Intégration de La CA Keon Dans Active Directory

Philippe Logean 11 juin 2003
Intégration de la CA Keon dans Active Directory
1 Introduction ...........................................................................................................................................2
1.1 CA Keon .............................................................................................................................................2
1.2 Topologie ............................................................................................................................................3
2 Structure PKI .........................................................................................................................................3
3 Préparation ............................................................................................................................................4
3.1 eToken Run Time Environement........................................................................................................4
4 Installation de la CA Keon....................................................................................................................5
4.1 Suppression des messages « Security Alert » ...................................................................................7
4.2 Installation de la Licence ....................................................................................................................7
5 Création d’une nouvelle juridiction.....................................................................................................8
6 Création et automatisation de la CRL ...............................................................................................10
7 Intégration de la CA Keon dans Active Directory ............................................................................11

7.1 Publication du certificat de la CA Keon dans AD..............................................................................11
7.2 Rafraîchir le Group Policy du domaine.............................................................................................11
7.3 Ajout du certificat de la CA dans les Trusted Root Certification Authorities .....................................11
7.4 Requête de certificat pour le DC.......................................................................................................12
7.5 Publication du certificat du DC..........................................................................................................13
8 Certificat pour Smart Card Logon .....................................................................................................17

8.1 Requête de certificat pour un utilisateur ...........................................................................................17
8.2 Approbation du certificat sur la console d’administration locale .......................................................18
9 Gestion des certificats .......................................................................................................................21
10 Démarrer la CA Keon ..........................................................................................................................22
11 Automatisation du démarrage de la CA Keon..................................................................................23
12 Conclusion...........................................................................................................................................24
13 Documentations..................................................................................................................................24
14 Matériels...............................................................................................................................................25
Laboratoire de transmission de données / EIG 1

1 Introduction
Ce document aborde la problématique de l’authentification d’un utilisateur dans un domaine Windows 2000
en utilisant une infrastructure PKI basée sur une Autorité de Certification (CA) tierce. La CA choisie est la
Keon de RSA. Pour permettre cette authentification, on doit intégrer la CA Keon dans Active Directory (AD).
Le but de cette opération est que la CA fasse partie intégrante du domaine afin qu’elle puisse délivrer des
certificats permettant l’authentification des utilisateurs enregistrés dans AD. Pour cela, il faut que les
certificats délivrés par la CA soient reconnus comme autorisés (truster) par AD. Les utilisateurs stockent
leur certificat dans des eToken Aladdin.
eToken
CA Keon
Integration
Authentification
Client AD
L’installation et la configuration de la CA Keon est décrite dans les § 3 à 6.
Les opérations pour l’intégration de la CA Keon dans AD sont énumérées au § 7.
La méthode pour délivrer un certificat (ajout d’extensions MS) à un utilisateur est détaillée au § 8.
La gestion des certificats (publier, révoquer, supprimer, …) est expliquée dans le § 9.
1.1 CA Keon
La CA Keon utilise un browser Web comme interface utilisateur :
CA Keon
Web Server
Web Browser https
End-user
User
Enrollment
443
Server
Web Browser https Administration

444
Administrator Administrator Server
Remarque : L’architecture plus complète de la CA Keon est illustrée à la page 48 du RSA Keon
Certification Authority 6.0 Administrator’s Guide.
Chronologiquement :
• Installation de la CA sur Vectra 25 avec administration locale (§ 2)
• Création obligatoire d’une nouvelle juridiction (§ 5)
• Intégration dans AD (§ 7)
• Requête de certificat, depuis un poste équipé d’une eToken (§ 8.1)
Figure : depuis Web Browser End-user sur l’Enrollment Server
• Approbation du certificat sur la console d’administration locale (§ 8.2)
Figure : depuis Web Browser Administrator sur l’Administration Server
• L’utilisateur peut alors s’authentifier dans le domaine

1.2 Topologie
La CA Keon communique avec AD en utilisant le protocole LDAP. En effet, AD possède une interface
conforme au standard LDAP, permettant de lire et d’écrire dans celui-ci. AD utilise le modèle de
dénomination LDAP pour désigner tout objet d’un serveur Windows 2000 :
• DC : Domain-Component
• CN : Common-Name
• OU : Organizational-Unit
dc1.telecomeig ca1.telecomeig ca2.telecomeig

Domain CA Keon CA Microsoft
Controller
DNS telecomeig
Win2K Server Win2K Server Win2K Server

