Académique Documents
Professionnel Documents
Culture Documents
Cryptographie asymtrique (cl publique, cl prive) Ex. Signature numrique dun message
Crer une signature numrique (metteur)
Message envoyer Condens
Py75c%bn&*)9|fDe^bDFaq#x zjFr@g5=&nmdFg$5knvMdr kvegMs Fonction de hashage (SHA, MD5)
Signature numrique
Jrf843kjfgf*$&Hdif*7oUsd*& @:<CHDFHSD(**
Chiffrement asymtrique
Cl prive
Gestion des cartes puce (et des certificats) Digital Identity Management System (DIMS)
Condens
Signature numrique
Message reu
Certificats numriques
Certificats X509 v3 quivalent dune pice didentit pour un utilisateur ou une machine
Identit du sujet Identit de lmetteur Sujet: Philippe Beraud metteur: Issuing CA Valide partir de: 01/05/2005 Valide jusquau: 01/05/2006 CDP:URL=http://fqdn/crl/CA.crl AIA:URL=http://fqdn/ca.crt Cl publique du sujet: RSA 1024.. Politique dapplication: Client Authentication, SmartCard Logon... Numro de srie: 78F862 Signature: F976AD
La signature numrique garantie lintgrit des donnes (idem pour une CRL)
Certificat Numrique
2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.
2/29/2012 5:10 PM
http://support.microsoft.com/?id=248753 http://support.microsoft.com/?id=248753
WINLOGON 1
MSGINA rcupre le code PIN
2 LSA
AD
6 KDC
PA_PK_AS_REP
Contenant: TGT + PAC + cl de session + condens NTLM du mot de passe a. Utilise la cl publique du certificat pour dchiffrer lAS_REQ Vrifie le NTAuth Mappe lUPN Crer un TGT
Points communs
Ouverture de session par certificat Deux modes possibles
UPN/NTAuth userPrincipalName Mappage explicite - altSecurityIdentities
b. c. d.
2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.
2/29/2012 5:10 PM
Une tentative de mappage implicite est ralise en premier En cas dchec, un mappage explicite est alors essay en second lieu Attribut AltSecurityIdentity de lobjet utilisateur
Si un mappage implicite est utilis, le certificat doit tre chan une racine de confiance et lAC mettrice doit tre prsente dans le magasin NTAuth Si un mappage explicite est utilis, le certificat doit tre simplement chan une racine de confiance Le certificat est transmis au contrleur de domaine o lutilisateur est recherch et un PAC (Privilege Attribute Certificate) gnr (Privilege Certificate)
Ouverture de session par carte puce Authentification SSL/TLS avec un certificat client
Signature XMLDIG
Infopath (Office), Classes .Net
Moyen le plus direct avec une AC dentreprise de dployer/grer des certificats et de tirer parti des applications qui les utilisent Gabarits de certificats personnalisables, enrlement et renouvellement automatique, support des cartes puces, etc.
Gabarits de certificat
Format et le contenu du certificat X509 v3
Subject et Alternative Subject Name Rle du certificat, Application Policies Validit et priode de renouvellement, Slection dun ou plusieurs CSPs, (archivage de la cl prive)
Mthodes denrlement (manuel/auto) et lssuance Policies (quel contrle est utilis pour lmission du certificat) Permissions denrlement (ACLs)
Quel utilisateur a droit quels certificats (Read, Enroll, AutoEnroll, etc.) Enroll, LAC vrifie lautorisation du demandeur sur le gabarit rfrenc
2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.
