Formation - Admin Securite - Implementer Une PKI Avec ADCS 2012 R2

Implémenter une PKI avec
ADCS 2012 R2
Titre de vidéo
Présentation de la formation
Patrick IZZO
Formateur Technique Indépendant
Site : http://www.alphorm.com Solutions Microsoft
Blog : http://www.alphorm.com/blog Certifications : MCT, MCSE 2008, MCSA 2012
Forum : http://www.alphorm.com/forum Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
Plan
• Présentation du formateur
• Pourquoi une session sur les Pki 2012 R2?
• Publics concernés et prérequis
• Le plan de formation
• Les ateliers pratiques
• Architecture de base des ateliers pratiques
Le formateur
• IZZO Patrick
• Travailleur indépendant après salariat en SSII
• Formateur technique Windows serveur 2012 r2
• MCP, MCST, MCSA 2008 r2, MCSA 2012 r2
• MCT (1997 - 2014) patrick.izzo@orange.fr

• Mes références :
LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458
Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo
Alphorm http://www.alphorm.com/auteur/patrick-izzo
Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx
(Login : 692101 password : 58964781)
Pourquoi une formation PKI 2012 R2?
• Pki (Public Key Infrastructure
Environnement sécurisé de gestion et d’utilisation de certificats
La base de toute sécurité d’entreprise !!
• Des concepts nouveaux
• Une implémentation multi-composantes
• Richesse de fonctionnalités
• Gain de temps
• Aide au passage des certifications Microsoft (70-412)
Publics concernés
• Techniciens de support
• Administrateurs, ingénieurs systèmes
• Architecture informatique
• Spécialiste en sécurité
• Spécialiste en Pki d’entreprise
• Passage des certifications Microsoft (70-412)
Connaissances requises
• Connaissances de base sur la gestion des systèmes d’exploitation
Windows
• Connaissances de base sur les réseaux
• Connaissances sur l’Active Directory
• Pas de prérequis sur la cryptographie (couvert par la session)
Le plan de formation
1. Présentation 5. Sites Web sécurisés
Implémentation de Ssl
2. Cryptographie Nouveautés IIS 8 et IIS 8,5
Type de chiffrement
Certificats, Clés publiques\privés 6. Révocation de certificats
Révocation Lan
3. Autorité de certification Entreprise Révocation Wan
Présentation d’une autorité de certification Serveur OCSP
Installation d’une autorité de certification
7. Sécurisation d'une infrastructure de clé publiques
4. Inscription de certificats Sauvegarde et restauration
Modèles de certificats Archivage des certificats
Inscription manuelle Architectures sécurisées
Inscription via le Web Installations automatisées autorité racine
Inscription automatique Installations automatisées autorité secondaire
Itinérance des certificats
Agent d'inscription 8. Autres rôles Pki
Certificate Enrollment Web Services (Cep\Ces)
Network Device Enrollment Service (Ndes)
9. Conclusion
Ateliers pratiques
• Exemples d’ateliers …
Cryptage de fichiers Efs\Agent de récupération (Domaine \ Workgroup)
Cartes à puce\Agent de récupération
Vpn SSTP
Signature de code PowerShell
Sites Web Sécurisés …
• Architecture des ateliers

Machines virtuelles (Hyper-V 3)
Liens des ressources logicielles
• Source Windows 8.1 (version Entreprise)
http://technet.microsoft.com/fr-fr/windows/hh771457.aspx
• Source Windows 2012 Server

http://technet.microsoft.com/fr-fr/evalcenter/hh670538.aspx
Applications Pratique
Architecture domaine : Corp.lan
s1.corp.lan
Active
Directory
10.0.0.1
w811.corp.com s4.corp.lan s5.corp.lan

s2.corp.lan
80.0.0.11 10.0.0.4 10.0.0.5
Autorité de certification
10.0.0.2
Ce qu’on a couvert
• Présentation dur formateur
• Pourquoi les une session sur les Pki 2012 r2 ?
• Les prérequis de la formation
• Le contenu (plan et ateliers pratiques)
C’est parti !!
Cryptographie
Introduction au PKI
et à la Cryptographie
Patrick IZZO
Plan
• Rôle des PKI
• Utilisation des PKI
• Composantes de PKI
• Technologies de Cryptographie
• Cryptage Symétrique\Asymétrique
• Certificats
La partie de l'image av ec l'ID de relation rId3 n'a pas été trouv é dans le fichier.
• Application : Chiffrement de fichiers (EFS)
Rôle des PKI
• Pki (Public Key Infrastructure ou Infrastructure de clé publique)
Technologies de cryptographie pour la sécurisation de votre environnement
informatique
Utilisé pour :
• Confidentialité (Chiffrement)
• Authentification (Utilisateur, Ordinateur)
• Intégrité (Données non modifiées)
Exemples d’utilisation des PKI
• Fichiers (Efs, Bitlocker)
• Pilotes, ActiveX, Macros, Scripts PowerShell
• Site Web (Ssl)
• Connexions réseau (Vpn, Wifi…)
• Sécurisation de trafic réseau (IpSec…)
• Authentification Forte (Cartes à puce)
• Mails
•…
Composantes d’une architecture de PKI
• Cryptographie
Algorithmes mathématiques
Certificats
• Autorités de certifications (Gestion des certificats)
Cryptage symétrique
• Algorithme mathématique + Clé (élément variable de l’algorithme)
Algorithmes mathématiques : Des, 3Des ou Aes …
Une seule clé (128, 256 bits)
• La clé symétrique doit être transmise à l’aide de moyen de

communication sécurisé
Décaler de : 3 Décaler de : 3
Eonjour
Erqmour
Erqmrxu
Erqmrur
Erqmrxr
Bonjour
Erqjour
Ernjour Bonjour
Erqmour
Erqmrxu
Erqmrur
Erqmrxr
Eonjour
Ernjour
Erqjour
Bob
Composantes Cryptage asymétrique
• Certificat
Bob
Utilisation des clés, propriétaire, durée de vie…)

Clé publique Clé Publique
de Bob
• Clé Privé
Stocké dans un emplacement protégé sur l’ordinateur
Lien mathématique de 1 à un entre la clé privé et la clé publique
Clé Publique Clé Privée
1 1
de Bob de Bob
Bob
Cryptage asymétrique
• Certificat avec Clé publique + Clé Privé
Je chiffrer avec la « Clé publique » de Bob
Bob déchiffrer avec sa « clé privée »
de Bob de Bob
Bob
1 1
Bonjour
Erqmrxu! Bonjour
Bob
Comparatif types de cryptage ?
• Cryptage symétrique
Plus rapide, une seule clé de petite taille (128, 256 bits)
Requiert une communication déjà sécurisée pour l’échange de la clé
• Cryptage Asymétrique
Plus lent (100 fois ou plus …), deux clés (Publique\Privé + un certificat)
Taille des clés plus importante (1024, 2048, 4096 bits)
Totalement sécurisé
• Lequel utiliser ??
Combinaison Symétrique \ Asymétrique
• On utilisera toujours une combinaison de cryptage Symétrique \
Asymétrique !!!
• Chiffrement du contenu : Symétrique
Plus rapide
• Protection de la clé : Asymétrique

Totalement sécurisé
Le chiffrement asymétrique sécurise la clé symétrique !!!
Combinaison Symétrique\Asymétrique
• Chiffrement avec un clé symétrique
• Protection de la clé symétrique en Asymétrique

Lien mathématique de 1 à un entre la clé privé et la clé publique
1 1
de Bob de Bob
La partie de l'image av ec l'ID de relation rId3 n'a pas été
trouv é dans le fichier.
Bob
3
# 3
Erqmrxu!
Bonjour Bonjour
Bob
Cryptage EFS
• Encryption File System
• Chiffrement de fichiers ou de dossiers
• Rapide, performant (intégré au noyau Ntfs)
• Combine cryptage symétrique et asymétrique
• Transparent
• Les fichiers cryptés apparaissent en vert
Fonctionnement du chiffrement EFS
• L’utilisateur demande à crypter son document
• Le système génère une clé aléatoire Bob
symétrique dans l’entête du fichier #

