Implmenter une PKI dans Windows server 2008

Avant dimplmenter une PKI sous Windows server 2008, certains lments sont prendre en compte. Et le plus majeur est la prparation dun environnement AD DS (en anglais Active Directory Domain Services). Tout dabord lorsquun administrateur systme doit envisager le dploiement dune PKI Windows server 2008, il doit se poser plusieurs questions : Est-ce que je dois mettre jour tous les contrleurs de domaines dela fort vers Windows server 2008 ? La rponse est non. Une PKI Windows server 2008 ne repose pas sur un contrleur de domaine en version 2008. Il est possible dinstaller une PKI Windows server 2008 dans un environnementAD (Active Directory) sous Windows server 2000 ou 2003. Est-ce que je dois augmenter le niveau fonctionnel de mon domaine ou de ma fort vers un niveau fonctionnel de Windows server 2008 ? Une fois encore la rponse est non, une PKI Windows server 2008 na pas dexigence pour le niveau fonctionnel de domaine ou de la fort. On peut mixer diffrents environnements Active Directory. Quelles sont les actions entreprendre pour prparer mon environnement Active Directory au dploiement de ma PKI sous Windows server 2008 ?

I-

Analyse de lenvironnement Active Directory

Plusieurs prparations devraient tre entreprises avant linstallation dune ACE (autorit de certification dentreprise) Windows server 2008 dans un environnement Active Directory Windows 2000 ou Windows 2003 : Dterminer le nombre de forts dans lenvironnement Le nombre de forts va influencer le nombre dACE ncessaires dans notre

environnement AD CS (Active Directory Certificate Services). Une ACE peut dlivrer des certificats seulement aux utilisateurs etordinateurs ayant un compte de la mme fort. Sil y

a plusieurs forts qui doivent utiliser les certificats de la PKI, vous devez dployer au moins une AC par fort. Dterminer le nombre de domaines par fort Si plusieurs domaines sont prsents l'intrieur d'une fort, il faut choisir le domaine qui hbergera lACE. Le choix du domaine qui hbergera le compte d'ordinateur de l'autorit de certification va dpendre du mode de management de notre organisation, centralise ou dcentralise? Dans le cas d'une administration centralise, l'autorit de certification doit tre place dans le domaine qui stocke le compte d'ordinateur de lAC. Dans le cas d'une administration dcentralise, il est possible de placer lAC dans diffrents domaines. Dterminer la composition des groupes administrateurs locaux pour un serveur membre Si l'on utilise un outil de cryptage pour protger la cl prive de l'autorit de certification, tous les membres du groupe local Administrateurs du compte d'ordinateur de l'autorit de certification ont la capacit d'exporter la cl prive. Il est important de commencer par identifier quel domaine ou quelle unit d'organisation (OU) permettrait de limiter le nombre d'administrateur local. Par exemple, une organisation qui dcide de dployer une fort racine, peut choisir d'installer toutes les autorits de certification entreprise dans le domaine de cette fort racine pour limiter le nombre des administrateurs locaux sur lAC. Dterminer la version du schma du domaine Pour implmenter une AC Windows 2008 et bnficier de toutes les nouveauts introduites par Active Directory Certificate Services(ADCS), il est ncessaire d'installer la dernire version du schma AD CS. Le schma Windows 2008 peut tre dploy dans des forts contenant un contrleur de domaine sous Windows 2000, Windows 2003, Windows 2008. NB :Pour mettre jour le schma sur un contrleur de domaine sous Windows 2000, ce dernier doit tre dot avec le Service Pack 4 au minimum. Pour un DC Windows Server 2003 aucun Service Pack n'est requis pour procder la mise jour du schma.

1- Mise jour du schma active directory

Les forts Windows 2000 ou 2003 doivent tre mises jour pour bnficier des nouvelles fonctionnalits apportes par le schma Windows 2008 comme par exemple : Support de la version 3 du Template de certificat : Le schma de Windows Server 2008 comprend la dfinition de la version 3 du Template de certificat. Cette version 3 permet l'implmentation d'algorithmes de cryptographie de nouvelle gnration dans la publication des certificats. Ajout d'un rpondeur en ligne : Windows Server 2008 introduit un service de rpondeur sur le statut des certificats en ligne (OCSP). Ce service permet de mettre jour la validation des demandes de certificat plutt que d'utiliser une liste de rvocation de certificat (LCRs) Service de dploiement de certificat pour les priphriques rseaux (NDES) : Windows Server 2008 supporte nativement l'mission automatique de certificat pour les priphriques Cisco en utilisant le Simple Certificate Enrollment Protocol (SCEP). SCEP permet l'mission automatique de certificat pour les priphriques rseaux sans que ces derniers n'aient un compte ordinateur pour les priphriques dans Active Directory. Support natif des certificats qualifis : Les certificats qualifis, dcrit dans la RFC 3739 "Internet X.509 Public Key Infrastructure Qualified Certificates Profile", autorise l'mission de certificat pour une scurit accrue dans les signatures lectroniques. Un certificat qualifi peut galement comprendre des informationsbiomtriques sur le demandeur du certificat.

2- Identification du maitre de schma

Si la fort est dans une version Windows 2000 ou Windows 2003, il faut identifier le matre de schma. La procdure est la suivante : Ouvrir linvite de commande

Taper sur

cette invite de commande la

commande suivante regsvr32

schmmgmt.dll Dans la boite de message RegSvr32, cliquer sur le bouton OK Taper sur le prompt la commande mmc Dans le menu fichier, slectionner Ajouter/ Supprimer des composants logiciels enfichables Dans la boite de dialogue qui souvre, slectionner schma Active Directory et appuyer sur le bouton Ajouter et cliquer sur le bouton OK Dans larborescence, slectionner schma Active Directory , faire un clic droit dessus et choisir maitre dopration . Dans la boite changer le contrleur de domaine qui souvre, cliquer sur le bouton fermer Fermer la console mmc sans sauvegarder.

