Autorité de certification entreprise
Introduction
De plus en plus de services, protocoles ou fonctionnalités nécessitent l’usage de certificats pour leur mise en œuvre sécurisée. Deux choix sont alors possibles pour se procurer ces certificats, les acheter auprès d’une autorité de certification publique commerciale (comme l’entreprise Verisign, https://www.verisign.com) ou les distribuer gratuitement dans l’entreprise en implémentant une autorité de certification privée.
Hormis dans le cas de la sécurisation d’un site web public où votre certificat ne peut être validé par vous-même et doit l’être par une autorité de certification publique de confiance, la deuxième solution, implémenter une autorité de certification privée, est de loin la solution la plus adaptée.
Les autorités de certification privées présentent les avantages suivants :
-
Gratuité : le rôle Services de certificats Active Directory est intégré gratuitement aux systèmes d’exploitation Windows Server 2016. Les certificats émis sont également gratuits.
-
Déploiement et renouvellement automatique des certificats : les stratégies de groupe déploient et renouvellent automatiquement les certificats des utilisateurs et des ordinateurs et cela de façon totalement...
Installation
Pour disposer d’une autorité de certification opérationnelle et gratuite, il suffit d’installer le rôle Services de certificats Active Directory puis de sélectionner le service de rôle Autorité de certification.
Le service de rôle Autorité de certification installe le service et la console de gestion de l’autorité de certification.
1. Méthodologie
La méthodologie d’implémentation d’une autorité de certification racine entreprise est la suivante :
-
Installer le rôle Services de certificats Active Directory
-
Configurer le rôle (type d’installation, type d’autorité, nom, durée de vie…)
-
Valider l’installation de l’autorité de certification
-
Publier une première liste de révocation
-
Tester l’inscription d’un certificat
Ces étapes sont mises en pratique de façon détaillée dans la section Atelier de ce chapitre !
Une architecture d’autorité de certification plus complexe sera implémentée dans le chapitre Architectures PKI sécurisées.
2. Recommandations d’installation
Serveur dédié
Il est très fortement recommandé dans un environnement de production d’implémenter l’autorité de certification sur un serveur dédié à ce rôle.
Installer l’autorité de certification entreprise sur un contrôleur de domaine n’est pas une bonne pratique, cela engendre...
Authenticité des certificats
Les autorités de certification signent les certificats émis. Cela permet de valider l’intégrité ainsi que l’authenticité des certificats utilisés.
Cette fonction est essentielle car elle vous permet, après vérification de la signature, de faire confiance.
1. Processus de signature d’un certificat
À l’installation d’une autorité de certification racine, l’autorité installée dispose d’un certificat autosigné. Ce certificat est associé à une paire de clés publique/privée.
L’autorité de certification utilise sa clé privée afin de signer le certificat délivré.
Une signature doit être unique. L’autorité utilise donc un élément qu’elle est la seule à détenir, sa clé privée, pour signer le certificat.
2. Processus de validation de la signature d’un certificat
Le client vérifie la signature du certificat en utilisant la clé publique de l’autorité de certification.
Les clés sont utilisées ici à l’inverse de leur utilisation lors d’un processus de chiffrement, la clé privée de l’autorité de certification est utilisée pour signer et la clé publique correspondante...
Types d’autorités de certification
Deux types d’autorité peuvent être sélectionnés lors de la configuration de l’autorité de certification.
-
Autorité de certification autonome
Ce type d’autorité de certification ne requiert pas une infrastructure Active Directory. Le serveur d’autorité de certification est en mode Groupe de travail (Workgroup).
Les demandes de certificats sont effectuées exclusivement par navigateur Internet. Les utilisateurs doivent fournir des informations d’identification précises (cartes d’identité, preuve d’appartenance à une entreprise…) et les demandes restent en attente jusqu’à l’approbation manuelle d’un administrateur de l’autorité (après vérification de l’identité du demandeur).
Les modèles de certificat délivrés ne sont pas personnalisables.
Ce type d’autorité n’est pas adapté à l’entreprise et n’est utilisé que dans des architectures sécurisées (voir chapitre Architectures PKI sécurisées).
-
Autorité de certification d’entreprise
Ce type d’autorité de certification requiert une infrastructure Active Directory. Le serveur d’autorité de certification doit être membre du domaine ainsi...
Atelier : Algorithmes de hachage
Objectif : comprendre par l’exemple le fonctionnement des algorithmes de Hachage
Connectez-vous sur le serveur s2 en tant que corp/admin.
Créez un nouveau fichier texte à la racine du disque c:\ nommé TestHash.txt.
Ouvrez une invite de commandes PowerShell.
Calculez la valeur de Hash du fichier créé en exécutant la commande :
get-filehash -algorithm MD5 c:\TestHash.txt
Le commutateur -algorithm de l’applet Get-FileHash supporte plusieurs algorithmes de Hash. Ajouter un espace après -algorithm et utilisez la touche Tabulation pour afficher les algorithmes disponibles.
Notez la valeur du Hash obtenu.
Modifiez le contenu du fichier TestHash.txt (ajoutez ou supprimez un seul caractère) et enregistrez le fichier.
Calculez à nouveau la valeur de Hash du fichier créé et comparez les deux valeurs.
Les deux valeurs de hachage sont totalement différentes. L’algorithme de Hash calcule des valeurs uniques pour chaque ensemble de données (ici les deux versions du fichier) et permet donc de détecter toute modification !
Atelier : Installer une autorité de certification
1. Objectif
La société Corp souhaite implémenter certaines fonctionnalités de sécurité nécessitant des certificats. Afin d’éviter des dépenses importantes d’achat de certificats, les administrateurs de la société ont décidé de déployer une autorité de certification entreprise en interne. Cette autorité émettrice fournira les certificats nécessaires aux utilisateurs et ordinateurs de l’Active Directory.
Dans cet atelier pratique, nous allons installer et configurer cette autorité de certification racine entreprise émettrice.
Cette autorité de certification étant réutilisée dans les ateliers des chapitres suivants, une sauvegarde complète de la plateforme (points de contrôle) sera effectuée en fin d’atelier.
Les ordinateurs virtuels utilisés dans cet atelier sont les suivants :
-
S1 : contrôleur de domaine
-
S2 : autorité de certification racine entreprise (CorpRootCa)
-
W10 : client Active Directory
2. Installer le rôle
Ouvrez la console de gestion Gestionnaire de serveur, développez le menu Gérer et sélectionnez le menu Ajouter des rôles et fonctionnalités.
Dans la fenêtre Avant de commencer de l’assistant cliquez sur le bouton Suivant.
Dans l’assistant Ajout de rôles et de fonctionnalités, dans la fenêtre Sélectionner le type d’installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité et cliquez sur le bouton Suivant.
Dans la fenêtre Sélectionner le serveur de destination, sélectionnez Sélectionner un serveur du pool de serveurs et sélectionnez le serveur s2.corp.lan.
Dans la fenêtre Sélectionner des rôles de serveurs, cochez Services de certificats Active Directory.
Dans la fenêtre Assistant Ajout de rôles et de fonctionnalités, cliquez sur le bouton Ajouter des fonctionnalités.
Dans la fenêtre Sélectionner des fonctionnalités, cliquez sur le bouton Suivant.
Lisez la description de l’écran Services de certificats Active Directory et cliquez sur le bouton...