Vectra24 Vectra25 Vectra28
10.5.1.1 10.5.1.2 10.5.1.3
Comme cela est expliqué au § 7, une CA Microsoft est nécessaire pour intégrer la CA Keon dans AD. Dans
notre configuration, les CAs et AD sont installés sur des machines différentes, mais il est possible de les
placer sur une même machine.
2 Structure PKI
La CA Keon définit des juridictions. Une juridiction est un ensemble de configurations qui décrit la forme et
le contenu des certificats délivrés dans cette dernière.
Lors de l’installation de la CA Keon, la juridiction « System CA » est automatiquement créé pour permettre
la sécurisation et l’authentification des connexions sur la CA. En effet, les connexions sur l’Enrollment
Server et sur l’Administration Server sont basées sur le protocole HTTPS. De plus l’administrateur doit
posséder un certificat pour s’authentifier sur l’Administration Server. Les certificats suivants sont créés lors
de l’installation de la CA :
• ca1.telecomeig System CA : Certificat root (auto signé) de la juridiction. Signe les certificats
délivrés dans la juridiction.
• Web Server : Certificat permettant l’authentification du serveur Web de la CA (https).
• CA Administrative : Certificat utilisateur nécessaire pour se connecter à l’Administration Server
(https avec authentification mutuelle).
ca1.telecomeig (Vectra25)
CA Keon
ca1.telecomeig
System CA
Subject:
ca1 System CA
Self-signed
Web Browser https

Web Server
End-user Issuer:
ca1 System CA
Web Server Subject:
ca1.telecomeig
CA
Administrative
Issuer:
ca1 System CA Enrollment
443
Subject: Server
CA Administrative
Web Browser https Administration
444
Administrator Server
Ainsi, les opérations de requête et de gestion des certificats sont effectuées localement sur la machine
ca1.telecomeig (figure ci-dessus), par l’administrateur du réseau. Pour chaque nouvel utilisateur,
l’administrateur crée un compte dans AD. Puis sur la CA, il effectue la requête de certificat et le publie dans
AD et dans la eToken (voir §8.1). Ainsi, l’administrateur contrôle tout le processus d’authentification.
Toutefois, la CA est accessible par tous postes connectés au réseau. Donc, il est possible d’effectuer des
requêtes de certificat à distance sur l’Enrollment Server. Il est aussi envisageable d’administrer la CA
depuis un autre poste, en installant le certificat CA Administrative sur celui-ci.
La juridiction « System CA » ne doit pas être utilisée après l’installation, pour délivrer d’autres certificats.
Une deuxième juridiction doit être créée, afin de mettre en place l’infrastructure PKI nécessaire à
l’authentification des utilisateurs dans le domaine « telecomeig ». Cette juridiction est nommée
« TelecomeigRootCA ». Les certificats suivant y sont délivrés :
• TelecomeigRootCA : Certificat root (auto signé) de la juridiction. Signe les certificats délivrés dans
la juridiction.
• DC Certificate : Certificat utilisé par le DC pour signer sa réponse lors de PKINIT.
• User Certificate : Certificat présenté par les utilisateurs pour s’authentifier dans le domaine.
TelecomeigRoot
CA
Subject:
ca1.telecomeig
Self-signed
CA Keon
ca1.telecomeig
User Certificate (Vectra25)
DC Certificate
Issuer:
ca1.telecomeig Issuer:
Subject: ca1.telecomeig
Alice Subject:
dc1.telecomeig
Client DC
Active Directory
eToken
host.telecomeig dc1.telecomeig
(Vectra24)
La procédure d’authentification du client par le DC est décrite au paragraphe 7 du document

Installation_CA_Microsoft.doc .
3 Préparation
La CA Keon doit être installée sur une machine Win2k Server. Pour l’installation de ce serveur Win2k, voir
le chapitre 1 du document Installation_Win2Kserver.doc.
Vérifier la configuration minimum du système nécessaire à l’installation de la CA Keon (voir RSA Keon
Certification Authority Installation Guide p.17)
Vérifier les composants suivant pour Internet Explorer :

• Dans Tools – Internet Options – Advanced , la case JIT for virtual machine enabled doit être
cochée.
• Dans Internet Explorer, Wiew – Encoding, sélectionnez Unicode (UTF-8) et désélectionnez Auto-
Select.
3.1 eToken Run Time Environement
Pour pouvoir utiliser les eToken Aladdin sur une machine, il faut installer le « eToken Run Time
Environement ». Cela installe les drivers pour les eToken, le CSP « eToken Base Cryptographic Provider »
et remplace la DLL GINA afin que les lecteurs de cartes à puces soient supporté par Winlogon . Le
« eToken Run Time Environement » peux être téléchargé à l’adresse suivante :
http://www.ealaddin.com/etoken/downloads/rte.asp

4 Installation de la CA Keon
La version installée est la CA Keon 6.0.2 build 107.
Sur le CD CA Keon 6.0.2 build 107, exécuter CA Keon 6.0.2 build 107 - Setup.exe.
A la question « Select browser », répondre Use default Browser.
Sélectionner New Install.
Il est possible d’utiliser un provider tiers pour générer la paire de clés de la CA. Cela n’est pas notre cas.
Répondre NO à la question « Search for provider now ».
Sélectionner le répertoire d’installation et cliquer sur Next pour lancer l’installation des fichiers.
Lorsque l’installation des fichiers se termine, cliquer sur Finish. Une fenêtre Keon est automatiquement
ouverte dans le browser.
Un message « Security Alert » apparaît, continuer en cliquant sur Yes.
Accepter le End User License Agreement.
La fenêtre General Configuration Information permet de configurer les ports du serveur Keon. Garder les
valeurs par défaut. Modifier uniquement le champ Webmaster E-mail Address et désélectionner Confirm
that SMTP server is reachable. Cliquer sur Next.

