Vous êtes sur la page 1sur 215

Implémenter une PKI avec

ADCS 2012 R2
Titre de vidéo
Présentation de la formation

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Présentation du formateur

• Pourquoi une session sur les Pki 2012 R2?

• Publics concernés et prérequis

• Le plan de formation

• Les ateliers pratiques

• Architecture de base des ateliers pratiques

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Le formateur
• IZZO Patrick

• Travailleur indépendant après salariat en SSII

• Formateur technique Windows serveur 2012 r2

• MCP, MCST, MCSA 2008 r2, MCSA 2012 r2

• MCT (1997 - 2014) patrick.izzo@orange.fr


• Mes références :
LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458
Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo
Alphorm http://www.alphorm.com/auteur/patrick-izzo
Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx
(Login : 692101 password : 58964781)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Pourquoi une formation PKI 2012 R2?
• Pki (Public Key Infrastructure
Environnement sécurisé de gestion et d’utilisation de certificats
La base de toute sécurité d’entreprise !!

• Des concepts nouveaux

• Une implémentation multi-composantes

• Richesse de fonctionnalités

• Gain de temps

• Aide au passage des certifications Microsoft (70-412)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Publics concernés
• Techniciens de support

• Administrateurs, ingénieurs systèmes

• Architecture informatique

• Spécialiste en sécurité

• Spécialiste en Pki d’entreprise

• Passage des certifications Microsoft (70-412)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Connaissances requises
• Connaissances de base sur la gestion des systèmes d’exploitation
Windows
• Connaissances de base sur les réseaux

• Connaissances sur l’Active Directory

• Pas de prérequis sur la cryptographie (couvert par la session)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Le plan de formation
1. Présentation 5. Sites Web sécurisés
Implémentation de Ssl
2. Cryptographie Nouveautés IIS 8 et IIS 8,5
Type de chiffrement
Certificats, Clés publiques\privés 6. Révocation de certificats
Révocation Lan
3. Autorité de certification Entreprise Révocation Wan
Présentation d’une autorité de certification Serveur OCSP
Installation d’une autorité de certification
7. Sécurisation d'une infrastructure de clé publiques
4. Inscription de certificats Sauvegarde et restauration
Modèles de certificats Archivage des certificats
Inscription manuelle Architectures sécurisées
Inscription via le Web Installations automatisées autorité racine
Inscription automatique Installations automatisées autorité secondaire
Itinérance des certificats
Agent d'inscription 8. Autres rôles Pki
Certificate Enrollment Web Services (Cep\Ces)
Network Device Enrollment Service (Ndes)

9. Conclusion
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ateliers pratiques
• Exemples d’ateliers …
Cryptage de fichiers Efs\Agent de récupération (Domaine \ Workgroup)
Cartes à puce\Agent de récupération
Vpn SSTP
Signature de code PowerShell
Sites Web Sécurisés …

• Architecture des ateliers


Machines virtuelles (Hyper-V 3)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Liens des ressources logicielles
• Source Windows 8.1 (version Entreprise)
http://technet.microsoft.com/fr-fr/windows/hh771457.aspx

• Source Windows 2012 Server


http://technet.microsoft.com/fr-fr/evalcenter/hh670538.aspx

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Applications Pratique
Architecture domaine : Corp.lan
s1.corp.lan

Active
Directory

10.0.0.1

w811.corp.com s4.corp.lan s5.corp.lan


s2.corp.lan
80.0.0.11 10.0.0.4 10.0.0.5
Autorité de certification

10.0.0.2

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Présentation dur formateur

• Pourquoi les une session sur les Pki 2012 r2 ?

• Les prérequis de la formation

• Le contenu (plan et ateliers pratiques)

C’est parti !!

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cryptographie
Introduction au PKI
et à la Cryptographie

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Rôle des PKI
• Utilisation des PKI
• Composantes de PKI
• Technologies de Cryptographie
• Cryptage Symétrique\Asymétrique
• Certificats
La partie de l'image av ec l'ID de relation rId3 n'a pas été trouv é dans le fichier.

• Application : Chiffrement de fichiers (EFS)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Rôle des PKI
• Pki (Public Key Infrastructure ou Infrastructure de clé publique)
Technologies de cryptographie pour la sécurisation de votre environnement
informatique
Utilisé pour :
• Confidentialité (Chiffrement)
• Authentification (Utilisateur, Ordinateur)
• Intégrité (Données non modifiées)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Exemples d’utilisation des PKI
• Fichiers (Efs, Bitlocker)

• Pilotes, ActiveX, Macros, Scripts PowerShell

• Site Web (Ssl)

• Connexions réseau (Vpn, Wifi…)

• Sécurisation de trafic réseau (IpSec…)

• Authentification Forte (Cartes à puce)

• Mails

•…

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Composantes d’une architecture de PKI
• Cryptographie
Algorithmes mathématiques
Certificats

• Autorités de certifications (Gestion des certificats)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cryptage symétrique
• Algorithme mathématique + Clé (élément variable de l’algorithme)
Algorithmes mathématiques : Des, 3Des ou Aes …
Une seule clé (128, 256 bits)

• La clé symétrique doit être transmise à l’aide de moyen de


communication sécurisé

Décaler de : 3 Décaler de : 3
Eonjour
Erqmour
Erqmrxu
Erqmrur
Erqmrxr
Bonjour
Erqjour
Ernjour Bonjour
Erqmour
Erqmrxu
Erqmrur
Erqmrxr
Eonjour
Ernjour
Erqjour

Bob

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Composantes Cryptage asymétrique
• Certificat
Bob

Utilisation des clés, propriétaire, durée de vie…)


Clé publique Clé Publique
de Bob

• Clé Privé
Stocké dans un emplacement protégé sur l’ordinateur
Lien mathématique de 1 à un entre la clé privé et la clé publique
Clé Publique Clé Privée
1 1
de Bob de Bob

Bob

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cryptage asymétrique
• Certificat avec Clé publique + Clé Privé
Je chiffrer avec la « Clé publique » de Bob
Bob déchiffrer avec sa « clé privée »
Clé Publique Clé Privée
de Bob de Bob

Bob
1 1

Bonjour
Erqmrxu! Bonjour

Bob

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Comparatif types de cryptage ?
• Cryptage symétrique
Plus rapide, une seule clé de petite taille (128, 256 bits)
Requiert une communication déjà sécurisée pour l’échange de la clé

• Cryptage Asymétrique
Plus lent (100 fois ou plus …), deux clés (Publique\Privé + un certificat)
Taille des clés plus importante (1024, 2048, 4096 bits)
Totalement sécurisé

• Lequel utiliser ??

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Combinaison Symétrique \ Asymétrique
• On utilisera toujours une combinaison de cryptage Symétrique \
Asymétrique !!!
• Chiffrement du contenu : Symétrique
Plus rapide

• Protection de la clé : Asymétrique


Totalement sécurisé
Le chiffrement asymétrique sécurise la clé symétrique !!!

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Combinaison Symétrique\Asymétrique
• Chiffrement avec un clé symétrique

• Protection de la clé symétrique en Asymétrique


Lien mathématique de 1 à un entre la clé privé et la clé publique
Clé Publique Clé Privée
1 1
de Bob de Bob
La partie de l'image av ec l'ID de relation rId3 n'a pas été
trouv é dans le fichier.

Bob

3
# 3

Erqmrxu!
Bonjour Bonjour

Bob

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cryptage EFS
• Encryption File System

• Chiffrement de fichiers ou de dossiers

• Rapide, performant (intégré au noyau Ntfs)

• Combine cryptage symétrique et asymétrique

• Transparent

• Les fichiers cryptés apparaissent en vert

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Fonctionnement du chiffrement EFS
• L’utilisateur demande à crypter son document

• Le système génère une clé aléatoire Bob

symétrique dans l’entête du fichier #


3

• Le document est crypté à l’aide


de la clé symétrique
• La clé symétrique est crypté en asymétrique avec
ëH3ÿ
Ceci est
32öunë!
la clé publique de l’utilisateur
I‹ÉÿÅH‹È
document
H‹øÿÅH‹ÏŠð
confidentiel

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Déchiffrement EFS
• Fonctionnement du déchiffrement EFS Clé Privée
de Bob
L’utilisateur ouvre le document Bob
#
3
Le système récupère la clé privé
de l’utilisateur
le système déchiffre la clé symétrique
à l’aide de la clé privé de l’utilisateur
Le système déchiffre le document à l’aide ëH3ÿ 32ö
Ceci est unë!
de la clé de chiffrement symétrique I‹ÉÿÅH‹È
document
H‹øÿÅH‹ÏŠð
confidentiel

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application

Application pratique

Chiffrement de fichiers EFS

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Le fonctionnement de la cryptographie
Combinaison de cryptage Symétrique et Asymétrique
Les composantes d’un certificat
Le rôle des clés, publique et privée, associées
Application avec le cryptage de fichier (Efs)