3- Mise jour du schma

Une fois que le maitre de schma est identifi, il faut se connecter au contrleur de domaine en tant que membre des groupes administrateurs du schma, administrateurs de l'entreprise dans la fort racine du domaine et membre du groupe administrateur du domaine du serveur qui hberge le maitre de schma. Insrer dans le lecteur DVD, le DVD dinstallation de Windows server 2008 Ouvrir linvite de commande Sur cette invite de commande taper X :(ou X est la lettre qui reprsente votre lecteur DVD) et appuyer sur la touche Entre sur votre clavier. Sur linvite de commande taper cd\sources (support)\adpred , et appuyer sur la touche Entre Sur linvite de commande taper adpred/ forestprep, et appuyer sur la touche Entre Au message davertissement dans linvite de commande, appuyer la touche C pour continuer. Rassurez-vous qu la fin, vous obtenez le message suivant : les informations au niveau des forts ont t mises jour avec succs

Quand la mise jour du schma est termine, il faut s'assurer que ces modifications soient entirement rpliques sur tous les autres contrleurs de domaine de la fort. On peut observer les rplications grce l'utilitaire graphique replmon.exe (Rplication Monitor) ou avec l'utilitaire en ligne de commande repadmin.exe disponible dans les Windows Support Tools.Une fois les modifications du schma rpliques sur tous les contrleurs de domaine de la fort, on peut prparer chaque domaine bnficier des extensions du schma Windows Server 2008. Insrer dans le lecteur DVD, le DVD dinstallation de Windows server 2008 Ouvrir linvite de commande Sur cette invite de commande taper X :(ou X est la lettre qui reprsente votre lecteur DVD) et appuyer sur la touche Entre sur votre clavier. Sur linvite de commande taper cd\sources (support)\adpred , et appuyer sur la touche Entre Sur linvite de commande taper adpred/ domainprep /gpprep, et appuyer sur la touche Entre

4- Modification de la porte du groupe d diteur de certificats

Le groupe Editeurs de certificats est un groupe par dfaut prsent dans chaque domaine d'une fort Active Directory. Ce groupe dispose des permissions lire et crire sur les informations de certificat de l'attribut userCertificate des objets utilisateur de ce domaine. Les certificats publis avec ces attributs sont typiquement des certificats crypts qui autorise une personne obtenir la cl publique du certificat crypt par une requte Active Directory. La difficult est que la porte du groupe Editeurs de certificats est dfinie par le premier contrleur de domaine du domaine. Si l'environnement Active directory est sous Windows 2000, le groupe Editeurs de certificats est un groupe global. Cela signifie que seuls les comptes d'ordinateur provenant du mme domaine peuvent devenir membre du groupe. Si l'environnement AD est sous Windows 2003 ou Windows 2008, le groupe Editeurs de certificats est un groupe de domaine local. Cela signifie que les comptes d'ordinateur de n'importe quel domaine peuvent devenir membre de ce groupe.

Si une autorit de certification publie un certificat pour un utilisateur et qu'il est ncessaire d'diter l'attribut userCertificate, la modification chouera si l'autorit de certification n'est pas membre du groupe Editeurs de certificats. NB :Si l'autorit de certification n'a pas les permissions suffisantes pour crire dans l'attribut userCertificate, le message suivant apparait dans le journal des vnements partie application : EVENT ID: 80 Description: Certificate Services could not publish a certificate for request # (where # is the request ID of the certificate request) to the following location on server dc.example.com:

CN=pierre.dupont, OU=users, OU=Accounts, DC=monlab, DC=local. Insufficient access rights to perform the operation.0x80072098 (WIN32:8344) . L'exemple ci-aprs repose sur le schma suivant savoir deux autorits de certification, SVR001 et SVR002, situes dans l'OU Computers la fort D00.local.

Membres Editeurs de certificats quand le groupe est un groupe de domaine local (Windows 2003 ou Windows 2008) : Dans cet exemple les domaines D00.local, D10.D00.local et D100.D00.local sont crs dans des environnements Windows Server 2003 ou Windows Server 2008. Dans ce cas de figure, il faut ajouter le compte ordinateur du domaine D00.local aux groupes Editeurs de certificats des domaines D10.D00.local et D100.D00.local. Il n'est pas ncessaire de raliser cette opration pour le domaine D00.local car l'ajout du compte ordinateur de l'autorit de certification est automatiquement ralis lors de l'installation dActive Directory Certificate Services.L'ajout du compte d'ordinateur aux groupes Editeurs de certificats des domaines D10 et D100 peut tre fait l'aide d'un script VBS ou Powershell. Stratgies du groupe Editeurs de certificats si le groupe est un groupe global (Windows 2000):

Si le domaine est cr partir d'un environnement Windows Server 2000, deux stratgies sont possibles :
y

Modifier les permissions pour permettre au groupe Editeurs de certificat de chaque autorit de certification dans chaque domaine de lire et crire dans l'attribut userCertificatepour tous les autres domaines de la fort.

Modifier la porte du groupe Editeurs de certificats de groupe local groupe de domaine local et ajouter le compte de l'autorit de certification au groupe Editeurs de certificats dans chaque domaine.

Modifier les autorisations dans Active Directory : L'article 300532 de la base de connaissance Windows s'intitulant "Windows 2000 Enterprise CAs Not Added to Certificate Publishers Group in Windows Server 2003 Domain", propose un guide sur comment dfinir les permissions pour autoriser le groupe Editeurs de certificats d'un domaine diter l'attribut userCertificate d'un certificat utilisateur quand le compte de l'utilisateur appartient un domaine diffrent. Voici un rsum des actions entreprendre : 1- Autoriser au groupe Editeurs de certificats du domaine D00.local lire l'attribut userCertificate dans tous les autres domaines de la fort. 2- Autoriser au groupe Editeurs de certificats du domaine D00.local crire dans l'attribut userCertificate dans tous les autres domaines de la fort. 3-Autoriser au groupe Editeurs de certificats du domaine D00.local lire l'attribut userCertificate pour le container CN=adminsholder,CN=system,DomainName dans tous les autres domaines de la fort. 4- Autoriser le groupe Editeurs de certificats crire dans l'attribut userCertificate du container CN=adminsholder,CN=system,DomainName dans tous les autres domaines de la fort.