Compléter la page User Information. Ces informations sont utilisées pour créer le certificat root du System
CA. Cliquer sur Next.
Deux paires de clé vont être générées par la CA (SSL keys et System keys). Dans la page SSL Information
et System Information donner un password permettant d’encrypter ces clés (dans notre cas, le même
password est utilisé pour les deux paires de clés). Cliquer sur Next.
Les clés sont générées. Cela peut prendre plusieurs minutes.
La page Server Setup apparaît lorsque la configuration est terminée. Cliquer sur Continue.
La page Install Administrative Certificate permet l’installation du certificat client d’administration (CA
Administrative). Ce certificat permet la connection à l’Administration Server de la CA Keon. Cliquer sur
Install Client Certificate puis Next.
Le browser se connecte à l’Administration Server de la CA. Sélectionner le certificat CA Administrative

Certificate, installé précédemment, pour s’authentifier au serveur. Un message « Security Alert » apparaît,
continuer en cliquant sur Yes.
La procédure d’installation est terminée.

• L’Administration Server se trouve à l’adresse https://ca1.telecomeig:444.
• L’Enrollment Server se trouve à l’adresse https://ca1.telecomeig:443.

4.1 Suppression des messages « Security Alert »
Pour supprimer les messages « Security Alert », il faut placer le certificat root de la CA dans les Trusted
Root Cetification Authorities. Pour cela, se connecter sur la console d’administration
(https://ca1.telecomeig:444) puis cliquer sur CA Operations. Le certificat « ca1.telecomeig System CA »
est affiché. En bas de la page, dans CA Certificate Operation, faire : Download – Open this files from its
current location – Install Certificate… - Automatique Select the certificate store… - Finish - Yes .
4.2 Installation de la Licence
Après son installation, la CA Keon peut délivrer des certificats pour 20 utilisateurs. Pour augmenter ce
nombre, installer la licence se trouvant sur la disquette « RSA Keon Certificate Autority 6.0 License File »
fournit avec la Keon. Pour cela, copier le fichier « licence.p7 » de la disquette dans C:\Program Files\
RSA Security\RSA_KeonCA\Xudad\conf.
Redémarrer la CA Keon (voir RSA Keon Certification Authority Installation Guide p.67 et 69)
La licence peut être vérifiée en cliquant sur le logo RSA Keon de la console d’administration.

5 Création d’une nouvelle juridiction
La CA « ca1.telecomeig System CA », créé lors de l’installation, est utilisé pour l’administration de la Keon
(Authentification lors de la connexion à l’Administration Server, etc…). Il ne faut donc pas délivrer de
certificat à partir de cette juridiction (juridiction de la CA « ca1.telecomeig System CA »).
Une nouvelle CA doit être créée. Sur la console d’administration, faire CA Operation – create.
Compléter les champs comme suit :
• Issuer : Self
• Jurisdiction : Create new Jurisdiction
• Next
Dans le menu déroulant Sections, sélectionner Extension profiles, puis compléter comme suit :
• General Profile Policy : sélectionner Vettor Can Override
• Profile Choices : sélectionner Basic PKIX-compilant CA
Dans le menu déroulant Sections, sélectionner Certificates Attributes. Dans Certificates Attributes
Configuration, sélectionner E-Mail Address puis cocher la case Include in DN.
Cliquer sur Save and Exit.

Compléter les champs de la page Create a new CA.
• Signing Algorithm and Key Size : choisir RSA/SHA1 2048.
• Profile : Basic PKIX-compilant CA.
• Next
Dans la page CA Certificate Extension Values, laisser les options par défaut, puis Next.
Dans la page Pass Phrases for new CA, entrer le password permettant d’encrypter les clés de la nouvelle
CA, puis cliquer sur Create CA.
Une fois la nouvelle CA créée, redémarrer la CA Keon (voir RSA Keon Certification Authority Installation
Guide p.67 et 69)
6 Création et automatisation de la CRL
Pour automatiser la génération de la CRL (Certificate Revocation list) de la CA, il faut ajouter les lignes
suivantes à la fin du fichier C:\Program Files\RSA Security\RSA_KeonCA\Xudad\conf\xudad.conf :
# Generat CRL every day at 23h00
crltimer md5=* 86400 23:00:00
Pour plus d’information sur cette commande, voir RSA Keon Certification Authority Installation Guide p.234.
Redémarrer la CA Keon pour que le changement soit prit en compte.
Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur CRL
Publishing. Sélectionner Enable local CRL publishing et Publish to HTTP server, puis cliquer sur
Modify Configuration.
Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Generate
CRL.
La CRL est publiée dans C:\Program Files\RSA Security\RSA_KeonCA\WebServer\crl-server. Vérifier

que le champ Next update est bien présent. Si ce n’est pas le cas, contrôler le fichier xudad.conf modifié
précédemment. Si ce champ n’est pas présent, la procédure d’authentification des utilisateurs échoue.