Une bonne compréhension des notions essentielles de cryptographie


permet une implémentation efficace de votre infrastructure de PKI
La partie de l'image av ec l'ID de relation rId3 n'a pas été trouv é dans le fichier.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cryptographie
Partage de fichiers
cryptés

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Partage de fichiers cryptés
• Application : Partage de fichiers cryptés Efs

La partie de l'image av ec l'ID de relation rId3 n'a pas été trouv é dans le fichier.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Partage de fichiers cryptés EFS
• L’utilisateur U1 souhaite partager son fichier crypté avec u2 et u3…
Sans communiquer sa clé privée !!!
• Fonctionnement :
Chaque utilisateur pour qui l’on partage le fichier disposera de sa copie de
l’entête comprenant la clé symétrique qu’il chiffrera, ou déchiffrera, avec ses
clés publique\privé !
Il y aura autant d’entêtes dupliqués que d’utilisateurs avec qui l’on partagera
le fichier

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Partage d’un fichier chiffré - Entêtes
• Le système décrypte la clé symétrique Clé Privée
à l’aide de la clé privé de Bob de Bob
Bob

• Le système duplique un nouvel 3


#
entête pour l’utilisateur « U2 » U2
#
• La clé symétrique du nouvel entête
est chiffré en asymétrique à l’aide
de la clé publique de l’utilisateur « U2 »
ëH3ÿ 32ö ë!
• Il y aura autant d’entête que d’utilisateurs I‹ÉÿÅH‹È
avec qui l’on partagera le fichier … H‹øÿÅH‹ÏŠð

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Partage d’un fichier chiffré - Lecture
• L’utilisateur « U2 » n’accède pas à l’entête
de l’utilisateur (Bob)
Clé Privée
• L’utilisateur « U2 » accède à de U2
3
#
son entête U2
3
#
• Il décrypte la clé symétrique à l’aide
de sa clé privé d’utilisateur « U2 »
• Il déchiffre le document à l’aide Ceci
ëH3ÿest
32ö
unë!
de la clé symétrique déchiffrée document
I‹ÉÿÅH‹È
confidentiel
H‹øÿÅH‹ÏŠð

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application

Application pratique

Partage de fichiers EFS

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Le fonctionnement de la cryptographie
Partage de fichiers cryptés Efs

Une bonne compréhension des notions essentielles de cryptographie


permet une implémentation efficace de votre infrastructure de PKI

La partie de l'image av ec l'ID de relation rId3 n'a pas été trouv é dans le fichier.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cryptographie
Agents de récupération
EFS

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Agents de récupération Efs
• Application : Agent de récupération Efs

La partie de l'image av ec l'ID de relation rId3 n'a pas été trouv é dans le fichier.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Agents de récupération EFS
• L’agent de récupération accède à tout les fichiers cryptés !!!
Sans communiquer les clés privées des utilisateurs à l’agent de
récupération
• Le principe est la même que pour le partage de fichiers cryptés
Chaque « agent de récupération » dispose d’une copie de l’entête
comprenant la clé symétrique qu’il chiffre ou déchiffre avec ses clés
publique\privé !
Il y aura autant d’entêtes dupliqués que d’ « agents de récupération »
déclarés sur l’ordinateur

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Agents de récupération - Entête
• Le système décrypte la clé symétrique Clé Privée
à l’aide de la clé privé de Bob de Bob
Bob

• Le système duplique un nouvel 3


#
entête pour l’agent de récupération AR1
#
• La clé symétrique du nouvel entête
est chiffré en asymétrique à l’aide
de la clé publique de l’agent de récupération
ëH3ÿ 32ö ë!
I‹ÉÿÅH‹È
H‹øÿÅH‹ÏŠð

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Agents de récupération - Déchiffrement EFS
• L’agent de récupération n’accède pas à l’entête
de l’utilisateur (Bob)
Clé Privée
• L’agent de récupération accède à de AR1
3
#
son entête AR1
3
#
• Il décrypte la clé symétrique à l’aide
de sa clé privé d’agent de récupération
• Il déchiffre le document à l’aide Ceci
ëH3ÿest
32ö
unë!
de la clé symétrique déchiffrée document
I‹ÉÿÅH‹È
confidentiel
H‹øÿÅH‹ÏŠð

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application

Application pratique

Agent de récupération EFS

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Le fonctionnement de la cryptographie
Agent de récupération Efs

Une bonne compréhension des notions essentielles de cryptographie


permet une implémentation efficace de votre infrastructure de PKI

La partie de l'image av ec l'ID de relation rId3 n'a pas été trouv é dans le fichier.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autorité de certification Entreprise
Présentation d’une autorité
de certification

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Rôle de l’autorité de certification

• Authentification et intégrité des certificats

• Type d’autorité de certification

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Rôle de l’autorité de certification
• Autorité de certification (Certification Authority – CA)

• Gestion des certificats


Délivrer des modèles personnalisés de certificats
(Utilisateur, Ordinateurs, Services)
Archiver
Révoquer

• Signature de certificats
Authentification
Intégrité

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Authentification des certificats - Signature

Clé Publique AC Clé Privé


1 1
AC

AC

Autorité de Clé Publique


1 1
Clé Privé
Bob Bob
certification
Bob

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Authentification des certificats - Intégrité
• Algorithme mathématique de Hash Clé Publique
Bob
Md5 (plus rapide) Bob

Sha (plus sécurisé)


Signature
• Calculé à la création CorpCA

• Validé à chaque utilisation du certificat

Hash : 12345678910

Hash : 12345678910

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Authentification\Integrité des certificats
Clé Publique AC Clé Privé
1 1
AC

AC

Clé Publique Clé Privé


Bob
1 1 Bob

Autorité de Bob

certification
Signature
CorpCA
Hash:: 12345678910
Hash ##########
12345678910

Hash : 12345678910

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application

Application pratique

Calcul de valeurs de Hash

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Type d’Autorité de certification
Autonome Entreprise
Ne requiert pas Active Directory Requiert Active Directory

Ne requiert pas que le serveur « Autorité de Le serveur « Autorité de certification » doit être
certification » soit membre du domaine membre du domaine

Demande de certificats exclusivement par navigateur Approbation automatique des requêtes de


Internet certificats

Les utilisateurs fournissent des informations Demande de certificats


d’identifications Navigateur Web
Manuelle (Mmc composant certificat)
Demandes en attentes jusqu’à approbation manuelle Automatique (Stratégies de groupe)
Agent d’inscription
Modèles de certificat non personnalisables
Modèles de certificat personnalisables
Pour un usage interne et externe (Internet)
Pour un usage interne à l’entreprise

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Rôle de l’autorité de certification

• Authentification et intégrité des certificats

• Type d’autorité de certification

La partie de l'image av ec l'ID de relation rId3 n'a pas été trouv é dans le fichier.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autorité de certification Entreprise
Installation d’une autorité
de certification

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Considération pré-installation

• CAPolicy.inf

• Post installation

• Installation

• Inscription de certificats

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Considération pré-installation
• Installation complète ou minimale (Serveur Core) de Windows

• Appartenance au domaine et nom d'ordinateur non modifiable après le


déploiement d'une autorité de certification (quelque soit le type)
• Le choix du fournisseur de service de chiffrement cryptographique
Compatible avec les applications, services
Nom avec un caractère # : Fournisseur (CNG Cryptography Next Generation)

• Valeur de la clé (2048 minimum recommandé)

• Durée de vie du certificat de l’autorité

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
CAPolicy.inf
Paramètre de configuration de l’autorité appliqués à l’installation et
lors du renouvellement du certificat de l’autorité de certification
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriodUnits=20
RenewalValidityPeriod=years
Doit être placé dans le dossier %windir%

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Post installation
• Appliquer les paramètres de fonctionnement (certUtil)
certutil -setreg CA\CRLPeriodUnits 3
certutil -setreg CA\CRLPeriod "Days"
certutil -setreg CA\AuditFilter 127

• Publier une liste de révocation

• Personnalisation de modèles de certificats

• Tester l’inscription d’un certificat (Mmc : Certificats)

• Sauvegarder l’autorité de certification

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application
Application pratique

Implémentation d’une autorité


de certification racine entreprise

s1.corp.lan s2.corp.lan w811.corp.lan


Contrôleur de domaine Autorité de certification Client

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Considération pré-installation

• CAPolicy.inf

• Post installation

• Installation

• Inscription de certificats

La partie de l'image av ec l'ID de relation rId3 n'a pas été trouv é dans le fichier.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Inscription de certificats
Modèles de certificats

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Qu’est ce qu’un modèle de certificat
• Les versions des modèles de certificat
• Application pratique : Personnaliser un modèle de certificat et l’inscrire