3
• Le document est crypté à l’aide

de la clé symétrique
• La clé symétrique est crypté en asymétrique avec
ëH3ÿ
Ceci est
32öunë!
la clé publique de l’utilisateur
I‹ÉÿÅH‹È
document
H‹øÿÅH‹ÏŠð
confidentiel
Déchiffrement EFS
• Fonctionnement du déchiffrement EFS Clé Privée
de Bob
L’utilisateur ouvre le document Bob
#
3
Le système récupère la clé privé
de l’utilisateur
le système déchiffre la clé symétrique
à l’aide de la clé privé de l’utilisateur
Le système déchiffre le document à l’aide ëH3ÿ 32ö
Ceci est unë!
de la clé de chiffrement symétrique I‹ÉÿÅH‹È
document
confidentiel
Application
Application pratique
Chiffrement de fichiers EFS
• Le fonctionnement de la cryptographie
Combinaison de cryptage Symétrique et Asymétrique
Les composantes d’un certificat
Le rôle des clés, publique et privée, associées
Application avec le cryptage de fichier (Efs)
Une bonne compréhension des notions essentielles de cryptographie

permet une implémentation efficace de votre infrastructure de PKI
Cryptographie
Partage de fichiers
cryptés
Patrick IZZO
Plan
• Partage de fichiers cryptés
• Application : Partage de fichiers cryptés Efs
Partage de fichiers cryptés EFS
• L’utilisateur U1 souhaite partager son fichier crypté avec u2 et u3…
Sans communiquer sa clé privée !!!
• Fonctionnement :
Chaque utilisateur pour qui l’on partage le fichier disposera de sa copie de
l’entête comprenant la clé symétrique qu’il chiffrera, ou déchiffrera, avec ses
clés publique\privé !
Il y aura autant d’entêtes dupliqués que d’utilisateurs avec qui l’on partagera
le fichier
Partage d’un fichier chiffré - Entêtes
• Le système décrypte la clé symétrique Clé Privée
à l’aide de la clé privé de Bob de Bob
Bob
• Le système duplique un nouvel 3

#
entête pour l’utilisateur « U2 » U2
#
• La clé symétrique du nouvel entête
est chiffré en asymétrique à l’aide
de la clé publique de l’utilisateur « U2 »
ëH3ÿ 32ö ë!
• Il y aura autant d’entête que d’utilisateurs I‹ÉÿÅH‹È
avec qui l’on partagera le fichier … H‹øÿÅH‹ÏŠð
Partage d’un fichier chiffré - Lecture
• L’utilisateur « U2 » n’accède pas à l’entête
de l’utilisateur (Bob)
Clé Privée
• L’utilisateur « U2 » accède à de U2
3
#
son entête U2
3
#
• Il décrypte la clé symétrique à l’aide
de sa clé privé d’utilisateur « U2 »
• Il déchiffre le document à l’aide Ceci
ëH3ÿest
32ö
unë!
de la clé symétrique déchiffrée document
I‹ÉÿÅH‹È
confidentiel
Application
Partage de fichiers EFS
Partage de fichiers cryptés Efs

Cryptographie
Agents de récupération
EFS
Patrick IZZO
Plan
• Agents de récupération Efs
• Application : Agent de récupération Efs
Agents de récupération EFS
• L’agent de récupération accède à tout les fichiers cryptés !!!
Sans communiquer les clés privées des utilisateurs à l’agent de
récupération
• Le principe est la même que pour le partage de fichiers cryptés
Chaque « agent de récupération » dispose d’une copie de l’entête
comprenant la clé symétrique qu’il chiffre ou déchiffre avec ses clés
publique\privé !
Il y aura autant d’entêtes dupliqués que d’ « agents de récupération »
déclarés sur l’ordinateur
Agents de récupération - Entête
• Le système décrypte la clé symétrique Clé Privée
à l’aide de la clé privé de Bob de Bob
Bob
• Le système duplique un nouvel 3

#
entête pour l’agent de récupération AR1
#
• La clé symétrique du nouvel entête
est chiffré en asymétrique à l’aide
de la clé publique de l’agent de récupération
ëH3ÿ 32ö ë!
I‹ÉÿÅH‹È
Agents de récupération - Déchiffrement EFS
• L’agent de récupération n’accède pas à l’entête
de l’utilisateur (Bob)
Clé Privée
• L’agent de récupération accède à de AR1
3
#
son entête AR1
3
#
• Il décrypte la clé symétrique à l’aide
de sa clé privé d’agent de récupération
• Il déchiffre le document à l’aide Ceci
ëH3ÿest
32ö
unë!
de la clé symétrique déchiffrée document
I‹ÉÿÅH‹È
confidentiel
Application
Agent de récupération EFS
Agent de récupération Efs

Autorité de certification Entreprise
Présentation d’une autorité
de certification
Patrick IZZO
Plan
• Rôle de l’autorité de certification
• Authentification et intégrité des certificats
• Type d’autorité de certification
Rôle de l’autorité de certification
• Autorité de certification (Certification Authority – CA)
• Gestion des certificats

Délivrer des modèles personnalisés de certificats
(Utilisateur, Ordinateurs, Services)
Archiver
Révoquer
• Signature de certificats
Authentification
Intégrité
Authentification des certificats - Signature
Clé Publique AC Clé Privé

1 1
AC
AC
Autorité de Clé Publique

1 1
Clé Privé
Bob Bob
certification
Bob
Authentification des certificats - Intégrité
• Algorithme mathématique de Hash Clé Publique
Bob
Md5 (plus rapide) Bob
Sha (plus sécurisé)

Signature
• Calculé à la création CorpCA
• Validé à chaque utilisation du certificat
Hash : 12345678910
Hash : 12345678910
Authentification\Integrité des certificats
Clé Publique AC Clé Privé
1 1
AC
AC
Clé Publique Clé Privé

Bob
1 1 Bob
Autorité de Bob
certification
Signature
CorpCA
Hash:: 12345678910
Hash ##########
12345678910
Hash : 12345678910
Application
Calcul de valeurs de Hash
Type d’Autorité de certification
Autonome Entreprise
Ne requiert pas Active Directory Requiert Active Directory
Ne requiert pas que le serveur « Autorité de Le serveur « Autorité de certification » doit être
certification » soit membre du domaine membre du domaine
Demande de certificats exclusivement par navigateur Approbation automatique des requêtes de

Internet certificats
Les utilisateurs fournissent des informations Demande de certificats

d’identifications Navigateur Web
Manuelle (Mmc composant certificat)
Demandes en attentes jusqu’à approbation manuelle Automatique (Stratégies de groupe)
Agent d’inscription
Modèles de certificat non personnalisables
Modèles de certificat personnalisables
Pour un usage interne et externe (Internet)
Pour un usage interne à l’entreprise
• Rôle de l’autorité de certification
• Authentification et intégrité des certificats
• Type d’autorité de certification
Autorité de certification Entreprise
Installation d’une autorité
de certification
Patrick IZZO
Plan
• Considération pré-installation
• CAPolicy.inf
• Post installation
• Installation
• Inscription de certificats
Considération pré-installation
• Installation complète ou minimale (Serveur Core) de Windows
• Appartenance au domaine et nom d'ordinateur non modifiable après le

déploiement d'une autorité de certification (quelque soit le type)
• Le choix du fournisseur de service de chiffrement cryptographique
Compatible avec les applications, services
Nom avec un caractère # : Fournisseur (CNG Cryptography Next Generation)
• Valeur de la clé (2048 minimum recommandé)
• Durée de vie du certificat de l’autorité
CAPolicy.inf
Paramètre de configuration de l’autorité appliqués à l’installation et
lors du renouvellement du certificat de l’autorité de certification
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriodUnits=20
RenewalValidityPeriod=years
Doit être placé dans le dossier %windir%
Post installation
• Appliquer les paramètres de fonctionnement (certUtil)
certutil -setreg CA\CRLPeriodUnits 3
certutil -setreg CA\CRLPeriod "Days"
certutil -setreg CA\AuditFilter 127
• Publier une liste de révocation
• Personnalisation de modèles de certificats
• Tester l’inscription d’un certificat (Mmc : Certificats)
• Sauvegarder l’autorité de certification
Application
Implémentation d’une autorité

de certification racine entreprise
s1.corp.lan s2.corp.lan w811.corp.lan

Contrôleur de domaine Autorité de certification Client
• Considération pré-installation
• CAPolicy.inf
• Post installation
• Installation
• Inscription de certificats
Inscription de certificats
Modèles de certificats
Patrick IZZO
Plan
• Qu’est ce qu’un modèle de certificat
• Les versions des modèles de certificat
• Application pratique : Personnaliser un modèle de certificat et l’inscrire
Qu’est ce qu’un modèle de certificat ?
• Il définit les propriétés des certificats émis
La durée de validité
Le\les rôles
Qui peut inscrire le certificats
Méthode d’inscription
…Partition Configuration
• Il est stocké dans l’Active Directory ()
• Il est répliqué sur toutes les autorités de certifications de la forêt
Versions des modèles de certificat
• Systèmes d’exploitation et versions
Windows 2000 Server : Version 1
Windows Server 2003 Enterprise : Version 1 et 2
Windows Server 2008 Enterprise Edition : Version 1, 2 et 3
Windows Server 2012 : Versions 1, 2, 3 et 4
• Prise en charge des modèles de certificats

