Vous êtes sur la page 1sur 27

Implementer une Infrastructure a cles publiques.

Dans un environnement WS2003

1/27

Implmenter une infrastructure cls publiques dans un environnement Windows Server 2003
Dans une socit o la scurit et la confidentialit des communications sont chaque jour plus important, les certificats numriques, vritables cartes d'identits pour les utilisateurs de rseaux informatiques, sont un domaine en plein essor. Les certificats numriques sont diffuss dans une infrastructure cls publiques, infrastructure de plus en plus rpandue dans les entreprises. Un exemple d'utilisation qui gagne chaque jour du terrain et bien entendu les cartes puces. Bien que n'ayant plus besoin de dmontrer leur intrt, beaucoup d'entre vous hsitent encore franchir le pas, et notamment implmenter dans votre propre rseau une infrastructure cls publiques permettant de garder un contrle total sur la gestion de vos certificats. La premire partie de cet article prsente les certificats numriques, leur utilit ainsi que leur fonctionnement dans une infrastructure cls publiques. La deuxime partie prsente la mise en place et la gestion de ce type d'infrastructure l'aide du systme d'exploitation serveur de Microsoft : Windows Server 2003. Enfin, dans un dernier point, seront prsents quelques domaines dans lesquels les certificats sont de plus en plus utiliss pour scuriser la communication sur un rseau informatique.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

2/27

1. Les certificats numriques


1.1 Prsentation
Un certificat numrique (aussi appel certificat lectronique) est un fichier permettant de certifier l'identit du propritaire d'une cl publique, un peu la manire d'une carte d'identit. Un certificat est gnr dans une infrastructure cls publiques (aussi appel PKI pour Public Key Infrastructure) par une autorit de certification (Certification Authority , CA) qui a donc la capacit de gnrer des certificats numriques contenant la cl publique en question. Actuellement, les certificats numriques sont reconnus la norme X.509 version 3. Ce format se compose entre autre de : la version du certificat X.509 (actuellement la V3) le numro de srie l'algorithme de signature le nom de l'metteur (autorit de certification) la date de dbut de fin de validit l'adresse lectronique du propritaire la cl publique transmettre le type de certificat l'empreinte du certificat (signature lectronique)

La signature lectronique est gnre par l'autorit de certification l'aide d'informations personnelles (telles que le nom, le prnom, l'adresse e-mail, le pays du demandeur, etc) en utilisant sa propre cl prive.

Exemple d'un certificat numrique

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

3/27

Il existe de nombreux types de certificats numriques, rpondant chacun un besoin particulier. Les principaux types sont : Certificat de messagerie (permet de crypter et de signer ses e-mails) Authentification IPSec pour un accs distant par VPN Authentification Internet pour les pages Web scurises Cryptage des donnes avec EFS Signature de logiciel

1.2 Pourquoi utiliser un certificat numrique ?


Un certificat numrique intervient dans diffrents mcanismes permettant de scuriser l'change de donnes sur un rseau. On y retrouve le cryptage asymtrique ou encore la signature lectronique combine un contrle d'intgrit des donnes.

1.2.1 Le cryptage
Il existe deux types de cryptage : le cryptage symtrique et le cryptage asymtrique. Seul le cryptage asymtrique ncessite l'utilisation de certificats numriques. Le cryptage symtrique

Le cryptage symtrique fonctionne l'aide d'une et unique cl, qui permet la fois de crypter les donnes et de les dcrypter. Pour changer des donnes cryptes symtriquement entre deux personnes, il faut que les deux personnes soient en possession de la cl de cryptage symtrique.

Sur ce schma, Pierre utilise une cl prive (un mot de passe par exemple) pour encrypter le message. Paul reoit le message crypt et doit donc disposer de la cl prive de Pierre ayant encrypt les donnes pour pouvoir y accder. Tout le problme du cryptage symtrique est qu'il faut pouvoir changer la cl prive travers le rseau de manire scurise et donc s'assurer qu'aucune personne malveillante n'est pu se procurer la cl lui permettant de dchiffrer le message. Le cryptage symtrique reposant sur le fait que l'expditeur ait communiqu au destinataire du message la cl prive lui permettant de dcrypter le message, il n'y a pas besoin de garantir l'identit de l'expditeur. Le cryptage asymtrique o Principe du cryptage asymtrique

Le cryptage asymtrique s'appui sur un couple de cls compos d'une cl publique permettant n'importe qui de crypter un message, un destinataire muni de sa propre cl prive. La cl publique est donc largement diffuse dans le rseau (local, Internet, ) et permet le cryptage du message alors que la cl

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

4/27

prive, qui doit rester confidentielle, permet son possesseur de dchiffrer tous les messages encrypts l'aide de la premire.