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Qu’est ce qu’un modèle de certificat ?
• Il définit les propriétés des certificats émis
La durée de validité
Le\les rôles
Qui peut inscrire le certificats
Méthode d’inscription
…Partition Configuration

• Il est stocké dans l’Active Directory ()

• Il est répliqué sur toutes les autorités de certifications de la forêt

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Versions des modèles de certificat
• Systèmes d’exploitation et versions
Windows 2000 Server : Version 1
Windows Server 2003 Enterprise : Version 1 et 2
Windows Server 2008 Enterprise Edition : Version 1, 2 et 3
Windows Server 2012 : Versions 1, 2, 3 et 4

• Prise en charge des modèles de certificats


Avant Windows Server 2008 R2, uniquement avec les éditions Entreprise
Windows Server 2008 R2 \2012 et 2012 r2 aussi avec les éditions Standard

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Versions des modèles de certificats
• Version 1
Compatibles toutes versions d’autorités de certifications Microsoft
Non modifiables

• Version 2
Obtenu par duplication d’une version 1 et personnalisables

• Version 3
Prends en charge CNG (Cryptography Next Generation) et Algorithmes Cryptographie
Suite B)
Nouveau modèle « signature de réponse OCSP »

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Versions des modèles de certificat
• Version 4 \ Windows Serveur 2012 et Windows 8
l'onglet Compatibilité : Liste les fonctions non disponibles en fonction du
système client et de l’autorité de certification
Prise en charge de plus de CSP
Prise en charge du renouvellement avec une même clé

• Mise à niveau des modèles après mise à niveau de l’autorité de


certification vers 2012 \ 2012 r2 (oui à l’invite de mise à jour des
modèles)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application
Application pratique

Création et inscription
d’un modèle de certificat personnalisé

s1.corp.lan s2.corp.lan w811.corp.lan


Contrôleur de domaine Autorité de certification Client
Modèle : CorpUser Inscription du certificat

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Les modèles de certificats
Créer et personnaliser
Gestion des versions
Inscription d’un certificat basé sur les nouveaux modèles
La création de nouveaux modèles personnalisés permet le contrôle
des certificats inscrits ainsi que de leurs propriétés.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Inscription de certificats
Inscription via le Web

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Qu’est ce que l’inscription via le Web
• Configuration requise pour le navigateur Web
• Application pratique : Inscription d’un modèle personnalisé via le Web

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Inscription via le Web
• Demande de certificat avancée ou si l'inscription automatique ne peut pas être utilisée

• Inscription manuelle au travers d’un site Web

• Rôle « Inscription de l’autorité de certification via le Web »


Ajout d’un serveur Web IIS
Ajout de page Web pour la demande de certificats

• Utiliser l’url « http(s)://nom serveur/certsrv »

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Configuration du navigateur Web
• Requiert un certificat Ssl pour un accès en Https

• Accès en http pour l’intranet


Ajouté au « Sites de confiance » ou au site « Intranet local »
• Personnaliser le niveau …
- Connexion automatique uniquement dans la zone intranet

- Contrôles d’initialisation et de script non marqués comme sécurisé pour l’écriture de script

• Autorisations « Lire » et « Inscription » sur le modèle de certificat

• Ne peux pas être utilisé pour les certificats machines

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application
Application pratique

Inscription de certificats via le Web

s1.corp.lan s2.corp.lan w811.corp.lan


Contrôleur de domaine Autorité de certification Client
Inscription de certificat
http://s2.corp.lan/certsrv

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Inscription de certificats via le Web
Implémentation du rôle
Configuration du navigateur
Inscription d’un certificat via le Web
L’inscription via le Web est utile lors d’inscription de certificats pour des
utilisateurs qui ne disposent pas de compte utilisateurs dans Active Directory.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Inscription de certificats
Inscription automatique

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Implémenter Efs avec Active Directory
• Inscription automatique de certificats
• Application pratique : Personnaliser le modèle Efs pour l’inscription
automatique

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Particularité pour le modèle EFS
• Le modèle Efs de base est codé en dur dans le code du système
Créer un nouveau modèle personnalisé
Paramétrer Efs par stratégie de groupe :
• Autoriser le chiffrement Efs
• Changer le modèle Efs utilisé par défaut par le modèle personnalisé
• Interdire l’utilisation de certificats auto-signé
• Ajouter le menu contextuel « Chiffrer\Déchiffrer »

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Inscription automatique
• Autorité de certification « Entreprise » et membre du groupe « admins du domaine » ou
« administrateurs de l'entreprise »
• Autorisation « Inscription automatique » à des groupes « globaux » ou « universels »
(requiert les autorisations : « Lire » et « Inscription »)
• Autorisation « Lecture » au groupe « Utilisateur authentifié »
Affichage des modèles de certificats dans AD DS
Permet à l'Autorité de certification, exécutée dans le contexte Système, d'afficher les modèles de
certificats lors de l'attribution de certificats

• Autoriser la stratégie de groupe « Client des services de certificats - Inscription


automatique », coté utilisateur et\ou coté ordinateur

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Inscription automatique
• L'inscription automatique s’exécute toutes les huit heures

• Le modèle de certificat peut spécifier une interaction utilisateur à l’inscription


(fenêtre contextuelle 1mn après ouverture de session)
• Permet aussi (par stratégie de groupe) :
Le renouvellement automatique de certificat
Le remplacement des modèles obsolètes
• Onglet modèles obsolètes du nouveau modèle

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application
Application pratique

Inscription automatique
d’un modèle de certificat « CorpEfs »

s1.corp.lan s2.corp.lan w811.corp.lan


Contrôleur de domaine Autorité de certification Client
Stratégies EFS Modèle : CorpEfs Chiffrement de fichiers

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• L’utilisation de modèles de certificat pour EFS en contexte Active
Directory
• L’inscription automatique de certificats (Efs)
L’inscription automatique fournie une gestion totalement transparente des
certificats. Aussi bien pour les utilisateurs (inscription\renouvellement de
certificats) que pour les administrateurs (renouvellement de modèle de
certificats).

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Inscription de certificats
Itinérance des certificats

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Problématique certificats\utilisateurs itinérants
• Solution : Itinérance des certificats
• Application pratique : Signature de code PowerShell

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Problème : Utilisateurs itinérants
• Problème : L’utilisateur itinérant inscrit un certificat sur chaque machine sur
laquelle il se connecte
• Implique : Plus de certificats émis, disfonctionnements (Efs), perte de certificats
lors suppression\corruption de profils utilisateur
• Solution : Activation des profils itinérants où utilisation de carte à puce

• Compatible avec Windows Server 2003 Sp3 \ Xp Sp2

• Correctif (KB 907247) pour Windows XP and Windows Server 2003 qui est une
mise à jour du schéma pour le support des informations identification itinérants

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Solution : Itinérance des certificats
• Itinérance des certificats (Credential Roaming)

• Stocke le certificat de façon centralisée dans Active Directory !!!

• Utilise les mécanismes d'ouverture de session et d'inscription automatique pour


télécharger les certificats et les clés sur un ordinateur local et\ou les supprimer
lorsque l'utilisateur se déconnecte
• Déclenché également :
Au verrouillage\déverrouillage de l'ordinateur
Au changement d’une clé privée ou d’un certificat
A l’actualisation de la stratégie de groupe

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation
• Requiert niveau de schéma forêt Windows 2008

• Activation par stratégie de groupe


Activer la stratégie
Accepter l’exclusion de ces données du profils itinérant de l’utilisateur dans la stratégie
de groupe

• Sur le modèle cocher « Enregistrer le certificat dans Active Directory »

• Désactiver le coté « ordinateur » de la stratégie

• Lier la stratégie à tous les domaines de la forêt

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Signature de code PowerShell
• Permet de n’exécuter que les scripts PowerShell signés

• Requiert un certificat basé sur le modèle « Signature de code »

• Les scripts sont signés avec le certificat

• Vérification de :
L’authentification
De l’intégrité
De la révocation

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application
Application pratique

Signature de code \ Credential Roaming

s1.corp.lan s2.corp.lan w811.corp.lan w812.corp.lan


Contrôleur de domaine Autorité de certification Client Client
Stratégie Credential Roaming Modèle : Corp_SigningCode Signature de code Signature de code

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Itinérance des certificats
Basé sur Active Directory (Stockage centralisé)
Activé par stratégies de groupe
Utilisation de certification pour la signature de code
L’itinérance des certificats permet, pour les utilisateurs itinérants, de disposer
du même certificat quelque soit l’ordinateur sur lequel ils se connectent.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Inscription de certificats
Agent d’inscription

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Qu’est ce qu’un « Agent d’inscription » de certificats?
• Implémentation d’un « Agent d’inscription »
• Application pratique : Inscription de certificats de carte à puce

