Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2

Titre de vidéo

Implémenter une PKI avec ADCS 2012 R2

Présentation de la formation

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©

Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum

Titre de vidéoPrésentation de la formation

Patrick IZZOFormateur Technique Indépendant Solutions Microsoft

Certifications : MCT, MCSE 2008, MCSA 2012

Contact : [email protected]

Plan

• Présentation du formateur

• Pourquoi une session sur les Pki 2012 R2?

• Publics concernés et prérequis

• Le plan de formation


• Les ateliers pratiques

• Architecture de base des ateliers pratiques

Le formateur• IZZO Patrick

• Travailleur indépendant après salariat en SSII

• Formateur technique Windows serveur 2012 r2

• MCP, MCST, MCSA 2008 r2, MCSA 2012 r2

MCT (1997 - 2014) [email protected]


• MCT (1997 - 2014)

• Mes références :� LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458� Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo� Alphorm http://www.alphorm.com/auteur/patrick-izzo� Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx

(Login : 692101 password : 58964781)

[email protected]

Pourquoi une formation PKI 2012 R2?• Pki (Public Key Infrastructure

� Environnement sécurisé de gestion et d’utilisation de certificats

� La base de toute sécurité d’entreprise !!

• Des concepts nouveaux

• Une implémentation multi-composantes


• Une implémentation multi-composantes

• Richesse de fonctionnalités

• Gain de temps

• Aide au passage des certifications Microsoft (70-412)

Publics concernés

• Techniciens de support

• Administrateurs, ingénieurs systèmes

• Architecture informatique

• Spécialiste en sécurité


• Spécialiste en Pki d’entreprise

• Passage des certifications Microsoft (70-412)

Connaissances requises

• Connaissances de base sur la gestion des systèmes d’exploitation Windows

• Connaissances de base sur les réseaux

• Connaissances sur l’Active Directory

• Pas de prérequis sur la cryptographie (couvert par la session)


• Pas de prérequis sur la cryptographie (couvert par la session)

Le plan de formation1. Présentation

2. CryptographieType de chiffrementCertificats, Clés publiques\privés

3. Autorité de certification EntreprisePrésentation d’une autorité de certificationInstallation d’une autorité de certification

5. Sites Web sécurisés

Implémentation de SslNouveautés IIS 8 et IIS 8,5

6. Révocation de certificats

Révocation LanRévocation WanServeur OCSP

7. Sécurisation d'une infrastructure de clé publiques


4. Inscription de certificatsModèles de certificatsInscription manuelleInscription via le WebInscription automatiqueItinérance des certificatsAgent d'inscription

7. Sécurisation d'une infrastructure de clé publiques

Sauvegarde et restaurationArchivage des certificatsArchitectures sécuriséesInstallations automatisées autorité racineInstallations automatisées autorité secondaire

8. Autres rôles Pki

Certificate Enrollment Web Services (Cep\Ces)Network Device Enrollment Service (Ndes)

9. Conclusion

Ateliers pratiques

• Exemples d’ateliers …

� Cryptage de fichiers Efs\Agent de récupération (Domaine \ Workgroup)

� Cartes à puce\Agent de récupération

� Vpn SSTP

� Signature de code PowerShell


� Signature de code PowerShell

� Sites Web Sécurisés …

• Architecture des ateliers

� Machines virtuelles (Hyper-V 3)

Liens des ressources logicielles• Source Windows 8.1 (version Entreprise)

� http://technet.microsoft.com/fr-fr/windows/hh771457.aspx

• Source Windows 2012 Server � http://technet.microsoft.com/fr-fr/evalcenter/hh670538.aspx


Architecture domaine : Corp.lan

Applications Pratique

ActiveDirectory

s1.corp.lan

�


s5.corp.lans2.corp.lan

Autorité de certification

w811.corp.com s4.corp.lan

10.0.0.1

10.0.0.2

80.0.0.11 10.0.0.4 10.0.0.5

Ce qu’on a couvert

• Présentation dur formateur

• Pourquoi les une session sur les Pki 2012 r2 ?

• Les prérequis de la formation

• Le contenu (plan et ateliers pratiques)


� C’est parti !!

Cryptographie

Introduction au PKI


Introduction au PKI et à la Cryptographie





Plan

• Rôle des PKI

• Utilisation des PKI

• Composantes de PKI

• Technologies de Cryptographie

• Cryptage Symétrique\Asymétrique


• Cryptage Symétrique\Asymétrique

• Certificats

• Application : Chiffrement de fichiers (EFS)La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.

Rôle des PKI

• Pki (Public Key Infrastructure ou Infrastructure de clé publique)

� Technologies de cryptographie pour la sécurisation de votre environnement informatique

� Utilisé pour :

• Confidentialité (Chiffrement)


• Confidentialité (Chiffrement)

• Authentification (Utilisateur, Ordinateur)

• Intégrité (Données non modifiées)

Exemples d’utilisation des PKI

• Fichiers (Efs, Bitlocker)

• Pilotes, ActiveX, Macros, Scripts PowerShell

• Site Web (Ssl)

• Connexions réseau (Vpn, Wifi…)


• Sécurisation de trafic réseau (IpSec…)

• Authentification Forte (Cartes à puce)

• Mails

• …

Composantes d’une architecture de PKI

• Cryptographie

� Algorithmes mathématiques

� Certificats

• Autorités de certifications (Gestion des certificats)


Cryptage symétrique

• Algorithme mathématique + Clé (élément variable de l’algorithme)

� Algorithmes mathématiques : Des, 3Des ou Aes …

� Une seule clé (128, 256 bits)

• La clé symétrique doit être transmise à l’aide de moyen de communication sécurisé


Bonjour

communication sécurisé

3Décaler de :

ErqmrxrErqmrurErqmourErqjourErnjourBonjourBonjourEonjourErqmrxu

3Décaler de :

Erqmrxu

Bob

EonjourErnjourErqjourErqmourErqmrurErqmrxrErqmrxuErqmrxu

Composantes Cryptage asymétrique

• Certificat

� Utilisation des clés, propriétaire, durée de vie…)

� Clé publique

• Clé Privé

Stocké dans un emplacement protégé sur l’ordinateur

Bob

Clé Publiquede Bob


� Stocké dans un emplacement protégé sur l’ordinateur

� Lien mathématique de 1 à un entre la clé privé et la clé publique

Clé Privéede Bob

1 1

Bob

Clé Publiquede Bob

Cryptage asymétrique

• Certificat avec Clé publique + Clé Privé

� Je chiffrer avec la « Clé publique » de Bob

� Bob déchiffrer avec sa « clé privée »

Clé Privéede Bob

Clé Publiquede Bob


Bonjour !Erqmrxu Bonjour

Bob

Bob

1 1

Comparatif types de cryptage ?

• Cryptage symétrique

� Plus rapide, une seule clé de petite taille (128, 256 bits)

� Requiert une communication déjà sécurisée pour l’échange de la clé

• Cryptage Asymétrique

Plus lent (100 fois ou plus …), deux clés (Publique\Privé + un certificat)


� Plus lent (100 fois ou plus …), deux clés (Publique\Privé + un certificat)

� Taille des clés plus importante (1024, 2048, 4096 bits)

� Totalement sécurisé

• Lequel utiliser ??

Combinaison Symétrique \ Asymétrique

• On utilisera toujours une combinaison de cryptage Symétrique \Asymétrique !!!

• Chiffrement du contenu : Symétrique

� Plus rapide

• Protection de la clé : Asymétrique


• Protection de la clé : Asymétrique

� Totalement sécurisé

� Le chiffrement asymétrique sécurise la clé symétrique !!!

Combinaison Symétrique\Asymétrique

• Chiffrement avec un clé symétrique

• Protection de la clé symétrique en Asymétrique

� Lien mathématique de 1 à un entre la clé privé et la clé publique

Clé Privéede Bob

Clé Publiquede Bob

1 1


Bonjour !Erqmrxu Bonjour

3# 3

La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.

Bob

Bob

Cryptage EFS

• Encryption File System

• Chiffrement de fichiers ou de dossiers

• Rapide, performant (intégré au noyau Ntfs)

• Combine cryptage symétrique et asymétrique


• Transparent

• Les fichiers cryptés apparaissent en vert

Fonctionnement du chiffrement EFS

• L’utilisateur demande à crypter son document

• Le système génère une clé aléatoiresymétrique dans l’entête du fichier

• Le document est crypté à l’aide de la clé symétrique

3#Bob


• La clé symétrique est crypté en asymétrique avec la clé publique de l’utilisateur

Ceci est un document confidentiel

ëH3ÿ 32ö ë! I‹ÉÿÅH‹ÈH‹øÿÅH‹ÏŠð

Déchiffrement EFS

• Fonctionnement du déchiffrement EFS

� L’utilisateur ouvre le document

� Le système récupère la clé privéde l’utilisateur

� le système déchiffre la clé symétriqueà l’aide de la clé privé de l’utilisateur

#3Bob

Clé Privéede Bob


le système déchiffre la clé symétriqueà l’aide de la clé privé de l’utilisateur

� Le système déchiffre le document à l’aidede la clé de chiffrement symétrique



Application

Application pratique

Chiffrement de fichiers EFS


Chiffrement de fichiers EFS


• Le fonctionnement de la cryptographie

� Combinaison de cryptage Symétrique et Asymétrique

� Les composantes d’un certificat

� Le rôle des clés, publique et privée, associées

� Application avec le cryptage de fichier (Efs)


� Application avec le cryptage de fichier (Efs)

Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI


Cryptographie

Partage de fichiers


Partage de fichiers cryptés





Plan

• Partage de fichiers cryptés

• Application : Partage de fichiers cryptés Efs



Partage de fichiers cryptés EFS

• L’utilisateur U1 souhaite partager son fichier crypté avec u2 et u3…Sans communiquer sa clé privée !!!