Le serveur de cls publiques va gnrer la demande de Paul un couple de cl publique / cl prive. Il transmettra la cl prive Paul et partagera tout le monde la cl publique. Pierre crypte le message avec la cl publique de Paul obtenu sur le serveur et transmet le message sur le rseau. Lorsque Paul le reoit, il pourra le dchiffrer grce sa cl prive. Des donnes cryptes en utilisant le cryptage asymtrique peuvent mettre jusqu' 1000 fois plus de temps pour tre dcryptes par rapport au cryptage symtrique. C'est pour cette raison que trs souvent, les deux cryptages sont utiliss simultanment : le cryptage asymtrique (plus scuris) permet d'changer la cl prive utilise par le cryptage symtrique entre les deux htes aprs quoi le cryptage symtrique (plus rapide) est alors utilis. Dans ce cas la cl prive est appele cl de session. o Pourquoi utiliser un certificat numrique pour scuriser le cryptage aysmtrique ?

Un certificat numrique permet, lors d'un cryptage asymtrique, de garantir lorsque cela s'avre ncessaire, l'identit des diffrents intervenants. Prenons l'exemple de l'envoi d'un message crypt de manire asymtrique entre deux utilisateurs.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

5/27

Dans ce cas, Pierre veut transmettre des informations confidentielles Paul. Il va donc rcuprer auprs du serveur de cls publiques la cl de cryptage qu'il pense tre celle de Paul. Malheureusement, sans certificat (donc sans carte d'identit) l'identit du propritaire de la cl publique n'est pas garantie. Pierre va donc crypter le message avec la cl publique qu'il pensera tre celle de Paul mais qui appartiendra en ralit Jacques le pirate. Jacques n'aura donc plus qu' rcuprer le message et pourra le dcrypter sans aucun problme avec sa propre cl prive. Dans le cas de l'utilisation d'un certificat numrique, Pierre se serait aperu que la cl publique ne pouvait pas appartenir Paul et n'aurait donc pas transmis son message.

1.2.2 Signature numrique et non rpudiation des donnes


Le rle d'une signature numrique et de la non rpudiation des donnes

Alors que le cryptage permet d'empcher une personne non autorise accder un contenu protg, la signature numrique est un procd qui permet de s'assurer que l'metteur d'un message est bien celui qu'il prtend tre.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

6/27

Pierre envoie un message Paul et le signe de son nom. Malheureusement un pirate, Jacques, intercepte le message sign par Pierre et le modifie. Il laisse la signature de Pierre et le renvoie Paul. Paul pensera donc lorsqu'il recevra le message, que c'est Pierre qui lui a envoy. La signature lectronique seule ne suffit donc pas. Il a fallu mettre en place un systme plus labor : la non-rpudiation des donnes. Pour ne plus que le message puisse tre modifi l'insu du destinataire, la signature du message dpendra du contenu du message. Ainsi, en cas de modification de la moindre des donnes, la signature ne correspondra plus celle initialement prvue. Fonctionnement d'une signature numrique

La signature d'un message passe donc par deux tapes successives et complmentaires : la cration d'un condens du message puis sa signature.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

7/27

Tout d'abord, l'metteur du message, Pierre, va crer un condens (en quelque sorte l'empreinte numrique de son message). Il va ensuite crypter ce condens l'aide de sa cl prive (que lui seul possde, ce qui garantit son origine) et joindre ce rsultat, appel la signature numrique du message, son message. Il pourra ensuite envoyer son message Paul. Lorsque Paul recevra le message, il va tout d'abord dcrypter le condens l'aide de la cl publique de Pierre. Ensuite il va crer un condens du message reu qu'il pourra enfin comparer au condens reu avec le message. Si son condens et celui reu sont identiques, cela signifie que le message est exactement le mme que Pierre a envoy.