NB : Si le compte d'ordinateur de l'autorit de certification existe dans plusieurs domaines au sein de la fort AD, il faut modifier l'affectation des permissions du groupe Editeurs de certificats d'une autorit de certification dans un des domaines de la fort. Modification de la porte du groupe Editeurs de certificats: En pratique, il n'est pas vident de prvoir ce que la porte du groupe Editeurs de certificats peut tre sans avoir inspect chaque domaine de la fort. La porte est base uniquement sur ce que le premier contrleur de domaine de la fort a implment. S le i domaine a t contruit dans un environnement Windows 2000, le groupe Editeurs de certificats est un groupe global. Si le domaine a t implment dans un environnement Windows 2003 ou 2008, ce groupe sera un groupe de domaine local.

La difficult ici, est qu'il n'est pas possible de changer le type de groupe du groupe Editeurs de certificats avec la console Utilisateurs et Ordinateurs Active Directory. Cette modification ne peut tre ralise qu'avec l'aide d'un script. Dans l'ordre voici les actions engager : 1- Convertir le groupe Editeurs de certificats de groupe global groupe universel. 2- Convertir le groupe Editeurs de certificats de groupe universel groupe de domaine local. 3- Peupler le groupe Editeurs de certificats avec tous les comptes d'ordinateur des autorits de certification de la fort. NB :Il n'est pas possible de convertir directement un groupe global en groupe de domaine local. La transition vers un groupe universel est toujours obligatoire. Pour raliser un script permettant d'obtenir la conversion des groupes, il faut garder l'esprit que l'attribut groupType d'un groupe universel est -2147483640 et celui d'un groupe de domaine local est -2147483644. Ce script pourrait ressembler l'exemple suivant :

1 Setgrp 2 grp.Put 3 grp.SetInfo 4 grp.Put 5 grp.SetInfo 6 grp.SetInfogrp.add 7 grp.SetInfogrp.add 8 grp.SetInfo 9 Setgrp 10 grp.Put 11 grp.SetInfo 12 grp.Put 13 grp.SetInfo 14 grp.SetInfogrp.add 15 grp.SetInfogrp.add 16 grp.SetInfo 17 grp.SetInfo

GetObject("LDAP://CN=CertPublishers,CN=Users,DC=D10,DC=D00,DC=local") "grouType","-2147483640" "groupType","-2147483644" ("LDAP://CN=SVR001,CN=Computers,DC=D00,DC=local") ("LDAP://CN=SVR002,CN=Computers,DC=D00,DC=local")

GetObject("LDAP://CN=CertPublishers,CN=Users,DC=D100,DC=D00,DC=local") "groupType" "groupType", , "-2147383640" "-2147383644"

("LDAP://CN=SVR001,CN=Computers,DC=D00,DC=local") ("LDAP://CN=SVR002,CN=Computers,DC=D00,DC=local")

II-

Installation de l autorit de certification sous Windows server 2008

Aprs avoir prpar lenvironnement Active Directory, nous pouvons maintenant passer linstallation de notre autorit de certification(AC). Notons quil existe deux types dautorits de certifications :  lautorit de certification autonome(ACA)  lautorit de certification entreprise(ACE) Le de lune des autorits de certification doit tre rflchi puisque vous navez pas la possibilit de changer le type de votre autorit simplement. Si vous dcidez, vous devez supprimer votre autorit de certification pour la rinstaller. Cela nest pas sans risque, notamment au niveau de la conservation des cls.Quel que soit le type dAC choisit, nous avons deux niveaux fonctionnels :  lautorit racine(AR) qui est la premire autorit du rseau  lautorit intermdiaire(AI), elle dpend dune AR Voici un tableau rsumant les recommandations de Microsoft quant aux types dautorits a utilis selon le niveau fonctionnel (racine, intermdiaire, dlivrance).

Type de lautorit Racine offline Intermdiaire offline Dlivrance online

3 niveaux Autonome Autonome Entreprise

2 niveaux Autonome

1 niveau Entreprise

Entreprise

Tableau 1: recommandation de Microsoft NB : aprs linstallation des services de certificats, il nest plus possible de changer le nom ou le domaine du serveur.

1- Autorit autonome
Elle permet de dlivrer les certificats dans rseau comme internet. Son fonctionnement pour un utilisateur est moins automatique que celui dune ACE, car elle ne dpend pas de lenvironnement Active Directory utilis. Par dfaut les utilisateurs peuvent demander les certificats auprs dune ACA partir de ses pages web uniquement. Les ACA qui nutilisent pas AD devront exiger, en rgle gnrale, que le demandeur de certificats produise des informations dindentification plus compltes. Une ACA publie sa liste de rvocation de certificats (LCRs) dans un dossier partag ou dans le cas chant dans AD. Les scnarios dutilisation dune ACA sont :  Utilisable pour une autorit teinte racine ou intermdiaire  Pas besoin de personnaliser les modles de certificats  Besoin d'une forte scurit et politique d'approbation  Peu de certificats approuver et le travail requis pour l'approbation est acceptable  Clients htrognes et ne pouvant pas bnficier d'un accs Active Directory  Certification travers le protocole SCEP pour les routeurs Si votre PKI doit dlivrer des certificats pour un nombre limit de clients (quel que soit leur type) et que vous souhaitez une approbation manuelle, l'autorit autonome sera sans doute le meilleur choix. Attention cependant l'volutivit de votre rseau. Si plus ou moins long terme vous souhaitez augmenter le nombre de clients (serveurs, utilisateurs, routeurs), il sera sans doute plus intressant de commencer ds maintenant avec une autorit entreprise.

2- Autorit d entreprise
Elle utilise si lAC doit dlivrer les certificats dans un domaine auquel appartient le serveur. Cette autorit doit tre contrleur de domaine. Elle dpend de lenvironnement AD

utilis, elle offre un demandeur plusieurs type de certificats, selon les certificats quelle habilite mettre et les autorisations de scurits du demandeur. Elle utilise les informations disponibles dans AD pour faciliter la vrification de lidentit du demandeur.Elle publie sa liste de rvocation de certificats dans lAD ainsi que dans un rpertoire partag. Les scnarios dutilisation dune ACE sont :  Un grand nombre de certificats devra tre approuv automatiquement  La disponibilit et la redondance sont requises  Les clients utilisent Active Directory  L'approbation automatique doit tre modifie  Les modles de certificats doivent tre modifis, dupliqus ou crs  L'archivage et la restauration des cls dans un dpt spcifique Si votre PKI doit dlivrer un nombre important de certificats et que vous souhaitez avoir le choix entre une dlivrance manuelle ou automatique des certificats, vous choisirez une autorit entreprise. Cette dernire s'intgre dans Active Directory ce qui permet de grer des droits d'accs bass sur les objets Active Directory.

