Implémenter une PKI avec 
ADCS 2012 R2 
Titre de vidéo 
Présentation de la formation 
Site : http://www.alphorm.com 
Blog ...
Plan 
• Présentation du formateur 
• Pourquoi une session sur les Pki 2012 R2? 
• Publics concernés et prérequis 
• Le pla...
Le formateur 
• IZZO Patrick 
• Travailleur indépendant après salariat en SSII 
• Formateur technique Windows serveur 2012...
Pourquoi une formation PKI 2012 R2? 
• Pki (Public Key Infrastructure 
 Environnement sécurisé de gestion et d’utilisation...
Publics concernés 
• Techniciens de support 
• Administrateurs, ingénieurs systèmes 
• Architecture informatique 
• Spécia...
Connaissances requises 
• Connaissances de base sur la gestion des systèmes d’exploitation 
Windows 
• Connaissances de ba...
Le plan de formation 
1. Présentation 
2. Cryptographie 
Type de chiffrement 
Certificats, Clés publiquesprivés 
3. Autori...
Ateliers pratiques 
• Exemples d’ateliers … 
 Cryptage de fichiers EfsAgent de récupération (Domaine  Workgroup) 
 Cartes ...
Liens des ressources logicielles 
• Source Windows 8.1 (version Entreprise) 
 http://technet.microsoft.com/fr-fr/windows/h...
Applications Pratique 
Architecture domaine : Corp.lan 
Active 
Directory 
s1.corp.lan 
 
s5.corp.lan 
s2.corp.lan 
Autori...
Ce qu’on a couvert 
• Présentation dur formateur 
• Pourquoi les une session sur les Pki 2012 r2 ? 
• Les prérequis de la ...
Cryptographie 
Introduction au PKI 
et à la Cryptographie 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/bl...
Plan 
• Rôle des PKI 
• Utilisation des PKI 
• Composantes de PKI 
• Technologies de Cryptographie 
• Cryptage SymétriqueA...
Rôle des PKI 
• Pki (Public Key Infrastructure ou Infrastructure de clé publique) 
 Technologies de cryptographie pour la ...
Exemples d’utilisation des PKI 
• Fichiers (Efs, Bitlocker) 
• Pilotes, ActiveX, Macros, Scripts PowerShell 
• Site Web (S...
Composantes d’une architecture de PKI 
• Cryptographie 
 Algorithmes mathématiques 
 Certificats 
• Autorités de certifica...
Cryptage symétrique 
• Algorithme mathématique + Clé (élément variable de l’algorithme) 
 Algorithmes mathématiques : Des,...
Composantes Cryptage asymétrique 
• Certificat 
 Utilisation des clés, propriétaire, durée de vie…) 
 Clé publique 
• Clé ...
Cryptage asymétrique 
• Certificat avec Clé publique + Clé Privé 
 Je chiffrer avec la « Clé publique » de Bob 
 Bob déchi...
Comparatif types de cryptage ? 
• Cryptage symétrique 
 Plus rapide, une seule clé de petite taille (128, 256 bits) 
 Requ...
Combinaison Symétrique  Asymétrique 
• On utilisera toujours une combinaison de cryptage Symétrique  
Asymétrique !!! 
• C...
Combinaison SymétriqueAsymétrique 
• Chiffrement avec un clé symétrique 
• Protection de la clé symétrique en Asymétrique ...
Cryptage EFS 
• Encryption File System 
• Chiffrement de fichiers ou de dossiers 
• Rapide, performant (intégré au noyau N...
Fonctionnement du chiffrement EFS 
• L’utilisateur demande à crypter son document 
• Le système génère une clé aléatoire 
...
Déchiffrement EFS 
• Fonctionnement du déchiffrement EFS 
 L’utilisateur ouvre le document 
 Le système récupère la clé pr...
Application 
Application pratique 
Chiffrement de fichiers EFS 
Implémenter une PKI avec Windows Server 2012 R2 Active Dir...
Ce qu’on a couvert 
• Le fonctionnement de la cryptographie 
 Combinaison de cryptage Symétrique et Asymétrique 
 Les comp...
Cryptographie 
Partage de fichiers 
cryptés 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
Forum : ht...
Plan 
• Partage de fichiers cryptés 
• Application : Partage de fichiers cryptés Efs 
La partie de l'image avec l'ID de re...
Partage de fichiers cryptés EFS 
• L’utilisateur U1 souhaite partager son fichier crypté avec u2 et u3… 
Sans communiquer ...
Partage d’un fichier chiffré - Entêtes 
• Le système décrypte la clé symétrique 
à l’aide de la clé privé de Bob 
• Le sys...
Partage d’un fichier chiffré - Lecture 
• L’utilisateur « U2 » n’accède pas à l’entête 
de l’utilisateur (Bob) 
• L’utilis...
Application 
Application pratique 
Partage de fichiers EFS 
Implémenter une PKI avec Windows Server 2012 R2 Active Directo...
Ce qu’on a couvert 
• Le fonctionnement de la cryptographie 
 Partage de fichiers cryptés Efs 
Une bonne compréhension des...
Cryptographie 
Agents de récupération 
EFS 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
Forum : htt...
Plan 
• Agents de récupération Efs 
• Application : Agent de récupération Efs 
La partie de l'image avec l'ID de relation ...
Agents de récupération EFS 
• L’agent de récupération accède à tout les fichiers cryptés !!! 
Sans communiquer les clés pr...
Agents de récupération - Entête 
• Le système décrypte la clé symétrique 
à l’aide de la clé privé de Bob 
• Le système du...
Agents de récupération - Déchiffrement EFS 
• L’agent de récupération n’accède pas à l’entête 
de l’utilisateur (Bob) 
• L...
Application 
Application pratique 
Agent de récupération EFS 
Implémenter une PKI avec Windows Server 2012 R2 Active Direc...
Ce qu’on a couvert 
• Le fonctionnement de la cryptographie 
 Agent de récupération Efs 
Une bonne compréhension des notio...
Autorité de certification Entreprise 
Présentation d’une autorité 
Site : http://www.alphorm.com 
Blog : http://www.alphor...
Plan 
• Rôle de l’autorité de certification 
• Authentification et intégrité des certificats 
• Type d’autorité de certifi...
Rôle de l’autorité de certification 
• Autorité de certification (Certification Authority – CA) 
• Gestion des certificats...
Authentification des certificats - Signature 
Clé Publique AC Clé Privé 
AC 
AC 
1 1 
 