Avant Windows Server 2008 R2, uniquement avec les éditions Entreprise
Windows Server 2008 R2 \2012 et 2012 r2 aussi avec les éditions Standard
Versions des modèles de certificats
• Version 1
Compatibles toutes versions d’autorités de certifications Microsoft
Non modifiables
• Version 2
Obtenu par duplication d’une version 1 et personnalisables
• Version 3
Prends en charge CNG (Cryptography Next Generation) et Algorithmes Cryptographie
Suite B)
Nouveau modèle « signature de réponse OCSP »
Versions des modèles de certificat
• Version 4 \ Windows Serveur 2012 et Windows 8
l'onglet Compatibilité : Liste les fonctions non disponibles en fonction du
système client et de l’autorité de certification
Prise en charge de plus de CSP
Prise en charge du renouvellement avec une même clé
• Mise à niveau des modèles après mise à niveau de l’autorité de

certification vers 2012 \ 2012 r2 (oui à l’invite de mise à jour des
modèles)
Application
Création et inscription
d’un modèle de certificat personnalisé

Modèle : CorpUser Inscription du certificat
• Les modèles de certificats
Créer et personnaliser
Gestion des versions
Inscription d’un certificat basé sur les nouveaux modèles
La création de nouveaux modèles personnalisés permet le contrôle
des certificats inscrits ainsi que de leurs propriétés.
Inscription via le Web
Patrick IZZO
Plan
• Qu’est ce que l’inscription via le Web
• Configuration requise pour le navigateur Web
• Application pratique : Inscription d’un modèle personnalisé via le Web
Inscription via le Web
• Demande de certificat avancée ou si l'inscription automatique ne peut pas être utilisée
• Inscription manuelle au travers d’un site Web
• Rôle « Inscription de l’autorité de certification via le Web »

Ajout d’un serveur Web IIS
Ajout de page Web pour la demande de certificats
• Utiliser l’url « http(s)://nom serveur/certsrv »
Configuration du navigateur Web
• Requiert un certificat Ssl pour un accès en Https
• Accès en http pour l’intranet

Ajouté au « Sites de confiance » ou au site « Intranet local »
• Personnaliser le niveau …
- Connexion automatique uniquement dans la zone intranet
- Contrôles d’initialisation et de script non marqués comme sécurisé pour l’écriture de script
• Autorisations « Lire » et « Inscription » sur le modèle de certificat
• Ne peux pas être utilisé pour les certificats machines
Application
Inscription de certificats via le Web

Inscription de certificat
http://s2.corp.lan/certsrv
• Inscription de certificats via le Web
Implémentation du rôle
Configuration du navigateur
Inscription d’un certificat via le Web
L’inscription via le Web est utile lors d’inscription de certificats pour des
utilisateurs qui ne disposent pas de compte utilisateurs dans Active Directory.
Inscription automatique
Patrick IZZO
Plan
• Implémenter Efs avec Active Directory
• Inscription automatique de certificats
• Application pratique : Personnaliser le modèle Efs pour l’inscription
automatique
Particularité pour le modèle EFS
• Le modèle Efs de base est codé en dur dans le code du système
Créer un nouveau modèle personnalisé
Paramétrer Efs par stratégie de groupe :
• Autoriser le chiffrement Efs
• Changer le modèle Efs utilisé par défaut par le modèle personnalisé
• Interdire l’utilisation de certificats auto-signé
• Ajouter le menu contextuel « Chiffrer\Déchiffrer »
• Autorité de certification « Entreprise » et membre du groupe « admins du domaine » ou
« administrateurs de l'entreprise »
• Autorisation « Inscription automatique » à des groupes « globaux » ou « universels »
(requiert les autorisations : « Lire » et « Inscription »)
• Autorisation « Lecture » au groupe « Utilisateur authentifié »
Affichage des modèles de certificats dans AD DS
Permet à l'Autorité de certification, exécutée dans le contexte Système, d'afficher les modèles de
certificats lors de l'attribution de certificats
• Autoriser la stratégie de groupe « Client des services de certificats - Inscription

automatique », coté utilisateur et\ou coté ordinateur
• L'inscription automatique s’exécute toutes les huit heures
• Le modèle de certificat peut spécifier une interaction utilisateur à l’inscription

(fenêtre contextuelle 1mn après ouverture de session)
• Permet aussi (par stratégie de groupe) :
Le renouvellement automatique de certificat
Le remplacement des modèles obsolètes
• Onglet modèles obsolètes du nouveau modèle
Application
d’un modèle de certificat « CorpEfs »

Stratégies EFS Modèle : CorpEfs Chiffrement de fichiers
• L’utilisation de modèles de certificat pour EFS en contexte Active
Directory
• L’inscription automatique de certificats (Efs)
L’inscription automatique fournie une gestion totalement transparente des
certificats. Aussi bien pour les utilisateurs (inscription\renouvellement de
certificats) que pour les administrateurs (renouvellement de modèle de
certificats).
Itinérance des certificats
Patrick IZZO
Plan
• Problématique certificats\utilisateurs itinérants
• Solution : Itinérance des certificats
• Application pratique : Signature de code PowerShell
Problème : Utilisateurs itinérants
• Problème : L’utilisateur itinérant inscrit un certificat sur chaque machine sur
laquelle il se connecte
• Implique : Plus de certificats émis, disfonctionnements (Efs), perte de certificats
lors suppression\corruption de profils utilisateur
• Solution : Activation des profils itinérants où utilisation de carte à puce
• Compatible avec Windows Server 2003 Sp3 \ Xp Sp2
• Correctif (KB 907247) pour Windows XP and Windows Server 2003 qui est une
mise à jour du schéma pour le support des informations identification itinérants
Solution : Itinérance des certificats
• Itinérance des certificats (Credential Roaming)
• Stocke le certificat de façon centralisée dans Active Directory !!!
• Utilise les mécanismes d'ouverture de session et d'inscription automatique pour

télécharger les certificats et les clés sur un ordinateur local et\ou les supprimer
lorsque l'utilisateur se déconnecte
• Déclenché également :
Au verrouillage\déverrouillage de l'ordinateur
Au changement d’une clé privée ou d’un certificat
A l’actualisation de la stratégie de groupe
Implémentation
• Requiert niveau de schéma forêt Windows 2008
• Activation par stratégie de groupe

Activer la stratégie
Accepter l’exclusion de ces données du profils itinérant de l’utilisateur dans la stratégie
de groupe
• Sur le modèle cocher « Enregistrer le certificat dans Active Directory »
• Désactiver le coté « ordinateur » de la stratégie
• Lier la stratégie à tous les domaines de la forêt
Signature de code PowerShell
• Permet de n’exécuter que les scripts PowerShell signés
• Requiert un certificat basé sur le modèle « Signature de code »
• Les scripts sont signés avec le certificat
• Vérification de :
L’authentification
De l’intégrité
De la révocation
Application
Signature de code \ Credential Roaming
s1.corp.lan s2.corp.lan w811.corp.lan w812.corp.lan

Contrôleur de domaine Autorité de certification Client Client
Stratégie Credential Roaming Modèle : Corp_SigningCode Signature de code Signature de code
• Itinérance des certificats
Basé sur Active Directory (Stockage centralisé)
Activé par stratégies de groupe
Utilisation de certification pour la signature de code
L’itinérance des certificats permet, pour les utilisateurs itinérants, de disposer
du même certificat quelque soit l’ordinateur sur lequel ils se connectent.
Patrick IZZO
Plan
• Qu’est ce qu’un « Agent d’inscription » de certificats?
• Implémentation d’un « Agent d’inscription »
• Application pratique : Inscription de certificats de carte à puce
• L'agent d'inscription peut inscrire des certificats au nom d'autres utilisateurs
(cartes à puce …)
• « Agent d’inscription restreint » sur l’autorité de certification
Quel agent d’inscription ? (Windows Server 2008 Entreprise)
Pour quels groupes d'utilisateurs ? (Windows Server 2008 Entreprise)
Pour quels modèles de certificats ? (Windows Serveur 2012)
• Ne requiert pas de droits administratifs (responsable\employé de confiance)
Implémentation : Agent d’inscription
• Créer un Nouveau modèle « d’Agent Inscription »
• Inscrire un certificat « d’Agent d’Inscription »
• Sur l’autorité de certification spécifier

Les agents d’inscription
Pour quel groupes d’utilisateurs
Pour quel types de certificats
• Inscrire les certificats (cartes à puces des utilisateurs)
Application
Agent D’inscription (carte à puces)
s1.corp.lan s2.corp.lan s3.corp.lan