7 Intégration de la CA Keon dans Active Directory
Pour pouvoir intégrer la CA Keon dans AD, il est nécessaire d’installer une Entreprise Root CA Microsoft
dans le domaine. Cette installation a pour effet de modifier le schéma d’AD afin que les PKI soient
supportées par le DC. Pour installer la CA Microsoft, voir le document Installation_CA_Microsoft.doc
(§1 & 2).
7.1 Publication du certificat de la CA Keon dans AD
Afin de permettre à la CA Keon de délivrer des certificats, pour l’authentification des utilisateurs dans le
domaine, elle doit être reconnue par le DC. Pour cela, le certificat root de la CA (TelecomeigRootCA) doit
être placer dans l’objet NTAuth d’AD. NTAuth se trouve dans :
LDAP://dc1.telecomeig/CN=NTAuthCertificates,CN=Public KeyServices,CN=Services,
CN=Configuration, DC=telecomeig
Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Configure.
Dans le menu déroulant Sections, sélectionner external publishing.
Dans Publishing Controls, sélectionner Publish Authorities.
Dans Publishing Configuration, configurer les champs comme suit :

• Host : 10.5.1.1
• Port : 389
• Bind DN : CN=Administrator,CN=Users,DC=telecomeig
• Bind Password : ********
• Base DN : CN=Public Key Services,CN=Services,CN=Configuration,DC=telecomeig
• Authority DN : CN
• DN Mapping: CN=ca1.telecomeig Æ CN=NTAuthCertificates
• Authority Class : organizationalUnit
• Authority Certificate Field : cACertificate
Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Publish.
7.2 Rafraîchir le Group Policy du domaine
Après la publication du certificat de la CA Keon dans NTAuth, il faut que la mise à jour de la Policy du
domaine se fasse sur toutes les machines clientes. Par défaut, cela se fait toues les 8 heures. Il est
possible de forcer cette mise à jour avec la commande :
dsstore -pulse
L’utilitaire dsstore se trouve sur le CD « Windows 2000 Server Ressource Kit ».
7.3 Ajout du certificat de la CA dans les Trusted Root Certification Authorities
Afin que la chaîne de certification soit valide, il faut ajouter le certificat de la CA Keon dans les Trusted Root
Certification Authorities.
Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur
Download.
Sauvegarder le certificat de la CA sur le disque.
Copier le fichier sur le DC.
Sur la DC, aller dans Active Directory Users and Computers. Sélectionner telecomeig puis :
Properties – Group Policy – Default Domain Policy – Edit – Computer Configuration – Windows
Settings – Security Settings – Public Key Policies - Trusted Root Certification Authorities – All
Tasks – Import…
Importer le certificat de la CA Keon.

7.4 Requête de certificat pour le DC
Un certificat doit être généré pour le DC. Le DC utilise ce certificat pour signer ses paquets lors de la
procédure d’authentification d’un utilisateur (voir Installation_CA_Microsoft.doc §7). Afin d’avoir un certificat
possédant le bon format, la requête de celui-ci se fait sur la CA Microsoft. Par contre, il doit être signer par
la CA Keon.
Le Certificate template « Router (Offline request) » doit être présent dans la CA Microsoft. Pour cela il faut
aller dans Start – Programs – Administrative Tools – Certification Authority – Policy Settings – New –
Certificate to Issue et ajouter Router (Offline request).
Sur la station d’enrollment de la CA Microsoft (http://ca2.telecomeig/certsrv): Request a certificate –

Advanced Request - Submit a certificate request to this CA using a form.

Remplir la demande comme suit :
• Certificate Template : Router (Offline request).
• Name : dc1.telecomeig (les autres champs n’ont pas besoin d’être remplies).
• CSP : Microsoft RSA Schannel Cryptographic Provider.
• Sélectionner Use local machine store.
• Sélectionner Save request to a PKCS #10 file est donner un nom de fichier.
Cliquer sur Save puis copier le fichier sur la CA Keon.
7.5 Publication du certificat du DC
Le certificat du DC doit être stocké dans l’objet Domain Controller d’AD. Cet objet se trouve dans :
LDAP://dc1.telecomeig/OU=Domain Controllers, DC=telecomeig
Sur la Keon, dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer
sur Configure. Dans le menu déroulant Sections, sélectionner external publishing.
Dans Publishing Controls, sélectionner Publish Certificates et désélectionner Publish Authorities.

