Vous êtes sur la page 1sur 45

 

 
 
 
Projet du cours Sécurité du Système Windows

THÈME : Mise en place 


d’une PKI sous Windows 
Server 2012R2 
Membres du groupe

● ADJAGBESSI Estelle 
 
● BOUBACAR ALI Mariama 
 
● EGIDO ALICANTE Christian Javier 
 
● NIANG Noura Fatou 
 
● TCHALLA Casimir 
 
● TIDJANI Elhadj Sama Aziza 
 
 

Professeur  

Mr Doudou Faye 

 
Sommaire
❏INTRODUCTION

❏QU’ EST-CE QU’UNE PKI ?

❏CONCEPTS ET DÉFINITIONS

❏COMPOSANTS D’UNE PKI

❏MISE EN PLACE D’UNE PKI SOUS WINDOWS SERVEUR


2012 R2
a) Installation et configuration l autorité de
certification
b) Exportation du certificat de l’autorité de
certification
c) Créer un nouveau modèle de certificat
d) Demander un certificat
e) Protéger le serveur web IIS avec le certificat
généré
 

❏CONCLUSION
❏INTRODUCTION

Avec l'arrivé de l’internet, l’utilisation massive de messages électroniques et

l’expansion du commerce électronique est devenu une opération de plus en plus

courante. En effet, les données qui transitent sur Internet, sont sujettes à diverses

attaques comme l'attaque ​man in the middle lorsque les entités échangent leurs clés

publiques.Pour ces raisons les données doivent être protégées ainsi que les clés

publiques de chiffrement.

Dans une petite structure, il pourrait être envisageable de générer sa paire de clefs

localement et d’échanger les clefs publiques hors ligne (en main propre par

exemple), mais cette solution est inimaginable pour une structure internationale.

Dans ce cas de figure, une authentification automatique des clefs publiques est

indispensable.

C’est dans ce contexte que la ​NIST (National Institute of Standards and Technology)

s’est vu imposer en 1994 la tâche d’étudier et de définir un standard afin de gérer

l’authentification dans un environnement international. Ce projet avait pour but de

permettre l’interopérabilité des différents systèmes électroniques opérant dans le

commerce électronique. L’étude était porté sur la manière de générer les clefs, de

les distribuer, d’obtenir les clefs publiques au moyen de certificats, et la publication

des certificats obsolètes. L’étude visait à définir des recommandations techniques

pour définir une architecture PKI ​: ​Public Key Infrastructure​, ou en français : IGC -

Infrastructure de gestion de clés,​ au travers de divers composants.

A la même façon qu’un passeport ou d’une carte d’identité, la PKI va fournir une

garantie d’identité numérique aux utilisateurs. Cette pièce d’identité numérique,


appelée certificat numérique, contient la clef publique de l’utilisateur, mais également

des informations personnelles sur l’utilisateur.

Comme tout document formel, le certificat numérique est signé par l’autorité de

certification et c’est cette signature qui lui donnera toute crédibilité aux yeux des

utilisateurs. En effet, ​une autorité de certification Microsoft est sollicitée dans le

cadre de nombreux projets : mise en place d'un serveur NPS (​Network Policy

Server​) pour obtenir un certificat valide pour utiliser le 802.1X, mise en place des flux

sécurisés et chiffrés pour le serveur WSUS, ou Active Directory, authentification

renforcée sur des applications, accès VPN....

Cette autorité de certification Microsoft sera capable également de signer vos scripts

PowerShell pour que leur exécution soit autorisée sur les serveurs et les postes

clients de votre entreprise. Ce qui évitera de modifier la politique d'exécution des

scripts et d'exposer les postes aux problèmes que ça implique.

❏QU’EST-CE QU’UNE PKI ?

PKI (Public Key Infrastructure) est un système de gestion des clefs publiques qui
permet de gérer des listes importantes de clefs publiques et d'en assurer la fiabilité,
pour des entités généralement dans un réseau.
Elle offre un cadre global permettant d'installer des éléments de sécurité tels que la
confidentialité​, ​l'authentification​, ​l'intégrité et la ​non-répudiation tant au sein de
l'entreprise que lors d'échanges d'information avec l'extérieur.