Contrôleur de domaine Autorité de certification Inscription d’un certificat « Agent d’inscription »
Modèle « Corp Agent Inscription » Inscription des certificats carte à puce utilisateur
• Agents d’inscription
Créer et inscrire un agent d’inscription
Inscription de certificat pour d’autres utilisateurs
Les agents d’inscriptions sont indispensable dans certains contexte (carte à
puce) où ils offrent alors une gestion plus simplifié et plus sécurisé des
certificats émis.
Sites Web Sécurisés
Implémentation de SSL
Patrick IZZO
Plan
• Fonctionnement du protocole SSL
• Rôle des certificats avec le protocole SSL
• Application Pratique : Implémentation d’un serveur Web SSL
Sécurisation de sites Web
Protocole Ssl (Secure Socket Layer)
• Url Https
• Port TCP : 443
• Authentification du serveur Web (Anti Fishing)
• Sécurisation des données transférées (Chiffrement symétrique)
Processus de connexion SSL
• Le serveur Web refuse les connexions en http, exige une connexion en https et renvoi son
certificat (qui contient sa clé publique)
• Le client vérifie l'authenticité du certificat du serveur (à l’aide du certificat de l’autorité de
certification)
• Le client génère une clé symétrique aléatoire
• Le client envoie la clé symétrique au serveur Web (cryptée en asymétrique avec clé
publique du certificat du serveur Web)
• Le serveur Web décrypte la clé symétrique avec sa clé privé
• Connexion sécurisée établie (cadenas dans la barre d état et Url affichée en vert)
Fonctionnement SSL
Clé Publique AC 1 1 Clé Privé AC 12345678910
Hash : ##########
AC Hash : 12345678910
Clé Publique
www.corp.lan
#
3 www.corp.lan https://www.corp.lan
www.corp.lan
#
3
s3.corp.lan w811.corp.lan
Serveur Web SSL Client
https://www.corp.lan
Application Pratique
Implémentation de sites Web SSL
s1.corp.lan s2.corp.lan s3.corp.lan w811.corp.lan

Contrôleur de domaine Autorité de certification Serveur Web SSL Client
https://ww.corp.lan
• Fonctionnement de Ssl (Certificats)
• Implémentation du protocole SSL
La sécurisation de site Web est l’une des utilisations fondamentale d’une Pki.
SSL sécurise les sites Web, mais aussi les portails applicatifs (Owa, Applications
bureau à distance, Connexion Bureau à distance…)
Sites Web Sécurisés
Nouveautés IIS 8 et 8.5
Patrick IZZO
Plan
• Nouveautés IIS 8 et 8.5 Ssl\Certificats
Indication du server de nom (Server Name Indication - Sni)
Magasin de certificats centralisé (Centralized Certificate Store - Ccs)
• Application Pratique : Gestion de sites Web SSL avec Sni et Ccs
Indication du nom du serveur
• « Indication du nom du serveur » (Server Name Indication - Sni)
permet de faire tourner plusieurs sites Web en SSL sur :
la même adresse Ip
le même port (443)
• Immédiatement disponible sous IIS 8 \ IIS 8.5
• La correspondance s’effectue sur le nom d’hôte du site
• Les liaisons ne sont plus effectuées au démarrage de IIs mais à la demande (puis
mise ne cache)
• Meilleure gestion de la mémoire et gain de performances
Implémentation Ccs
• Magasin de certificats centralisé (Centralized Certificate Store - Ccs)
Créer un partage de fichiers (Dfs ou cluster)
• Lire pour le compte qui aura accès au certificats
Créer les certificat Ssl (exportés en .pfx, nommé avec la bonne url)
Installer CSS
• Installer le rôle IIS : « Prise en charge centralisée des certificats »
• Paramétrer l’icone « Certificats Centralisés »
• Vérifier l’utilisation du magasin de « certificats centralisé » lors de la liaison Ssl
!! Scénario de ferme de serveur
Implémentation Sni\Css sur sites Web Ssl

https://intra.corp.lan
https://rh.corp.lan
• Nouveautés IIs 8 \ IIS 8.5
Indication du nom du serveur (Server Name Indication - Sni)
Magasin de certificats centralisés (Centralized Certificate Store)
Ces nouveautés permettent une montée en charge plus efficace (plusieurs

serveurs Web Ssl sur le même serveur IIS - Sni) et … une gestion plus simple
des clusters de sites Web Ssl (centralisation des certificats - Ccs)
Révocation de certificats
Révocation Lan
Patrick IZZO
Plan
• Concept
• Raisons de révocation
• Type de listes de révocation
• Application Pratique : Révocation de certificats de site Web SSL et de

certificats de signature de code PowerShell
Concept
• La révocation permet de rendre invalide un certificat « avant » sa date de fin de
validité et donc … d’interdire l’usage de l’applicatif ou du service associé !
• Autorisation « Emettre et gérer les certificats » pour révoquer
• Ajout du numéro de série du certificat révoqué à une « liste de révocation »
• La liste est publiée dans un emplacement centralisé accessible aux machines et

utilisateurs : Active Directory !
Publication manuelle
Publication planifiée
Raisons de la révocation
• Non spécifié
• Clé compromise
• Autorité de certification compromise
• Modification de l’affiliation
• Certificat remplacé
• Cessation de l’opération
• Certificat retenu (annulation de la révocation possible)
Types de listes de révocation
• Liste de révocation complète (Certificate Revocation List - Crl)
Contient toutes les empreintes numériques de tous les certificats révoqués
• Liste de révocation delta (Certificate Revocation List Delta - Crl Delta)

Contient uniquement les nouvelles révocations depuis la dernière publication de liste
de révocation complète
Support depuis Windows 2000 \ Xp
Requiert la publication d’une liste de révocation complète
Problématiques possibles …
• Désactivation ou « non supporté »
(Efs ne prends pas en charge la révocation – In design !!)
• Accès pour l’applicatif\Service à l’emplacement de publication
(Active Directory)
• Latence due à la planification
• Mise en cache locales des liste de révocation

certutil -setreg chain\ChainCacheResyncFiletime @now
(Synchronise le cache local avec la liste de publication de révocation)
Révocation de certificats de sites Web SSL

Liste de révocation Impossible d'afficher l'image. Votre
ordinateur manque peut-être de mémoire
pour ouv rir l'image ou l'image est
endommagée. Redémarrez l'ordinateur, puis
ouv rez à nouv eau le fichier. Si le x rouge est
Impossible
toujours affiché, v ousd'afficher l'image. Votre
dev rez peut-être
supprimerordinateur manque
l'image av ant de la peut-être
réinsérer. de mémoire
pour ouv rir l'image ou l'image est
25e58558698556845
endommagée. Redémarrez l'ordinateur, puis
ouv rez à nouv eau le fichier. Si le x rouge est
toujours affiché, v ous dev rez peut-être
supprimer l'image av ant de la réinsérer.
85956415125125122
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouv rir Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouv rir
l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouv rez à nouv eau le fichier. l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouv rez à nouv eau le fichier.
Si le x rouge est toujours affiché, v ous dev rez peut-être supprimer l'image av ant de la Si le x rouge est toujours affiché, v ous dev rez peut-être supprimer l'image av ant de la
réinsérer. réinsérer.
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouv rir
l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouv rez à nouv eau le fichier.
Si le x rouge est toujours affiché, v ous dev rez peut-être supprimer l'image av ant de la
réinsérer.

https://intra.corp.lan
https://rh.corp.lan
• Le processus de révocation sur le lan
• L’implémentation et le dépannage de la révocation
La révocation est une fonction clé de la gestion des certificats.

Contrairement aux certificats auto-signés, les certificats émis par une autorité de
certification sont révocables, permettant ainsi à l’administrateur un contrôle total
des applicatifs et services associés.
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouv rir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouv rez à nouv eau
le fichier. Si le x rouge est toujours affiché, v ous dev rez peut-être supprimer l'image av ant de la réinsérer.
Révocation Wan
Patrick IZZO
Plan
• Problématique … et solution !!
• Emplacement des listes de révocations (Cdp)
• Emplacement des informations de l’autorité (Aia)
• Implémentation de nouveaux emplacements pour Internet
• Application Pratique : Validation et dépannage de la révocation depuis Internet

avec un VPN SSTP
Problématique fréquente !!
• Le chemin d’accès à la liste de révocation n’est pas disponible !!
• Solution :
Stocker la liste de révocation sur un emplacement accessible depuis Internet
Exposer ces listes via un serveur Web (http)
Inclure les nouveau chemins d’accès aux listes de révocations dans le
certificats émis
Emplacements des listes de révocation
• Emplacement de vérification des listes de révocation
(CDP - Crl Distribution Point)
Autorité
de certification
Serveur Web
Public
Serveur Web Partage Active

Interne de fichier Directory
Implémentation de nouvelles URLs CDP
• Déterminer les chemins de publication des URLs Crl (Serveur Web)
• Créer les points de publication (Serveur Web)

Un dossier pour stocker les listes de révocation
Un dossier virtuel IIS pour les exposer en http
• Publier les listes de révocation
• Ajouter les nouvelles URLs aux nouveaux certificats émis

Modifier les « extensions » de l’autorité de certification pour ajouter les nouveaux
chemins de publication des Crl CDP
Tout nouveau certificat émis intégrera les nouvelles URLs
Autres informations nécessaires (AIA)
• Emplacement de vérification des autorités de certification
(AIA - Authority Information Access)
• Contient les emplacements vers lesquels les certificats de l'autorité de
certification peuvent être téléchargés si nécessaire
• Permet de remonter/valider la chaine de certification
• Certificat de vérification de la signature des listes de révocation
Emplacements des informations de l’autorité
• Emplacement de vérification des autorités de certification
(AIA - Authority Information Access)
Autorité
de certification
Serveur Web
Public
Serveur FTP Serveur Web Partage Active

