
• Paramétrage du pare-feu
� Https (Tcp 443) et Ldap (Tcp 389 \ 636)(Cep)
� Plage de ports Dcom aléatoires et éphémèresPlage de port configurable(Ces)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
(Ces)
� Le(s) ordinateur(s) qui hébergent les services Cep\Ces doit être membre du domaine de l’autorité de certification
Comptes de service
• Compte « Application Pool ID » (à l’installation)
• Compte de domaine (pas de compte locaux supportés) ou Compte de service géré
� Membre du groupe IIS local « IIS_IUSRS »
� Autorisation « Demander des certificats » sur l’autorité de certification
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Autorisation « Demander des certificats » sur l’autorité de certification
� Délégation requise si authentification par « Kerberos » ou « Certificats »
� Spn requissetspn -s https/ces.pki.corp.com corp\ces_svc
CEP \CES Authentification
• Intranet (Scénarios même forêt \ Consolidation de forêts)
� Authentification Windows intégrée pour usage sur le réseau interne
• Internet (Workgroup \ Https uniquement)
� Certificat ! plus sécurisé(mécanisme supplémentaire pour acquérir ce certificat)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
(mécanisme supplémentaire pour acquérir ce certificat)
� Nom + mot de passe (première inscription)
� Pas de d’accès anonymes
Cep \ Ces Délégation
• Requise (toutes les conditions remplies)
� L’autorité n’est pas sur le même serveur que le service
� Ces effectue le processus d’inscription
� L’authentification est de type : « Certificat » ou « Kerberos »
• Non requise
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Non requise
� L’autorité est sur le même serveur que le service
� L’authentification est de type : « Nom\Mot de passe »
� Ces est en mode « renouvellement seul »
CES \ CES
• Schéma Active Directory 2008 r2 minimum
• Autorité de certification Entreprise pour 2008 r2
• Serveurs Cep\Ces membres du domaine
• Client Windows 7 \ Windows 2008 r2 et supérieur
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Requiert un certificat pour Https
• Administrateur de l’entreprise pour l’installation
• Cohabite avec tous les services de rôles AD CS
• Plusieurs urls publiables pour la tolérance de panne (pas de Nlb)
Implémentation
• Obtenir un certificat Ssl
• Ajouter et configurer les rôles
• Personnaliser IIS (Compte de service, Friendly Name, Urls)
• Paramétrer le client par stratégies de groupe locales
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Url(s) Cep et\ou renouvellement automatique
• Tester l’obtention d’un certificat
Mode renouvellement seul
• L’inscription avec identité de l’utilisateur augmente les chances d’attaque depuis Internet donc …
• Mode « Renouvellement seulement »
� Le renouvellement se fait sur la base de la confiance au premier certificat
� Le certificat est renouvelé sur la base de ses informations
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Pas « d’impersonnalisation » de l’utilisateur ((impersonation : « Agir en tant que »)
� Implique de posséder un premier certificat (délivré en contexte sécurisé)
� Plus sûr
Implémentation Cep\Ces
Application Pratique
ActiveDirectory
Cep\Ces
s1.corp.lanContrôleur de domaine
Requête Modèles de certificatsStratégies LocalesUrl Cep
Requête certificat
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
s3.corp.lans2.corp.lan
Autorité de certification
w811Client en workgroup
�Uniquement HttpS
Ce qu’on a couvert
• Le concept et les scénarios d’usage de Cep\Ces
• Les paramètres d’implémentation
� Délégation
� Compte de service
Infrastructure (pare-feu, protocoles)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Infrastructure (pare-feu, protocoles)
• Application pratique d’implémentation de Cep\Ces
Cep\Ces offre une inscription et un renouvellementautomatique et sécurisé de certificats pour les ordinateurs
en Workgroup ou les ordinateurs en domainemais disposant d’une connexion en https uniquement.