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Agent d’inscription
• L'agent d'inscription peut inscrire des certificats au nom d'autres utilisateurs
(cartes à puce …)
• « Agent d’inscription restreint » sur l’autorité de certification
Quel agent d’inscription ? (Windows Server 2008 Entreprise)
Pour quels groupes d'utilisateurs ? (Windows Server 2008 Entreprise)
Pour quels modèles de certificats ? (Windows Serveur 2012)

• Ne requiert pas de droits administratifs (responsable\employé de confiance)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation : Agent d’inscription
• Créer un Nouveau modèle « d’Agent Inscription »

• Inscrire un certificat « d’Agent d’Inscription »

• Sur l’autorité de certification spécifier


Les agents d’inscription
Pour quel groupes d’utilisateurs
Pour quel types de certificats

• Inscrire les certificats (cartes à puces des utilisateurs)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application
Application pratique

Agent D’inscription (carte à puces)

s1.corp.lan s2.corp.lan s3.corp.lan


Contrôleur de domaine Autorité de certification Inscription d’un certificat « Agent d’inscription »
Modèle « Corp Agent Inscription » Inscription des certificats carte à puce utilisateur

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Agents d’inscription
Créer et inscrire un agent d’inscription
Inscription de certificat pour d’autres utilisateurs
Les agents d’inscriptions sont indispensable dans certains contexte (carte à
puce) où ils offrent alors une gestion plus simplifié et plus sécurisé des
certificats émis.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Sites Web Sécurisés
Implémentation de SSL

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Fonctionnement du protocole SSL

• Rôle des certificats avec le protocole SSL

• Application Pratique : Implémentation d’un serveur Web SSL

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Sécurisation de sites Web
Protocole Ssl (Secure Socket Layer)
• Url Https
• Port TCP : 443
• Authentification du serveur Web (Anti Fishing)
• Sécurisation des données transférées (Chiffrement symétrique)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Processus de connexion SSL
• Le serveur Web refuse les connexions en http, exige une connexion en https et renvoi son
certificat (qui contient sa clé publique)
• Le client vérifie l'authenticité du certificat du serveur (à l’aide du certificat de l’autorité de
certification)
• Le client génère une clé symétrique aléatoire

• Le client envoie la clé symétrique au serveur Web (cryptée en asymétrique avec clé
publique du certificat du serveur Web)
• Le serveur Web décrypte la clé symétrique avec sa clé privé

• Connexion sécurisée établie (cadenas dans la barre d état et Url affichée en vert)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Fonctionnement SSL
Clé Publique AC 1 1 Clé Privé AC 12345678910
Hash : ##########
AC Hash : 12345678910
Clé Publique
www.corp.lan

#
3 www.corp.lan https://www.corp.lan
www.corp.lan
#
3

s3.corp.lan w811.corp.lan
Serveur Web SSL Client
https://www.corp.lan

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique

Implémentation de sites Web SSL

s1.corp.lan s2.corp.lan s3.corp.lan w811.corp.lan


Contrôleur de domaine Autorité de certification Serveur Web SSL Client

https://ww.corp.lan

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Fonctionnement de Ssl (Certificats)

• Implémentation du protocole SSL

La sécurisation de site Web est l’une des utilisations fondamentale d’une Pki.
SSL sécurise les sites Web, mais aussi les portails applicatifs (Owa, Applications
bureau à distance, Connexion Bureau à distance…)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Sites Web Sécurisés
Nouveautés IIS 8 et 8.5

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Nouveautés IIS 8 et 8.5 Ssl\Certificats
Indication du server de nom (Server Name Indication - Sni)
Magasin de certificats centralisé (Centralized Certificate Store - Ccs)

• Application Pratique : Gestion de sites Web SSL avec Sni et Ccs

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Indication du nom du serveur
• « Indication du nom du serveur » (Server Name Indication - Sni)
permet de faire tourner plusieurs sites Web en SSL sur :
la même adresse Ip
le même port (443)

• Immédiatement disponible sous IIS 8 \ IIS 8.5

• La correspondance s’effectue sur le nom d’hôte du site

• Les liaisons ne sont plus effectuées au démarrage de IIs mais à la demande (puis
mise ne cache)
• Meilleure gestion de la mémoire et gain de performances

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation Ccs
• Magasin de certificats centralisé (Centralized Certificate Store - Ccs)
Créer un partage de fichiers (Dfs ou cluster)
• Lire pour le compte qui aura accès au certificats
Créer les certificat Ssl (exportés en .pfx, nommé avec la bonne url)
Installer CSS
• Installer le rôle IIS : « Prise en charge centralisée des certificats »
• Paramétrer l’icone « Certificats Centralisés »
• Vérifier l’utilisation du magasin de « certificats centralisé » lors de la liaison Ssl
!! Scénario de ferme de serveur

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique

Implémentation Sni\Css sur sites Web Ssl

s1.corp.lan s2.corp.lan s3.corp.lan w811.corp.lan


Contrôleur de domaine Autorité de certification Serveur Web SSL Client
https://intra.corp.lan
https://rh.corp.lan

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Nouveautés IIs 8 \ IIS 8.5
Indication du nom du serveur (Server Name Indication - Sni)
Magasin de certificats centralisés (Centralized Certificate Store)

Ces nouveautés permettent une montée en charge plus efficace (plusieurs


serveurs Web Ssl sur le même serveur IIS - Sni) et … une gestion plus simple
des clusters de sites Web Ssl (centralisation des certificats - Ccs)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Révocation de certificats
Révocation Lan

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Concept

• Raisons de révocation

• Type de listes de révocation

• Application Pratique : Révocation de certificats de site Web SSL et de


certificats de signature de code PowerShell

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Concept
• La révocation permet de rendre invalide un certificat « avant » sa date de fin de
validité et donc … d’interdire l’usage de l’applicatif ou du service associé !
• Autorisation « Emettre et gérer les certificats » pour révoquer

• Ajout du numéro de série du certificat révoqué à une « liste de révocation »

• La liste est publiée dans un emplacement centralisé accessible aux machines et


utilisateurs : Active Directory !
Publication manuelle
Publication planifiée

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Raisons de la révocation
• Non spécifié

• Clé compromise

• Autorité de certification compromise

• Modification de l’affiliation

• Certificat remplacé

• Cessation de l’opération

• Certificat retenu (annulation de la révocation possible)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Types de listes de révocation
• Liste de révocation complète (Certificate Revocation List - Crl)
Contient toutes les empreintes numériques de tous les certificats révoqués

• Liste de révocation delta (Certificate Revocation List Delta - Crl Delta)


Contient uniquement les nouvelles révocations depuis la dernière publication de liste
de révocation complète
Support depuis Windows 2000 \ Xp
Requiert la publication d’une liste de révocation complète

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Problématiques possibles …
• Désactivation ou « non supporté »
(Efs ne prends pas en charge la révocation – In design !!)
• Accès pour l’applicatif\Service à l’emplacement de publication
(Active Directory)
• Latence due à la planification

• Mise en cache locales des liste de révocation


certutil -setreg chain\ChainCacheResyncFiletime @now
(Synchronise le cache local avec la liste de publication de révocation)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique

Révocation de certificats de sites Web SSL


Liste de révocation Impossible d'afficher l'image. Votre
ordinateur manque peut-être de mémoire
pour ouv rir l'image ou l'image est
endommagée. Redémarrez l'ordinateur, puis
ouv rez à nouv eau le fichier. Si le x rouge est
Impossible
toujours affiché, v ousd'afficher l'image. Votre
dev rez peut-être
supprimerordinateur manque
l'image av ant de la peut-être
réinsérer. de mémoire
pour ouv rir l'image ou l'image est

25e58558698556845
endommagée. Redémarrez l'ordinateur, puis
ouv rez à nouv eau le fichier. Si le x rouge est
toujours affiché, v ous dev rez peut-être
supprimer l'image av ant de la réinsérer.

85956415125125122
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouv rir Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouv rir
l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouv rez à nouv eau le fichier. l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouv rez à nouv eau le fichier.
Si le x rouge est toujours affiché, v ous dev rez peut-être supprimer l'image av ant de la Si le x rouge est toujours affiché, v ous dev rez peut-être supprimer l'image av ant de la
réinsérer. réinsérer.
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouv rir
l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouv rez à nouv eau le fichier.
Si le x rouge est toujours affiché, v ous dev rez peut-être supprimer l'image av ant de la
réinsérer.

s1.corp.lan s2.corp.lan s3.corp.lan w811.corp.lan


Contrôleur de domaine Autorité de certification Serveur Web SSL Client
https://intra.corp.lan
https://rh.corp.lan

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Le processus de révocation sur le lan

• L’implémentation et le dépannage de la révocation

La révocation est une fonction clé de la gestion des certificats.


Contrairement aux certificats auto-signés, les certificats émis par une autorité de
certification sont révocables, permettant ainsi à l’administrateur un contrôle total
des applicatifs et services associés.

Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouv rir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouv rez à nouv eau
le fichier. Si le x rouge est toujours affiché, v ous dev rez peut-être supprimer l'image av ant de la réinsérer.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Révocation de certificats
Révocation Wan

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Problématique … et solution !!

• Emplacement des listes de révocations (Cdp)

• Emplacement des informations de l’autorité (Aia)

• Implémentation de nouveaux emplacements pour Internet

• Application Pratique : Validation et dépannage de la révocation depuis Internet


avec un VPN SSTP

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Problématique fréquente !!
• Le chemin d’accès à la liste de révocation n’est pas disponible !!

• Solution :
Stocker la liste de révocation sur un emplacement accessible depuis Internet
Exposer ces listes via un serveur Web (http)
Inclure les nouveau chemins d’accès aux listes de révocations dans le
certificats émis

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Emplacements des listes de révocation
• Emplacement de vérification des listes de révocation
(CDP - Crl Distribution Point)
Autorité
de certification

Serveur Web
Public

Serveur Web Partage Active


Interne de fichier Directory

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation de nouvelles URLs CDP
• Déterminer les chemins de publication des URLs Crl (Serveur Web)

• Créer les points de publication (Serveur Web)


Un dossier pour stocker les listes de révocation
Un dossier virtuel IIS pour les exposer en http

• Publier les listes de révocation

• Ajouter les nouvelles URLs aux nouveaux certificats émis


Modifier les « extensions » de l’autorité de certification pour ajouter les nouveaux
chemins de publication des Crl CDP
Tout nouveau certificat émis intégrera les nouvelles URLs

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autres informations nécessaires (AIA)
• Emplacement de vérification des autorités de certification
(AIA - Authority Information Access)
• Contient les emplacements vers lesquels les certificats de l'autorité de
certification peuvent être téléchargés si nécessaire
• Permet de remonter/valider la chaine de certification

• Certificat de vérification de la signature des listes de révocation

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Emplacements des informations de l’autorité
• Emplacement de vérification des autorités de certification
(AIA - Authority Information Access)
Autorité
de certification

Serveur Web
Public

Serveur FTP Serveur Web Partage Active


Interne Interne de fichier Directory

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation de nouvelles URLs AIA
• Déterminer les chemins de publication des URLs AIA (Serveur Web)

• Créer les points de publication (Serveur Web)


Un dossier pour stocker les listes de révocation
Un dossier virtuel IIS pour les exposer en http

• Publier les listes de révocation

• Ajouter les nouvelles url au certificats émis


Modifier les « extensions » de l’autorité de certification pour ajouter les nouveau
chemins de publication des Crl AIA
Tout nouveau certificat émis intégrera les nouvelles URLs

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Dépannage des urls CDP\AIA
• Mise en cache des listes de révocation
Certutil -setreg chain\ChainCacheResyncFiletime @now
(recharger le cache)
Certutil -urlcache CRL
(Voir les URLs des caches de listes de révocation)
Certutil -urlcache CRL delete
(Vider les caches de listes de révocation)

• Teste des URLs


Certutil –url fichier certificat.cer
Console « PKI Entreprise »

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
SSTP
• Secure Socket Tunneling Protocol (SSTP)

• Nouveau protocole VPN


Utilise le port : 443
Un certificat pour l’authentification du serveur VPN SSTP

• C’est du VPN mais c’est surtout du SSL !!!

• Permet la connexion VPN depuis toute connexion Internet


Maison
Hôtel …

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique
Implémentation d’un VPN SSTP
Serveur Web Public s1.corp.lan
Contrôleur de domaine
(CRL et AIA)
s5.corp.lan
VPN SSTP Active
Directory

w811.corp.com Partage
Client de fichier s2.corp.lan
Autorité de certification

Serveur Web Interne


(CRL et AIA)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• La validation de l’accès aux listes de révocation (CDP) depuis l’extérieur de
l’entreprise
• La validation des l’accès aux listes d’information de l’autorité (AIA) depuis
l’extérieur de l’entreprise
• L’implémentation de Vpn SSTP

La validation des liste CDP et AIA est une problématique classique qu’il faut
absolument maitriser pour une validation correcte de la validité de vos certificats.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Révocation de certificats
Serveur OCSP

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Concept

• Fonctionnement du protocole OCSP

• Implémentation et validation d’un serveur OCSP

• Application Pratique : Validation et dépannage de la révocation depuis


Internet à l’aide d’un serveur OCSP (VPN SSTP)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Concept
• OCSP – Online Certificate Status Protocol
Protocole normalisé
Première implémentation dans Windows 2008 / Vista

• Fonctionnement
Télécharge les listes de révocation depuis l’autorité de certification
Le serveur OSCP valide la révocation (réponse signée)
Le client utilise de préférence OCSP
Performances améliorées lors du contrôle de la révocation

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Fonctionnement

s1.corp.lan
Contrôleur de domaine

OCSP Active
Directory

w811.corp.com s2.corp.lan
Client Autorité de certification

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémenter un serveur OSCP
• Installer le service de rôle « Répondeur en ligne »

• Sur l’autorité de certification


Personnaliser le modèle de certificat « Signature de réponse OCSP »
Modifier l’extension AIA de l’autorité de certification

• Sur le serveur Ocsp


Créer la configuration de révocation
• Inscription automatique du certificat de signature OCSP
• Indication des « fournisseurs de révocation » (Active Directory)
• Autant d’autorité à traiter = autant de configuration de révocation

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Validation du serveur OCSP
• PKI View
Valider l’obtention du certificat de signature OCSP (Mmc certificat)
Requiert un certificat « CA Exchange » récent
• Révoquer le dernier certificat « CA Exchange »
• Certutil -caninfo xchg

• Certutil -url fichierCertificat.cer

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique
Implémentation d’un serveur OCSP
s1.corp.lan
Contrôleur de domaine

s4.corp.lan s5.corp.lan
OCSP VPN SSTP Active
Directory

w811.corp.com
Client s2.corp.lan
Autorité de certification

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Le fonctionnement du rôle OSCP

• L’implémentation et le dépannage du server OCSP

L’implémentation du protocole OCSP améliore les performances lors de


la vérification des certificats révoqués et autorise ainsi la montée en
charge de votre infrastructure PKI Windows 2012 r2

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Sécuriser une infrastructure PKI
Sauvegarde et restauration
de l’autorité de certification

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Procédure de sauvegarde

• Procédure de restauration

• Validation de la restauration

• Application pratique : Sauvegarde et restauration complète d’une


autorité de certification

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Sauvegarde de l’autorité de certification
• Sauvegarde complète du système (Sauvegarde Windows Serveur)

• Sauvegarde par la console Autorité de certification


Moins lourd et plus rapide (recommandé)
Sauvegarder la base de donnée, les clés et les journaux
• Console « Autorité de certification »
(ou CertUtil -backup « Chemin d’accès »)
• Sauvegarde des fichiers de post-configuration (commandes certutil) et du fichier
CaPolicy.inf
Support des sauvegardes « incrémentielles »

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Procédure de restauration
• Nommer l’ordinateur avec le même nom que celui de l’autorité de certification
d’origine
• Intégrer l’ordinateur au même domaine que celui de l’autorité de certification
d’origine
• Importer CAPolicy.inf dans le dossier %windir%

• Ajouter et configurer le rôle AD CS


Cocher l’option utiliser une clé privé existante
Sélectionner le certificat de l’autorité de certification originelle

• Appliquer les configurations post-installation

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application

Application pratique

Sauvegarde et restauration
d’une autorité de certification
Entreprise

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Sauvegarde et restauration de l’autorité de certification

L’autorité de certification « Entreprise » s’appuie sur l’infrastructure Active


Directory et permet une gestion automatisée des certificats

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Sécuriser une infrastructure PKI
Archivage des certificats

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Archivage des certificats

• Agent de récupération (rôle et implémentation)

• Récupération de certificats

• Application pratique : Archivage et restauration de certificats avec


l’agent de restauration

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Archivage des certificats
• Sauvegarde des certificats
Sauvegarde des certificats émis
Sauvegarde complète ( Certificat avec clé publique + Clé privé)
Gérée par l’autorité de certification
Totalement automatisée

• Restauration sécurisée
Agent de récupération
Installation par l’utilisateur

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Agent de récupération
• Certaines fonctionnalités intègrent leur agent de récupération (EFS)

• « L’agent de récupération » récupère tout certificats archivé

• Pas de droits administratifs supplémentaires requis

• Bonnes pratiques
Utilisateur\administrateur de confiance
Sauvegarde manuelle des certificats « d’agent de récupération »
Plusieurs agents de récupérations recommandés

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation
• Créer un agent de récupération
Personnaliser le modèle « Agent de récupération »
L’agent de récupération inscrit un certificat « agent de récupération »
Sauvegarder les certificats des agents de récupération

• Activer l’archivage des certificats


Associer le\les « Agent de récupération » et Autorité de certification

• Créer de nouveau modèles de certificats avec support de l’archivage


Dans le modèle : « Archiver la clé privée de chiffrement du sujet »
Inscrire les nouveaux certificats

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Récupération d’un certificat
• Récupérer le certificat archivé (Agent de récupération)
Se connecter avec « Agent de récupération »
Créer un fichier Blob (Binary Logical Object)
Convertir le fichier .Blob en fichier .pfx

• Installer le certificat archivé (compte utilisateur ou machine)


Importer le .pfx dans le magasin de certificat de l’utilisateur
Valider la récupération du certificat utilisateur

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application

Application pratique

Sauvegarde et récupération
d’un certificat archivé
avec un « Agent de récupération »

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• La mise en place de l’archivage des certificats

• La récupération d’un certificat archivé

Les services de certificats Windows Serveur 2012 offre l’archivage des


certificats émis, de façon totalement automatisée et sécurisée !