Interne Interne de fichier Directory
Implémentation de nouvelles URLs AIA
• Déterminer les chemins de publication des URLs AIA (Serveur Web)
• Créer les points de publication (Serveur Web)

Un dossier pour stocker les listes de révocation
Un dossier virtuel IIS pour les exposer en http
• Publier les listes de révocation
• Ajouter les nouvelles url au certificats émis

Modifier les « extensions » de l’autorité de certification pour ajouter les nouveau
chemins de publication des Crl AIA
Tout nouveau certificat émis intégrera les nouvelles URLs
Dépannage des urls CDP\AIA
• Mise en cache des listes de révocation
Certutil -setreg chain\ChainCacheResyncFiletime @now
(recharger le cache)
Certutil -urlcache CRL
(Voir les URLs des caches de listes de révocation)
Certutil -urlcache CRL delete
(Vider les caches de listes de révocation)
• Teste des URLs

Certutil –url fichier certificat.cer
Console « PKI Entreprise »
SSTP
• Secure Socket Tunneling Protocol (SSTP)
• Nouveau protocole VPN

Utilise le port : 443
Un certificat pour l’authentification du serveur VPN SSTP
• C’est du VPN mais c’est surtout du SSL !!!
• Permet la connexion VPN depuis toute connexion Internet

Maison
Hôtel …
Implémentation d’un VPN SSTP
Serveur Web Public s1.corp.lan
Contrôleur de domaine
(CRL et AIA)
s5.corp.lan
VPN SSTP Active
Directory
w811.corp.com Partage
Client de fichier s2.corp.lan
Serveur Web Interne

(CRL et AIA)
• La validation de l’accès aux listes de révocation (CDP) depuis l’extérieur de
l’entreprise
• La validation des l’accès aux listes d’information de l’autorité (AIA) depuis
l’extérieur de l’entreprise
• L’implémentation de Vpn SSTP
La validation des liste CDP et AIA est une problématique classique qu’il faut
absolument maitriser pour une validation correcte de la validité de vos certificats.
Serveur OCSP
Patrick IZZO
Plan
• Concept
• Fonctionnement du protocole OCSP
• Implémentation et validation d’un serveur OCSP
• Application Pratique : Validation et dépannage de la révocation depuis

Internet à l’aide d’un serveur OCSP (VPN SSTP)
Concept
• OCSP – Online Certificate Status Protocol
Protocole normalisé
Première implémentation dans Windows 2008 / Vista
• Fonctionnement
Télécharge les listes de révocation depuis l’autorité de certification
Le serveur OSCP valide la révocation (réponse signée)
Le client utilise de préférence OCSP
Performances améliorées lors du contrôle de la révocation
Fonctionnement
s1.corp.lan
OCSP Active
Directory
w811.corp.com s2.corp.lan
Client Autorité de certification
Implémenter un serveur OSCP
• Installer le service de rôle « Répondeur en ligne »
• Sur l’autorité de certification

Personnaliser le modèle de certificat « Signature de réponse OCSP »
Modifier l’extension AIA de l’autorité de certification
• Sur le serveur Ocsp

Créer la configuration de révocation
• Inscription automatique du certificat de signature OCSP
• Indication des « fournisseurs de révocation » (Active Directory)
• Autant d’autorité à traiter = autant de configuration de révocation
Validation du serveur OCSP
• PKI View
Valider l’obtention du certificat de signature OCSP (Mmc certificat)
Requiert un certificat « CA Exchange » récent
• Révoquer le dernier certificat « CA Exchange »
• Certutil -caninfo xchg
• Certutil -url fichierCertificat.cer
Implémentation d’un serveur OCSP
s1.corp.lan
s4.corp.lan s5.corp.lan
OCSP VPN SSTP Active
Directory
w811.corp.com
Client s2.corp.lan
• Le fonctionnement du rôle OSCP
• L’implémentation et le dépannage du server OCSP
L’implémentation du protocole OCSP améliore les performances lors de

la vérification des certificats révoqués et autorise ainsi la montée en
charge de votre infrastructure PKI Windows 2012 r2
Sécuriser une infrastructure PKI
Sauvegarde et restauration
de l’autorité de certification
Patrick IZZO
Plan
• Procédure de sauvegarde
• Procédure de restauration
• Validation de la restauration
• Application pratique : Sauvegarde et restauration complète d’une

autorité de certification
Sauvegarde de l’autorité de certification
• Sauvegarde complète du système (Sauvegarde Windows Serveur)
• Sauvegarde par la console Autorité de certification

Moins lourd et plus rapide (recommandé)
Sauvegarder la base de donnée, les clés et les journaux
• Console « Autorité de certification »
(ou CertUtil -backup « Chemin d’accès »)
• Sauvegarde des fichiers de post-configuration (commandes certutil) et du fichier
CaPolicy.inf
Support des sauvegardes « incrémentielles »
Procédure de restauration
• Nommer l’ordinateur avec le même nom que celui de l’autorité de certification
d’origine
• Intégrer l’ordinateur au même domaine que celui de l’autorité de certification
d’origine
• Importer CAPolicy.inf dans le dossier %windir%
• Ajouter et configurer le rôle AD CS

Cocher l’option utiliser une clé privé existante
Sélectionner le certificat de l’autorité de certification originelle
• Appliquer les configurations post-installation
Application
Sauvegarde et restauration
d’une autorité de certification
Entreprise
• Sauvegarde et restauration de l’autorité de certification
L’autorité de certification « Entreprise » s’appuie sur l’infrastructure Active

Directory et permet une gestion automatisée des certificats
Archivage des certificats
Patrick IZZO
Plan
• Archivage des certificats
• Agent de récupération (rôle et implémentation)
• Récupération de certificats
• Application pratique : Archivage et restauration de certificats avec

l’agent de restauration
Archivage des certificats
• Sauvegarde des certificats
Sauvegarde des certificats émis
Sauvegarde complète ( Certificat avec clé publique + Clé privé)
Gérée par l’autorité de certification
Totalement automatisée
• Restauration sécurisée
Agent de récupération
Installation par l’utilisateur
Agent de récupération
• Certaines fonctionnalités intègrent leur agent de récupération (EFS)
• « L’agent de récupération » récupère tout certificats archivé
• Pas de droits administratifs supplémentaires requis
• Bonnes pratiques
Utilisateur\administrateur de confiance
Sauvegarde manuelle des certificats « d’agent de récupération »
Plusieurs agents de récupérations recommandés
Implémentation
• Créer un agent de récupération
Personnaliser le modèle « Agent de récupération »
L’agent de récupération inscrit un certificat « agent de récupération »
Sauvegarder les certificats des agents de récupération
• Activer l’archivage des certificats

Associer le\les « Agent de récupération » et Autorité de certification
• Créer de nouveau modèles de certificats avec support de l’archivage

Dans le modèle : « Archiver la clé privée de chiffrement du sujet »
Inscrire les nouveaux certificats
Récupération d’un certificat
• Récupérer le certificat archivé (Agent de récupération)
Se connecter avec « Agent de récupération »
Créer un fichier Blob (Binary Logical Object)
Convertir le fichier .Blob en fichier .pfx
• Installer le certificat archivé (compte utilisateur ou machine)

Importer le .pfx dans le magasin de certificat de l’utilisateur
Valider la récupération du certificat utilisateur
Application
Sauvegarde et récupération
d’un certificat archivé
avec un « Agent de récupération »
• La mise en place de l’archivage des certificats
• La récupération d’un certificat archivé
Les services de certificats Windows Serveur 2012 offre l’archivage des

certificats émis, de façon totalement automatisée et sécurisée !
Architectures sécurisées
Patrick IZZO
Plan
• Architecture sécurisées
• Certificat des autorités de certification secondaires
• Autorité racine hors connexion
• Implémentation d’autorités de certification racine et secondaire
• Atelier pratique : Implémentation d’une architecture pki deux tiers

sécurisée (avec autorité de certification racine hors connexion)
Architecture
Organisations différentes Autorité de certification
Racine
Eclatement géographique Hors Connexion
Equilibrage de la charge
Tolérance de panne
Autorité de certification Autorité de certification
Secondaire Secondaire
Usages différentes
Sécurité renforcée
Autorité de certification Autorité de certification Autorité de certification Autorité de certification

Niveau 3 Niveau 3 Niveau 3 Niveau 3
Certificats de autorités secondaires
Racine
• Délivrés par l’autorité parente
Clé Privé Racine
• Révocation plus facile AC
• Pas plus de trois niveaux Secondaire Secondaire
AC AC
Autorité racine hors connexion
• Système Windows
Système arrêté en fin de configuration
Windows Serveur 2012 r2 Standard
Workgroup
Machine virtuelle (recommandé pour la sauvegarde Hors connexion)
• Modifier les emplacement CDP et d'AIA (Http et\ou Ldap)
• Période de validité pour les listes de révocation de certificats
Implémentation autorité racine autonome
• Installer et configurer le rôle « autorité de certification »
• Configurer des extensions (ldap et\ou http)
• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité

secondaire
• Délivrer un certificat pour l’autorité secondaire
• Arrêter la vm
• Mettre le fichier de la vm CorpRootCA au coffre
Implémentation secondaire entreprise
• Installer le rôle « autorité de certification »
• Publier les listes de révocation et le certificat de l’autorité racine dans Active