1.2.3 Les infrastructures cls publiques (PKI)


Une PKI (Public Key Infrastructure), aussi appele IGC (Infrastructure de Gestion de Cls) est une infrastructure rseau qui a pour but final de scuriser les changes entre les diffrents composants d'un rseau. Cette infrastructure se compose de quatre lments essentiels : Une Autorit d'Enregistrement (Registration Authorities) : c'est cette autorit qui aura pour mission de traiter les demandes de certificat manant des utilisateurs et de gnrer les couples de cls ncessaires (cl publique et cl prive). Son rle peut s'apparenter la prfecture lors d'une demande de carte d'identit. Une Autorit de Certification (Certification Authorities) : elle reoit de l'Autorit d'Enregistrement les demandes de certificats accompagnes de la cl publique certifier. Elle va signer l'aide de sa cl prive les certificats, un peu la manire de la signature de l'autorit sur une carte d'identit. Il s'agit du composant le plus critique de cette infrastructure en raison du degr de scurit requis par sa cl prive. Une Autorit de Dpt (PKI Repositories) : il s'agit de l'lment charg de diffuser les certificats numriques signs par la CA sur le rseau (priv, Internet, etc). Les utilisateurs de la PKI : ce sont les personnes effectuant des demandes de certificat mais aussi ceux qui souhaitent vrifier l'identit d'un certificat qu'ils ont reu.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

8/27

Exemple de demande d'un certificat pour signer numriquement les e-mails de Pierre Lorsque l'Autorit de Certification reoit une demande de certificat par l'intermdiaire de l'Autorit d'Enregistrement, elle doit gnrer un certificat. Pour prouver que le certificat mane rellement de cette CA, il doit tre sign avec la cl prive de l'Autorit de Certification. Cela signifie que si un utilisateur arrive se procurer cette cl prive, il pourrait crer des certificats numriques valides en gnrant luimme le couple de cls. Il pourrait donc signer et dcrypter l'intgralit des donnes circulant. Il est donc primordial d'assurer la scurit et la confidentialit de la cl prive de l'Autorit de Certification. Dans une PKI assez importante, il peut tre judicieux de garder la cl prive sur un ordinateur autonome (non reli un rseau) et physiquement scuris sur lequel l'oprateur de certificat (personne de confiance) gnrera les certificats en apportant la cl publique signer sur une mmoire mobile et en rcuprant le certificat gnr de la mme manire.

2. Implmenter une infrastructure cls publiques


2.1 Installation des Services de Certificats sous Windows Server 2003
2.1.1 Installation du service IIS
Si vous envisagez la diffusion de certificats par l'intermdiaire d'une page Web, il est prfrable d'installer IIS (Internet Information Services) avant l'installation de l'autorit de certification. De cette manire, IIS sera automatiquement configur pour diffuser des certificats. Pour installer IIS, il faut se rendre dans Ajout/Suppression de programmes dans le panneau de configuration. Slectionner Ajouter ou supprimer des composants Windows , double cliquer sur Serveur d'applications , sur Services IIS puis sur Services World Wide Web . Sur la fentre

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

9/27

qui s'ouvre, cochez Active Server Pages (ASP) ainsi que Services World Wide Web puis cliquer sur le bouton OK. Lancez l'installation l'aide du bouton Suivant.

Une fois la copie des fichiers termine, ouvrez la page http://127.0.0.1 l'aide d'Internet Explorer. La page devrait tre marque : En chantier si IIS fonctionne correctement.

2.1.2 Installation des Services de certificats


Attention : aprs l'installation des services de certificats, il n'est plus possible de changer le nom ou le domaine du serveur. Pour installer une autorit de certification sous Windows Server 2003, il faut se rendre dans Ajout/Suppression de programmes dans le panneau de configuration. Slectionner Ajouter ou supprimer des composants Windows , cocher Services de certificats puis cliquer sur le bouton Suivant . La premire tape de l'installation consiste choisir le type d'autorit de certification.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

10/27

Il existe deux types principaux d'installation : Autorit d'entreprise : utiliser si l'autorit de certification doit dlivrer des certificats dans un domaine auquel appartient le serveur (se base sur l'annuaire d'Active Directory). Cette autorit doit tre contrleur de domaine. Autorit autonome : permet de dlivrer des certificats dans un rseau comme Internet

Il existe deux niveaux fonctionnels pour chacun de ces deux types d'installation : Autorit racine : l'autorit de certification est la premire du rseau Autorit secondaire : dpend d'une autorit racine

Remarque : Il est possible de spcifier des paramtres avancs pour la gnration du couple de cls pour cette autorit de certification, en cochant Utiliser les paramtres personnaliss . Il faut ensuite choisir un nom pour cette autorit de certification ainsi que, dans le cas d'une autorit racine, la priode de validit des certificats dlivrs. Pour terminer, l'installation propose de changer l'emplacement de la base des certificats et des fichiers journaux. Aprs avoir valid cette dernire tape, la copie des fichiers ncessaires commence. Une fois l'installation effectue, un nouveau composant apparat dans le menu Outils d'administration : Autorit de certification.