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Sécuriser une infrastructure PKI
Architectures sécurisées

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Architecture sécurisées
• Certificat des autorités de certification secondaires
• Autorité racine hors connexion
• Implémentation d’autorités de certification racine et secondaire

• Atelier pratique : Implémentation d’une architecture pki deux tiers


sécurisée (avec autorité de certification racine hors connexion)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Architecture
Organisations différentes Autorité de certification
Racine
Eclatement géographique Hors Connexion

Equilibrage de la charge
Tolérance de panne
Autorité de certification Autorité de certification
Secondaire Secondaire
Usages différentes
Sécurité renforcée

Autorité de certification Autorité de certification Autorité de certification Autorité de certification


Niveau 3 Niveau 3 Niveau 3 Niveau 3

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Certificats de autorités secondaires

Racine
• Délivrés par l’autorité parente
Clé Privé Racine
• Révocation plus facile AC

• Pas plus de trois niveaux Secondaire Secondaire

AC AC

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autorité racine hors connexion
• Système Windows
Système arrêté en fin de configuration
Windows Serveur 2012 r2 Standard
Workgroup
Machine virtuelle (recommandé pour la sauvegarde Hors connexion)

• Modifier les emplacement CDP et d'AIA (Http et\ou Ldap)

• Période de validité pour les listes de révocation de certificats

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation autorité racine autonome
• Installer et configurer le rôle « autorité de certification »

• Configurer des extensions (ldap et\ou http)

• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité


secondaire
• Délivrer un certificat pour l’autorité secondaire

• Arrêter la vm

• Mettre le fichier de la vm CorpRootCA au coffre

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation secondaire entreprise
• Installer le rôle « autorité de certification »

• Publier les listes de révocation et le certificat de l’autorité racine dans Active


Directory
• Configurer le rôle « autorité de certification »
Création du certificat de l’autorité de certification secondaire

• Faire signer le certificat de l’autorité secondaire par l’autorité racine

• Installer le certificat sur la secondaire

• Démarrer le service

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Publication des certificats et Crl dans AD
• Requiert les droits « Administrateur entreprise »

• Publier le certificat de l’autorité de certification racine dans l’Active Directory


certutil -dspublish -f « FichierCertificatCARacine.crt » RootCA

• Publier la liste de révocation de l’autorité de certification racine dans l’Active


Directory
certutil –setreg CA\DSConfigDN C=Configuration,Dc=corp,Dc=lan
certutil –dspublish -f « FichierRevocationCARacine.crl »

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique
Implémentation d’une hiérarchie
deux tiers sécurisée
Clé Privé
AC AC

Active
Directory

AC
Liste révocation
Certificat Ca Racine

s1.corp.lan s5 s2.corp.lan
Contrôleur de domaine Autorité racine autonome Autorité de certification secondaire entreprise

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• L’installation d’un architecture sécurisée de Pki
Une autorité racine autonome hors connexion
Une autorité secondaire entreprise
Publication des listes de révocation et certificats d’autorité de certification
dans Active Directory

Les hiérarchies d’autorités de certification permettent une plus grande souplesse


et montée en charge de votre Pki. La sécurité de la hiérarchie est assurée avec
l’implémentation d’une autorité racine hors connexion.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Architectures sécurisées
Autorité racine autonome
Hors connexion
(Automatisation)
Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Scénario d’implémentation d’une autorité racine autonome hors
connexion
• Chemins d’accès Cdp et Aia
• Automatisation de la modification des urls CDP \ AIA
• Automatisation de l’installation et de la configuration
• Application pratique : Installation automatisée d’une hiérarchie
d’autorités de certification sécurisée

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation autorité racine autonome
• Installer et configurer l’ordinateur de l’autorité racine

• Installer et configurer le rôle « autorité de certification »

• Configurer des extensions : Ldap et Http

• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité secondaire

• Délivrer un certificat pour l’autorité secondaire

• Arrêter la vm

• Mettre le fichier de la vm au coffre

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Automatisations
• CaPolicy.inf

• Scripts d’installation et de configuration des rôles (PowerShell)

• Scripts de modification des Urls (Certutil, PowerShell)

• Scripts de post-installation (Certutil)

• Stratégie de groupe

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
PowerShell (Installation de rôles)
• Get-WindowsFeature ADCS*

• Add-WindowsFeature (-IncludeManagementTools)
ADCS-Cert-Authority (Autorité de certification)
ADCS-Web-Enrollment (Inscription via le Web)
ADCS-Online-Cert (Serveur Ocsp)
ADCS-Enroll-Web-Pol (Sep)
ADCS-Enroll-Web-Svc (Ces)
ADSC-Device-Enrollment (Ndes)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
PowerShell (Configuration)
• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools

• Install-AdcsCertificationAuthority
-CAType StandaloneRootCA
-CACommonName « CorpRootCA »
-CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR »
–KeyLLength 4096
-HashAlgorithName SHA1
-CryptoProviderName « RSA#Microsft Software Key Storage Provider »
-DatabaseDirectory ‘’D:\CertDB’’
-LogDirectory ‘’D:\CertLog’’
-ValidityPeriod ‘’Years’’
-ValidityPeriodsUnits 20

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Variables Chemins CDP \ AIA
ldap:///CN=<NomTronquéAutoritéCertification><SuffixeNomListeRévoca
ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,
tionCertificats>,CN=<NomCourtServeur>,CN=CDP,CN=Public
CN=Services,%6%10 Key
Services,CN=Services,<ConteneurConfiguration><ClasseObjetCDP>
TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP \ AIA
%1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l’ordinateur de l’autorité de
certification
%2 <ServerShortName> <NomCourtServeur> Nom Netbios de l’ordinateur de l’autorité de
certification
%3 <CaName> <NomAutoritéCertification> Nom logique de l’autorité de certification
%4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l’autorité de
certification
%5 <Domain DN> DN (Chemin d’accès Ldap) du domaine
%6 <ConfigDN> <ConteneurConfiguration> Chemin d’accès Ldap à la partition de configuration
%7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l’autorité de certification
(32 caractères)
%8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L’extension des Crls
%9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta
%10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory

%11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Variables Chemins CDP \ AIA
C:\Windows\system32\CertSrv\CertEnroll\<NomAutoritéCertification><S
%windir%\system32\CertSrv\CertEnroll\%3%8%9.crl
uffixeNomListeRévocationCertificats><ListeRévocationCertificatsDeltaAut
orisée>.crl
TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP \ AIA
%1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l’ordinateur de l’autorité de
certification
%2 <ServerShortName> <NomCourtServeur> Nom Netbios de l’ordinateur de l’autorité de
certification
%3 <CaName> <NomAutoritéCertification> Nom logique de l’autorité de certification
%4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l’autorité de
certification
%5 <Domain DN> DN (Chemin d’accès Ldap) du domaine
%6 <ConfigDN> <ConteneurConfiguration> Chemin d’accès Ldap à la partition de configuration
%7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l’autorité de certification
(32 caractères)
%8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L’extension des Crls
%9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta
%10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory

%11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Variables CDP
Options de publications pour emplacements CDP

%1 Publier les listes de révocation des certificats à cet


emplacement
%2 Inclure dans toutes les listes de révocation des certificats.
Indique l’emplacement de destination dans Active Directory
lors des publications manuelles
%4 Inclure dans les listes de révocation des certificats afin de
pouvoir rechercher les listes de révocation des certificats
delta
%8 Inclure dans l’extension des certificats CDP émis
%64 Publier les listes de révocation des certificats delta à cet
emplacement
%128 Inclure dans l’extension IDP des listes de révocation des
certificats émises

• n2:http://crl.pki.corp.com/CertEnroll/%3
%8%9.crl
• n10:ldap:///CN=%7%8,CN=%2,CN=CD
P,CN=Public Key
Services,CN=Services,%6%10
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Variables AIA
Options de publications pour emplacements AIA
%1 Emplacement de publication
%2 Inclure dans l’extension AIA des certificats émis
%32 Inclure dans l’extension OCSP (Online Certificate Status
Protocol)