Une infrastructure PKI fournit donc quatre services principaux:


● Fabrication de bi-clés.
● Certification de clé publique et publication de certificats.
● Révocation de certificats.
● Gestion la fonction de certification.

❏CONCEPTS ET DÉFINITIONS

Techniquement, une infrastructure à clé publique utilise des mécanismes de


signature et certifie des clés publiques qui permettent de chiffrer et de signer des
messages ainsi que des flux de données, afin d'assurer la confidentialité,
l'authentification, l'intégrité et la non-répudiation.

➢ Signature ​:​Dans la signature nous avons une bi-clé :


- Une clé (privée) : pour la création de signature
- Une clé (publique) : pour la vérification de signature

Pour signer un message, voici comment se passe :

1. A l'aide de la clé privée de signature de l'expéditeur, une empreinte connue


sous le nom "​message digest​" est générée par hachage en utilisant
l'algorithme ​SHA-1 ou ​MD5​, le plus utilisé étant SHA-1. Cette empreinte est
ensuite cryptée avec cette clé privée de signature.

2. On joint au message l'empreinte et le certificat contenant la clé publique de


signature.

3. Le destinataire vérifie la validité du certificat et sa non révocation dans


l'annuaire.
4. Le destinataire transforme l'empreinte avec la clé publique de signature ainsi
validée. Cette opération permet de s'assurer de l'identité de l'expéditeur.

5. Ensuite le destinataire génère une empreinte à partir de message reçu en


utilisant le même algorithme de hachage. Si les deux empreintes sont
identiques, cela signifie que le message n'a pas été modifié.

Donc la signature vérifie bien l'intégrité du message ainsi que l'identité


de l'expéditeur.

Exemples d'algorithme de signature​: ​RSA, DSA

➢ Chiffrement ​:

Il y a deux types de chiffrement possible :

Chiffrement à clé secrète (symétrique) :


L’émetteur utilise une clé pour chiffrer le message et le destinataire utilise la
même clé (le même algorithme mais en sens inverse) pour déchiffrer le
message.

Chiffrement à clé publique (asymétrique) :


Un message chiffré avec une clé publique donnée ne peut être déchiffré
qu’avec la clé privée correspondante.
Par exemple si A souhaite envoyer un message chiffré à B, il le chiffrera en
utilisant la clé publique de B (qui peut être publié dans l'annuaire). La seule
personne qui déchiffre le message est le détenteur de la clé privée de B.
Exemples d'algorithme de chiffrement:

Symétrique : DES, AES


Asymétrique : RSA

-Définitions ​:

○ Confidentialité

Les informations échangées deviennent illisibles,cette confidentialité


est assurée par le chiffrement

○ Authentification

Identification de l'origine de l'information.

○ Non-répudiation

L'émetteur des données ne pourra pas nier être à l'origine du message.

○ Intégrité​ :

Fonction permettant d'assurer que l'information n'a pas subi de


modification .

❏LES COMPOSANTS D’UNE PKI


Une PKI contient plusieurs composants principaux essentiels à son bon
fonctionnement :
1. Une Autorité d'enregistrement (Registration Authority - RA)
Son principal rôle est de vérifier la demande d'enregistrement (Certificate Signing
Request - CSR) d'un nouvel utilisateur dans l'infrastructure. Les méthodes de
vérification de cette étape sont définies en fonction de la politique de certification
choisie pour l'infrastructure. En effet, cela peut aller du simple échange de courriel
pour valider la demande ou à une vérification de l'identité de la personne (carte
d'identité, passeport, etc.). Si l'autorité d'enregistrement valide la demande
d'enregistrement, alors la requête de certificat passera entre les mains de l'autorité
de certification (cette requête est transmise au format standard PCKS#10). L'autorité
d'enregistrement peut être contenue dans l'autorité de certification. Cependant,
l'avantage de séparer ces deux entités de la répartition de charge de chaque entité.