• Fonctionnement :

� Chaque utilisateur pour qui l’on partage le fichier disposera de sa copie de l’entête comprenant la clé symétrique qu’il chiffrera, ou déchiffrera, avec ses clés publique\privé !


clés publique\privé !

� Il y aura autant d’entêtes dupliqués que d’utilisateurs avec qui l’on partagera le fichier

Partage d’un fichier chiffré - Entêtes

• Le système décrypte la clé symétriqueà l’aide de la clé privé de Bob

• Le système duplique un nouvelentête pour l’utilisateur « U2 »

• La clé symétrique du nouvel entêteest chiffré en asymétrique à l’aide

3#Bob

3

#U2

Clé Privéede Bob

#


est chiffré en asymétrique à l’aidede la clé publique de l’utilisateur « U2 »

• Il y aura autant d’entête que d’utilisateursavec qui l’on partagera le fichier …


Partage d’un fichier chiffré - Lecture

• L’utilisateur « U2 » n’accède pas à l’entêtede l’utilisateur (Bob)

• L’utilisateur « U2 » accède àson entête

• Il décrypte la clé symétrique à l’aidede sa clé privé d’utilisateur « U2 »

3#

U2 #3

Clé Privéede U2


de sa clé privé d’utilisateur « U2 »

• Il déchiffre le document à l’aide de la clé symétrique déchiffrée



Application


Partage de fichiers EFS


Partage de fichiers EFS



� Partage de fichiers cryptés Efs



permet une implémentation efficace de votre infrastructure de PKI


Cryptographie

Agents de récupération


Agents de récupération EFS





Plan

• Agents de récupération Efs

• Application : Agent de récupération Efs



Agents de récupération EFS

• L’agent de récupération accède à tout les fichiers cryptés !!!Sans communiquer les clés privées des utilisateurs à l’agent de récupération

• Le principe est la même que pour le partage de fichiers cryptés

� Chaque « agent de récupération » dispose d’une copie de l’entête comprenant la clé symétrique qu’il chiffre ou déchiffre avec ses clés


comprenant la clé symétrique qu’il chiffre ou déchiffre avec ses clés publique\privé !

� Il y aura autant d’entêtes dupliqués que d’ « agents de récupération » déclarés sur l’ordinateur

Agents de récupération - Entête

• Le système décrypte la clé symétriqueà l’aide de la clé privé de Bob

• Le système duplique un nouvelentête pour l’agent de récupération

• La clé symétrique du nouvel entêteest chiffré en asymétrique à l’aide

3#Bob

3

#AR1

Clé Privéede Bob

#


est chiffré en asymétrique à l’aidede la clé publique de l’agent de récupération


Agents de récupération - Déchiffrement EFS

• L’agent de récupération n’accède pas à l’entêtede l’utilisateur (Bob)

• L’agent de récupération accède àson entête

• Il décrypte la clé symétrique à l’aidede sa clé privé d’agent de récupération

3#

AR1 #3

Clé Privéede AR1


de sa clé privé d’agent de récupération

• Il déchiffre le document à l’aide de la clé symétrique déchiffrée



Application


Agent de récupération EFS


Agent de récupération EFS



� Agent de récupération Efs



permet une implémentation efficace de votre infrastructure de PKI


Autorité de certification Entreprise

Présentation d’une autorité






Présentation d’une autorité de certification

Plan

• Rôle de l’autorité de certification

• Authentification et intégrité des certificats

• Type d’autorité de certification


Rôle de l’autorité de certification

• Autorité de certification (Certification Authority – CA)

• Gestion des certificats

� Délivrer des modèles personnalisés de certificats(Utilisateur, Ordinateurs, Services)

� Archiver


� Archiver

� Révoquer

• Signature de certificats

� Authentification

� Intégrité

Authentification des certificats - Signature

Clé Publique AC Clé PrivéAC

AC

1 1

�


Autorité decertification

1 1

Bob

Clé PubliqueBob

Clé PrivéBob

��

Authentification des certificats - Intégrité

Bob

Clé PubliqueBob

��Signature CorpCA

• Algorithme mathématique de Hash

� Md5 (plus rapide)

� Sha (plus sécurisé)

• Calculé à la création

Validé à chaque utilisation du certificat


• Validé à chaque utilisation du certificat

�Hash : 12345678910

Hash : 12345678910

Authentification\Integrité des certificats

Clé PubliqueBob

1 1Clé Privé

Bob

Clé Publique AC Clé PrivéAC

AC

1 1

�


Autorité decertification

Bob

Bob1 1 Bob

�Signature CorpCA

�Hash : 12345678910Hash : ##########Hash : 12345678910

Hash : 12345678910

Application


Calcul de valeurs de Hash


Calcul de valeurs de Hash

Type d’Autorité de certification

Autonome

� Ne requiert pas Active Directory

� Ne requiert pas que le serveur « Autorité de certification » soit membre du domaine

� Demande de certificats exclusivement par navigateur Internet

Entreprise

� Requiert Active Directory

� Le serveur « Autorité de certification » doit être membre du domaine

� Approbation automatique des requêtes de certificats


� Les utilisateurs fournissent des informations d’identifications

� Demandes en attentes jusqu’à approbation manuelle

� Modèles de certificat non personnalisables

� Pour un usage interne et externe (Internet)

� Demande de certificatsNavigateur WebManuelle (Mmc composant certificat)Automatique (Stratégies de groupe)Agent d’inscription

� Modèles de certificat personnalisables

� Pour un usage interne à l’entreprise


• Rôle de l’autorité de certification

• Authentification et intégrité des certificats

• Type d’autorité de certification



Autorité de certification Entreprise

Installation d’une autorité






Installation d’une autorité de certification

Plan

• Considération pré-installation

• CAPolicy.inf

• Post installation

• Installation


• Inscription de certificats

Considération pré-installation

• Installation complète ou minimale (Serveur Core) de Windows

• Appartenance au domaine et nom d'ordinateur non modifiable après le déploiement d'une autorité de certification (quelque soit le type)

• Le choix du fournisseur de service de chiffrement cryptographique

� Compatible avec les applications, services


� Compatible avec les applications, services

� Nom avec un caractère # : Fournisseur (CNG Cryptography Next Generation)

• Valeur de la clé (2048 minimum recommandé)

• Durée de vie du certificat de l’autorité

CAPolicy.inf

� Paramètre de configuration de l’autorité appliqués à l’installation et lors du renouvellement du certificat de l’autorité de certification

[Version]Signature= "$Windows NT$"

[Certsrv_Server]RenewalKeyLength=2048


RenewalKeyLength=2048RenewalValidityPeriodUnits=20RenewalValidityPeriod=years

� Doit être placé dans le dossier %windir%

Post installation

• Appliquer les paramètres de fonctionnement (certUtil)

� certutil -setreg CA\CRLPeriodUnits 3

� certutil -setreg CA\CRLPeriod "Days"

� certutil -setreg CA\AuditFilter 127

• Publier une liste de révocation


• Publier une liste de révocation

• Personnalisation de modèles de certificats

• Tester l’inscription d’un certificat (Mmc : Certificats)

• Sauvegarder l’autorité de certification

Application


Implémentation d’une autoritéde certification racine entreprise


s1.corp.lanContrôleur de domaine

s2.corp.lanAutorité de certification

w811.corp.lanClient


• Considération pré-installation

• CAPolicy.inf

• Post installation

• Installation


• Inscription de certificats


Inscription de certificats

Modèles de certificats






Modèles de certificats

Plan

• Qu’est ce qu’un modèle de certificat

• Les versions des modèles de certificat

• Application pratique : Personnaliser un modèle de certificat et l’inscrire


Qu’est ce qu’un modèle de certificat ?