Autres Rôles Pki
Network Device EnrollmentService (Ndes)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Network Device EnrollmentService (Ndes)
Plan
• Concepts
• Authentification des périphériques
• Fonctionnement de Ndes
• Post-installation de l’autorité d’inscription
• Compte de service « Ndes »
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Compte de service « Ndes »
• Gestion des mots de passes des périphériques
• Procédure d’implémentation
• Application pratique : Implémentation de Ndes
Concepts
• Service d’inscription de périphériques réseau (Network DeviceEnrollment Service)
• Implémentation Microsoft du protocole SCEP (Simple CertificateEnrollment Protocol) développé par Cisco et Microsoft
• Améliore la sécurité de la communication avec le périphérique(802.1x requiert des certificats installés sur des commutateurs et des
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
(802.1x requiert des certificats installés sur des commutateurs et des points d'accès, Secure Shell (SSH), Ipsec …)
• Inscription et renouvellement de certificats pour des périphériques
� Sans comptes Active Directory
� Protocole léger (peu de mémoire)
Authentification des périphériques
• Authentification par un mot de passe
� L’administrateur NDES requiert un mot de passe pour le périphérique
� L’administrateur du périphérique installe\utilise le mot de passe sur le périphérique pour son authentification
• Le périphérique est approuvé puisqu’il dispose du mot de passe de
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Le périphérique est approuvé puisqu’il dispose du mot de passe de l’administrateur NDES qui lui-même est approuvé par l’autorité de certification
• L’administrateur NDES agit comme un agent d’inscription pour le périphérique
Fonctionnement Ndes
Contrôleur de domaine
x2?q21xu
x2?q21xu
�x2?q21xu
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autorité de certificationNetwork DeviceEnrollment Services
x2?q21xu�
x2?q21xu
x2?q21xu
Post-installation de l’autorité d’inscription
• Compte d'utilisateur dédié au service ou compte de service réseau
• Certificat SSL pour la sécurisation de la page Web des « mots de passe des périphériques »
• Taille des clés de signature et de chiffrement employées pour signer et chiffrer la communication entre l'autorité de certification et l'autorité d'inscription
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
d'inscription
• Créer un modèle de certificat personnalisé pour les certificats émis aux périphériques
� La longueur des clés des certificats émis aux périphériques
� La durée de vie de ces certificats
Compte de service Ndes
• Compte de domaine et membre du groupe « IIS_IUSRS » local du serveur Ndes
• Autorisation « Demander des certificats » sur l’autorité de certification
• Autorisation «Lecture » et « Inscrire » sur le modèle de certificats utilisé pour délivrer des certificats aux périphériques
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Sur le pool applicatif « SCEP »
� Paramètres avancés\Charger le profil utilisateur (True)(Utilisation d’un mot de passe unique …)
Gestion du mot de passe
• HkeyLocalMachine\Software\Microsoft\Cryptography\Mscep
� EnforcePassword (Activation\Désactivation du mot de passe)
� PasswordValidity (60 minutes)
� PasswordMax (5 par défaut)
� PasswordLength (8 caractères par défaut)
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� PasswordLength (8 caractères par défaut)
� UseSinglePassword (Mot de passe unique pour tous les périphériques)
� Modèles de certificats utilisés pour les périphériques
• Redémarer Iis (iisreset)
Procédure d’implémentation
• Créer le compte Utilisateur Ndes (compte de service Ndes)
• Créer un modèle de certificat personnalisé pour les périphériques réseau
• Installer le rôle « Services d’inscription de périphériques réseau »
� Créer et inscrit deux nouveaux modèles pour la signature\chiffrement des
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� Créer et inscrit deux nouveaux modèles pour la signature\chiffrement des demandes de certificat auprès de l’autorité
• Active le modèle de certificat personnalisé pour les périphérique
• Générer les mots de passe pour les périphériqueshttps://NomDnsServeurNdes/certsrv/mscep_admin
Implémentation Ndes et gestion des motsde passes de périphériques
Application Pratique
s3.corp.lans1.corp.lan s2.corp.lan
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
ActiveDirectory
s3.corp.lanAutorité d’enregistrement (Ndes)
s1.corp.lanContrôleur de domaine
s2.corp.lanAutorité de certification
Ce qu’on a couvert
• Concept du protocole scep
• Fonctionnement et l’implémentation de Ndes
• Gestion des mots de passe des périphériques
• Application pratique : Implémentation et gestion des mots de passe Ndes
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ndes
Ndes offre la possibilité d’inscrire et renouveler des certificatspour des périphériques réseaux supportant le protocole SCEP
auprès d’une autorité de certification Microsoft.
Conclusion
Implémenter une PKIavec ADCS 2012 r2
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Patrick IZZOFormateur Technique Indépendant Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : [email protected]
Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum
Conclusion
Ce qu’on a couvert• Un tour d’horizon complet des Pki \ Services de certificats sous
Windows 2012 r2
� Cryptographie
� Autorité entreprise
� Les architectures sécurisées
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
� L’automatisation
� Tous les rôles ADCS (Ocsp, Cep\Ces, Ndes …)
Une expérience … pratique !!Avec de nombreux ateliers concrets
(Efs, Vpn, Signature de code …)
Références
• Microsoft (Web)
� http://technet.microsoft.com/en-us/windowsserver/dd448615
� http://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-enrollment-web-services-in-active-directory-certificate-services.aspx
� https://social.technet.microsoft.com/Forums/windowsserver/en-US/home?searchTerm=pki
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
https://social.technet.microsoft.com/Forums/windowsserver/en-US/home?searchTerm=pki
• Livre
� Windows Server 2008 PKI and Certificate Security (Brian Komar)
Cartes à puces \ Token Usb
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cartes à puces \ Token Usb
Mme Typhaine [email protected]://www.cardelya.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Http://www.cardelya.fr
Http://www.scardshop.com/boutique/liste_rayons.cfm
Une question ??
• IZZO Patrick
• Travailleur indépendant après salariat en SSII
• Formateur technique Windows serveur 2012 R2
• MCP, MCSA 2008 R2, MCSA 2012 R2
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
• Mes références :
� LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458� Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo� Alphorm http://www.alphorm.com/auteur/patrick-izzo� Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx
(Login : 692101 password : 58964781)
Merci !!!
A bientôt sur …
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©