3- Hirarchie des ACs

L'autorit de certification racine tant l'lment le plus critique d'une PKI en raison de la confidentialit de sa cl prive, il est fortement conseill d'utiliser une infrastructure plusieurs niveaux. Nous allons utiliser une hirarchie trois niveaux.

seulement deux utilisations de sa cl prive) aux autorits de certifications intermdiaires. Une fois les autorits de certifications intermdiaires approuves par l'autorit racine, elle peut tre dconnecte du rseau ce qui garantit qu'aucun utilisateur malveillant ne pourra "voler" la cl prive de l'autorit de certification racine. Lorsque ces autorits de certifications intermdiaires auront reues leur certificat leur permettant d'exercer leur fonction, elles pourront leur tour autoriser les autorits de certifications dites "mettrice". De cette manire, il est aussi possible de dconnecter du rseau les autorits intermdiaires en laissant les autorits de certifications "mettrices" signer les certificats. Cette hirarchie permet non seulement de choisir quelle autorit va dlivrer tel type de certificat, mais aussi de limiter les risques d'attaque de cette PKI, puisqu'en aucun cas il ne sera possible d'tre en possession de la cl prive de l'autorit racine stocke dans un endroit sr puisque hors du rseau (et dans un endroit physiquement protg). NB :Il est toujours recommand d'utiliser une Edition Enterprise de Windows Server 2008 quand il est question de dployer une autorit de certification d'entreprise. La version

igure 1: hirarchie trois niveaux

Dans l'exemple ci-dessus, l'autorit racine ne dlivre que deux certificats (donc

Enterprise propose des fonctionnalits avances qui ne sont pas disponibles dans la version Standard de Windows 2008. Avant de procder linstallation de notre Autorit de Certification Racine Autonome (ACRA), il nous faut dabord diter son fichier de configuration CAPolicy.inf.Le modle du fichier de configuration CAPolicy.inf est la suivante : [Version] Signature= $Windows NT$" [PolicyStatementExtension] Policies = LegalPolicy Critical = 0 [LegalPolicy] OID = 1.3.6.1.4.1.311.21.43 Notice = Legal policy statement text." URL = http://www.example.com/certdata/cps.asp" [AuthorityInformationAccess] Empty = true ;URL = http://%1/Public/My CA.crt ;URL = ftp://ftp.example.com/Public/MyCA.crt ;URL = file://\\%1\Public\My CA.crt Critical = false [CRLDistributionPoint] Empty = true ;URL = http://%1/Public/My CA.crl ;URL = ftp://%1/Public/MyCA.crl ;URL = file://\\%1\Public\My CA.crl Critical = true [EnhancedKeyUsageExtension] OID = 1.3.6.1.4.1.311.21.6 ; szOID_KP_KEY_RECOVERY_AGENT OID = 1.3.6.1.4.1.311.10.3.9 ; szOID_ROOT_LIST_SIGNER OID = 1.3.6.1.4.1.311.10.3.1 ; szOID_KP_CTL_USAGE_SIGNING Critical = false [basicconstraintsextension]

pathlength = 4 critical=false [certsrv_server] renewalkeylength=4096 RenewalValidityPeriodUnits=20 RenewalValidityPeriod=years CRLPeriod = days CRLPeriodUnits = 2 CRLDeltaPeriod = hours CRLDeltaPeriodUnits = 4 Nous allons prendre lexemple dune hirarchie deux niveaux, pour illustrer comment dployer une PKI Windows server 2008.

4- Installation de l autorit racine autonome

a) Cration du fichier de configuration CAPolicy.inf

Avant de lancer l'installation de l'autorit racine, il faut crer un fichier de configuration nomm CAPolicy.inf. Vous devez crer ce fichier dans le rpertoire %windir% (habituellement C:\Windows). Ce fichier va permettre de personnaliser le comportement de votre autorit. Il est trs important que ce fichier soit correctement renseign sinon votre PKI risque de ne pas fonctionner normalement. La premire section du fichier de configuration est standard et ne doit pas tre change. Elle est obligatoirement prsente dans votre fichier. Mme si la tentation est forte, ne modifiez pas "Windows NT" en "Windows 2008" ou autre.

[version] Signature="$Windows NT$"

On peut ensuite commencer prciser la configuration de l'autorit. Lorsqu'il va falloir renouveler la cl, il faut connaitre la longueur de cette cl ainsi que sa nouvelle dure de vie. Par dfaut, on crera une cl de 4096 bits et d'une dure de vie de 20 ans. Cette dure peut paratre norme mais cette autorit est destine rester teinte et stocke en lieu sr. Elle ne

va certifier que des autorits lors de la cration de votre PKI donc cette dure de vie peut-tre longue.

[Certsrv_server] RenewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=20

NB: Les valeurs Period peuventtre Days, Weeks, Months ou Years. Les PeriodUnits sont obligatoirement des entiers. Vous ne pouvez pas mettre 0,5 Years pour dire 6 mois. Il faudra utiliser 6 Months. Nous devons maintenant contrler la dure de vie des listes de rvocation et des listes de rvocation diffrentielles. Une liste de rvocation a une dure de vie obligatoirement plus importante que celle d'une liste de rvocation diffrentielle. Il est possible d'utiliser une dure de vie gale celle de la cl de l'autorit. Je prfre limiter cette dure 15 ans. La liste de rvocation diffrentielle a une dure de vie de 10 ans.