• Il définit les propriétés des certificats émis

� La durée de validité

� Le\les rôles

� Qui peut inscrire le certificats

� Méthode d’inscription


� …Partition Configuration

• Il est stocké dans l’Active Directory ()

• Il est répliqué sur toutes les autorités de certifications de la forêt

Versions des modèles de certificat

• Systèmes d’exploitation et versions

� Windows 2000 Server : Version 1

� Windows Server 2003 Enterprise : Version 1 et 2

� Windows Server 2008 Enterprise Edition : Version 1, 2 et 3

� Windows Server 2012 : Versions 1, 2, 3 et 4


• Prise en charge des modèles de certificats

� Avant Windows Server 2008 R2, uniquement avec les éditions Entreprise

� Windows Server 2008 R2 \2012 et 2012 r2 aussi avec les éditions Standard

Versions des modèles de certificats

• Version 1

� Compatibles toutes versions d’autorités de certifications Microsoft

� Non modifiables

• Version 2

� Obtenu par duplication d’une version 1 et personnalisables


� Obtenu par duplication d’une version 1 et personnalisables

• Version 3

� Prends en charge CNG (Cryptography Next Generation) et Algorithmes Cryptographie Suite B)

� Nouveau modèle « signature de réponse OCSP »

Versions des modèles de certificat

• Version 4 \ Windows Serveur 2012 et Windows 8

� l'onglet Compatibilité : Liste les fonctions non disponibles en fonction du système client et de l’autorité de certification

� Prise en charge de plus de CSP

� Prise en charge du renouvellement avec une même clé


Prise en charge du renouvellement avec une même clé

• Mise à niveau des modèles après mise à niveau de l’autorité de certification vers 2012 \ 2012 r2 (oui à l’invite de mise à jour des modèles)

Application


Création et inscriptiond’un modèle de certificat personnalisé




Modèle : CorpUser

w811.corp.lanClient

Inscription du certificat

Ce qu’on a couvert• Les modèles de certificats

� Créer et personnaliser

� Gestion des versions

� Inscription d’un certificat basé sur les nouveaux modèles

La création de nouveaux modèles personnalisés permet le contrôle


La création de nouveaux modèles personnalisés permet le contrôledes certificats inscrits ainsi que de leurs propriétés.

Inscription via le Web







Inscription via le Web

Plan

• Qu’est ce que l’inscription via le Web

• Configuration requise pour le navigateur Web

• Application pratique : Inscription d’un modèle personnalisé via le Web


Inscription via le Web • Demande de certificat avancée ou si l'inscription automatique ne peut pas être utilisée

• Inscription manuelle au travers d’un site Web

• Rôle « Inscription de l’autorité de certification via le Web »

� Ajout d’un serveur Web IIS

� Ajout de page Web pour la demande de certificats

• Utiliser l’url « http(s)://nom serveur/certsrv »


Configuration du navigateur Web

• Requiert un certificat Ssl pour un accès en Https

• Accès en http pour l’intranet

� Ajouté au « Sites de confiance » ou au site « Intranet local »

• Personnaliser le niveau …

- Connexion automatique uniquement dans la zone intranet

- Contrôles d’initialisation et de script non marqués comme sécurisé pour l’écriture de script


- Contrôles d’initialisation et de script non marqués comme sécurisé pour l’écriture de script

• Autorisations « Lire » et « Inscription » sur le modèle de certificat

• Ne peux pas être utilisé pour les certificats machines

Application


Inscription de certificats via le Web



s2.corp.lanAutorité de certificationInscription de certificat

http://s2.corp.lan/certsrv

w811.corp.lanClient

Ce qu’on a couvert• Inscription de certificats via le Web

� Implémentation du rôle

� Configuration du navigateur

� Inscription d’un certificat via le Web

L’inscription via le Web est utile lors d’inscription de certificats pour des


L’inscription via le Web est utile lors d’inscription de certificats pour des utilisateurs qui ne disposent pas de compte utilisateurs dans Active Directory.

Inscription automatique








Plan

• Implémenter Efs avec Active Directory

• Inscription automatique de certificats

• Application pratique : Personnaliser le modèle Efs pour l’inscription automatique


Particularité pour le modèle EFS

• Le modèle Efs de base est codé en dur dans le code du système

� Créer un nouveau modèle personnalisé

� Paramétrer Efs par stratégie de groupe :

• Autoriser le chiffrement Efs

• Changer le modèle Efs utilisé par défaut par le modèle personnalisé


• Interdire l’utilisation de certificats auto-signé

• Ajouter le menu contextuel « Chiffrer\Déchiffrer »


• Autorité de certification « Entreprise » et membre du groupe « admins du domaine » ou « administrateurs de l'entreprise »

• Autorisation « Inscription automatique » à des groupes « globaux » ou « universels » (requiert les autorisations : « Lire » et « Inscription »)

• Autorisation « Lecture » au groupe « Utilisateur authentifié »

� Affichage des modèles de certificats dans AD DS


� Permet à l'Autorité de certification, exécutée dans le contexte Système, d'afficher les modèles de certificats lors de l'attribution de certificats

• Autoriser la stratégie de groupe « Client des services de certificats - Inscription automatique », coté utilisateur et\ou coté ordinateur


• L'inscription automatique s’exécute toutes les huit heures

• Le modèle de certificat peut spécifier une interaction utilisateur à l’inscription (fenêtre contextuelle 1mn après ouverture de session)

• Permet aussi (par stratégie de groupe) :

� Le renouvellement automatique de certificat


� Le remplacement des modèles obsolètes

• Onglet modèles obsolètes du nouveau modèle

Application


Inscription automatiqued’un modèle de certificat « CorpEfs »



Stratégies EFS


Modèle : CorpEfs

w811.corp.lanClient

Chiffrement de fichiers

Ce qu’on a couvert• L’utilisation de modèles de certificat pour EFS en contexte Active

Directory

• L’inscription automatique de certificats (Efs)

L’inscription automatique fournie une gestion totalement transparente des certificats. Aussi bien pour les utilisateurs (inscription\renouvellement de certificats) que pour les administrateurs (renouvellement de modèle de

certificats).


certificats) que pour les administrateurs (renouvellement de modèle de certificats).

Itinérance des certificats







Itinérance des certificats

Plan

• Problématique certificats\utilisateurs itinérants

• Solution : Itinérance des certificats

• Application pratique : Signature de code PowerShell


Problème : Utilisateurs itinérants

• Problème : L’utilisateur itinérant inscrit un certificat sur chaque machine sur laquelle il se connecte

• Implique : Plus de certificats émis, disfonctionnements (Efs), perte de certificats lors suppression\corruption de profils utilisateur

• Solution : Activation des profils itinérants où utilisation de carte à puce

• Compatible avec Windows Server 2003 Sp3 \ Xp Sp2


• Compatible avec Windows Server 2003 Sp3 \ Xp Sp2

• Correctif (KB 907247) pour Windows XP and Windows Server 2003 qui est une mise à jour du schéma pour le support des informations identification itinérants

Solution : Itinérance des certificats

• Itinérance des certificats (Credential Roaming)

• Stocke le certificat de façon centralisée dans Active Directory !!!

• Utilise les mécanismes d'ouverture de session et d'inscription automatique pour télécharger les certificats et les clés sur un ordinateur local et\ou les supprimer lorsque l'utilisateur se déconnecte

• Déclenché également :


• Déclenché également :

� Au verrouillage\déverrouillage de l'ordinateur

� Au changement d’une clé privée ou d’un certificat

� A l’actualisation de la stratégie de groupe

Implémentation

• Requiert niveau de schéma forêt Windows 2008

• Activation par stratégie de groupe

� Activer la stratégie

� Accepter l’exclusion de ces données du profils itinérant de l’utilisateur dans la stratégie de groupe


• Sur le modèle cocher « Enregistrer le certificat dans Active Directory »

• Désactiver le coté « ordinateur » de la stratégie

• Lier la stratégie à tous les domaines de la forêt

Signature de code PowerShell

• Permet de n’exécuter que les scripts PowerShell signés

• Requiert un certificat basé sur le modèle « Signature de code »

• Les scripts sont signés avec le certificat

• Vérification de :

� L’authentification


� L’authentification

� De l’intégrité

� De la révocation

Application


Signature de code \ Credential Roaming



Stratégie Credential Roaming


Modèle : Corp_SigningCode

w811.corp.lanClient

Signature de code

w812.corp.lanClient

Signature de code

Ce qu’on a couvert• Itinérance des certificats

� Basé sur Active Directory (Stockage centralisé)

� Activé par stratégies de groupe

� Utilisation de certification pour la signature de code

L’itinérance des certificats permet, pour les utilisateurs itinérants, de disposer


L’itinérance des certificats permet, pour les utilisateurs itinérants, de disposer du même certificat quelque soit l’ordinateur sur lequel ils se connectent.

Agent d’inscription








Plan

• Qu’est ce qu’un « Agent d’inscription » de certificats?