2.1.3 Scuriser IIS l'aide du protocole SSL


Il est possible de scuriser les pages Web du serveur IIS l'aide du protocole SSL (Secure Sockets Layer). Lors de l'utilisation du SSL, les donnes qui transiteront entre le demandeur d'un certificat et l'autorit de certification seront cryptes, dans notre cas, cela permettra de scuriser tous les changes avec l'autorit de certification.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

11/27

Pour activer SSL sur le serveur IIS, il faut d'abord ouvrir le Gestionnaire des services Internet (IIS) dans le menu Outils d'administration . Slectionnez l'ordinateur local, puis Sites Web . Effectuez un clique droit sur le Site Web par dfaut (qui contient le rpertoire virtuel CertSrv) et choisissez Proprits . Dans la fentre qui s'affiche, slectionnez l'onglet Scurit du rpertoire .

Sur la page qui s'affiche, cliquez sur le bouton Certificat de serveur . Suivez l'assistant pour Crer un certificat . Si votre serveur appartient un domaine, il est possible de transmettre directement la demande l'autorit de certification en cliquant sur Envoyer immdiatement la demande une autorit de certification en ligne . Dans le cas contraire choisissez Prparer la demande, mais ne pas l'envoyer maintenant . Choisissez ensuite un nom pour le nouveau certificat, l'organisation et l'unit d'organisation, le nom du site Web et enfin le pays, le dpartement et la rgion o se situe votre serveur. Si vous avez choisi de prparer une demande, il vous faudra l'enregistrer avant de pouvoir gnrer le certificat en vous rendant sur http://127.0.0.1/certsrv . Vous pourrez alors slectionner Demander un certificat , soumettre une demande de certificat avance et enfin soumettre une demande de certificat en utilisant un fichier CMC ou PCK#10 . Dans la zone de texte Demande enregistre , collez le contenu du fichier enregistr prcdemment (qui se trouve par dfaut dans c:\certreq.txt) puis cliquez sur le bouton Envoyer .

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

12/27

Dans le cas d'une autorit de certification autonome, vous devrez autoriser manuellement la gnration de ce certificat en vous rendant dans Autorit de certification dans le menu Outils d'administration . Il vous faudra ensuite vous rendre dans les Demandes en attente , d'effectuer un clique droit sur la demande que vous venez d'mettre afin de pouvoir Dlivrer ce certificat. Une fois votre autorisation accorde, retournez l'accueil de la page Web puis Afficher le statut d'une requte

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

13/27

de certificat en attente . Slectionnez votre demande puis Tlcharger le certificat sur votre disque dur. Fermez alors le navigateur Internet. Revenez dans les proprits du Site Web d'IIS, dans l'onglet Scurit du rpertoire . Cliquez nouveau sur le bouton Certificat de serveur puis Traitez la demande en attente . Slectionnez le certificat que vous venez d'enregistrer. Votre serveur IIS dispose donc maintenant de son propre certificat garantissant aux yeux des utilisateurs son identit et il ne reste plus qu' activer le protocole SSL sur ce site Web. Pour cela, toujours dans l'onglet Scurit du rpertoire , cliquez sur le bouton Modifier et cochez Requrir un canal scuris (SSL) ainsi qu' Exiger le cryptage 128 bits . Enregistrez la configuration et fermez le Gestionnaire des services Internet. L'interface Web de l'autorit de certification est dsormais accessible en entrant l'url suivante : https://nom-de-lautorite/certsrv.

2.2 Administrer une infrastructure cls publiques


2.2.1 L'outil "Autorit de certification"
L'outil Autorit de certification , prsent dans les outils d'administration de Windows Server 2003, vous permet de grer votre autorit de certification : Liste des certificats rvoqus Liste des certificats dlivrs Demandes en attente Demandes ayant chou Administration des modles de certificats (uniquement sur une autorit d'entreprise)