CRLPeriod=Years CRLPeriodUnits=15 CRLDeltaPeriod=Years CRLDeltaPeriodUnits=10

Nous allons ensuite dclarer notre politique de certification. Notez que la valeur de Policiesest le nom de la section suivante. Vous pouvez donc donner n'importe quelle valeur Policiestant que la section du mme nom existe. Il faut galement indiquer l'adresse o le texte correspondant la politique de certification peut tre trouv. L'OID correspond au modle de certificat dlivr par l'autorit. Ici, il s'agit de tous les modles disponibles. [PolicyStatementExtension] Policies=AllIssuancePolicy Critical=FALSE [AllIssuancePolicy]

OID=2.5.29.32.0 URL=http://guichetunique.org/pkiw8

Au final, le fichier CAPolicy.inf ressemble ceci : [version] Signature="$Windows NT$" [Certsrv_server] RenewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=20 CRLPeriod=Years CRLPeriodUnits=15 CRLDeltaPeriod=Years CDLDeltaPeriodUnits=10 [PolicyStatementExtension] Policies=AllIssuancePolicy Critical=FALSE [AllIssuancePolicy] OID=2.5.29.32.0 URL=http://guichetunique.org/pkiw8 Une fois que le fichier de configuration a t cr, nous pouvons passer linstallation de lautorit de certification.
b) Installation des services de certificats Active Directory (AD CS)

L'installation des AD CS doit s'effectuer avec un compte membre la fois du groupe administrateur de l'entreprise de la fort et du groupe administrateur local de la machine recevant l'autorit de certification. Vrifier que lheure et la date sur lordinateur de lACRA soit correcte Cliquer sur le menu dmarr , slectionn Outils dadministration et cliquer enfin sur Grer les serveurs .

Dans la fentre qui saffiche, cliquer sur Rles dans larborescence, ensuite sur le lien Ajouter des Rles lextrme droite de la fentre. Dans la fentre Assistant Ajout de rle , cocher la case ignorer cette page par dfaut et cliquer sur le bouton suivant . Dans rle de serveur , cocher AD CS (Service de Certificat Active directory), puis cliquer sur le bouton suivant . Dans la page Introduction aux services de certificats Active Directory , cliquer sur le bouton suivant . Dans la page slectionner les services de rle , cocher Autorit de certification et cliquer sur le bouton suivant . Dans la page spcifier le type dinstallation , cocher Autonome et cliquer sur le bouton suivant . Dans la page spcifier le type de lAC , cocher Autorit de certification Racine et cliquer sur le bouton suivant Dans la page configurer la cl prive , cocher crer une nouvelle cl prive et cliquer sur le bouton suivant Dans la page configurer le chiffrement pour lAC , dans slectionnez un

fournisseur de service de chiffrement, slectionn RSA #Microsoft Software Key Storage Provider ; dans longueur de la cl en caractres, slectionner 4096 ; dans slectionner lalgorithme de hachage pour la signature des certificats mis par cette AC, slectionner SHA256 , cliquer sur le bouton suivant Dans la page configurer le nom de lautorit de certification , donner les informations suivantes et cliquer sur le bouton suivant :  Nom commun de cette AC : GuceRootCA  Suffixe du nom unique : DC=guichetunique,DC=org Dans la page priode de validit de certificat, slectionner 20 anneset cliquer sur le bouton suivant . Dans la page configurer les bases de donnes des certificats, donner les informations suivantes et cliquer sur le bouton suivant :  Emplacement de la base de donnes des certificats : D\CertDB  Emplacement des journaux des certificats : D\CertLog NB : vous pouvez laisser les valeurs par dfaut.

Dans la page confirmer les slections pour linstallation, cliquer sur le bouton installer . Dans la page rsultat de linstallation, vrifier linstallation a t ralise avec succs et cliquer sur le bouton fermer NB : lalgorithme de hachage SHA256 et SHA512 sont utiliss lorsque tous vos clients sont sous Windows vista, Windows server 2008, Windows server 2008 R2, Windows 7. Il est prfrable dutiliser le SHA1 pour garder la compatibilit avec les clients sous Windows XP, Windows 2003.
c) Configuration-post installation

L'autorit est installe et partiellement configure. Il faut finaliser la configuration : ouvrez le gestionnaire de serveur et dveloppez l'arborescence jusqu' voir le nom de votre autorit racine. Faites un clic droit pour accder aux proprits. Le certificat racine tant distribuable sur Internet pour que les clients de votre entreprise fassent confiance vos serveurs, il faut supprimer toutes les rfrences votre serveur. De plus, ces clients ne devant pas accder votre annuaire (pour des raisons de scurit videntes), il faut d 'autant plus supprimer l'entre qui annonce la disponibilit du certificat racine dans l'annuaire. Allez dans le panneau des extensions. Nous allons d'abord personnaliser les entres annonant les points de distribution des listes de rvocation. Supprimez tout sauf la premire ligne commenant parC:\Windows\System32.Ajouter ensuite une ligne pour dclarer un emplacement de tlchargement des listes de rvocation. Cette URL doit tre accessible depuis Internet si vous prvoyez de publier des services scuriss sur Internet. Il faut ensuite inclure cette extension dans les futurs certificats mis par cette autorit. Cliquez sur Inclure dans l'extension CDP des certificats mis.Il faut ensuite faire de mme pour l'emplacement du certificat racine. Slectionnez l'extension Accs aux informations de l'autorit (AIA). Supprimez toutes les lignes sauf celle commenant par C:\Windows\System32.

Ajoutezl'emplacement du certificat racine : on le place gnralement au mme endroit que la liste de rvocation. Cliquezensuite surInclure dans l'extension AIA des certificats mis. Pour finir la configuration, cliquez sur OK pour appliquer les nouveaux paramtres et redmarrer les services de certificats. Nous allons maintenant gnrer une nouvelle liste de rvocation qui prendra en compte les nouveaux paramtres. Rendez-vous sur votre autorit, faites un clic droit sur Certificats rvoquspuis Toutes les tches, Publier.Sur la fentre qui va s'ouvrir, il faut slectionner Nouvelle liste de rvocation des certificatset cliquer sur OK. La nouvelle

liste de rvocation sera cre dans C:\Windows\System32\Certsrv\CertEnroll.Votre autorit de certification racine est configure. Ne l'teignez pas tout de suite : il va falloir certifier votre autorit de distribution (autorit secondaire autonome). Copiez les fichiers .crt et .crl situs dans C:\Windows\System32\Certsrv\CertEnrollsur une cl USB ou autre afin de les transfrer vers le serveur web qui hbergera le site guichetunique.org.