• Implémentation d’un « Agent d’inscription »

• Application pratique : Inscription de certificats de carte à puce



• L'agent d'inscription peut inscrire des certificats au nom d'autres utilisateurs (cartes à puce …)

• « Agent d’inscription restreint » sur l’autorité de certification

� Quel agent d’inscription ? (Windows Server 2008 Entreprise)

� Pour quels groupes d'utilisateurs ? (Windows Server 2008 Entreprise)


� Pour quels modèles de certificats ? (Windows Serveur 2012)

• Ne requiert pas de droits administratifs (responsable\employé de confiance)

Implémentation : Agent d’inscription

• Créer un Nouveau modèle « d’Agent Inscription »

• Inscrire un certificat « d’Agent d’Inscription »

• Sur l’autorité de certification spécifier

� Les agents d’inscription

� Pour quel groupes d’utilisateurs


� Pour quel groupes d’utilisateurs

� Pour quel types de certificats

• Inscrire les certificats (cartes à puces des utilisateurs)

Application


Agent D’inscription (carte à puces)




Modèle « Corp Agent Inscription »

s3.corp.lanInscription d’un certificat « Agent d’inscription »Inscription des certificats carte à puce utilisateur

Ce qu’on a couvert• Agents d’inscription

� Créer et inscrire un agent d’inscription

� Inscription de certificat pour d’autres utilisateurs

Les agents d’inscriptions sont indispensable dans certains contexte (carte à puce) où ils offrent alors une gestion plus simplifié et plus sécurisé des

certificats émis.


certificats émis.

Sites Web Sécurisés

Implémentation de SSL


Implémentation de SSL





Plan

• Fonctionnement du protocole SSL

• Rôle des certificats avec le protocole SSL

• Application Pratique : Implémentation d’un serveur Web SSL


Sécurisation de sites Web

� Protocole Ssl (Secure Socket Layer)

• Url Https

• Port TCP : 443

• Authentification du serveur Web (Anti Fishing)

• Sécurisation des données transférées (Chiffrement symétrique)


• Sécurisation des données transférées (Chiffrement symétrique)

Processus de connexion SSL

• Le serveur Web refuse les connexions en http, exige une connexion en https et renvoi son certificat (qui contient sa clé publique)

• Le client vérifie l'authenticité du certificat du serveur (à l’aide du certificat de l’autorité de certification)

• Le client génère une clé symétrique aléatoire

• Le client envoie la clé symétrique au serveur Web (cryptée en asymétrique avec clé publique du certificat du serveur Web)


• Le client envoie la clé symétrique au serveur Web (cryptée en asymétrique avec clé publique du certificat du serveur Web)

• Le serveur Web décrypte la clé symétrique avec sa clé privé

• Connexion sécurisée établie (cadenas dans la barre d état et Url affichée en vert)

Fonctionnement SSL

Clé Publiquewww.corp.lan

Clé Publique AC

AC �Hash : 12345678910

Hash : 12345678910

Hash : ##########Clé Privé AC11

�

Clé Publiquewww.corp.lan


s3.corp.lanServeur Web SSL

https://www.corp.lan

w811.corp.lanClient

www.corp.lanwww.corp.lan https://www.corp.lan 3

�

##3 �

Application Pratique

Implémentation de sites Web SSL





https://ww.corp.lan

w811.corp.lanClient


• Fonctionnement de Ssl (Certificats)

• Implémentation du protocole SSL

La sécurisation de site Web est l’une des utilisations fondamentale d’une Pki.SSL sécurise les sites Web, mais aussi les portails applicatifs (Owa, Applications


SSL sécurise les sites Web, mais aussi les portails applicatifs (Owa, Applications bureau à distance, Connexion Bureau à distance…)

Sites Web Sécurisés

Nouveautés IIS 8 et 8.5


Nouveautés IIS 8 et 8.5





Plan

• Nouveautés IIS 8 et 8.5 Ssl\Certificats

� Indication du server de nom (Server Name Indication - Sni)

� Magasin de certificats centralisé (Centralized Certificate Store - Ccs)

• Application Pratique : Gestion de sites Web SSL avec Sni et Ccs


Indication du nom du serveur

• « Indication du nom du serveur » (Server Name Indication - Sni)permet de faire tourner plusieurs sites Web en SSL sur :

� la même adresse Ip

� le même port (443)

• Immédiatement disponible sous IIS 8 \ IIS 8.5


• La correspondance s’effectue sur le nom d’hôte du site

• Les liaisons ne sont plus effectuées au démarrage de IIs mais à la demande (puis mise ne cache)

• Meilleure gestion de la mémoire et gain de performances

Implémentation Ccs

• Magasin de certificats centralisé (Centralized Certificate Store - Ccs)

� Créer un partage de fichiers (Dfs ou cluster)

• Lire pour le compte qui aura accès au certificats

� Créer les certificat Ssl (exportés en .pfx, nommé avec la bonne url)

� Installer CSS


• Installer le rôle IIS : « Prise en charge centralisée des certificats »

• Paramétrer l’icone « Certificats Centralisés »

• Vérifier l’utilisation du magasin de « certificats centralisé » lors de la liaison Ssl

� !! Scénario de ferme de serveur


Implémentation Sni\Css sur sites Web Ssl





https://intra.corp.lanhttps://rh.corp.lan

w811.corp.lanClient


• Nouveautés IIs 8 \ IIS 8.5

� Indication du nom du serveur (Server Name Indication - Sni)

� Magasin de certificats centralisés (Centralized Certificate Store)

Ces nouveautés permettent une montée en charge plus efficace (plusieurs


Ces nouveautés permettent une montée en charge plus efficace (plusieurs serveurs Web Ssl sur le même serveur IIS - Sni) et … une gestion plus simple des clusters de sites Web Ssl (centralisation des certificats - Ccs)

Révocation Lan

Révocation de certificats



Révocation Lan




Plan

• Concept

• Raisons de révocation

• Type de listes de révocation

• Application Pratique : Révocation de certificats de site Web SSL et de certificats de signature de code PowerShell


certificats de signature de code PowerShell

Concept

• La révocation permet de rendre invalide un certificat « avant » sa date de fin de validité et donc … d’interdire l’usage de l’applicatif ou du service associé !

• Autorisation « Emettre et gérer les certificats » pour révoquer

• Ajout du numéro de série du certificat révoqué à une « liste de révocation »

• La liste est publiée dans un emplacement centralisé accessible aux machines et utilisateurs : Active Directory !


utilisateurs : Active Directory !

� Publication manuelle

� Publication planifiée

Raisons de la révocation

• Non spécifié

• Clé compromise

• Autorité de certification compromise

• Modification de l’affiliation

• Certificat remplacé


• Certificat remplacé

• Cessation de l’opération

• Certificat retenu (annulation de la révocation possible)

Types de listes de révocation

• Liste de révocation complète (Certificate Revocation List - Crl)

� Contient toutes les empreintes numériques de tous les certificats révoqués

• Liste de révocation delta (Certificate Revocation List Delta - Crl Delta)

� Contient uniquement les nouvelles révocations depuis la dernière publication de liste de révocation complète

Support depuis Windows 2000 \ Xp


� Support depuis Windows 2000 \ Xp

� Requiert la publication d’une liste de révocation complète

Problématiques possibles …

• Désactivation ou « non supporté »(Efs ne prends pas en charge la révocation – In design !!)

• Accès pour l’applicatif\Service à l’emplacement de publication(Active Directory)

• Latence due à la planification

• Mise en cache locales des liste de révocation


• Mise en cache locales des liste de révocation

� certutil -setreg chain\ChainCacheResyncFiletime @now(Synchronise le cache local avec la liste de publication de révocation)


Révocation de certificats de sites Web SSL

Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est

endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.

Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis

ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.

Liste de révocation

25e5855869855684585956415125125122


Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.






https://intra.corp.lanhttps://rh.corp.lan

w811.corp.lanClient


• Le processus de révocation sur le lan

• L’implémentation et le dépannage de la révocation

La révocation est une fonction clé de la gestion des certificats.Contrairement aux certificats auto-signés, les certificats émis par une autorité de certification sont révocables, permettant ainsi à l’administrateur un contrôle total


certification sont révocables, permettant ainsi à l’administrateur un contrôle total des applicatifs et services associés.


Révocation Wan




Révocation Wan




Plan

• Problématique … et solution !!

• Emplacement des listes de révocations (Cdp)

• Emplacement des informations de l’autorité (Aia)

• Implémentation de nouveaux emplacements pour Internet

• Application Pratique : Validation et dépannage de la révocation depuis Internet


• Application Pratique : Validation et dépannage de la révocation depuis Internet avec un VPN SSTP

Problématique fréquente !!

• Le chemin d’accès à la liste de révocation n’est pas disponible !!