• 1:c:\inetpub\CertEnroll\%1_%3%4.crt

• n2:http://crl.pki.corp.com/CertEnroll/%1
_%3%4.crt
• n2:ldap:///CN=%7,CN=AIA,CN=Public
Key Services,CN=Services,%6%11"

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
PowerShell (Urls Cdp \ Aia)
• $crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-
CACrlDistributionPoint $crl.uri -Force}
• $aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-
CAAuthorityInformationAccess $aia.uri -Force}
• Modification d’Urls
Add-CAcrlDistributionPoint -Uri http://pki.corp.com/pki/<CaName>
<CRLNameSuffix><DeltaCRLAllowed>.crl -AddtoCertificateCDP -Force -Verbose
Add-CaAuthorityInformationAccess –Uri http://pki.corp.com/pki
<ServerDnsName>_<CaName><CertificateName>.crt -AddtocertificateAIA -Force -
Verbose

• Restart-service certsvc \ Get-CACRLDistributionPoint \ Get-


CAAuthorityInformationAccess

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Certutil (Urls Cdp \ Aia)
• Suppression manuelle des Urls existantes
(ou utilisation de scripts PowerShell)
• Certutil -setreg CA\CRLPublicationURLs
"1:%windir%\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://crl.pki.corp.com/C
ertEnroll/%3%8.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key
Services,CN=Services,%6%10"
• Net Stop Certsrv

• Net Start Certsrv

• Certutil -GetReg ca\CrlPublicationUrls

• Certutil -GetReg CA\CACertPublicationURLs

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique
Autorité de certification
racine autonome hors connexion

Modification de Urls
CDP et AIA

Liste révocation
Certificat Ca Racine

s1.corp.lan s5 s2.corp.lan
Contrôleur de domaine Autorité racine autonome Autorité de certification secondaire entreprise

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Automatisation de l’installation de l’autorité de certification racine hors
connexion
• Automatisation de modifications Urls Cdp \ Aia

• Automatisation de tâches de post-installation

• Implémentation pratique : autorité de certification racine autonome hors


connexion
L’automatisation des tâches via « CertUtil » et « PowerShell »
autorise une implémentation efficace, sure et rapide de
toutes vos infrastructures complexes de PKI.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Architectures sécurisées
Autorité de certification
secondaire entreprise
(Automatisation)
Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Scénario d’implémentation de l’autorité secondaire entreprise
• Automatisation « PowerShell » et « Certutil »
• Publication des certificats \ listes de révocation
• CaPolicy.inf
• L’installation et les tâches de post-installation
• Application pratique : Installation automatisée d’une hiérarchie
d’autorités de certification sécurisée

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation secondaire entreprise
• Installer le rôle « autorité de certification »

• Publier les listes de révocation et le certificat de l’autorité racine


(localement, Active Directory, Site Web)
• Obtenir le certificat signé pour l’autorité secondaire et démarre le service

• Publier le certificat de l’autorité de certification racine aux ordinateurs du domaine


(stratégie de groupe)
• Autres tâches …
Créer les modèles de certificats personnalisés
Activer le déploiement automatique de certificats et\ou l’itinérance de certificats
Activer l’archivage automatique

• Sauvegarder les autorités de certification

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Automatisations
• CaPolicy.inf

• Scripts d’installation et de configuration des rôles (PowerShell)

• Scripts de modification des Urls (Certutil, PowerShell)

• Scripts de post-installation (Certutil)

• Stratégie de groupe

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Publication des certificats\Liste de révocation
• Requiert les droits « Administrateur entreprise »

• Publier le certificat de l’autorité de certification racine


Certutil -dspublish -f « FichierCertificatCARacine.crt » rootca
Certutil –addstore –f root c:\s2_CorpRootCA.crt

• Publier la liste de révocation de l’autorité de certification racine dans l’Active Directory


Certutil -dspublish -f c:\CorpRootCA.crl
Certutil –addstore –f root c:\CorpRootCA.crl

• La publication Active Directory s’effectue dans le conteneur « Configuration »


(cn=configuration, dc=corp, dc=lan)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
CAPolicy.inf CorpSubEntCA
• Paramètre de configuration de l’autorité appliqués à l’installation
Déclaration des pratiques de certification
(CPS - Certification Practice Statement)
Définit les mesures prises pour sécuriser les opérations de l’autorité et la
gestion des certificats émis
Identificateur d'objet (OID - Object IDentifier)
Inscrit auprès de l’IANA (Internet Assigned Number Autority)
Associé à la CPS
Taille des clés et période de validité du certificat
Intervalles de publication des listes de révocations

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
PowerShell (Installation de rôles)
• Get-WindowsFeature ADCS*

• Add-WindowsFeature (-IncludeManagementTools)
ADCS-Cert-Authority (Autorité de certification)
ADCS-Web-Enrollment (Inscription via le Web)
ADCS-Online-Cert (Serveur Ocsp)
ADCS-Enroll-Web-Pol (Sep)
ADCS-Enroll-Web-Svc (Ces)
ADSC-Device-Enrollment (Ndes)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
PowerShell (Configuration)
• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools

• Install-AdcsCertificationAuthority
-CAType StandaloneRootCA
-CACommonName « CorpRootCA »
-CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR »
–KeyLLength 4096
-HashAlgorithName SHA1
-CryptoProviderName « RSA#Microsft Software Key Storage Provider »
-DatabaseDirectory ‘’D:\CertDB’’
-LogDirectory ‘’D:\CertLog’’
-ValidityPeriod ‘’Years’’
-ValidityPeriodsUnits 20

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Post Installation
Période de chevauchement Crl et CrlDelta
Certutil -SetReg CA\CRLOverlapPeriodUnits 24
Certutil -SetReg CA\CRLOverlapPeriod "Hours"

Activation de l’audit
Certutil -SetReg CA\AuditFilter 127

• Net Stop Certsvc

• Net Start Certsvc

• Certutil -Crl

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique
Implémentation d’une hiérarchie
deux tiers sécurisée
Clé Privé
AC AC

Active
Directory

AC
Liste révocation
Serveur Web
Certificat Ca Racine

s1.corp.lan s5 s2.corp.lan
Contrôleur de domaine Autorité racine autonome Autorité de certification secondaire entreprise

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Automatisation de l’installation de l’autorité secondaire entreprise

• Automatisation de modifications Urls Cdp \ Aia

• Automatisation de tâches de post-installation

• Implémentation pratique complète

L’automatisation des tâches via « CertUtil » et « PowerShell »


autorise une implémentation efficace, sure et rapide de
toutes vos infrastructures complexes de PKI.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autres Rôles PKI
Certificate Enrollment Web
Services (Cep\Ces)

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Concept

• Fonctionnement

• Scénarios d’utilisation

• Paramétrages

• Mode « Renouvellement seul »

• Atelier pratique : Implémentation et validation de Cep\Ces

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Concept
• Inscription et renouvellement de certificats clients en Https

• Certificate Enrollment Policy Web Service (Cep)

• Certificate Enrollment Web Service (Ces)

• Cep\Ces Open document (client ouvert)

• Inscription par mot de passe

• Renouvellement avec authentification sur la base du certificat inscrit

• Mode « renouvellement seul »

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Fonctionnement
• Avec des ordinateurs « membres du domaine » : Ldap, Kerberos et Rpc\Dcom

• Ordinateurs non membres du domaine et\ou pas d’accès à travers le pare-feu

• Flux en Https
CEP - Certificate Enrollment Policy Web Service (Ldap)
CES - Certificate Enrollment Web Service (Rpc \ Dcom)

• Les deux services Cep and Ces (peuvent être sur le même pc)

• Inscription par le web est interactive (construction de requêtes spécifiques).