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

14/27

La liste des certificats rvoqus contient tous les certificats rvoqus dans cette infrastructure. Il est possible de publier la liste des certificats rvoqus manuellement, en effectuant un clique droit sur Liste des certificats rvoqus puis en choisissant Publier dans Toutes les tches. Vous pouvez publier une liste de base ou seulement une liste delta. La liste des certificats dlivrs vous permet de consulter mais aussi de rvoquer les certificats mis par cette autorit de certification. Pour rvoquer un certificat, slectionnez-le puis effectuez un clique droit afin de choisir Rvoquer un certificat dans le menu Toutes les tches. Il est possible de choisir une raison pour cette rvocation. Le certificat apparat alors dans la liste voque prcdemment. Les demandes en attente, dans le cas d'une autorit de certification autonome, apparaissent ici. Il vous est alors possible de dlivrer ou non le certificat l'utilisateur. Pour cela, slectionnez le certificat puis effectuez un clique droit dessus. Choisissez Dlivrer ou Refuser dans le menu Toutes les tches. Ds lors, l'utilisateur peut aller consulter le nouvel tat de sa demande. Les demandes ayant chou reprsentent les certificats n'ayant soit pas t autoriss, soit n'ayant pas pu tre mis (demande de certificat avanc incorrecte, erreur de cration du certificat, etc). Dans le cas d'une autorit de certification faisant partie d'un domaine, une ligne supplmentaire existe : Les modles de certificats. Vous pouvez administrer ces modles depuis cet outil. En double cliquant sur un modle de certificat, sa description apparatra. Il est aussi possible de grer ces modles, pour cela effectuez un clique droit sur une zone vide puis slectionnez Grer .

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

15/27

Outre ces fonctionnalits, il est possible depuis cette interface de renouveler le certificat de l'autorit de certification manuellement en effectuant un clique droit sur son nom, puis en slectionnant Renouveler le certificat d'Autorit de certification dans le menu Toutes les tches .

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

16/27

Il est aussi possible d'administrer son autorit de certification en ligne de commande l'aide de la commande certutil . Vous pouvez par exemple afficher les modles de certificats ( -template ), signer une liste de rvocation ( -sign ) ou encore importer un nouveau certificat dans la base de donnes ( importcert ). Pour obtenir l'aide complet de cette commande, entrez certutil /? .

2.2.2 L'interface Web "certsrv"


Pour effectuer une nouvelle demande de certificat, les utilisateurs peuvent se connecter l'aide d'Internet Explorer sur le site Web : http://nom-de-l'autorite/certsrv (ou https://nom-de-l'autorite/certsrv dans le cas d'une connexion scurise). L'interface Web se dcompose en trois parties : Demander un certificat : permet de demander des certificats standards ou avancs Afficher le statut d'une requte de certificat en attente : permet dans le cas d'une autorit de certification autonome, de rcuprer un certificat aprs ayant t valid par l'administrateur Tlcharger un certificat d'autorit de certification : permet de tlcharger le certificat de l'autorit de certification ainsi que la liste de rvocations des certificats de cette infrastructure

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

17/27

Pour pouvoir installer un certificat, il faut tout d'abord en faire la demande ( Demander un certificat). Vous pouvez choisir entre diffrents types de certificat (navigateur Web, courrier lectronique, EFS, utilisateur, serveur, IPSec, etc) selon les besoins dans votre rseau. Si vous exprimez une demande sur une autorit de certification autonome, il vous faudra entrer des informations d'identification (nom, socit, pays etc) permettant de vous identifier sur votre certificat avant de pouvoir soumettre votre demande. Il vous faudra ensuite patienter jusqu' ce qu'un administrateur autorise manuellement votre demande. Lorsque cela aura t fait, vous pourrez installer votre nouveau certificat ( Afficher le statut d'une requte de certificat en attente sur l'interface Web). Dans le cas d'une demande une autorit d'entreprise il vous suffit de slectionner le type de certificat puis de l'installer.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

18/27

Remarque : Pour accorder votre confiance aux certificats mis par cette autorit de certification, vous devez installer la chane de certificats d'Autorit de certification (Tlcharger un certificat d'autorit de certification). Sur cette page, vous pouvez aussi tlcharger la liste de rvocation de certificats mis par cette autorit. Elle contient la liste des certificats ayant t marqus comme obsoltes (cl prive compromise, certificat ayant dpass sa priode de validit, etc). Il est possible de tlcharger la liste de rvocation de base (qui contient tous les certificats rvoqus par cette autorit) mais aussi la liste delta (qui contient seulement les dernires mises jour).

2.2.3 La MMC "Certificats"


Le composant enfichable Certificats permet de grer les certificats d'un utilisateur ou d'un ordinateur. Pour cela, dans le menu dmarrer, choisissez Excuter puis entrez MMC .