2. Une Autorité de Certification-AC : (Certificate Authority - CA)


Son principal rôle est de générer un certificat pour l'utilisateur. Le certificat
contiendra des informations personnelles sur l'utilisateur mais surtout sa clef
publique et la date de validité. L'autorité de certification signera ce certificat avec sa
clef privée, ainsi ce certificat sera certifié authentique par lui même. C'est pourquoi
on parle de chaîne de confiance dans une PKI car il s'agit de faire confiance à cette
autorité de certification qui sera lui même certifié par une autorité supérieure et ainsi
de suite. L'autorité de certification aura aussi le rôle de mettre à jour la liste des
certificats qu'il a signé afin de connaître les dates de validité de ses certificats. En
effet, pour vérifier si un certificat est valide, il faudra demander à l'autorité de
certification qu'il l'a généré si le certificat en question est toujours valide ou s'il a été
révoqué.

3. Un Annuaire
L'annuaire est indépendant de la PKI cependant la PKI en a besoin. Les seules
contraintes de l'annuaire sont qu'il doit accepter le protocole X.509 pour le stockage
des certificats révoqués et le protocole LDAP. Son rôle est comme dit
précédemment de stocker les certificats révoqués et par la même occasion, les
certificats en cours de validité afin d'avoir un accès rapide à ces certificats. De plus,
l'annuaire peut stocker les clefs privées des utilisateurs dans le cadre du
recouvrement de clef. Sachant que les certificats sont largement distribués,
l'annuaire est une solution pour les mettre à disposition.

NB : L’infrastructure de gestion de clé est une structure hiérarchique pyramidale :

● Au sommet une AC « Racine » : qui est la base de la confiance;


● des AC intermédiaires:
○ Elles sont certifiées par l’AC racine;
○ Elle peuvent délivrer des certifications a d’autres AC intermédiaires ou
opérationnelles.
● Des AC opérationnelles:
○ Elles sont certifiées par l’AC racine ou par une AC intermédiaire;
○ Elles peuvent délivrer des certificats aux entités terminales.

Dans une infrastructure à clé publique ; pour obtenir un certificat numérique,


l'utilisateur fait une demande auprès de l'autorité d'enregistrement. Celle-ci génère
un couple de clé (clé publique, clé privée), envoie la clé privée au client, applique
une procédure et des critères définis par l'autorité de certification qui certifie la clé
publique et appose sa signature sur le certificat, parfois fabriqué par un opérateur de
certification.
❏MISE EN PLACE D’UNE PKI SOUS WINDOWS
SERVEUR 2012R2

a. Installation et configuration l’autorité de certification

Pour commencer, nous allons installer l’autorité de certification. Pour cela cliquer sur
“ ​Ajouter des rôles et des fonctionnalités​”.
Sélectionnez "​Installation basée sur un rôle ou une fonctionnalité​" et cliquer sur
“​Suivant​”.

Sélectionnez le serveur de destination, cliquer sur “​Suivant​”.

Cochez la case "​Services de certificats Active Directory​" (AD CS)


Faites “​Suivant​” deux fois.
Cochez les cases "​Autorité de certification​" et “​Inscription de l’autorité de
certification via le web​” et ensuite cliquez sur “​Suivant​”.

Cochez la case "​Redémarrer automatiquement​ ..." et cliquez sur "​Installer​"

Une fois l'installation terminée, la fenêtre “​Configuration des services de certificat


Active Directory​” s’affiche.
Passons maintenant à la configuration de l’autorité de certification.