• Host : 10.5.1.1
• Port : 389
• Base DN : OU=Domain Controllers,DC=telecomeig
• Certificate DN : CN
• DN Mapping: CN=dc1.telecomeig Æ CN=dc1
• End Entity Class : strongAuthentificationUser
• End Entity Certificate Field : userCertificate
Remarque : Pour le DN Mapping, le CN doit correspondre au nom de l’objet se trouvant dans Active
Directory Users and Computers – Domain Controllers. Dans notre cas, « dc1 ».
• Profile Choices : sélectionner MS Domain Controller Cert
Sur l’Enrollment Server de la Keon (https://ca1.telecomeig:443), sélectionner TelecomeigRootCA Initial

Jurisdiction dans le menu déroulant puis cliquer sur Continue – Make a PKCS # 10 Certificate request –
Browse… et sélectionner le fichier créer au § 7.4.
Cliquer sur Submit PKCS # 10 Request.
Sur la console d’administration, faire Certificate Operations et sélectionner TelecomeigRootCA Initial

Jurisdiction.
Lister les requêtes actives (Status : Active – Liste all Active) et ouvrir la requête de certificat pour le DC.

Compléter les champs comme ci-dessus et sélectionner MS Domain Controller Cert dans Profile. Vérifier
que les extensions Mandatory sont bien présentes :
• Extended Key Usage
• Key Usage
• Subject Alternative Names
• Certificate Template Name
Cliquer sur Issue Certificate.
La fenêtre Client Certificate Extension Values apparaît :

• Dans extKeyUsage, indiquer que 2 object identifiers sont inclus dans l’extension.
• Dans subjectAltNames, indiquer que 2 noms sont inclus dans l’extension.
Cliquer sur Next.
Une deuxième page Client Certificate Extension Values apparaît. Cette page indique que les noms
otherName et dNSName sont inclus dans l’extension subjectAltNames.
Cliquer sur Next.
Une troisième page Client Certificate Extension Values apparaît.
Spécifier l’extension extKeyUsage comme not critical et entrer les OIDs 1.3.6.1.5.5.7.3.2 et
1.3.6.1.5.5.7.3.1 .
Spécifier l’extension keyUsage comme not critical et sélectionner digital signature et key encipherment.
Spécifier l’extension subjectAltNames comme not critical et compléter le champ type-id avec la valeur
1.3.6.1.4.1.311.25.1 .
Si le champ Value n’est pas automatiquement généré, procéder comme suit :

• Sur le DC, installer les Administration Tools (CD Win2k server /support/tools/setup.exe).
• Dans Start – Run… exécuter ldp.
• Dans ldp faire Connection – Connect (Server : dc1.telecomeig, Port : 389) - OK.
• Connection – Bind (User : Administrator, Password : ********, Domain : telecomeig) – OK.
• View – Tree (Base DN : DC=telecomeig).
• Cliquer sur CN=DC1,OU=Domain Controllers,DC=telecomeig.
• Copier la valeur de l’objectGUID, dans le champ Value de l’extension subjectAltNames, en
respectant la syntaxe (ex : 4f6bbbb4-8f7c-4afs-8a99-dc3cb119ada5).
Dans le champ dNSName entrer le nom DNS du DC : dc1.telecomeig
Spécifier l’extension msCertTemplateName comme not critical et compléter le champ Certificate

Template Name avec la valeur DomainController.

Cliquer sur Next.
Le certificat est généré et publier dans l’objet Domain Controller d’AD. Vérifier dans l’Event Viewer que le
certificat à bien été publié (Start – Program – Administrative Tools – Event Viewer – Application Log).

8 Certificat pour Smart Card Logon
La CA doit être configurée pour publier les certificats utilisateurs dans le bon objet d’active directory. Si la
CA est déjà configurée correctement, passée au paragraphe 8.1 pour délivrer un certificat à un utilisateur.
• Profile Choices : sélectionner MS Logon Cert
Cliquer sur Save.
Dans le menu déroulant Sections, sélectionner external publishing.
Dans Publishing Controls, sélectionner Publish Certificates.