Directory
• Configurer le rôle « autorité de certification »
Création du certificat de l’autorité de certification secondaire
• Faire signer le certificat de l’autorité secondaire par l’autorité racine
• Installer le certificat sur la secondaire
• Démarrer le service
Publication des certificats et Crl dans AD
• Requiert les droits « Administrateur entreprise »
• Publier le certificat de l’autorité de certification racine dans l’Active Directory

certutil -dspublish -f « FichierCertificatCARacine.crt » RootCA
• Publier la liste de révocation de l’autorité de certification racine dans l’Active

Directory
certutil –setreg CA\DSConfigDN C=Configuration,Dc=corp,Dc=lan
certutil –dspublish -f « FichierRevocationCARacine.crl »
Implémentation d’une hiérarchie
deux tiers sécurisée
Clé Privé
AC AC
Active
Directory
AC
Liste révocation
Certificat Ca Racine
s1.corp.lan s5 s2.corp.lan
Contrôleur de domaine Autorité racine autonome Autorité de certification secondaire entreprise
• L’installation d’un architecture sécurisée de Pki
Une autorité racine autonome hors connexion
Une autorité secondaire entreprise
Publication des listes de révocation et certificats d’autorité de certification
dans Active Directory
Les hiérarchies d’autorités de certification permettent une plus grande souplesse

et montée en charge de votre Pki. La sécurité de la hiérarchie est assurée avec
l’implémentation d’une autorité racine hors connexion.
Autorité racine autonome
Hors connexion
(Automatisation)
Patrick IZZO
Plan
• Scénario d’implémentation d’une autorité racine autonome hors
connexion
• Chemins d’accès Cdp et Aia
• Automatisation de la modification des urls CDP \ AIA
• Automatisation de l’installation et de la configuration
• Application pratique : Installation automatisée d’une hiérarchie
d’autorités de certification sécurisée
Implémentation autorité racine autonome
• Installer et configurer l’ordinateur de l’autorité racine
• Installer et configurer le rôle « autorité de certification »
• Configurer des extensions : Ldap et Http
• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité secondaire
• Délivrer un certificat pour l’autorité secondaire
• Arrêter la vm
• Mettre le fichier de la vm au coffre
Automatisations
• CaPolicy.inf
• Scripts d’installation et de configuration des rôles (PowerShell)
• Scripts de modification des Urls (Certutil, PowerShell)
• Scripts de post-installation (Certutil)
• Stratégie de groupe
PowerShell (Installation de rôles)
• Get-WindowsFeature ADCS*
• Add-WindowsFeature (-IncludeManagementTools)
ADCS-Cert-Authority (Autorité de certification)
ADCS-Web-Enrollment (Inscription via le Web)
ADCS-Online-Cert (Serveur Ocsp)
ADCS-Enroll-Web-Pol (Sep)
ADCS-Enroll-Web-Svc (Ces)
ADSC-Device-Enrollment (Ndes)
PowerShell (Configuration)
• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools
• Install-AdcsCertificationAuthority
-CAType StandaloneRootCA
-CACommonName « CorpRootCA »
-CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR »
–KeyLLength 4096
-HashAlgorithName SHA1
-CryptoProviderName « RSA#Microsft Software Key Storage Provider »
-DatabaseDirectory ‘’D:\CertDB’’
-LogDirectory ‘’D:\CertLog’’
-ValidityPeriod ‘’Years’’
-ValidityPeriodsUnits 20
Variables Chemins CDP \ AIA
ldap:///CN=<NomTronquéAutoritéCertification><SuffixeNomListeRévoca
ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,
tionCertificats>,CN=<NomCourtServeur>,CN=CDP,CN=Public
CN=Services,%6%10 Key
Services,CN=Services,<ConteneurConfiguration><ClasseObjetCDP>
TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP \ AIA
%1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l’ordinateur de l’autorité de
certification
%2 <ServerShortName> <NomCourtServeur> Nom Netbios de l’ordinateur de l’autorité de
certification
%3 <CaName> <NomAutoritéCertification> Nom logique de l’autorité de certification
%4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l’autorité de
certification
%5 <Domain DN> DN (Chemin d’accès Ldap) du domaine
%6 <ConfigDN> <ConteneurConfiguration> Chemin d’accès Ldap à la partition de configuration
%7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l’autorité de certification
(32 caractères)
%8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L’extension des Crls
%9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta
%10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory
%11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory
Variables Chemins CDP \ AIA
C:\Windows\system32\CertSrv\CertEnroll\<NomAutoritéCertification><S
%windir%\system32\CertSrv\CertEnroll\%3%8%9.crl
uffixeNomListeRévocationCertificats><ListeRévocationCertificatsDeltaAut
orisée>.crl
TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP \ AIA
%1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l’ordinateur de l’autorité de
certification
%2 <ServerShortName> <NomCourtServeur> Nom Netbios de l’ordinateur de l’autorité de
certification
%3 <CaName> <NomAutoritéCertification> Nom logique de l’autorité de certification
%4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l’autorité de
certification
%5 <Domain DN> DN (Chemin d’accès Ldap) du domaine
%6 <ConfigDN> <ConteneurConfiguration> Chemin d’accès Ldap à la partition de configuration
%7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l’autorité de certification
(32 caractères)
%8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L’extension des Crls
%9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta
%10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory
%11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory
Variables CDP
Options de publications pour emplacements CDP
%1 Publier les listes de révocation des certificats à cet

emplacement
%2 Inclure dans toutes les listes de révocation des certificats.
Indique l’emplacement de destination dans Active Directory
lors des publications manuelles
%4 Inclure dans les listes de révocation des certificats afin de
pouvoir rechercher les listes de révocation des certificats
delta
%8 Inclure dans l’extension des certificats CDP émis
%64 Publier les listes de révocation des certificats delta à cet
emplacement
%128 Inclure dans l’extension IDP des listes de révocation des
certificats émises
• n2:http://crl.pki.corp.com/CertEnroll/%3
%8%9.crl
• n10:ldap:///CN=%7%8,CN=%2,CN=CD
P,CN=Public Key
Services,CN=Services,%6%10
Variables AIA
Options de publications pour emplacements AIA
%1 Emplacement de publication
%2 Inclure dans l’extension AIA des certificats émis
%32 Inclure dans l’extension OCSP (Online Certificate Status
Protocol)
• 1:c:\inetpub\CertEnroll\%1_%3%4.crt
• n2:http://crl.pki.corp.com/CertEnroll/%1
_%3%4.crt
• n2:ldap:///CN=%7,CN=AIA,CN=Public
Key Services,CN=Services,%6%11"
PowerShell (Urls Cdp \ Aia)
• $crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-
CACrlDistributionPoint $crl.uri -Force}
• $aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-
CAAuthorityInformationAccess $aia.uri -Force}
• Modification d’Urls
Add-CAcrlDistributionPoint -Uri http://pki.corp.com/pki/<CaName>
<CRLNameSuffix><DeltaCRLAllowed>.crl -AddtoCertificateCDP -Force -Verbose
Add-CaAuthorityInformationAccess –Uri http://pki.corp.com/pki
<ServerDnsName>_<CaName><CertificateName>.crt -AddtocertificateAIA -Force -
Verbose
• Restart-service certsvc \ Get-CACRLDistributionPoint \ Get-

CAAuthorityInformationAccess
Certutil (Urls Cdp \ Aia)
• Suppression manuelle des Urls existantes
(ou utilisation de scripts PowerShell)
• Certutil -setreg CA\CRLPublicationURLs
"1:%windir%\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://crl.pki.corp.com/C
ertEnroll/%3%8.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key
Services,CN=Services,%6%10"
• Net Stop Certsrv
• Net Start Certsrv
• Certutil -GetReg ca\CrlPublicationUrls
• Certutil -GetReg CA\CACertPublicationURLs
racine autonome hors connexion
Modification de Urls
CDP et AIA
Liste révocation
• Automatisation de l’installation de l’autorité de certification racine hors
connexion
• Automatisation de modifications Urls Cdp \ Aia
• Automatisation de tâches de post-installation
• Implémentation pratique : autorité de certification racine autonome hors

connexion
L’automatisation des tâches via « CertUtil » et « PowerShell »
autorise une implémentation efficace, sure et rapide de
toutes vos infrastructures complexes de PKI.
secondaire entreprise
(Automatisation)
Patrick IZZO
Plan
• Scénario d’implémentation de l’autorité secondaire entreprise
• Automatisation « PowerShell » et « Certutil »
• Publication des certificats \ listes de révocation
• CaPolicy.inf
• L’installation et les tâches de post-installation
• Application pratique : Installation automatisée d’une hiérarchie
d’autorités de certification sécurisée
Implémentation secondaire entreprise
• Installer le rôle « autorité de certification »
• Publier les listes de révocation et le certificat de l’autorité racine