Pour cela, cochez les cases "​Autorité de certification​"


et “​Inscription de l’autorité de certification via le web​” pour configurer ces rôles.
Puis cliquer sur “​Suivant​”.
Cochez “​l’autorité de certification d’entreprise​”.
Si cette case est grisée, c’est que ce serveur n’est pas membre de Active Directory.
L’autorité de certification d'Entreprise( pour notre cas ) nécessite un serveur
intégré au domaine et elle stockera des données directement dans l'annuaire
Active Directory (certificats, clés privées, etc. avec une notion d'archivage), et
facilitera la distribution de certificats auprès des postes intégrés au domaine
notamment car ils seront automatiquement approuvés car dit de confiance.
Une autorité de certification autonome peut être installée sur un serveur hors
domaine, par conséquent elle ne stocke aucune donnée dans l’annuaire AD, ce
qui empêche notamment d'utiliser l'inscription automatique.
Cliquer sur “​Suivant​”.

Cocher “​l’autorité de certification racine​”.


Dans notre cas, nous ne dépendons d’aucune autorité de certification.
Puis cliquer sur “​Suivant​”.
Etant donnée qu’il s'agit de la première installation de notre autorité de certification,
nous allons créer une nouvelle clé.

Cocher “​créer une clé privée​” puis cliquer sur “​Suivant​”.


Laisser le chiffrement par défaut ​: le chiffrement RSA-SHA1.​ Cliquer sur “​Suivant​”.

Par défaut, les valeurs sont déjà indiquées, mais vous pouvez les modifier.
Cliquez sur “​Suivant”.
Indiquer une période de validité pour le certificat de l’autorité de certification.
Il faut noter que la période de validité configurée pour ce certificat de l’autorité de
certification doit dépasser la période de validité pour les certificats qu’elle émettra.
Cliquer sur “​Suivant”.

Laisser les dossiers des bases de données par défaut, cliquer sur “​Suivant​”.
L’assistant affichera un résumé de la configuration. Cliquer sur “​Configurer​”.

Et notre autorité de certification est maintenant installée et configurée.


​b.​ ​ ​Exportation du certificat de l’autorité de certification
Pour pouvoir distribuer le certificat aux clients de Active Directory nous aurons
besoin de notre certificat installé et configuré précédemment. Pour cela il faudra
l’exporter en ouvrant la console “​mmc​”
Dans la console “​mmc​” qui s’ouvre, entrez dans le menu “​Fichier​” puis cliquer
Ajouter/Supprimer un composant logiciel enfichable​.
Sélectionnez “​Certificats​” à gauche et cliquer sur “​Ajouter >​”

Ensuite cliquer sur “​Ok​”.


Cliquer sur “​l’ordinateur local​” ensuite sur “​terminer”
Le composant “​Certificats (ordinateur local) ” s’affiche maintenant dans la colonne
à droite. Cliquer ensuite sur “​Ok​”

En allant dans “​Certificats.. > Autorités de Certification racine..> Certificats​,


nous voyons que notre certificat racine est présent dans la liste.
Pour exporter le certificat d’autorité racine au format “​.cer​” c’est à dire sans la clé
privée, sélectionnez votre autorité de certification et effectuer un “​clic droit​”, “Toutes
les tâches” puis cliquez sur “​Exporter​”.
L’assistant d’exportation s’affiche, cliquez sur “​suivant”.

Cocher la case “X.509 binaire encodé DER (*.cer)” puis cliquez sur “ ​suivant​”.
Cliquez sur “​Parcourir​” pour sélectionner le dossier ou vous souhaitez exporter
votre certificat.

Cliquer sur “​Suivant”.


Un résumé s’affiche:
Le certificat a été exporté:

Fermer la console, puis cliquer sur “​oui” dans la fenêtre qui s’affiche pour
l’enregistrer.
C. Créer un nouveau modèle de certificat:

Pour gérer les modèles de certificats, retournez dans l’interface tactile et cliquez sur
“​Autorité de certification​”.
Allez dans Autorité de certification (Local) > effectuer un clic droit “​Gérer” puis sur
“​Modèles de certificats​”.
Dupliquer ensuite le serveur Web.
Renommer le nouveau modèle de certificat et modifiez la période de validité si vous
le souhaitez.