• Host : 10.5.1.1
• Port : 389
• Base DN : CN=Users,DC=telecomeig
• Certificate DN : CN
• End Entity Class : strongAuthentificationUser
• End Entity Certificate Field : userCertificate
Remarque : Dans le champ Base DN, la valeur « CN=Users,DC=telecomeig » est valable uniquement si
les comptes utilisateurs du domaine sont stocker dans le CN Users d’AD. Si ils sont placés
dans un OU, modifier la champ Base DN avec la bonne valeur (ex : OU=test,DC=telecomeig ).
Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur
Download.
Sauvegarder le certificat de la CA dans le répertoire :

C:\Program Files\RSA Security\RSA_KeonCA\ WebServer\crl-server.
Ainsi, le certificat de la CA est accessible en utilisant l’URL
http://ca1.telecomeig:447/TelecomeigRootCA.crt
8.1 Requête de certificat pour un utilisateur
Pour effectuer une requête de certificat pour un utilisateur du domaine, aller sur l’Enrollment Server de la
Keon (https://ca1.telecomeig:443), sélectionner TelecomeigRootCA Initial Jurisdiction dans le menu
déroulant puis cliquer sur Continue – Make an End-Entity certificate request.

Vérifier qu’une eToken est bien connectée sur la station d’enregistrement.
• Dans Common Name, entrer le nom du compte utilisateur.
• Compléter le champ E-mail Address.
• Sélectionner le CSP eTocken Base Cryptographic Provider.
• Cliquer sur Submit.
Remarque : Il n’est pas nécessaire de remplir les autres champs.
Le PIN code de la eToken est demandé afin de pouvoir mémoriser la paire de clés générée.
8.2 Approbation du certificat sur la console d’administration locale
Les comptes utilisateurs doivent être créés dans AD avant d’effectuer cette procédure.
Après acceptation de la requête, aller sur la console d’administration (https://ca1.telecomeig:444), faire

Certificate Operations et sélectionner TelecomeigRootCA Initial Jurisdiction.
Lister les requêtes actives (Status : Active – Liste all Active) et ouvrir la requête de certificat de l’utilisateur.
Compléter les champs, comme ci-dessus, et sélectionner MS Logon Cert dans Profile. Vérifier que les
extensions suivantes sont bien sélectionnées :
• Extended Key Usage
• Key Usage
• Subject Alternative Name
• Authority Information Access
• Authority Key Identifier
• Subject key Identifier
• Certificate Template Name
Cliquer sur Issue Certificate.
La fenêtre Client Certificate Extension Values apparaît :

• Dans authInfoAccess, indiquer que 1 AccessDescription sera inclus dans l’extension
• Dans extKeyUsage, indiquer que 3 object identifiers sont inclus dans l’extension.
• Dans subjectAltNames, indiquer que 2 noms sont inclus dans l’extension.
Cliquer sur Next.
Une deuxième page Client Certificate Extension Values apparaît.

• Pour l’extension authInfoAccess, sélectionner uRL.
• Pour l’extension subjectAltNames, sélectionner otherName et rfc822Name.
Cliquer sur Next.
Une troisième page Client Certificate Extension Values apparaît.
Spécifier l’extension authInfoAccess comme not critical, entrer l’OID 1.3.6.1.5.5.7.48.2 et l’uRL
http://ca1.telecomeig:447/TelecomeigRootCA.crt
Spécifier l’extension msCertTemplateName comme not critical, entrer le nom SmartcardUser.
Spécifier l’extension extKeyUsage comme not critical et entrer les OIDs 1.3.6.1.4.1.311.20.2.2,
1.3.6.1.5.5.7.3.4 et 1.3.6.1.5.5.7.3.2 .
Spécifier l’extension keyUsage comme not critical et sélectionner digital signature et key encipherment.
Spécifier l’extension subjectAltNames comme not critical et compléter le champ type-id avec la valeur
1.3.6.1.4.1.311.20.2.3 , le champ Value avec alice@telecomeig (username@domain) et le champ
rfc822Name avec l’adresse e-mail de l’utilisateur.

Cliquer sur Next – Download.
Le certificat est généré, publier dans l’objet Alice d’AD et chargé dans la eToken. Vérifier dans l’Event
Viewer que le certificat à bien été publié (Start – Program – Administrative Tools – Event Viewer –
Application Log).
A présent, l’utilisateur peut utiliser la eToken pour s’authentifier dans le domaine.

9 Gestion des certificats
La gestion des certificats se fait sur la console d’administration (https://ca1.telecomeig:444), dans

Certificate Operations.
Sélectionner TelecomeigRootCA Initial Jurisdiction et cliquer sur Certificates : active – Liste all
Active. La liste des certificats actifs, publiés par le CA, est affichée.
Sélectionner un certificat pour le visualiser (ex : alicecert).
Les opérations sur le certificat se font dans cette fenêtre :

• Downloader le certificat dans un fichier
• Publier (cette opération ce fait automatiquement dans AD, lors de la création du certificat)
• Suspendre
• Révoquer
• Supprimer (Attention, révoquer le certificat avant de le supprimer, sinon, il n’apparaît pas dans la
CRL)
• Prolonger la date de validité.