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

19/27

Dans la fentre qui s'ouvre, droulez le menu Fichier puis choisissez Ajouter/Supprimer un composant logiciel enfichable . Slectionnez le bouton Ajouter puis double cliquez sur Certificats . Vous pouvez alors choisir d'afficher les certificats de l'utilisateur actuel ou alors de l'ordinateur. Le dossier Personnel contient tous les certificats ayant t accords cet objet (certificat EFS, messagerie, IPSec, etc). Il est possible de sauvegarder un certificat et ventuellement la cl prive lui tant associe en le slectionnant, en effectuant un clique droit dessus puis en choisissant Exporter dans le menu Toutes les tches. Si vous souhaitez exporter la cl prive, il faut que lors de l'installation du certificat, la cl a t marque comme exportable, et l'assistant vous demandera alors d'entrer un mot de passe pour protger cette cl. Remarque : Il est conseill de garder une sauvegarde de ses certificats ainsi que de ses cls prives pour pouvoir les rutiliser en cas de problme sur son systme (par exemple pour pouvoir dcrypter des fichiers crypts l'aide d'EFS aprs une dfaillance du systme d'exploitation). Le composant logiciel enfichable Certificats permet aussi, dans le cas d'un ordinateur prsent dans un domaine, qui comprend une autorit de certification d'entreprise, de faire une demande de certificat sans passer par l'interface Web. Pour cela, il suffit d'effectuer un clique droit sur le dossier Personnel afin de Demander un nouveau certificat dans le menu Toutes les tches.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

20/27

Remarque : Dans le cas d'une autorit d'entreprise, il est possible de diffuser automatiquement des certificats l'aide d'une GPO.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

21/27

2.2.4 Scurisez une autorit de certification

Exemple d'implmentation d'une PKI trois niveaux L'autorit de certification racine tant l'lment le plus critique d'une PKI en raison de la confidentialit de sa cl prive, il est fortement conseill d'utiliser une infrastructure plusieurs niveaux. Dans l'exemple ci-dessus, l'autorit racine ne dlivre que deux certificats (donc seulement deux utilisations de sa cl prive) aux autorits de certifications intermdiaires. Une fois les autorits de certifications intermdiaires approuves par l'autorit racine, elle peut tre dconnecte du rseau ce qui garantit qu'aucun utilisateur malveillant ne pourra "voler" la cl prive de l'autorit de certification racine. Lorsque ces autorits de certifications intermdiaires auront reues leur certificat leur permettant d'exercer leur fonction, elles pourront leur tour autoriser les autorits de certifications dites "mettrice". De cette manire, il est aussi possible de dconnecter du rseau les autorits intermdiaires en laissant les autorits de certifications "mettrices" signer les certificats. Cette hirarchie permet non seulement de choisir quelle autorit va dlivrer tel type de certificat, mais aussi de limiter les risques d'attaque de cette PKI, puisqu'en aucun cas il ne sera possible d'tre en possession de la cl prive de l'autorit racine stocke dans un endroit sr puisque hors du rseau (et dans un endroit physiquement protg).

2.2.5 Sauvegarder une autorit de certification


L'autorit de certification doit tre rgulirement sauvegarde, et cela pour deux raisons : elle est la seule possder sa cl prive permettant de gnrer des certificats aux utilisateurs de la PKI elle contient les certificats clients qu'elle diffuse sur le rseau

Il existe deux manires de sauvegarder son autorit de certification :

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

22/27

l'aide de l'utilitaire de sauvegarde de Windows en utilisant l'outil d'administration Autorit de certification

Pour effectuer une sauvegarde de l'autorit de certification, il faut effectuer une sauvegarde de l'tat du systme (System Stage) l'aide de l'Utilitaire de Sauvegarde prsent dans Windows (Menu dmarrer puis Accessoire, Outils systme). Pour cela, lancez l'utilitaire en mode avanc si ce n'est pas dj le cas, puis slectionnez l'onglet Sauvegarder . Cochez la case System State et ventuellement d'autre rpertoire si ncessaire (il est conseill de sauvegarder par la mme occasion le disque systme), puis Dmarrez la sauvegarde .

Il est possible de ne pas effectuer une sauvegarde complte du systme sur lequel se trouve l'autorit de certification mais seulement les paramtres de ce service. Cela permet par exemple en cas de corruption ou de perte de la cl prive de l'autorit de la restaurer. Pour cela, effectuez un clique droit sur le nom de votre autorit de certification dans l'outil d'administration Autorit de certification puis slectionnez Sauvegarder l'Autorit de certification dans Toutes les tches . Cochez les cases Cls prives et certificat d'Autorit de certification ainsi que la base de donnes de certificats et journal de la base de donnes de certificat . Spcifiez un emplacement pour votre sauvegarde puis cliquez sur Suivant. Vous devez ensuite entrer un mot de passe permettant d'apporter une premire protection au stockage de votre cl prive.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

23/27

Remarque : Ce fichier contenant la cl prive de votre autorit de certification (qui est donc l'lment critique de votre PKI), il doit tre stock et protg de toutes attaques avec une attention particulire. Le mot de passe entr lors de la sauvegarde peut tre dcouvert par un pirate utilisant le brute force (essai de toutes les combinaisons possibles), ce n'est qu'une question de temps.