5- Installation de l autorit de certification secondaire d entreprise

a) Cration du fichier de configuration CAPolicy.inf

Comme pour l'autorit racine, il faut crer le fichier de configuration dans %windir%\CAPolicy.inf. Il est structur dela mme faon mais possde un contenu diffrent. Le dbut du fichier comporte les mmes instructions que pourl'autorit racine, seules les valeurs changent. La liste de rvocation devra tre recre toutes les annes. Les listesde rvocation delta (ou diffrentielles) seront publies tous les trois mois. Ajustez ces valeurs selon le nombre decertificats qui seront dlivrs. Si vous dlivrez un grand nombre de certificats, il est probable que vous deviez enrvoquer un certain nombre. Afin de tenir les listes de rvocations des postes clients jour, il est souhaitable depublier des listes frquemment. [version] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=10 CRLPeriod=Years CRLPeriodUnits=1 CRLDeltaPeriod=Months CRLDeltaPeriodUnits=3

Nous allons maintenant ajouter les informations pour permettre aux clients de trouver le certificat de l'autorit racine ainsi que sa liste de rvocation. Cela permettra aux clients de

valider les certificats qui leur sont prsents. Ces informations sont les emplacements depuis lesquels le certificat racine et la liste de rvocation sont tlchargeables. Pour tre le plus interoprable possible, il faut utiliser un emplacement sur un serveur web. On pourrait tout fait utiliser un serveur LDAP (Active Directory) mais cela risquerait d'liminer tous les clients non Windows. [CRLDistributionPoint] URL=http://guichetunique.org/pki/rootca.crl [AuthorityInformationAccess] URL=http://guichetunique.org/pki/rootca.crt

Cette configuration va nous imposer de mettre au moins un serveur web dans notre rseau. Si des clients externes utilisent des services scuriss par des certificats issus de votre PKI, il faudra mettre un serveur web sur Internet. Les serveurs web public et interne peuvent tre en fait le mme serveur. Il faudra que vous preniez des dispositions (reverse-proxy par exemple) pour assurer la publication du serveur web. Attention la scurit de votre serveur ! Les adresses indiques ont t rentres prcdemment dans la conf iguration de l'autorit racine. Au final, nous obtenons donc le fichier CAPolicy.inf suivant :

[version] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=10 CRLPeriod=Years CRLPeriodUnits=1 CRLDeltaPeriod=Months CRLDeltaPeriodUnits=3 [CRLDistributionPoint] URL=http://guichetunique.org/pki/rootca.crl [AuthorityInformationAccess]

URL=http://guichetunique.org/pki/rootca.crt

b) Installation de l autorit

L'installation de cette autorit ressemble beaucoup celle de l'autorit racine. Il faut ajouter le rle Services decertificats Active Directory.

Vrifier que lheure et la date sur lordinateur de lACEE soit correcte Cliquer sur le menu dmarr , slectionn Outils dadministration et cliquer enfin sur Grer les serveurs . Dans la fentre qui saffiche, cliquer sur Rles dans larborescence, ensuite sur le lien Ajouter des Rles lextrme droite de la fentre. Dans la fentre Assistant Ajout de rle , cocher la case ignorer cette page par dfaut et cliquer sur le bouton suivant . Dans rle de serveur , cocher AD CS (Service de Certificat Active directory), puis cliquer sur le bouton suivant . Dans la page Introduction aux services de certificats Active Directory , cliquer sur le bouton suivant . Dans la page slectionner les services de rle , cocher Autorit de certification et cliquer sur le bouton suivant .si vous souhaitez, vous pouvez cocher la case inscription de lautorit de certification via le web afin de permettre aux clients de crer des certificats via une interface web. Dans ce cas une boite de dialogue saffiche et vous appuyez sur le bouton Ajouter les services de rle requis . Dans la page spcifier le type dinstallation , cocher Entreprise et cliquer sur le bouton suivant . Dans la page spcifier le type de lAC , cocher Autorit de certification Secondaire et cliquer sur le bouton suivant Dans la page configurer la cl prive , cocher crer une nouvelle cl prive et cliquer sur le bouton suivant Dans la page configurer le chiffrement pour lAC , dans slectionnez un

fournisseur de service de chiffrement, slectionn RSA #Microsoft Software Key Storage Provider ; dans longueur de la cl en caractres, slectionner 2048 ;

dans slectionner lalgorithme de hachage pour la signature des certificats mis par cette AC, slectionner SHA1 , cliquer sur le bouton suivant Dans la page configurer le nom de lautorit de certification , donner les informations suivantes et cliquer sur le bouton suivant :  Nom commun de cette AC : GuceAuthoritySecondaire  Suffixe du nom unique : DC=guichetunique,DC=org Dans la page priode de validit de certificat, slectionner 10 anneset cliquer sur le bouton suivant . L'autorit que nous sommes en train d'installer doit tre certifie par une autorit parente. Dans notre cas, il s'agitde l'autorit racine. Afin d'tre certifie, il faut que l'autorit soumette une requte l'autorit racine. L'assistant vapouvoir gnrer une requte de certificat avec les informations recueillies.Le principe mme d'une autorit racine offline est d'tre teinte et donc de ne pas tre disponible sur le rseau. Monautorit racine n'a aucune interface rseau configure. L'autorit de distribution ne pourra donc pas soumettre sarequte. Il va falloir enregistrer la requte dans un fichier, transfrer ce fichier via cl USB (par exemple) sur l'autoritracine pour le soumettre. Dans la page Demand un certificat une autorit de certification parent , coch Enregistrer une demande de certificat dans un fichier et envoyer ultrieurement une autorit de certification parente , ensuite appuyer sur le bouton suivant . Dans la page configurer les bases de donnes des certificats, donner les informations suivantes et cliquer sur le bouton suivant :  Emplacement de la base de donnes des certificats : D\CertDB  Emplacement des journaux des certificats : D\CertLog Dans la page confirmer les slections pour linstallation, cliquer sur le bouton installer . Dans la page rsultat de linstallation, vrifier linstallation a t ralise avec succs et cliquer sur le bouton fermer
c) Certification de l autorit secondaire par l autorit racine