2/29/2012 5:10 PM
Agent denrlement
Enrlement pour le compte dun tiers, suivant le modle dautorit denregistrement (Registration Authority) (Registration Authority)
Processus de dlivrance analogue aux cartes didentits et passeports Principalement pour la demande de certificats de type SmartCard
Enrollment Agent
Lagent peut enrler nimporte quel entit du domaine Les requtes sont relatives des gabarits pour lesquels lagent denrlement dispose des permissions ncessaires Au niveau des gabarits, les lssuance Policies doivent requrir une seule signature, celle de lagent denrlement
Ajouter une politique de certificat dcrivant le processus dmission des certificats Retirer les permissions sur le gabarit Enrollment Agent aprs mission des certificats Enrollment Agent
Bonnes pratiques
Placer le certificat/cl prive Enrollment Agent sur une carte puce Pour lmission de carte puce, utiliser une station denrlement double lecteur de carte Une pour la carte de lagent denrlement Une pour la carte mettre
Enrlement automatique
Offre une gestion automatique du cycle de vie des certificats des utilisateurs et des machines
Obtention initiale dun certificat Renouvellement/Remplacement dun certificat Purge et Archivage des certificats Gestion des magasins de certificats personnels
Ne sapplique quaux certificats pour lesquels le gabarit comprend la permission AutoEnroll pour le compte
Mise en
a. b. c. d.
Gestionnaire de certificats
Crer un gabarit de certificat avec AutoEnrollment Activer linteraction Utilisateur (PIN) au niveau du gabarit de certificat Positionner les permissions Read, Enroll et AutoEnroll sur le gabarit Publier le gabarit de certificat sur une AC dentreprise
Administrateur du domaine
a. Positionner une stratgie de groupe pour lenrlement automatique, le renouvellement et la mise jour des certificats User Configuration\Windows Settings\Security Settings\Public Key Configuration\ Settings\ Settings\ Policies Autoenrollment Settings
Enroll certificates automatically Renew expired certificates, update pending certificates, and remove revoked certificates Update certificates that use certificate templates
Mise en
Utilisateur
a. Slectionner linfo bulle denrlement b. Insrer la carte puce dans le lecteur et saisir le code PIN
Enrlement dun certificat Contoso SmartId par le biais dun agent denrlement Cration dun gabarit Contoso Signature S/MIME avec support de lenrlement automatique sur carte puce Enrlement automatique dun certificat Contoso Signature S/MIME
2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.
2/29/2012 5:10 PM
Que se passe-t-il lorsque les cartes sont cours despace de stockage ? passeComment les purger ? Quand les purger ? Que doit-on conserver sur la doitcarte ?
Besoin de grer le cycle de vie complet au-del du seul enrlement auPersonnalisation des cartes, enrlement, dlivrance, gestion des PIN, renouvellement de certificats, renouvellement des cartes
Intgration de Certificate Services avec des solutions dautorits denregistrement (Registration Authority) et de gestion de cartes (Card (Registration Authority) (Card Management Systems) Systems)
Alacris idNexus, Gemplus SafeITes Card Manager, Intercede MyID Manager, Enterprise, Enterprise, Spyrus Signal IM, etc.
DIMS permet de dlivrer les lettres de crance la machine courante de lutilisateur via la rplication Active Directory et les stratgies de groupes
Facilite lusage de fonctions comme lauthentification client et la messagerie scurise
Rsum de la session
La carte puce est un lment cl en rponse aux besoins de scurit interne de lentreprise Le dploiement dune infrastructure PKI avec Windows Server 2003 permet dintgrer simplement et rapidement la carte puce
Les applications existent et en tirent parti Les applications sur mesure peuvent en tirer parti et ainsi amliorer leur niveau de scurit
Une seule carte est aujourdhui ncessaire pour accder lensemble des actifs physiques et dinformation Microsoft Le PIN initial doit tre chang de faon avant toute connexion au rseau
Les PINs doivent tre alphanumrique et comprendre entre 5 et 8 caractres
Smart Cards in the Enterprise: Lifecycle Management Systems are a Key Component
http://www.burtongroup.com/research_consulting/doc.asp?docid=8 http://www.burtongroup.com/research_consulting/doc.asp?docid=8
Microsoft France 18, avenue du Qubec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com
2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.