3. Exemples de domaines d'application des certificats numriques


Les certificats numriques peuvent tre utiliss dans de nombreux domaines

3.1 Scuriser sa messagerie


Chaque jour, un nombre croissant d'e-mail transitent sur les rseaux du monde entier (rseaux d'entreprise, rseaux locaux, Internet etc). La messagerie a pris une telle importance dans les communications qu'elle se doit d'tre scurise. Pour assurer sa scurit, deux mthodes peuvent tre mises en place : la garantie de l'identit de l'expditeur le cryptage des donnes

Pour garantir votre identit vos destinataires lorsque vous envoyez un e-mail, vous pouvez faire appel un certificat de messagerie.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

24/27

Exemple d'un certificat de messagerie Ce certificat vous permet d'envoyer des e-mails avec votre compte de messagerie en y joignant votre signature numrique.Les messages signs numriquement apparaissent dans Microsoft Outlook avec une icne particulire et dispose d'une ligne supplmentaire dans l'entte :

Si vous souhaitez utiliser un certificat de messagerie destin Internet et que vous ne disposez pas d'une autorit de certification personnelle, vous pouvez gratuitement crer votre certificat en suivant l'article de Nicolas Milbrand disponible ici. Pour crypter un message, l'opration est moins vidente, puisqu'il nous faut possder la cl publique du destinataire. Il faut donc que le destinataire a mit votre disposition un certificat de messagerie et que vous le possdiez. Dans ce cas, crypter un message avec Microsoft Outlook se droule de manire trs semblable apposer sa signature lectronique sur un e-mail.

Il suffit de slectionner l'icne Crypter le message dans la barre d'outils du message.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

25/27

3.2 Protger son accs VPN l'aide de L2TP/IPSec


Pour tablir un tunnel entre deux htes avec Windows Server 2003, il vous faut choisir soit PPTP (Point to Point Tuneling Protocol) soit L2TP (Layer 2 Tunnel Protocol). La mthode la plus scurise utiliser dans le cas d'un tunnel VPN (Virtual Private Network) est d'opter pour le protocole L2TP complt par IPSec (IP Security). IPSec supporte trois types d'authentification : Utilisation d'une cl pr-partage que l'on entre sur le serveur et sur les clients. Cela reprsente la manire la moins scurise d'authentification et doit tre utilise seulement en dernier recours. Utilisation d'un systme de certificat numrique, ce qui reprsente la manire la plus fiable d'un un rseau tel qu'Internet Dans un domaine, utilisation de l'authentification Kerberos lie Active Directory. Si le serveur et le client appartiennent la mme fort, cela reprsente la manire la plus adapte d'effectuer l'authentification des htes.

Nous allons tudier ici la mise en place d'une authentification par certificat numrique. Nous supposerons alors que le serveur et le client peuvent communiquer correctement l'aide de L2TP/IPSec. Vous pouvez vrifier votre configuration en utilisant la mthode de cl pr-partage qui est la plus simple mettre en uvre. Une fois cette tape accomplie, il est possible de mettre en place l'authentification par certificat numrique en ralisant les oprations ci-dessous sur le client et sur le serveur. Installation des certificats sur le client et le sur serveur : L'authentification par certificat ncessite l'installation d'un certificat IPSec sur les deux ordinateurs souhaitant communiquer. Pour cela, connectez-vous sur http://nom-de-la-CA/certsrv, demandez un certificat puis soumettez une demande de certificat avance ( Demande de certificat avance puis Crer ou soumettre une demande de requte ). Compltez les informations demandes, puis choisissez un Certificat IPSec . Les certificats IPSec doivent tre stocks pour le compte de l'ordinateur et non pour le compte de l'utilisateur actif. Pour cela, il vous faut cocher la case Stocker le certificat dans le magasin de l'ordinateur local . Lorsque votre demande de certificat est accepte, installer le certificat (sur la page d'accueil du site Web de l'autorit de certification, choisissez Afficher le statut d'une requte de certificat en attente puis slectionnez le Certificat IPSec ). Installation du certificat de l'autorit de certification sur le client et sur le serveur : Si vous utilisez cette autorit de certification pour la premire fois, il vous faut installer le certificat de l'autorit de certification, gage de votre confiance envers cette autorit. Pour cela, toujours sur la page d'accueil, choisissez Tlcharger un certificat d'autorit de certification , puis tlcharger un certificat de l'Autorit de certification . Fermez l'interface Web. Dans la MMC Certificat , dveloppez Certificats (ordinateur local) puis effectuez un clique droit sur Autorit de certification racines de confiance pour slectionner Importer dans Toutes les tches . Cliquez sur Suivant puis sur Parcourir. Rechercher le certificat prcdemment enregistr puis cliquez nouveau sur Suivant. Vous devez stocker le certificat dans le magasin Autorits de certification racines de confiance , slectionn par dfaut. Cliquez sur Suivant puis Terminer. Vous avez maintenant confiance en cette autorit de certification. Vous pouvez maintenant vous connecter et vous authentifier l'aide de votre client sur votre serveur VPN. Assurez-vous que le protocole L2TP soit bien slectionn : pour le client Windows, afficher les proprits de la connexion VPN , slectionnez l'onglet Gestion de rseau puis slectionnez VPN L2TP IPSec dans le Type de rseau VPN.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