(localement, Active Directory, Site Web)
• Obtenir le certificat signé pour l’autorité secondaire et démarre le service
• Publier le certificat de l’autorité de certification racine aux ordinateurs du domaine

(stratégie de groupe)
• Autres tâches …
Créer les modèles de certificats personnalisés
Activer le déploiement automatique de certificats et\ou l’itinérance de certificats
Activer l’archivage automatique
• Sauvegarder les autorités de certification
Automatisations
• CaPolicy.inf
• Scripts d’installation et de configuration des rôles (PowerShell)
• Scripts de modification des Urls (Certutil, PowerShell)
• Scripts de post-installation (Certutil)
• Stratégie de groupe
Publication des certificats\Liste de révocation
• Requiert les droits « Administrateur entreprise »
• Publier le certificat de l’autorité de certification racine

Certutil -dspublish -f « FichierCertificatCARacine.crt » rootca
Certutil –addstore –f root c:\s2_CorpRootCA.crt
• Publier la liste de révocation de l’autorité de certification racine dans l’Active Directory

Certutil -dspublish -f c:\CorpRootCA.crl
Certutil –addstore –f root c:\CorpRootCA.crl
• La publication Active Directory s’effectue dans le conteneur « Configuration »

(cn=configuration, dc=corp, dc=lan)
CAPolicy.inf CorpSubEntCA
• Paramètre de configuration de l’autorité appliqués à l’installation
Déclaration des pratiques de certification
(CPS - Certification Practice Statement)
Définit les mesures prises pour sécuriser les opérations de l’autorité et la
gestion des certificats émis
Identificateur d'objet (OID - Object IDentifier)
Inscrit auprès de l’IANA (Internet Assigned Number Autority)
Associé à la CPS
Taille des clés et période de validité du certificat
Intervalles de publication des listes de révocations
PowerShell (Installation de rôles)
• Get-WindowsFeature ADCS*
• Add-WindowsFeature (-IncludeManagementTools)
ADCS-Cert-Authority (Autorité de certification)
ADCS-Web-Enrollment (Inscription via le Web)
ADCS-Online-Cert (Serveur Ocsp)
ADCS-Enroll-Web-Pol (Sep)
ADCS-Enroll-Web-Svc (Ces)
ADSC-Device-Enrollment (Ndes)
PowerShell (Configuration)
• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools
• Install-AdcsCertificationAuthority
-CAType StandaloneRootCA
-CACommonName « CorpRootCA »
-CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR »
–KeyLLength 4096
-HashAlgorithName SHA1
-CryptoProviderName « RSA#Microsft Software Key Storage Provider »
-DatabaseDirectory ‘’D:\CertDB’’
-LogDirectory ‘’D:\CertLog’’
-ValidityPeriod ‘’Years’’
-ValidityPeriodsUnits 20
Post Installation
Période de chevauchement Crl et CrlDelta
Certutil -SetReg CA\CRLOverlapPeriodUnits 24
Certutil -SetReg CA\CRLOverlapPeriod "Hours"
Activation de l’audit
Certutil -SetReg CA\AuditFilter 127
• Net Stop Certsvc
• Net Start Certsvc
• Certutil -Crl
Implémentation d’une hiérarchie
deux tiers sécurisée
Clé Privé
AC AC
Active
Directory
AC
Liste révocation
Serveur Web
• Automatisation de l’installation de l’autorité secondaire entreprise
• Automatisation de modifications Urls Cdp \ Aia
• Automatisation de tâches de post-installation
• Implémentation pratique complète
L’automatisation des tâches via « CertUtil » et « PowerShell »

autorise une implémentation efficace, sure et rapide de
toutes vos infrastructures complexes de PKI.
Autres Rôles PKI
Certificate Enrollment Web
Services (Cep\Ces)
Patrick IZZO
Plan
• Concept
• Fonctionnement
• Scénarios d’utilisation
• Paramétrages
• Mode « Renouvellement seul »
• Atelier pratique : Implémentation et validation de Cep\Ces
Concept
• Inscription et renouvellement de certificats clients en Https
• Certificate Enrollment Policy Web Service (Cep)
• Certificate Enrollment Web Service (Ces)
• Cep\Ces Open document (client ouvert)
• Inscription par mot de passe
• Renouvellement avec authentification sur la base du certificat inscrit
• Mode « renouvellement seul »
Fonctionnement
• Avec des ordinateurs « membres du domaine » : Ldap, Kerberos et Rpc\Dcom
• Ordinateurs non membres du domaine et\ou pas d’accès à travers le pare-feu
• Flux en Https
CEP - Certificate Enrollment Policy Web Service (Ldap)
CES - Certificate Enrollment Web Service (Rpc \ Dcom)
• Les deux services Cep and Ces (peuvent être sur le même pc)
• Inscription par le web est interactive (construction de requêtes spécifiques).

Cep\ces fournit l’inscription et le renouvellement automatique de certificats
• Paramétrage client par stratégie locale
(Windows 7\Windows 2008 r2 et supérieur)
Fonctionnement
CEP Active
Certificate Enrollment Policy Web Service Directory
Ldap
Client
Workgroup ou Domaine
CES Autorité
Certificate Enrollment Web Service de certification
Uniquement en HttpS
Rpc \ Dcom
Scénarios d’utilisation
• Consolidation de forêt avec connexion Https sur une seule autorité de
certification dans la forêt
Authentification Kerberos
Délégation
• Dans le même domaine ou en Workgroup mais hors entreprise

(ne peuvent communiquer qu’en HttpS avec Cep \ Ces en Dm)
• Direct Access
Certificats obtenus lors du processus de boot
• Ordinateurs en Workgroup
Pares-feu
• Paramétrage du pare-feu
Https (Tcp 443) et Ldap (Tcp 389 \ 636)
(Cep)
Plage de ports Dcom aléatoires et éphémères
Plage de port configurable
(Ces)
Le(s) ordinateur(s) qui hébergent les services Cep\Ces doit être membre du
domaine de l’autorité de certification
Comptes de service
• Compte « Application Pool ID » (à l’installation)
• Compte de domaine (pas de compte locaux supportés) ou Compte de

service géré
Membre du groupe IIS local « IIS_IUSRS »
Autorisation « Demander des certificats » sur l’autorité de certification
Délégation requise si authentification par « Kerberos » ou « Certificats »
Spn requis
setspn -s https/ces.pki.corp.com corp\ces_svc
CEP \CES Authentification
• Intranet (Scénarios même forêt \ Consolidation de forêts)
Authentification Windows intégrée pour usage sur le réseau interne
• Internet (Workgroup \ Https uniquement)

Certificat ! plus sécurisé
(mécanisme supplémentaire pour acquérir ce certificat)
Nom + mot de passe (première inscription)
Pas de d’accès anonymes
Cep \ Ces Délégation
• Requise (toutes les conditions remplies)
L’autorité n’est pas sur le même serveur que le service
Ces effectue le processus d’inscription
L’authentification est de type : « Certificat » ou « Kerberos »
• Non requise
L’autorité est sur le même serveur que le service
L’authentification est de type : « Nom\Mot de passe »
Ces est en mode « renouvellement seul »
CES \ CES
• Schéma Active Directory 2008 r2 minimum
• Autorité de certification Entreprise pour 2008 r2
• Serveurs Cep\Ces membres du domaine
• Client Windows 7 \ Windows 2008 r2 et supérieur
• Requiert un certificat pour Https
• Administrateur de l’entreprise pour l’installation
• Cohabite avec tous les services de rôles AD CS
• Plusieurs urls publiables pour la tolérance de panne (pas de Nlb)
Implémentation
• Obtenir un certificat Ssl
• Ajouter et configurer les rôles
• Personnaliser IIS (Compte de service, Friendly Name, Urls)
• Paramétrer le client par stratégies de groupe locales

Url(s) Cep et\ou renouvellement automatique
• Tester l’obtention d’un certificat
Mode renouvellement seul
• L’inscription avec identité de l’utilisateur augmente les chances
d’attaque depuis Internet donc …
• Mode « Renouvellement seulement »
Le renouvellement se fait sur la base de la confiance au premier certificat
Le certificat est renouvelé sur la base de ses informations
Pas « d’impersonnalisation » de l’utilisateur ((impersonation : « Agir en tant que »)
Implique de posséder un premier certificat (délivré en contexte sécurisé)
Plus sûr
Implémentation Cep\Ces
s1.corp.lan
Stratégies Locales Requête Modèles de certificats Cep\Ces

Url Cep Active
Requête certificat Directory
Uniquement HttpS s3.corp.lan

w811
Client en workgroup s2.corp.lan
• Le concept et les scénarios d’usage de Cep\Ces
• Les paramètres d’implémentation