Supposons que notre requte de certificat a t enregistre dans lemplacement : C:\ca.guichetunique.org_certificat authority.req. Nous allons copier ce fichier sur

lautorit racine. Ouvrez la console des services de certificats Active Directory puis faites un clic droit sur votre autorit racine, Toutes les tches, Soumettre une nouvelle demande, slectionner la requte fraichement transfre. Vous pouvez ensuite dlivrer le certificat en allant dansDemandes en attente. Faites un clic droit sur la demande, Toutes les tches, Dlivrer.Normalement, il ne doit pas y avoir de problmes particuliers dans le traitement de la requte. Vous pouvez donc retrouver votre certificat dans les certificats dlivrs. Double-cliquez sur le certificat afin de l'ouvrir. Vous pouvez contrler que le certificat est dlivr votre autoritsecondaire par votre autorit racine.Allez dans l'onglet Dtails. Vous pouvez contrler que l'emplacement de la liste de rvocation racine est correct en regardant le champ Point de distribution de la liste de rvocation des certificats.Vous pouvez galement contrler l'emplacement du certificat racine en regardant le champ d 'accs aux informations de l'autorit. Une fois ces contrles effectus, vous pouvez copier le certificat dans un fichier. Dans la page Assistant dexportation de certificat , coch respectivement les cases Standard de syntaxe de message de chiffrement certificat PKCS #7(.p7b) et inclure tous les certificats dans le chemin daccs de certification si possible et cliquer sur le bouton suivant. Indiquez l'emplacement d'exportation du fichier. Vous devrez copier ce fichier sur votre autorit secondaire (par cl USB par exemple). L'exportation ne doit pas prsenter de problme particulier. Vous pouvez maintenant teindre votre autorit racine. Ne la supprimez sous aucun prtexte ! Elle vous sera utile pour gnrer une nouvelle liste de rvocation quand la premire sera arrive en fin de vie. Vous devrez recrer cette liste de rvocation et la remplacer sur votre serveur web afin que votre PKI continue de fonctionner sans interruption. Si vous perdez votre autorit racine, vous devrez recrer intgralement toute votre PKI. Conservez l dans un endroit scuris et n'oubliez pas le mot de passe pour vous connecter sur le serveur. Revenons maintenant sur l'autoritsecondaire. Vous allez pouvoir l'activer puis la configurer.
d) Activation de l autorit secondaire

Nous allons maintenant activer notre autorit secondaire. Actuellement, cette autorit n'a que sa cl prive. Il luimanque sa cl publique. L'importation du fichier P7B cr sur l'autorit racine permet d'associer la cl prive lacl publique de l'autorit secondaire. Il faut commencer par ajouter le certificat racine dans le magasin Autorits decertification racines de confiance afin que le serveur puisse faire confiance au fichier P7B que l'on va importer. Taper la commande suivante :certutil -addstoreroot rootca.crt pour ajouter le certificat dans le

magasin voulu. Un ordinateur a cependant deux magasins d'autorits racines. Il existe en effet un magasin par compte (utilisateur et ordinateur). La commande prcdente ajoute le certificat racine dans les deux comptes. NB :Le fichier rootca.crt est normalement tlchargeable sur votre serveur web. Si ce n'est
pas le cas, vous devez rgler ce problme avant de continuer. Vrifiez galement que le fichier rootca.crl est tlchargeable.

Nous pouvons maintenant installer le certificat dlivr par l'autorit racine. Dans la console Autorit de certification, faites un clic droit sur votre autorit de certification, Toutes les tches, Installer un certificat d'autorit de certification.Slectionnez le fichier P7B export depuis votre autorit de certification racine.La console semble alors se figer. Si vous n'avez pas eu de message d'erreur et que votre console est de nouveau ractive, vous pouvez vous rjouir ! Cela veut dire que votre autorit peut dmarrer. En revanche, si vous avez un message d'erreur, lisez bien ce dernier.  S'il parle d'un problme de liste de rvocation, contrlez que le fichierrootca.crl est tlchargeable depuis votre autorit secondaire. Si cela fonctionne, regardez la date d'expiration de la liste de rvocation. Contrlez l'heure et la date de votre serveur. Si elle est dpasse, recrez-la sur votre autorit de certification racine : cela n'est pas normal et ne devrait pas se produire. Si elle n'est pas dpasse, redmarrez simplement votre serveur : il s'agit du cache CRL. Le seul moyen que j'ai trouv pour le moment pour vider ce cache est de redmarrer le serveur.  S'il parle d'un problme de confiance dans la chaine de certification, contrlez que votre certificat racine est bien dans le magasin Autorits de certification racines de confiance du compte ordinateur. Pour cela, ouvrez une mmc, ajoutez le composant enfichable Certificats en slectionnant le compte ordinateur. S'il n'est pas prsent, importez-le manuellement. NB :Si vous avez un message d'erreur, ne cliquez pas sur OK. Cliquez toujours sur Annuler,
cela vous permettra de ressayer l'importation du certificat.

Si vous n'avez pas eu de problmes lors de l'importation du certificat, vous pouvez dmarrer votre autorit en cliquant sur Dmarrer (flche verte en dessous du menu Affichage sur la barre doutil).Un petit cercle vert atteste du bon dmarrage et de la bonne sant de votre autorit secondaire.Le travail n'est pas encore fini, il reste encore la configuration de l'autorit finaliser.