• Solution :

� Stocker la liste de révocation sur un emplacement accessible depuis Internet

� Exposer ces listes via un serveur Web (http)

Inclure les nouveau chemins d’accès aux listes de révocations dans le


� Inclure les nouveau chemins d’accès aux listes de révocations dans le certificats émis

• Emplacement de vérification des listes de révocation(CDP - Crl Distribution Point)

Emplacements des listes de révocation

Autoritéde certification

Serveur WebPublic

�


ActiveDirectory

Partagede fichier

Serveur Web Interne

Implémentation de nouvelles URLs CDP

• Déterminer les chemins de publication des URLs Crl (Serveur Web)

• Créer les points de publication (Serveur Web)

� Un dossier pour stocker les listes de révocation

� Un dossier virtuel IIS pour les exposer en http

• Publier les listes de révocation



• Ajouter les nouvelles URLs aux nouveaux certificats émis

� Modifier les « extensions » de l’autorité de certification pour ajouter les nouveaux chemins de publication des Crl CDP

� Tout nouveau certificat émis intégrera les nouvelles URLs

Autres informations nécessaires (AIA)

• Emplacement de vérification des autorités de certification(AIA - Authority Information Access)

• Contient les emplacements vers lesquels les certificats de l'autorité de certification peuvent être téléchargés si nécessaire

• Permet de remonter/valider la chaine de certification

• Certificat de vérification de la signature des listes de révocation


• Certificat de vérification de la signature des listes de révocation

• Emplacement de vérification des autorités de certification(AIA - Authority Information Access)

Emplacements des informations de l’autorité


Serveur WebPublic

�


ActiveDirectory

Partagede fichier

Serveur Web Interne

Serveur FTPInterne

Implémentation de nouvelles URLs AIA

• Déterminer les chemins de publication des URLs AIA (Serveur Web)

• Créer les points de publication (Serveur Web)

� Un dossier pour stocker les listes de révocation

� Un dossier virtuel IIS pour les exposer en http




• Ajouter les nouvelles url au certificats émis

� Modifier les « extensions » de l’autorité de certification pour ajouter les nouveau chemins de publication des Crl AIA

� Tout nouveau certificat émis intégrera les nouvelles URLs

Dépannage des urls CDP\AIA

• Mise en cache des listes de révocation

� Certutil -setreg chain\ChainCacheResyncFiletime @now(recharger le cache)

� Certutil -urlcache CRL(Voir les URLs des caches de listes de révocation)

� Certutil -urlcache CRL delete(Vider les caches de listes de révocation)


� Certutil -urlcache CRL delete(Vider les caches de listes de révocation)

• Teste des URLs

� Certutil –url fichier certificat.cer

� Console « PKI Entreprise »

SSTP

• Secure Socket Tunneling Protocol (SSTP)

• Nouveau protocole VPN

� Utilise le port : 443

� Un certificat pour l’authentification du serveur VPN SSTP

• C’est du VPN mais c’est surtout du SSL !!!


• C’est du VPN mais c’est surtout du SSL !!!

• Permet la connexion VPN depuis toute connexion Internet

� Maison

� Hôtel …

Implémentation d’un VPN SSTP


ActiveDirectory

s5.corp.lanVPN SSTP


Serveur Web Public(CRL et AIA)�


Partagede fichier

Serveur Web Interne(CRL et AIA)


w811.corp.comClient


• La validation de l’accès aux listes de révocation (CDP) depuis l’extérieur de l’entreprise

• La validation des l’accès aux listes d’information de l’autorité (AIA) depuis l’extérieur de l’entreprise

• L’implémentation de Vpn SSTP

La validation des liste CDP et AIA est une problématique classique qu’il faut


La validation des liste CDP et AIA est une problématique classique qu’il faut absolument maitriser pour une validation correcte de la validité de vos certificats.


Serveur OCSP



Serveur OCSP




Plan

• Concept

• Fonctionnement du protocole OCSP

• Implémentation et validation d’un serveur OCSP

• Application Pratique : Validation et dépannage de la révocation depuis Internet à l’aide d’un serveur OCSP (VPN SSTP)


Internet à l’aide d’un serveur OCSP (VPN SSTP)

Concept

• OCSP – Online Certificate Status Protocol

� Protocole normalisé

� Première implémentation dans Windows 2008 / Vista

• Fonctionnement

� Télécharge les listes de révocation depuis l’autorité de certification


� Télécharge les listes de révocation depuis l’autorité de certification

� Le serveur OSCP valide la révocation (réponse signée)

� Le client utilise de préférence OCSP

� Performances améliorées lors du contrôle de la révocation

Fonctionnement

ActiveDirectory


�OCSP



w811.corp.comClient

Implémenter un serveur OSCP

• Installer le service de rôle « Répondeur en ligne »

• Sur l’autorité de certification

� Personnaliser le modèle de certificat « Signature de réponse OCSP »

� Modifier l’extension AIA de l’autorité de certification

• Sur le serveur Ocsp


• Sur le serveur Ocsp

� Créer la configuration de révocation

• Inscription automatique du certificat de signature OCSP

• Indication des « fournisseurs de révocation » (Active Directory)

• Autant d’autorité à traiter = autant de configuration de révocation

Validation du serveur OCSP

• PKI View

� Valider l’obtention du certificat de signature OCSP (Mmc certificat)

� Requiert un certificat « CA Exchange » récent

• Révoquer le dernier certificat « CA Exchange »

• Certutil -caninfo xchg


• Certutil -caninfo xchg

• Certutil -url fichierCertificat.cer

Implémentation d’un serveur OCSP


ActiveDirectory

s5.corp.lanVPN SSTP


�s4.corp.lan

OCSP



w811.corp.comClient


• Le fonctionnement du rôle OSCP

• L’implémentation et le dépannage du server OCSP

L’implémentation du protocole OCSP améliore les performances lors de la vérification des certificats révoqués et autorise ainsi la montée en

charge de votre infrastructure PKI Windows 2012 r2


Sécuriser une infrastructure PKI

Sauvegarde et restaurationde l’autorité de certification






Sauvegarde et restaurationde l’autorité de certification

Plan

• Procédure de sauvegarde

• Procédure de restauration

• Validation de la restauration

• Application pratique : Sauvegarde et restauration complète d’une autorité de certification


autorité de certification

Sauvegarde de l’autorité de certification

• Sauvegarde complète du système (Sauvegarde Windows Serveur)

• Sauvegarde par la console Autorité de certification

� Moins lourd et plus rapide (recommandé)

� Sauvegarder la base de donnée, les clés et les journaux

• Console « Autorité de certification »(ou CertUtil -backup « Chemin d’accès »)


• Console « Autorité de certification »(ou CertUtil -backup « Chemin d’accès »)

• Sauvegarde des fichiers de post-configuration (commandes certutil) et du fichier CaPolicy.inf

� Support des sauvegardes « incrémentielles »

Procédure de restauration

• Nommer l’ordinateur avec le même nom que celui de l’autorité de certification d’origine

• Intégrer l’ordinateur au même domaine que celui de l’autorité de certification d’origine

• Importer CAPolicy.inf dans le dossier %windir%

• Ajouter et configurer le rôle AD CS


• Ajouter et configurer le rôle AD CS

� Cocher l’option utiliser une clé privé existante

� Sélectionner le certificat de l’autorité de certification originelle

• Appliquer les configurations post-installation

Application


Sauvegarde et restaurationd’une autorité de certification


d’une autorité de certificationEntreprise


• Sauvegarde et restauration de l’autorité de certification

L’autorité de certification « Entreprise » s’appuie sur l’infrastructure Active Directory et permet une gestion automatisée des certificats


Archivage des certificats








Plan

• Archivage des certificats

• Agent de récupération (rôle et implémentation)

• Récupération de certificats

• Application pratique : Archivage et restauration de certificats avec l’agent de restauration


l’agent de restauration


• Sauvegarde des certificats

� Sauvegarde des certificats émis

� Sauvegarde complète ( Certificat avec clé publique + Clé privé)

� Gérée par l’autorité de certification

� Totalement automatisée


• Restauration sécurisée

� Agent de récupération

� Installation par l’utilisateur

Agent de récupération

• Certaines fonctionnalités intègrent leur agent de récupération (EFS)

• « L’agent de récupération » récupère tout certificats archivé

• Pas de droits administratifs supplémentaires requis

• Bonnes pratiques

� Utilisateur\administrateur de confiance


� Utilisateur\administrateur de confiance

� Sauvegarde manuelle des certificats « d’agent de récupération »

� Plusieurs agents de récupérations recommandés

Implémentation

• Créer un agent de récupération

� Personnaliser le modèle « Agent de récupération »

� L’agent de récupération inscrit un certificat « agent de récupération »

� Sauvegarder les certificats des agents de récupération

• Activer l’archivage des certificats


• Activer l’archivage des certificats

� Associer le\les « Agent de récupération » et Autorité de certification

• Créer de nouveau modèles de certificats avec support de l’archivage

� Dans le modèle : « Archiver la clé privée de chiffrement du sujet »

� Inscrire les nouveaux certificats

Récupération d’un certificat

• Récupérer le certificat archivé (Agent de récupération)

� Se connecter avec « Agent de récupération »

� Créer un fichier Blob (Binary Logical Object)

� Convertir le fichier .Blob en fichier .pfx

• Installer le certificat archivé (compte utilisateur ou machine)


• Installer le certificat archivé (compte utilisateur ou machine)

� Importer le .pfx dans le magasin de certificat de l’utilisateur

� Valider la récupération du certificat utilisateur

Application


Sauvegarde et récupérationd’un certificat archivé


d’un certificat archivéavec un « Agent de récupération »


• La mise en place de l’archivage des certificats

• La récupération d’un certificat archivé

Les services de certificats Windows Serveur 2012 offre l’archivage des certificats émis, de façon totalement automatisée et sécurisée !


certificats émis, de façon totalement automatisée et sécurisée !