26/27

3.3 Crypter ses fichiers avec EFS


Le systme de fichier encrypt (Encrypting File System, EFS) est support par Windows 2000, XP et Server 2003. Il permet aux utilisateurs de protger l'accs leurs donnes par des utilisateurs non autoriss de manire totalement transparente. Crypter un fichier avec EFS : Crypter un fichier avec EFS sur Windows XP ou Server 2003 est relativement simple. Il suffit d'afficher les proprits du fichier crypter (clique droit sur le fichier puis choisir Proprits ). Slectionnez le bouton Avanc puis cochez la case Crypter le contenu pour scuriser les donnes . Le fichier ainsi crypt apparait en vert dans l'explorateur Windows.

Principe de fonctionnement de EFS : Pour crypter un fichier, EFS va tout d'abord crypter symtriquement les donnes puis ajouter la cl cryptage, appele FEK pour File Encryption Key. Pour amliorer la scurit, EFS va ensuite ajouter la FEK au fichier et crypter celle l en utilisant le cryptage asymtrique. La cl symtrique ainsi crypte est stocke dans un champ nomm DDF pour Data Decryption Field. Il est aussi possible de spcifier un agent de rcupration ce qui permet de rcuprer les donnes mme en cas de perte du certificat de l'utilisateur. Utiliser de prfrence EFS dans une PKI : Le certificat de l'utilisateur et la prive lui tant lie est stock dans le profil local de l'utilisateur. Ainsi, en cas de panne du systme, si aucune sauvegarde du certificat et de la cl prive n'est disponible, l'utilisateur ne pourra donc plus dcrypter ses donnes, mme si un agent de rcupration a t cr puisque lui non plus n'aura plus accs son certificat et sa cl prive stocks localement. Pour rsoudre ce problme en cas de dfaillance, il est possible d'utiliser une PKI qui sera charge de grer les certificats et qui plus est bnficie d'une sauvegarde rgulire. Un autre avantage d'utiliser une PKI, est qu'en cas d'utilisation de profil distant dans un domaine Active Directory, les utilisateurs pourront dcrypter leurs fichiers depuis n'importe quelles machines du domaine.

Implementer une Infrastructure a cles publiques. Dans un environnement WS2003

27/27

Conclusion
A l'heure actuelle, scuriser les communications dans son entreprise n'est plus une option, mais bien une obligation. Il n'est plus question de laisser la porte de tous des informations sensibles alors qu'il est possible de scuriser ses changes sur un rseau informatique, de garantir l'identit d'un utilisateur ou encore de scuriser le stockage de ses donnes l'aide d'une infrastructure cls publiques. Ce type d'infrastructure qui se base sur les certificats numriques, connait une popularit croissante dans le monde professionnel. Cependant, elle attire aussi de plus en plus de particuliers soucieux d'amliorer la scurit, notamment l'aide d'une messagerie scurise ou encore du cryptage EFS propos par le systme d'exploitation client de Microsoft : Windows XP. Les certificats tant devenus presque indispensables, pourquoi utiliser les services d'un prestataire extrieur pour accomplir cette lourde tche plutt que d'implmenter vous mme dans votre rseau, une infrastructure cls publiques l'aide de Windows Server 2003 ?

Vous aimerez peut-être aussi