e) Configuration aprs le premier dmarrage

Dans la console de l'autorit de certification, faites un clic droit sur votre autorit afin de modifier ses proprits.Slectionnez ensuite l'onglet Extensions. Par dfaut, l'extension slectionne devrait tre Points de distribution deliste de rvocation des certificats (CDP).Supprimez toutes les lignes sauf celle commenant par C:\Windows\System32 puis cliquez sur Ajouter.Ajoutez ensuite l'adresse laquelle les clients pourront trouver la liste de rvocation de votre autorit secondaire. De manire logique, elle devrait tre place au mme endroit que la liste de rvocation de votre autorit racine (par exemple

http://guichetunique.org/pki/ca.crl), et appuyer en suite sur le bouton OK .Vous devrez ensuite slectionner d'inclure ce nouvel emplacement dans l'extension CDP des certificats mis.Nous avons configur tout l'heure les listes de rvocations diffrentielles dans le fichier CAPolicy.inf. Nous devons maintenant indiquer l'emplacement de ces listes de rvocation diffrentielles (par exemplehttp://guichetunique.org/pki/ca-delta.crl) et ensuite appuyer sur le bouton OK Vous devrez ensuite inclure cet emplacement dans les listes de rvocation afin de pouvoir rechercher les listes de rvocation des certificats delta. Cela permettra aux clients de connaitre l'emplacement des listes de rvocationdiffrentielles.Nous en avons fini avec les listes de rvocation, passons maintenant l'emplacement du certificat de votre autoritsecondaire. Slectionnez l'extension Accs aux informations de l'autorit (AIA). Comme pour les listes de rvocation, supprimez tout sauf la ligne commenant par C:\Windows\System32 et ajoutez un nouvel emplacement (appuyer sur le bouton Ajouter ).Entrez l'adresse laquelle les clients pourront trouver le certificat. Il est galement logique de le mettre sur le mme (par

exemplehttp://guichetunique.org/pki/ca.crt)serveur que le certificat racine et appuyer sur le bouton OK .Pour finir, il faut inclure le nouvel emplacement dans l'extension AIA des certificats mis.Cliquez ensuite sur OK pour fermer les proprits de l'autorit. Vous devrez redmarrer l'autorit quand cela vous sera propos (appuyer sur OK ). Nous allons maintenant pouvoir gnrer les listes de rvocation de votre autorit secondaire. Pour cela, ouvrez l'arborescence de votre autorit, faites un clic droit sur Certificats rvoqus, Toutes les tches, Publier.Commencez par publier unenouvelle liste de rvocation des certificats. Rptez l'opration en publiant uneliste de rvocation des certificats delta uniquement (cliquer sur le bouton OK ).Vous allez pouvoir retrouver les listes de rvocation et le certificat d'autorit dans %windir%\System32\Certsrv\CertEnroll\. Copiez les fichiers sur votre serveur web. Le certificat de votre autorit ainsi que la liste doivent tre

renomms respectivement en ca.crt etca.crl. Le fichier se terminant par +.crl est la liste de rvocation delta. Il faut renommer ce fichier en ca-delta.crl.
f) Activation des attributs SAN (SubjectAlternate Name)

Lorsque vous faites plusieurs sites web scuriss sur un mme serveur ou que vous travaillez avec Exchange ouOffice Communications Server, il est ncessaire d'avoir une PKI capable de dlivrer des certificats avec plusieursnoms. Actuellement, votre PKI est capable de dlivrer des certificats uniquement pour un seul nom. L'attribut SAN(SubjectAlternate Name) permet de grer plusieurs noms par certificat.Afin de permettre votre autorit secondaire de dlivrer des certificats avec cet attribut, il faut excuter la commandesuivante : certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 Il faut redmarrer votre autorit pour prendre en compte les changements. Redmarrez le service Autorit decertification ou excutez les commandes suivantes : net stop certsvc net start certsvc Votre infrastructure cls publiques est maintenant acheve. Vous pouvez commencer gnrer des certificats pourvos serveurs, utilisateurs et ordinateurs.

6- Renouvellement des Autorits de certification

Il s'agit d'une tape qui se planifie. En effet, il va falloir redmarrer votre autorit une deux fois. Si vous ne renouvelez pas le certificat de votre autorit temps, celle-ci ne fonctionnera plus : elle ne pourra plus dlivrer de certificatspuisque le sien sera prim. Le renouvellement de certificat prend environ cinq minutes : pendant ce temps, votre autorit sera inoprante. Ralisons ici le renouvellement sur mon autorit intermdiaire. Sur une autorit racine, le principe est identique : seule lapartie de signature de certificat par l'autorit parente n'aura pas lieu. Pour commencer, ouvrez la console de gestion de votre autorit puis faites un clic-droit sur votre autorit, Toutes les tches, Renouveler le certificat d'autorit decertification.... La mmc vous prviendra que votre autorit doit tre arrte : acceptez.Vous devez maintenant rpondre une question importante. Doit-on renouveler le certificat ou alors gnrer un nouveau certificat ? Lorsque le certificat est en fin de vie ou prim, on devra le renouveler. Si la cl prive de l'autorita t compromise ou que vous avez de nouveaux niveaux de scurit respecter (cl plus longue par exemple), il faudra crer une nouvelle paire de cls. Dans notre cas, on ne souhaite pas crer une nouvelle paire de cls mais seulement les renouveler. On rpondra donc non.

NB :Si vous renouvelez votre autorit racine, l'tape suivante (signature du certificat) doit tre ignore. Le fichier de requte de renouvellement sera alors cr. Vous pourrez dcider de l'envoyer directement votre autoritracine ou alors de le transfrer manuellement. Mon autorit racine est totalement indpendante et ne possde pasde connexion rseau pour viter tout problme. Je vais donc choisir de transfrer manuellement la requte. Pour cela, il faut cliquer sur Annuler. Le fichier est stock l'endroit spcifi sur la fentre.Vous devrez ensuite soumettre le fichier de requte l'autorit racine comme pour l'installation de l'autoritintermdiaire. Exportez ensuite le certificat comme lors de l'installation. Une fois que le fichier du nouveau certificat est sur votre autorit intermdiaire, reprenez la console de l'autorit de certification puis faites un clic-droit sur votre autorit, Toutes les tches, Installer un certificat d'autorit de certification.... Slectionnez le fichier contenant le certificat de l'autorit puis redmarrez votre autorit. Si vous ouvrez le gestionnaire de serveur sur le rle autorit de certification, la vue imbrique de pkiview.msc vous indiquera que tout fonctionne correctement.Il faudra ensuite exporter le certificat de votre autorit de certification seul (au formatcrt). Vous devrez remplacer le fichier ca.crt prsent dans le site IIS cr pour grer la rvocation. Si vous utilisez la distribution de certificats par GPO (Group Policy Object),pensez remplacer le certificat de votre autorit intermdiaire afin de conserver une chaine de certification valide. NB :Pensez supprimer les fichiers qui ont t crs (requte, fichier du nouveau certificat). V-