Architectures sécurisées








Plan

• Architecture sécurisées

• Certificat des autorités de certification secondaires

• Autorité racine hors connexion

• Implémentation d’autorités de certification racine et secondaire

• Atelier pratique : Implémentation d’une architecture pki deux tiers


• Atelier pratique : Implémentation d’une architecture pki deux tiers sécurisée (avec autorité de certification racine hors connexion)

� Organisations différentes

� Eclatement géographique

� Equilibrage de la charge

� Tolérance de panne

� Usages différentes

Architecture

Autorité de certificationSecondaire

Autorité de certificationSecondaire

Autorité de certificationRacine

Hors Connexion


� Usages différentes

� Sécurité renforcée

Autorité de certificationNiveau 3




Certificats de autorités secondaires

• Délivrés par l’autorité parente

• Révocation plus facile

• Pas plus de trois niveaux

Racine

AC

Secondaire Secondaire

�

Clé Privé Racine


AC AC

� �

Autorité racine hors connexion

• Système Windows

� Système arrêté en fin de configuration

� Windows Serveur 2012 r2 Standard

� Workgroup

� Machine virtuelle (recommandé pour la sauvegarde Hors connexion)


• Modifier les emplacement CDP et d'AIA (Http et\ou Ldap)

• Période de validité pour les listes de révocation de certificats

Implémentation autorité racine autonome

• Installer et configurer le rôle « autorité de certification »

• Configurer des extensions (ldap et\ou http)

• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité secondaire

• Délivrer un certificat pour l’autorité secondaire


• Arrêter la vm

• Mettre le fichier de la vm CorpRootCA au coffre

Implémentation secondaire entreprise

• Installer le rôle « autorité de certification »

• Publier les listes de révocation et le certificat de l’autorité racine dans Active Directory

• Configurer le rôle « autorité de certification »

� Création du certificat de l’autorité de certification secondaire


• Faire signer le certificat de l’autorité secondaire par l’autorité racine

• Installer le certificat sur la secondaire

• Démarrer le service

Publication des certificats et Crl dans AD

• Requiert les droits « Administrateur entreprise »

• Publier le certificat de l’autorité de certification racine dans l’Active Directory

� certutil -dspublish -f « FichierCertificatCARacine.crt » RootCA

• Publier la liste de révocation de l’autorité de certification racine dans l’Active Directory


� certutil –setreg CA\DSConfigDN C=Configuration,Dc=corp,Dc=lan

� certutil –dspublish -f « FichierRevocationCARacine.crl »


Implémentation d’une hiérarchiedeux tiers sécurisée

Clé Privé

AC

�Active

Directory

�

AC

�


Liste révocationCertificat Ca Racine


s2.corp.lanAutorité de certification secondaire entreprise

s5Autorité racine autonome

Directory

�AC

�


• L’installation d’un architecture sécurisée de Pki

� Une autorité racine autonome hors connexion

� Une autorité secondaire entreprise

� Publication des listes de révocation et certificats d’autorité de certification dans Active Directory


dans Active Directory

Les hiérarchies d’autorités de certification permettent une plus grande souplesse et montée en charge de votre Pki. La sécurité de la hiérarchie est assurée avec

l’implémentation d’une autorité racine hors connexion.


Autorité racine autonome Hors connexion






Hors connexion(Automatisation)

Plan

• Scénario d’implémentation d’une autorité racine autonome hors connexion

• Chemins d’accès Cdp et Aia

• Automatisation de la modification des urls CDP \ AIA

• Automatisation de l’installation et de la configuration


• Automatisation de l’installation et de la configuration

• Application pratique : Installation automatisée d’une hiérarchie d’autorités de certification sécurisée

Implémentation autorité racine autonome

• Installer et configurer l’ordinateur de l’autorité racine

• Installer et configurer le rôle « autorité de certification »

• Configurer des extensions : Ldap et Http

• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité secondaire

• Délivrer un certificat pour l’autorité secondaire


• Arrêter la vm

• Mettre le fichier de la vm au coffre

Automatisations

• CaPolicy.inf

• Scripts d’installation et de configuration des rôles (PowerShell)

• Scripts de modification des Urls (Certutil, PowerShell)

• Scripts de post-installation (Certutil)


• Stratégie de groupe

PowerShell (Installation de rôles)

• Get-WindowsFeature ADCS*

• Add-WindowsFeature (-IncludeManagementTools)

� ADCS-Cert-Authority (Autorité de certification)

� ADCS-Web-Enrollment (Inscription via le Web)

ADCS-Online-Cert (Serveur Ocsp)


� ADCS-Online-Cert (Serveur Ocsp)

� ADCS-Enroll-Web-Pol (Sep)

� ADCS-Enroll-Web-Svc (Ces)

� ADSC-Device-Enrollment (Ndes)

PowerShell (Configuration)

• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools

• Install-AdcsCertificationAuthority-CAType StandaloneRootCA-CACommonName « CorpRootCA »-CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR »–KeyLLength 4096-HashAlgorithName SHA1


-HashAlgorithName SHA1-CryptoProviderName « RSA#Microsft Software Key Storage Provider »-DatabaseDirectory ‘’D:\CertDB’’-LogDirectory ‘’D:\CertLog’’-ValidityPeriod ‘’Years’’-ValidityPeriodsUnits 20

Variables Chemins CDP \ AIA

TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP \ AIA%1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l’ordinateur de l’autorité de

certification

%2 <ServerShortName> <NomCourtServeur> Nom Netbios de l’ordinateur de l’autorité de

certification

ldap:///CN=<NomTronquéAutoritéCertification><SuffixeNomListeRévocationCertificats>,CN=<NomCourtServeur>,CN=CDP,CN=Public Key Services,CN=Services,<ConteneurConfiguration><ClasseObjetCDP>

ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10


%3 <CaName> <NomAutoritéCertification> Nom logique de l’autorité de certification

%4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l’autorité de

certification

%5 <Domain DN> DN (Chemin d’accès Ldap) du domaine

%6 <ConfigDN> <ConteneurConfiguration> Chemin d’accès Ldap à la partition de configuration

%7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l’autorité de certification

(32 caractères)

%8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L’extension des Crls

%9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta

%10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory

%11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory

Variables Chemins CDP \ AIA

TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP \ AIA%1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l’ordinateur de l’autorité de

certification

%2 <ServerShortName> <NomCourtServeur> Nom Netbios de l’ordinateur de l’autorité de

certification

C:\Windows\system32\CertSrv\CertEnroll\<NomAutoritéCertification><SuffixeNomListeRévocationCertificats><ListeRévocationCertificatsDeltaAutorisée>.crl

%windir%\system32\CertSrv\CertEnroll\%3%8%9.crl


%3 <CaName> <NomAutoritéCertification> Nom logique de l’autorité de certification

%4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l’autorité de

certification

%5 <Domain DN> DN (Chemin d’accès Ldap) du domaine

%6 <ConfigDN> <ConteneurConfiguration> Chemin d’accès Ldap à la partition de configuration

%7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l’autorité de certification

(32 caractères)

%8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L’extension des Crls

%9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta

%10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory

%11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory

Variables CDPOptions de publications pour emplacements CDP

%1 Publier les listes de révocation des certificats à cet

emplacement

%2 Inclure dans toutes les listes de révocation des certificats.