Ensuite, allez dans l’onglet “​Sécurité” et modifiez les autorisations des “​utilisateurs
authentifiés​” pour qu’ils puissent demander des certificats (inscription). Cochez la
case “​Inscrire​” et “​Inscription automatique”.
Ensuite lancez DOS et taper la commande gpupdate /force pour mettre à jour la
stratégie de l’ordinateur.

Fermez la fenêtre “​certsrv”​ (ou Autorité de certification) et la réouvrir.

Pour que le nouveau modèle de certificat s’affiche, vous devez effectuez un clic droit
sur “​Modèles de certificats​” et cliquer sur “​Nouveau > Modèle de certificat à
délivrer​”.
Sélectionner votre nouveau modèle.
Le nouveau modèle s’est maintenant affiché.

d. Demander Un Certificat
Pour demander un certificat (qui sera signé plus tard), ouvrez la console sauvegardé
plutot (Gestion des certificats) et allez dans “​Personnel > Certificats​”. Effectuez un
clic droit et cliquez sur “​toutes les tâches > Demander un nouveau certificat​”.
La fenêtre ​“Inscription de certificats​” s’affiche.

Cliquer sur “​Suivant​”.


Sélectionnez votre nouveau modèle puis cliquer sur le lien “​L’inscription pour
obtenir ce certificat nécessite des informations supplémentaires​”.
Comme ce certificat sert à vérifier l’adresse d’un site internet, vous devez indiquez le
nom de domaine de votre ordinateur comme nomme “​nom commun”​ .

Ensuite vous pouvez ajouter d’autres informations dans le certificat si vous le voulez.
Cliquez sur “​Inscription”.
La création du certificat s’est fait. Cliquer sur “​Terminer​”. Le nouveau certificat signé
(ou délivré) est maintenant disponible.

e. Protéger le serveur Web IIS avec le certificat généré:

Maintenant que nous avons notre certificat, nous allons montrer comment sécuriser
notre serveur Web IIS grâce à ce certificat.
Installez le serveur web en ajoutant le rôle “​Serveur Web (IIS)​”.
Ensuite lancer ​le gestionnaire des services Internet.

Dans la fenêtre qui s’affiche cliquez sur “​Non”.


Sélectionnez le site que à sécuriser. On utilisera celui par défaut (Default web Site)
Puis dans la colonne à droite cliquez sur ​“Liaisons”​.

Cliquer sur “​Ajouter​” pour ajouter le port HTTPS.


Sélectionnez “​https​” (port 443 par défaut) et sélectionnez votre certificat dans la liste
“​Certificat SSL​”.

Maintenant, taper le nom de domaine dans le navigateur web “Internet Explorer” du


serveur et cliquer sur le petit cadenas qui s’affiche dans la barre d’adresse.
Le navigateur n’a pas affichez d’avertissement concernant notre certificat car
celui-ci à été signé par notre autorité de certification.
CONCLUSION

Techniquement, la PKI ne représente en définitive que quelques serveurs, sur


lesquels fonctionnent des logiciels spécifiques chargés de générer des certificats
numériques et de contrôler leur validité. Dans l'ensemble, la technique fonctionne et
pourrait même sembler plutôt simple une fois déployée. Néanmoins, pour obtenir
une très bonne sécurité, il ne faut laisser aucune vulnérabilité, il faut donc rester
prudent lors de l'installation de la partie technique. Mais le véritable défi du
déploiement d'une PKI est bien d'ordre organisationnel par exemple : Définir les
modalités de déploiement,définir les règles d'enregistrement,définir les
responsabilités de chaque entité,définir les droits d'utilisation pour chaque
application,
définir les modes de distribution des certificats.
Ce sont autant de questions à se poser lorsque l'on souhaite mettre en place une
PKI. Malgré ces points de difficultés, la PKI conserve des atouts majeurs aussi bien
pour les utilisateurs et que pour l'entreprise :Les utilisateurs n'ont plus à se soucier
des mots de passes perdus,L'entreprise s'offre un socle technique permettant le
contrôle d'accès, de logiciels, des accès visiteurs,etc.

Vous aimerez peut-être aussi