Délégation
Compte de service
Infrastructure (pare-feu, protocoles)
• Application pratique d’implémentation de Cep\Ces
Cep\Ces offre une inscription et un renouvellement

automatique et sécurisé de certificats pour les ordinateurs
en Workgroup ou les ordinateurs en domaine
mais disposant d’une connexion en https uniquement.
Autres Rôles Pki
Network Device Enrollment
Service (Ndes)
Patrick IZZO
Plan
• Concepts
• Authentification des périphériques
• Fonctionnement de Ndes
• Post-installation de l’autorité d’inscription
• Compte de service « Ndes »
• Gestion des mots de passes des périphériques
• Procédure d’implémentation
• Application pratique : Implémentation de Ndes
Concepts
• Service d’inscription de périphériques réseau (Network Device
Enrollment Service)
• Implémentation Microsoft du protocole SCEP (Simple Certificate
Enrollment Protocol) développé par Cisco et Microsoft
• Améliore la sécurité de la communication avec le périphérique
(802.1x requiert des certificats installés sur des commutateurs et des
points d'accès, Secure Shell (SSH), Ipsec …)
• Inscription et renouvellement de certificats pour des périphériques
Sans comptes Active Directory
Protocole léger (peu de mémoire)
Authentification des périphériques
• Authentification par un mot de passe
L’administrateur NDES requiert un mot de passe pour le périphérique
L’administrateur du périphérique installe\utilise le mot de passe sur le
périphérique pour son authentification
• Le périphérique est approuvé puisqu’il dispose du mot de passe de

l’administrateur NDES qui lui-même est approuvé par l’autorité de
certification
• L’administrateur NDES agit comme un agent d’inscription pour le
périphérique
Fonctionnement Ndes
x2?q21xu
x2?q21xu
Network Device Autorité de certification

x2?q21xu Enrollment Services
Post-installation de l’autorité d’inscription
• Compte d'utilisateur dédié au service ou compte de service réseau
• Certificat SSL pour la sécurisation de la page Web des « mots de passe

des périphériques »
• Taille des clés de signature et de chiffrement employées pour signer et
chiffrer la communication entre l'autorité de certification et l'autorité
d'inscription
• Créer un modèle de certificat personnalisé pour les certificats émis aux
périphériques
La longueur des clés des certificats émis aux périphériques
La durée de vie de ces certificats
Compte de service Ndes
• Compte de domaine et membre du groupe « IIS_IUSRS » local du
serveur Ndes
• Autorisation « Demander des certificats » sur l’autorité de certification
• Autorisation «Lecture » et « Inscrire » sur le modèle de certificats utilisé

pour délivrer des certificats aux périphériques
• Sur le pool applicatif « SCEP »
Paramètres avancés\Charger le profil utilisateur (True)
(Utilisation d’un mot de passe unique …)
Gestion du mot de passe
• HkeyLocalMachine\Software\Microsoft\Cryptography\Mscep
EnforcePassword (Activation\Désactivation du mot de passe)
PasswordValidity (60 minutes)
PasswordMax (5 par défaut)
PasswordLength (8 caractères par défaut)
UseSinglePassword (Mot de passe unique pour tous les périphériques)
Modèles de certificats utilisés pour les périphériques
• Redémarer Iis (iisreset)
Procédure d’implémentation
• Créer le compte Utilisateur Ndes (compte de service Ndes)
• Créer un modèle de certificat personnalisé pour les périphériques

réseau
• Installer le rôle « Services d’inscription de périphériques réseau »
Créer et inscrit deux nouveaux modèles pour la signature\chiffrement des
demandes de certificat auprès de l’autorité
• Active le modèle de certificat personnalisé pour les périphérique
• Générer les mots de passe pour les périphériques

https://NomDnsServeurNdes/certsrv/mscep_admin
Implémentation Ndes et gestion des mots

de passes de périphériques
s1.corp.lan s2.corp.lan s3.corp.lan

Contrôleur de domaine Autorité de certification Autorité d’enregistrement (Ndes)
Active
Directory
• Concept du protocole scep
• Fonctionnement et l’implémentation de Ndes
• Gestion des mots de passe des périphériques
• Application pratique : Implémentation et gestion des mots de passe

Ndes
Ndes offre la possibilité d’inscrire et renouveler des certificats
pour des périphériques réseaux supportant le protocole SCEP
auprès d’une autorité de certification Microsoft.
Implémenter une PKI
avec ADCS 2012 r2
Conclusion
Patrick IZZO
• Un tour d’horizon complet des Pki \ Services de certificats sous
Windows 2012 r2
Cryptographie
Autorité entreprise
Les architectures sécurisées
L’automatisation
Tous les rôles ADCS (Ocsp, Cep\Ces, Ndes …)
Une expérience … pratique !!

Avec de nombreux ateliers concrets
(Efs, Vpn, Signature de code …)
Références
• Microsoft (Web)
http://technet.microsoft.com/en-us/windowsserver/dd448615
http://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-
enrollment-web-services-in-active-directory-certificate-services.aspx
https://social.technet.microsoft.com/Forums/windowsserver/en-
US/home?searchTerm=pki
• Livre
Windows Server 2008 PKI and Certificate Security (Brian Komar)
Cartes à puces \ Token Usb
Cartes à puces \ Token Usb
Mme Typhaine VANNIER

typhaine.vannier@cardelya.fr
Http://www.cardelya.fr
Http://www.scardshop.com/boutique/liste_rayons.cfm
Une question ??
• IZZO Patrick
• Travailleur indépendant après salariat en SSII
• Formateur technique Windows serveur 2012 R2
• MCP, MCSA 2008 R2, MCSA 2012 R2
• Mes références : patrick.izzo@orange.fr
LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458
Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo
Alphorm http://www.alphorm.com/auteur/patrick-izzo
Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx
(Login : 692101 password : 58964781)
Merci !!!
A bientôt sur …

Langue

Formation - Admin Securite - Implementer Une PKI Avec ADCS 2012 R2

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formation - Admin Securite - Implementer Une PKI Avec ADCS 2012 R2

Titre original :

Transféré par

Droits d'auteur :

Implémenter une PKI avec

• Pourquoi une session sur les Pki 2012 R2?

• Publics concernés et prérequis

• Les ateliers pratiques

• Architecture de base des ateliers pratiques

• Travailleur indépendant après salariat en SSII

• Formateur technique Windows serveur 2012 r2

• MCP, MCST, MCSA 2008 r2, MCSA 2012 r2

• MCT (1997 - 2014) patrick.izzo@orange.fr

• Des concepts nouveaux

• Une implémentation multi-composantes

• Aide au passage des certifications Microsoft (70-412)

• Administrateurs, ingénieurs systèmes

• Spécialiste en Pki d’entreprise

• Passage des certifications Microsoft (70-412)

• Connaissances sur l’Active Directory

• Pas de prérequis sur la cryptographie (couvert par la session)

• Architecture des ateliers

• Source Windows 2012 Server

w811.corp.com s4.corp.lan s5.corp.lan

• Pourquoi les une session sur les Pki 2012 r2 ?

• Les prérequis de la formation

• Le contenu (plan et ateliers pratiques)

• Application : Chiffrement de fichiers (EFS)

• Pilotes, ActiveX, Macros, Scripts PowerShell

• Site Web (Ssl)

• Connexions réseau (Vpn, Wifi…)

• Sécurisation de trafic réseau (IpSec…)

• Authentification Forte (Cartes à puce)

• Autorités de certifications (Gestion des certificats)

• La clé symétrique doit être transmise à l’aide de moyen de

Utilisation des clés, propriétaire, durée de vie…)

• Protection de la clé : Asymétrique

• Protection de la clé symétrique en Asymétrique

• Chiffrement de fichiers ou de dossiers

• Rapide, performant (intégré au noyau Ntfs)

• Combine cryptage symétrique et asymétrique

• Les fichiers cryptés apparaissent en vert

• Le système génère une clé aléatoire Bob

symétrique dans l’entête du fichier #

• Le document est crypté à l’aide

Chiffrement de fichiers EFS

Une bonne compréhension des notions essentielles de cryptographie

• Le système duplique un nouvel 3

Partage de fichiers EFS

Une bonne compréhension des notions essentielles de cryptographie

• Le système duplique un nouvel 3

Agent de récupération EFS

Une bonne compréhension des notions essentielles de cryptographie

• Authentification et intégrité des certificats

• Type d’autorité de certification

• Gestion des certificats

Clé Publique AC Clé Privé

Autorité de Clé Publique

Sha (plus sécurisé)

• Validé à chaque utilisation du certificat

Clé Publique Clé Privé

Calcul de valeurs de Hash

Demande de certificats exclusivement par navigateur Approbation automatique des requêtes de

Les utilisateurs fournissent des informations Demande de certificats

• Authentification et intégrité des certificats

• Type d’autorité de certification

• Appartenance au domaine et nom d'ordinateur non modifiable après le

• Valeur de la clé (2048 minimum recommandé)