Indique l’emplacement de destination dans Active Directory

lors des publications manuelles

%4 Inclure dans les listes de révocation des certificats afin de

pouvoir rechercher les listes de révocation des certificats

delta

%8 Inclure dans l’extension des certificats CDP émis

%64 Publier les listes de révocation des certificats delta à cet


%64 Publier les listes de révocation des certificats delta à cet

emplacement

%128 Inclure dans l’extension IDP des listes de révocation des

certificats émises

• n2:http://crl.pki.corp.com/CertEnroll/%3%8%9.crl

• n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10

Variables AIAOptions de publications pour emplacements AIA%1 Emplacement de publication

%2 Inclure dans l’extension AIA des certificats émis

%32 Inclure dans l’extension OCSP (Online Certificate Status

Protocol)

• 1:c:\inetpub\CertEnroll\%1_%3%4.crt

• n2:http://crl.pki.corp.com/CertEnroll/%1_%3%4.crt


_%3%4.crt

• n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

PowerShell (Urls Cdp \ Aia)• $crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-

CACrlDistributionPoint $crl.uri -Force}

• $aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force}

• Modification d’Urls

� Add-CAcrlDistributionPoint -Uri http://pki.corp.com/pki/<CaName> <CRLNameSuffix><DeltaCRLAllowed>.crl -AddtoCertificateCDP -Force -Verbose


� Add-CAcrlDistributionPoint -Uri http://pki.corp.com/pki/<CaName> <CRLNameSuffix><DeltaCRLAllowed>.crl -AddtoCertificateCDP -Force -Verbose

� Add-CaAuthorityInformationAccess –Uri http://pki.corp.com/pki<ServerDnsName>_<CaName><CertificateName>.crt -AddtocertificateAIA -Force -Verbose

• Restart-service certsvc \ Get-CACRLDistributionPoint \ Get-CAAuthorityInformationAccess

Certutil (Urls Cdp \ Aia)

• Suppression manuelle des Urls existantes(ou utilisation de scripts PowerShell)

• Certutil -setreg CA\CRLPublicationURLs"1:%windir%\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://crl.pki.corp.com/CertEnroll/%3%8.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"

Net Stop Certsrv


• Net Stop Certsrv

• Net Start Certsrv

• Certutil -GetReg ca\CrlPublicationUrls

• Certutil -GetReg CA\CACertPublicationURLs


Autorité de certificationracine autonome hors connexion

�

Modification de UrlsCDP et AIA






�


• Automatisation de l’installation de l’autorité de certification racine hors connexion

• Automatisation de modifications Urls Cdp \ Aia

• Automatisation de tâches de post-installation

• Implémentation pratique : autorité de certification racine autonome hors connexion


connexion

L’automatisation des tâches via « CertUtil » et « PowerShell »autorise une implémentation efficace, sure et rapide de

toutes vos infrastructures complexes de PKI.


Autorité de certificationsecondaire entreprise






secondaire entreprise(Automatisation)

Plan

• Scénario d’implémentation de l’autorité secondaire entreprise

• Automatisation « PowerShell » et « Certutil »

• Publication des certificats \ listes de révocation

• CaPolicy.inf

• L’installation et les tâches de post-installation


• L’installation et les tâches de post-installation

• Application pratique : Installation automatisée d’une hiérarchie d’autorités de certification sécurisée

Implémentation secondaire entreprise

• Installer le rôle « autorité de certification »

• Publier les listes de révocation et le certificat de l’autorité racine(localement, Active Directory, Site Web)

• Obtenir le certificat signé pour l’autorité secondaire et démarre le service

• Publier le certificat de l’autorité de certification racine aux ordinateurs du domaine (stratégie de groupe)


(stratégie de groupe)

• Autres tâches …

� Créer les modèles de certificats personnalisés

� Activer le déploiement automatique de certificats et\ou l’itinérance de certificats

� Activer l’archivage automatique

• Sauvegarder les autorités de certification

Automatisations

• CaPolicy.inf

• Scripts d’installation et de configuration des rôles (PowerShell)

• Scripts de modification des Urls (Certutil, PowerShell)

• Scripts de post-installation (Certutil)


• Stratégie de groupe

Publication des certificats\Liste de révocation

• Requiert les droits « Administrateur entreprise »

• Publier le certificat de l’autorité de certification racine

� Certutil -dspublish -f « FichierCertificatCARacine.crt » rootca

� Certutil –addstore –f root c:\s2_CorpRootCA.crt

• Publier la liste de révocation de l’autorité de certification racine dans l’Active Directory

Certutil -dspublish -f c:\CorpRootCA.crl


� Certutil -dspublish -f c:\CorpRootCA.crl

� Certutil –addstore –f root c:\CorpRootCA.crl

• La publication Active Directory s’effectue dans le conteneur « Configuration » (cn=configuration, dc=corp, dc=lan)

CAPolicy.inf CorpSubEntCA

• Paramètre de configuration de l’autorité appliqués à l’installation

� Déclaration des pratiques de certification(CPS - Certification Practice Statement)Définit les mesures prises pour sécuriser les opérations de l’autorité et la gestion des certificats émis

� Identificateur d'objet (OID - Object IDentifier)


� Identificateur d'objet (OID - Object IDentifier)Inscrit auprès de l’IANA (Internet Assigned Number Autority)Associé à la CPS

� Taille des clés et période de validité du certificat

� Intervalles de publication des listes de révocations

PowerShell (Installation de rôles)

• Get-WindowsFeature ADCS*

• Add-WindowsFeature (-IncludeManagementTools)

� ADCS-Cert-Authority (Autorité de certification)

� ADCS-Web-Enrollment (Inscription via le Web)

ADCS-Online-Cert (Serveur Ocsp)


� ADCS-Online-Cert (Serveur Ocsp)

� ADCS-Enroll-Web-Pol (Sep)

� ADCS-Enroll-Web-Svc (Ces)

� ADSC-Device-Enrollment (Ndes)

PowerShell (Configuration)

• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools

• Install-AdcsCertificationAuthority-CAType StandaloneRootCA-CACommonName « CorpRootCA »-CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR »–KeyLLength 4096-HashAlgorithName SHA1


-HashAlgorithName SHA1-CryptoProviderName « RSA#Microsft Software Key Storage Provider »-DatabaseDirectory ‘’D:\CertDB’’-LogDirectory ‘’D:\CertLog’’-ValidityPeriod ‘’Years’’-ValidityPeriodsUnits 20

Post Installation

Période de chevauchement Crl et CrlDelta

� Certutil -SetReg CA\CRLOverlapPeriodUnits 24

� Certutil -SetReg CA\CRLOverlapPeriod "Hours"

Activation de l’audit

Certutil -SetReg CA\AuditFilter 127


� Certutil -SetReg CA\AuditFilter 127

• Net Stop Certsvc

• Net Start Certsvc

• Certutil -Crl


Implémentation d’une hiérarchiedeux tiers sécurisée

Clé Privé

AC

�Active

Directory

�

AC

�






Directory

�AC

� Serveur Web


• Automatisation de l’installation de l’autorité secondaire entreprise

• Automatisation de modifications Urls Cdp \ Aia

• Automatisation de tâches de post-installation

• Implémentation pratique complète

L’automatisation des tâches via « CertUtil » et « PowerShell »


L’automatisation des tâches via « CertUtil » et « PowerShell »autorise une implémentation efficace, sure et rapide de

toutes vos infrastructures complexes de PKI.

Autres Rôles PKI

Certificate Enrollment Web


Certificate Enrollment Web Services (Cep\Ces)





Plan

• Concept

• Fonctionnement

• Scénarios d’utilisation

• Paramétrages


• Mode « Renouvellement seul »

• Atelier pratique : Implémentation et validation de Cep\Ces

Concept

• Inscription et renouvellement de certificats clients en Https

• Certificate Enrollment Policy Web Service (Cep)

• Certificate Enrollment Web Service (Ces)

• Cep\Ces Open document (client ouvert)


• Inscription par mot de passe

• Renouvellement avec authentification sur la base du certificat inscrit

• Mode « renouvellement seul »

Fonctionnement

• Avec des ordinateurs « membres du domaine » : Ldap, Kerberos et Rpc\Dcom

• Ordinateurs non membres du domaine et\ou pas d’accès à travers le pare-feu

• Flux en Https

� CEP - Certificate Enrollment Policy Web Service (Ldap)

� CES - Certificate Enrollment Web Service (Rpc \ Dcom)


� CES - Certificate Enrollment Web Service (Rpc \ Dcom)

• Les deux services Cep and Ces (peuvent être sur le même pc)

• Inscription par le web est interactive (construction de requêtes spécifiques). Cep\ces fournit l’inscription et le renouvellement automatique de certificats

• Paramétrage client par stratégie locale(Windows 7\Windows 2008 r2 et supérieur)

Fonctionnement

ActiveDirectory

CEPCertificate Enrollment Policy Web Service

ClientWorkgroup ou Domaine

Ldap



CESCertificate Enrollment Web Service

Uniquement en HttpS

Rpc \ Dcom

Scénarios d’utilisation

• Consolidation de forêt avec connexion Https sur une seule autorité de certification dans la forêt

� Authentification Kerberos

� Délégation

• Dans le même domaine ou en Workgroup mais hors entreprise(ne peuvent communiquer qu’en HttpS avec Cep \ Ces en Dm)


(ne peuvent communiquer qu’en HttpS avec Cep \ Ces en Dm)

• Direct AccessCertificats obtenus lors du processus de boot

• Ordinateurs en Workgroup

Pares-feu

• Paramétrage du pare-feu

� Https (Tcp 443) et Ldap (Tcp 389 \ 636)(Cep)

� Plage de ports Dcom aléatoires et éphémèresPlage de port configurable(Ces)


(Ces)

� Le(s) ordinateur(s) qui hébergent les services Cep\Ces doit être membre du domaine de l’autorité de certification

Comptes de service

• Compte « Application Pool ID » (à l’installation)

• Compte de domaine (pas de compte locaux supportés) ou Compte de service géré

� Membre du groupe IIS local « IIS_IUSRS »

� Autorisation « Demander des certificats » sur l’autorité de certification


� Autorisation « Demander des certificats » sur l’autorité de certification

� Délégation requise si authentification par « Kerberos » ou « Certificats »