Cep\ces fournit l’inscription et le renouvellement automatique de certificats
• Paramétrage client par stratégie locale
(Windows 7\Windows 2008 r2 et supérieur)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Fonctionnement
CEP Active
Certificate Enrollment Policy Web Service Directory

Ldap
Client
Workgroup ou Domaine

CES Autorité
Certificate Enrollment Web Service de certification
Uniquement en HttpS

Rpc \ Dcom

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Scénarios d’utilisation
• Consolidation de forêt avec connexion Https sur une seule autorité de
certification dans la forêt
Authentification Kerberos
Délégation

• Dans le même domaine ou en Workgroup mais hors entreprise


(ne peuvent communiquer qu’en HttpS avec Cep \ Ces en Dm)
• Direct Access
Certificats obtenus lors du processus de boot
• Ordinateurs en Workgroup

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Pares-feu
• Paramétrage du pare-feu
Https (Tcp 443) et Ldap (Tcp 389 \ 636)
(Cep)
Plage de ports Dcom aléatoires et éphémères
Plage de port configurable
(Ces)
Le(s) ordinateur(s) qui hébergent les services Cep\Ces doit être membre du
domaine de l’autorité de certification

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Comptes de service
• Compte « Application Pool ID » (à l’installation)

• Compte de domaine (pas de compte locaux supportés) ou Compte de


service géré
Membre du groupe IIS local « IIS_IUSRS »
Autorisation « Demander des certificats » sur l’autorité de certification
Délégation requise si authentification par « Kerberos » ou « Certificats »
Spn requis
setspn -s https/ces.pki.corp.com corp\ces_svc

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
CEP \CES Authentification
• Intranet (Scénarios même forêt \ Consolidation de forêts)
Authentification Windows intégrée pour usage sur le réseau interne

• Internet (Workgroup \ Https uniquement)


Certificat ! plus sécurisé
(mécanisme supplémentaire pour acquérir ce certificat)
Nom + mot de passe (première inscription)
Pas de d’accès anonymes

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cep \ Ces Délégation
• Requise (toutes les conditions remplies)
L’autorité n’est pas sur le même serveur que le service
Ces effectue le processus d’inscription
L’authentification est de type : « Certificat » ou « Kerberos »

• Non requise
L’autorité est sur le même serveur que le service
L’authentification est de type : « Nom\Mot de passe »
Ces est en mode « renouvellement seul »

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
CES \ CES
• Schéma Active Directory 2008 r2 minimum

• Autorité de certification Entreprise pour 2008 r2

• Serveurs Cep\Ces membres du domaine

• Client Windows 7 \ Windows 2008 r2 et supérieur

• Requiert un certificat pour Https

• Administrateur de l’entreprise pour l’installation

• Cohabite avec tous les services de rôles AD CS

• Plusieurs urls publiables pour la tolérance de panne (pas de Nlb)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémentation
• Obtenir un certificat Ssl

• Ajouter et configurer les rôles

• Personnaliser IIS (Compte de service, Friendly Name, Urls)

• Paramétrer le client par stratégies de groupe locales


Url(s) Cep et\ou renouvellement automatique

• Tester l’obtention d’un certificat

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Mode renouvellement seul
• L’inscription avec identité de l’utilisateur augmente les chances
d’attaque depuis Internet donc …
• Mode « Renouvellement seulement »
Le renouvellement se fait sur la base de la confiance au premier certificat
Le certificat est renouvelé sur la base de ses informations
Pas « d’impersonnalisation » de l’utilisateur ((impersonation : « Agir en tant que »)
Implique de posséder un premier certificat (délivré en contexte sécurisé)
Plus sûr

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique
Implémentation Cep\Ces
s1.corp.lan
Contrôleur de domaine

Stratégies Locales Requête Modèles de certificats Cep\Ces


Url Cep Active
Requête certificat Directory

Uniquement HttpS s3.corp.lan


w811
Client en workgroup s2.corp.lan
Autorité de certification

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Le concept et les scénarios d’usage de Cep\Ces

• Les paramètres d’implémentation


Délégation
Compte de service
Infrastructure (pare-feu, protocoles)

• Application pratique d’implémentation de Cep\Ces

Cep\Ces offre une inscription et un renouvellement


automatique et sécurisé de certificats pour les ordinateurs
en Workgroup ou les ordinateurs en domaine
mais disposant d’une connexion en https uniquement.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Autres Rôles Pki
Network Device Enrollment
Service (Ndes)

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Concepts
• Authentification des périphériques
• Fonctionnement de Ndes
• Post-installation de l’autorité d’inscription
• Compte de service « Ndes »
• Gestion des mots de passes des périphériques
• Procédure d’implémentation
• Application pratique : Implémentation de Ndes

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Concepts
• Service d’inscription de périphériques réseau (Network Device
Enrollment Service)
• Implémentation Microsoft du protocole SCEP (Simple Certificate
Enrollment Protocol) développé par Cisco et Microsoft
• Améliore la sécurité de la communication avec le périphérique
(802.1x requiert des certificats installés sur des commutateurs et des
points d'accès, Secure Shell (SSH), Ipsec …)
• Inscription et renouvellement de certificats pour des périphériques
Sans comptes Active Directory
Protocole léger (peu de mémoire)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Authentification des périphériques
• Authentification par un mot de passe
L’administrateur NDES requiert un mot de passe pour le périphérique
L’administrateur du périphérique installe\utilise le mot de passe sur le
périphérique pour son authentification

• Le périphérique est approuvé puisqu’il dispose du mot de passe de


l’administrateur NDES qui lui-même est approuvé par l’autorité de
certification
• L’administrateur NDES agit comme un agent d’inscription pour le
périphérique

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Fonctionnement Ndes
Contrôleur de domaine
x2?q21xu

x2?q21xu

Network Device Autorité de certification


x2?q21xu Enrollment Services

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Post-installation de l’autorité d’inscription
• Compte d'utilisateur dédié au service ou compte de service réseau

• Certificat SSL pour la sécurisation de la page Web des « mots de passe


des périphériques »
• Taille des clés de signature et de chiffrement employées pour signer et
chiffrer la communication entre l'autorité de certification et l'autorité
d'inscription
• Créer un modèle de certificat personnalisé pour les certificats émis aux
périphériques
La longueur des clés des certificats émis aux périphériques
La durée de vie de ces certificats

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Compte de service Ndes
• Compte de domaine et membre du groupe « IIS_IUSRS » local du
serveur Ndes
• Autorisation « Demander des certificats » sur l’autorité de certification

• Autorisation «Lecture » et « Inscrire » sur le modèle de certificats utilisé


pour délivrer des certificats aux périphériques
• Sur le pool applicatif « SCEP »
Paramètres avancés\Charger le profil utilisateur (True)
(Utilisation d’un mot de passe unique …)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Gestion du mot de passe
• HkeyLocalMachine\Software\Microsoft\Cryptography\Mscep
EnforcePassword (Activation\Désactivation du mot de passe)
PasswordValidity (60 minutes)
PasswordMax (5 par défaut)
PasswordLength (8 caractères par défaut)
UseSinglePassword (Mot de passe unique pour tous les périphériques)
Modèles de certificats utilisés pour les périphériques

• Redémarer Iis (iisreset)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Procédure d’implémentation
• Créer le compte Utilisateur Ndes (compte de service Ndes)

• Créer un modèle de certificat personnalisé pour les périphériques


réseau
• Installer le rôle « Services d’inscription de périphériques réseau »
Créer et inscrit deux nouveaux modèles pour la signature\chiffrement des
demandes de certificat auprès de l’autorité

• Active le modèle de certificat personnalisé pour les périphérique

• Générer les mots de passe pour les périphériques


https://NomDnsServeurNdes/certsrv/mscep_admin

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Application Pratique

Implémentation Ndes et gestion des mots


de passes de périphériques

s1.corp.lan s2.corp.lan s3.corp.lan


Contrôleur de domaine Autorité de certification Autorité d’enregistrement (Ndes)

Active
Directory

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Concept du protocole scep

• Fonctionnement et l’implémentation de Ndes

• Gestion des mots de passe des périphériques

• Application pratique : Implémentation et gestion des mots de passe


Ndes
Ndes offre la possibilité d’inscrire et renouveler des certificats
pour des périphériques réseaux supportant le protocole SCEP
auprès d’une autorité de certification Microsoft.

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Implémenter une PKI
avec ADCS 2012 r2
Conclusion

Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Ce qu’on a couvert
• Un tour d’horizon complet des Pki \ Services de certificats sous
Windows 2012 r2
Cryptographie
Autorité entreprise
Les architectures sécurisées
L’automatisation
Tous les rôles ADCS (Ocsp, Cep\Ces, Ndes …)

Une expérience … pratique !!


Avec de nombreux ateliers concrets
(Efs, Vpn, Signature de code …)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Références
• Microsoft (Web)
http://technet.microsoft.com/en-us/windowsserver/dd448615
http://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-
enrollment-web-services-in-active-directory-certificate-services.aspx
https://social.technet.microsoft.com/Forums/windowsserver/en-
US/home?searchTerm=pki

• Livre
Windows Server 2008 PKI and Certificate Security (Brian Komar)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cartes à puces \ Token Usb

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Cartes à puces \ Token Usb

Mme Typhaine VANNIER


typhaine.vannier@cardelya.fr
Http://www.cardelya.fr

Http://www.scardshop.com/boutique/liste_rayons.cfm

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Une question ??
• IZZO Patrick

• Travailleur indépendant après salariat en SSII

• Formateur technique Windows serveur 2012 R2

• MCP, MCSA 2008 R2, MCSA 2012 R2

• Mes références : patrick.izzo@orange.fr

LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458
Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo
Alphorm http://www.alphorm.com/auteur/patrick-izzo
Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx
(Login : 692101 password : 58964781)

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Merci !!!

A bientôt sur …

Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©

Vous aimerez peut-être aussi