Par exemple, pour révoquer le certificat d’Alice, cliquer sur Revoke. Confirmé l’opération. A présent, le
certificat apparaît avec le statu Revoked.
En retournant dans Certificate Operations, cliquer sur Certificates : revoked – Liste all Revoked. La
liste des certificats révoqués est affichée.
Pour plus de détails sur l’utilisation de la CA Keon, se référer au manuel RSA Keon Certification Authority
6.0 Administrator’s Guide.
10 Démarrer la CA Keon
Après le démarrage de Win2k, la CA Keon n’est pas activée. Il est nécessaire de démarrer manuellement
les services suivant :
• RSA Keon CA Secure Logging Server 6.0.2 build 107
• RSA Keon CA 6.0.2 build 107 (Secure Directory)
• RSA Keon CA 6.0.2 build 107 (Administration)
• RSA Keon CA CMP Server 6.0.2 build 107
La procédure complète de démarrage et d’arrêt de la CA est décrite dans RSA Keon Certification Authority
Installation Guide p.67 et 69

11 Automatisation du démarrage de la CA Keon
Il est possible d’automatiser le démarrage de la CA Keon. Pour cela, les password nécessaires pour le
démarrage de la CA doivent être stockés dans deux fichiers :
• startup.conf à créer dans C:\Program Files\RSA Security\RSA_KeonCA\conf
• xudad.conf à modifier dans C:\Program Files\RSA Security\RSA_KeonCA\Xudad\conf
Dans startup.conf ajouter « SSL-passphrase value » où value correspond au password pour démarrer le
serveur SSL.
SSL-passphrase xxxxxxxx
Dans xudad.conf ajouter le password correspondant à chaque Certificate Authority identifié par le
Certificate ID (MD5).
Le format est « setpin md5=CertificateID value » où CertificateID est le hash MD5 du Certificate Authority
et value le password correspondant à cet Certificate Authority.
Voici un exemple du fichier xudad.conf :
#######################################################################
# ldbm database definitions
#######################################################################
database caoperations
suffix "o=ca,o=services"
sslonly 1
setpin md5=74fc553ea14d61cf37b7288d852ea6f8 xxxxxxxx
setpin md5=a7af45194f9d8fbda8a974e4a37d55d0 yyyyyyyy
setpin md5=b30f710c02580c77d4f5e7c359e5b500 zzzzzzzz

12 Conclusion
L’authentification des utilisateurs, dans un domaine Win2k, en utilisant une infrastructure PKI basée sur une
CA tierce, fonctionne.
Cette intégration a été rendue difficile par le manque de documentation traitant de ce sujet. En effet, aucun
exemple d’utilisation de la CA Keon pour l’authentification des utilisateurs dans un monde Microsoft n’était
disponible au début du projet.
Un premier document publier par RSA donnait quelques indications sur la manière d’intégrer la CA dans
AD (Documentations\Pki\Microsoft_ActiveDirectory_Keon_60.pdf). Malheureusement ces indications
n’étaient pas fonctionnelles.
Les premier testes ont été effectués avec la CA Keon 6.0 . Cette version ne possédait pas encore tous les
éléments (format des certificats, extensions,…) permettant une authentification dans le monde Win2k. Cela
a été résolu dans la version 6.0.2 de la CA Keon.
Suite à la sortie de la CA Keon 6.0.2, un nouveau document, traitant de l’intégration de la CA dans AD, a
été publié par RSA (Documentations\Pki\W2K Integration Admin Guide1.pdf). Ce document donnait les
bons éléments pour réussir l’intégration. Malheureusement, certains points étaient incomplets.
Le plus gros problème rencontré a été causé par la CRL. Comme expliqué dans le document
Installation_CA_Microsoft.doc au § 7.1, lors de l’authentification d’un utilisateur, le DC vérifie la CRL. Par
défaut, le CRL de la CA Keon est générée à la main. En faisant cela, la CRL ne possède pas le champ
Next update indiquant la date de la prochaine mise à jour. Sans ce champ, la procédure d’authentification
des utilisateurs échoue. Ce problème a été résolu en automatisant la publication de la CRL, ce qui a pour
effet d’ajouter le champ Next update.
Ce document contient tous les éléments permettant d’utiliser la CA Keon pour permettre l’authentification
par PKI des utilisateurs dans un domaine Win2k.
13 Documentations
• Using RSA Keon CA with Microsoft Windows 2000 – Administrator’s Guide

Documentations\Pki\W2K Integration Admin Guide1.pdf
• RSA Keon Ready Implementation Guide For Directory Server Products

Documentations\Pki\Microsoft_ActiveDirectory_Keon_60.pdf
• Windows 2000 Identification (p. 19 - 24)

Mémoire du travail de diplôme de Mario Pasquali
Session 2001
• Construire un annuaire d’entreprise avec LDAP (p.54-66, 91-136)

Marcel Rizcallah
Editions Eyrolles 2000, ISBN 2-212-09154-0
• Flux Applicatifs (p.76-101)