� Spn requissetspn -s https/ces.pki.corp.com corp\ces_svc

CEP \CES Authentification

• Intranet (Scénarios même forêt \ Consolidation de forêts)

� Authentification Windows intégrée pour usage sur le réseau interne

• Internet (Workgroup \ Https uniquement)

� Certificat ! plus sécurisé(mécanisme supplémentaire pour acquérir ce certificat)


(mécanisme supplémentaire pour acquérir ce certificat)

� Nom + mot de passe (première inscription)

� Pas de d’accès anonymes

Cep \ Ces Délégation

• Requise (toutes les conditions remplies)

� L’autorité n’est pas sur le même serveur que le service

� Ces effectue le processus d’inscription

� L’authentification est de type : « Certificat » ou « Kerberos »

• Non requise


• Non requise

� L’autorité est sur le même serveur que le service

� L’authentification est de type : « Nom\Mot de passe »

� Ces est en mode « renouvellement seul »

CES \ CES

• Schéma Active Directory 2008 r2 minimum

• Autorité de certification Entreprise pour 2008 r2

• Serveurs Cep\Ces membres du domaine

• Client Windows 7 \ Windows 2008 r2 et supérieur


• Requiert un certificat pour Https

• Administrateur de l’entreprise pour l’installation

• Cohabite avec tous les services de rôles AD CS

• Plusieurs urls publiables pour la tolérance de panne (pas de Nlb)

Implémentation

• Obtenir un certificat Ssl

• Ajouter et configurer les rôles

• Personnaliser IIS (Compte de service, Friendly Name, Urls)

• Paramétrer le client par stratégies de groupe locales


� Url(s) Cep et\ou renouvellement automatique

• Tester l’obtention d’un certificat

Mode renouvellement seul

• L’inscription avec identité de l’utilisateur augmente les chances d’attaque depuis Internet donc …

• Mode « Renouvellement seulement »

� Le renouvellement se fait sur la base de la confiance au premier certificat

� Le certificat est renouvelé sur la base de ses informations


� Pas « d’impersonnalisation » de l’utilisateur ((impersonation : « Agir en tant que »)

� Implique de posséder un premier certificat (délivré en contexte sécurisé)

� Plus sûr

Implémentation Cep\Ces


ActiveDirectory

Cep\Ces


Requête Modèles de certificatsStratégies LocalesUrl Cep

Requête certificat


s3.corp.lans2.corp.lan

Autorité de certification

w811Client en workgroup

�Uniquement HttpS


• Le concept et les scénarios d’usage de Cep\Ces

• Les paramètres d’implémentation

� Délégation

� Compte de service

Infrastructure (pare-feu, protocoles)


� Infrastructure (pare-feu, protocoles)

• Application pratique d’implémentation de Cep\Ces

Cep\Ces offre une inscription et un renouvellementautomatique et sécurisé de certificats pour les ordinateurs

en Workgroup ou les ordinateurs en domainemais disposant d’une connexion en https uniquement.

Autres Rôles Pki

Network Device EnrollmentService (Ndes)






Network Device EnrollmentService (Ndes)

Plan

• Concepts

• Authentification des périphériques

• Fonctionnement de Ndes

• Post-installation de l’autorité d’inscription

• Compte de service « Ndes »


• Compte de service « Ndes »

• Gestion des mots de passes des périphériques

• Procédure d’implémentation

• Application pratique : Implémentation de Ndes

Concepts

• Service d’inscription de périphériques réseau (Network DeviceEnrollment Service)

• Implémentation Microsoft du protocole SCEP (Simple CertificateEnrollment Protocol) développé par Cisco et Microsoft

• Améliore la sécurité de la communication avec le périphérique(802.1x requiert des certificats installés sur des commutateurs et des


(802.1x requiert des certificats installés sur des commutateurs et des points d'accès, Secure Shell (SSH), Ipsec …)

• Inscription et renouvellement de certificats pour des périphériques

� Sans comptes Active Directory

� Protocole léger (peu de mémoire)

Authentification des périphériques

• Authentification par un mot de passe

� L’administrateur NDES requiert un mot de passe pour le périphérique

� L’administrateur du périphérique installe\utilise le mot de passe sur le périphérique pour son authentification

• Le périphérique est approuvé puisqu’il dispose du mot de passe de


• Le périphérique est approuvé puisqu’il dispose du mot de passe de l’administrateur NDES qui lui-même est approuvé par l’autorité de certification

• L’administrateur NDES agit comme un agent d’inscription pour le périphérique

Fonctionnement Ndes

Contrôleur de domaine

x2?q21xu

x2?q21xu

�x2?q21xu


Autorité de certificationNetwork DeviceEnrollment Services

x2?q21xu�

x2?q21xu

x2?q21xu

Post-installation de l’autorité d’inscription

• Compte d'utilisateur dédié au service ou compte de service réseau

• Certificat SSL pour la sécurisation de la page Web des « mots de passe des périphériques »

• Taille des clés de signature et de chiffrement employées pour signer et chiffrer la communication entre l'autorité de certification et l'autorité d'inscription


d'inscription

• Créer un modèle de certificat personnalisé pour les certificats émis aux périphériques

� La longueur des clés des certificats émis aux périphériques

� La durée de vie de ces certificats

Compte de service Ndes

• Compte de domaine et membre du groupe « IIS_IUSRS » local du serveur Ndes

• Autorisation « Demander des certificats » sur l’autorité de certification

• Autorisation «Lecture » et « Inscrire » sur le modèle de certificats utilisé pour délivrer des certificats aux périphériques


• Sur le pool applicatif « SCEP »

� Paramètres avancés\Charger le profil utilisateur (True)(Utilisation d’un mot de passe unique …)

Gestion du mot de passe

• HkeyLocalMachine\Software\Microsoft\Cryptography\Mscep

� EnforcePassword (Activation\Désactivation du mot de passe)

� PasswordValidity (60 minutes)

� PasswordMax (5 par défaut)

� PasswordLength (8 caractères par défaut)


� PasswordLength (8 caractères par défaut)

� UseSinglePassword (Mot de passe unique pour tous les périphériques)

� Modèles de certificats utilisés pour les périphériques

• Redémarer Iis (iisreset)

Procédure d’implémentation

• Créer le compte Utilisateur Ndes (compte de service Ndes)

• Créer un modèle de certificat personnalisé pour les périphériques réseau

• Installer le rôle « Services d’inscription de périphériques réseau »

� Créer et inscrit deux nouveaux modèles pour la signature\chiffrement des


� Créer et inscrit deux nouveaux modèles pour la signature\chiffrement des demandes de certificat auprès de l’autorité

• Active le modèle de certificat personnalisé pour les périphérique

• Générer les mots de passe pour les périphériqueshttps://NomDnsServeurNdes/certsrv/mscep_admin

Implémentation Ndes et gestion des motsde passes de périphériques


s3.corp.lans1.corp.lan s2.corp.lan


ActiveDirectory

s3.corp.lanAutorité d’enregistrement (Ndes)




• Concept du protocole scep

• Fonctionnement et l’implémentation de Ndes

• Gestion des mots de passe des périphériques

• Application pratique : Implémentation et gestion des mots de passe Ndes


Ndes

Ndes offre la possibilité d’inscrire et renouveler des certificatspour des périphériques réseaux supportant le protocole SCEP

auprès d’une autorité de certification Microsoft.

Conclusion

Implémenter une PKIavec ADCS 2012 r2






Conclusion

Ce qu’on a couvert• Un tour d’horizon complet des Pki \ Services de certificats sous

Windows 2012 r2

� Cryptographie

� Autorité entreprise

� Les architectures sécurisées


� L’automatisation

� Tous les rôles ADCS (Ocsp, Cep\Ces, Ndes …)

Une expérience … pratique !!Avec de nombreux ateliers concrets

(Efs, Vpn, Signature de code …)

Références

• Microsoft (Web)

� http://technet.microsoft.com/en-us/windowsserver/dd448615

� http://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-enrollment-web-services-in-active-directory-certificate-services.aspx

� https://social.technet.microsoft.com/Forums/windowsserver/en-US/home?searchTerm=pki


https://social.technet.microsoft.com/Forums/windowsserver/en-US/home?searchTerm=pki

• Livre

� Windows Server 2008 PKI and Certificate Security (Brian Komar)

Cartes à puces \ Token Usb


Cartes à puces \ Token Usb

Mme Typhaine [email protected]://www.cardelya.fr


Http://www.cardelya.fr

Http://www.scardshop.com/boutique/liste_rayons.cfm

Une question ??

• IZZO Patrick

• Travailleur indépendant après salariat en SSII

• Formateur technique Windows serveur 2012 R2

• MCP, MCSA 2008 R2, MCSA 2012 R2


• Mes références :

� LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458� Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo� Alphorm http://www.alphorm.com/auteur/patrick-izzo� Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx

(Login : 692101 password : 58964781)

[email protected]

Merci !!!

A bientôt sur …


Technology

Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2