Mémoire du travail de diplôme de Pascal Gaio
Session 2001
• Public Key Infrastructure

Mémoire du travail de diplôme de Denis Cotte
Session 2001
• Tutorial LDAP en français

http://www-sop.inria.fr/semir/personnel/Laurent.Mirtain/ldap-livre.html

14 Matériels
Materiels fournis par RSA :

• RSA Keon Certification Authority 6.0 Installation Guide
• RSA Keon Certification Authority 6.0 Administrator’s Guide
• CD CA Keon 6.0.2 build 107
• Disquette RSA Keon Certificate Autority 6.0 License File
Autres matériels nécessaires :

• CD Windows 2000 Server
• CD Windows 2000 Server Ressource Kit
• eToken Run Time Environement : A télécharger à l’adresse suivante :
http://www.ealaddin.com/etoken/downloads/rte.asp

Intégration de La CA Keon Dans Active Directory

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Intégration de La CA Keon Dans Active Directory

Transféré par

Droits d'auteur :

Formats disponibles

Philippe Logean 11 juin 2003

Intégration de la CA Keon dans Active Directory

2 Structure PKI .........................................................................................................................................3

5 Création d’une nouvelle juridiction.....................................................................................................8

6 Création et automatisation de la CRL ...............................................................................................10

7 Intégration de la CA Keon dans Active Directory ............................................................................11

8 Certificat pour Smart Card Logon .....................................................................................................17

9 Gestion des certificats .......................................................................................................................21

10 Démarrer la CA Keon ..........................................................................................................................22

11 Automatisation du démarrage de la CA Keon..................................................................................23

Laboratoire de transmission de données / EIG 1

L’installation et la configuration de la CA Keon est décrite dans les § 3 à 6.

Les opérations pour l’intégration de la CA Keon dans AD sont énumérées au § 7.

La gestion des certificats (publier, révoquer, supprimer, …) est expliquée dans le § 9.

La CA Keon utilise un browser Web comme interface utilisateur :

Web Browser https Administration

Laboratoire de transmission de données / EIG 2

dc1.telecomeig ca1.telecomeig ca2.telecomeig

Win2K Server Win2K Server Win2K Server

Web Browser https

La procédure d’authentification du client par le DC est décrite au paragraphe 7 du document

Vérifier les composants suivant pour Internet Explorer :

3.1 eToken Run Time Environement

Laboratoire de transmission de données / EIG 4

La version installée est la CA Keon 6.0.2 build 107.

A la question « Select browser », répondre Use default Browser.

Sélectionner New Install.

Un message « Security Alert » apparaît, continuer en cliquant sur Yes.

Accepter le End User License Agreement.

Laboratoire de transmission de données / EIG 5

Les clés sont générées. Cela peut prendre plusieurs minutes.

Le browser se connecte à l’Administration Server de la CA. Sélectionner le certificat CA Administrative

La procédure d’installation est terminée.

Laboratoire de transmission de données / EIG 6

4.2 Installation de la Licence

Laboratoire de transmission de données / EIG 7

Cliquer sur Save and Exit.

Laboratoire de transmission de données / EIG 8

Redémarrer la CA Keon pour que le changement soit prit en compte.

La CRL est publiée dans C:\Program Files\RSA Security\RSA_KeonCA\WebServer\crl-server. Vérifier

Laboratoire de transmission de données / EIG 10

7.1 Publication du certificat de la CA Keon dans AD

Dans Publishing Controls, sélectionner Publish Authorities.

Dans Publishing Configuration, configurer les champs comme suit :

Cliquer sur Save and Exit.

7.2 Rafraîchir le Group Policy du domaine

L’utilitaire dsstore se trouve sur le CD « Windows 2000 Server Ressource Kit ».

7.3 Ajout du certificat de la CA dans les Trusted Root Certification Authorities

Sauvegarder le certificat de la CA sur le disque.

Copier le fichier sur le DC.

Importer le certificat de la CA Keon.

Laboratoire de transmission de données / EIG 11

Sur la station d’enrollment de la CA Microsoft (http://ca2.telecomeig/certsrv): Request a certificate –

Laboratoire de transmission de données / EIG 12

Cliquer sur Save puis copier le fichier sur la CA Keon.

7.5 Publication du certificat du DC

Dans Publishing Controls, sélectionner Publish Certificates et désélectionner Publish Authorities.

Dans Publishing Configuration, configurer les champs comme suit :

Cliquer sur Save and Exit.

Cliquer sur Save and Exit.

Sur l’Enrollment Server de la Keon (https://ca1.telecomeig:443), sélectionner TelecomeigRootCA Initial

Cliquer sur Submit PKCS # 10 Request.

Sur la console d’administration, faire Certificate Operations et sélectionner TelecomeigRootCA Initial