Autorité de 
certification 
1 1 
C...
Authentification des certificats - Intégrité 
Clé Publique 
Bob 
Bob 
 
Signature 
CorpCA 
• Algorithme mathématique de Ha...
AuthentificationIntegrité des certificats 
Clé Publique AC Clé Privé 
Clé Publique 
Bob 
1 1 
AC 
Clé Privé 
Bob 
AC 
1 1 ...
Application 
Application pratique 
Calcul de valeurs de Hash 
Implémenter une PKI avec Windows Server 2012 R2 Active Direc...
Type d’Autorité de certification 
Autonome 
 Ne requiert pas Active Directory 
 Ne requiert pas que le serveur « Autorité ...
Ce qu’on a couvert 
• Rôle de l’autorité de certification 
• Authentification et intégrité des certificats 
• Type d’autor...
Autorité de certification Entreprise 
Installation d’une autorité 
Site : http://www.alphorm.com 
Blog : http://www.alphor...
Plan 
• Considération pré-installation 
• CAPolicy.inf 
• Post installation 
• Installation 
• Inscription de certificats ...
Considération pré-installation 
• Installation complète ou minimale (Serveur Core) de Windows 
• Appartenance au domaine e...
CAPolicy.inf 
 Paramètre de configuration de l’autorité appliqués à l’installation et 
lors du renouvellement du certifica...
Post installation 
• Appliquer les paramètres de fonctionnement (certUtil) 
 certutil -setreg CACRLPeriodUnits 3 
 certuti...
Application 
Application pratique 
Implémentation d’une autorité 
de certification racine entreprise 
s1.corp.lan 
Contrôl...
Ce qu’on a couvert 
• Considération pré-installation 
• CAPolicy.inf 
• Post installation 
• Installation 
• Inscription d...
Inscription de certificats 
Modèles de certificats 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
For...
Plan 
• Qu’est ce qu’un modèle de certificat 
• Les versions des modèles de certificat 
• Application pratique : Personnal...
Qu’est ce qu’un modèle de certificat ? 
• Il définit les propriétés des certificats émis 
 La durée de validité 
 Leles rô...
Versions des modèles de certificat 
• Systèmes d’exploitation et versions 
 Windows 2000 Server : Version 1 
 Windows Serv...
Versions des modèles de certificats 
• Version 1 
 Compatibles toutes versions d’autorités de certifications Microsoft 
 N...
Versions des modèles de certificat 
• Version 4  Windows Serveur 2012 et Windows 8 
 l'onglet Compatibilité : Liste les fo...
Application 
Application pratique 
Création et inscription 
d’un modèle de certificat personnalisé 
s1.corp.lan 
Contrôleu...
Ce qu’on a couvert 
• Les modèles de certificats 
 Créer et personnaliser 
 Gestion des versions 
 Inscription d’un certif...
Inscription de certificats 
Inscription via le Web 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
For...
Plan 
• Qu’est ce que l’inscription via le Web 
• Configuration requise pour le navigateur Web 
• Application pratique : I...
Inscription via le Web 
• Demande de certificat avancée ou si l'inscription automatique ne peut pas être utilisée 
• Inscr...
Configuration du navigateur Web 
• Requiert un certificat Ssl pour un accès en Https 
• Accès en http pour l’intranet 
 Aj...
Application 
Application pratique 
Inscription de certificats via le Web 
s1.corp.lan 
Contrôleur de domaine 
s2.corp.lan ...
Ce qu’on a couvert 
• Inscription de certificats via le Web 
 Implémentation du rôle 
 Configuration du navigateur 
 Inscr...
Inscription de certificats 
Inscription automatique 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
Fo...
Plan 
• Implémenter Efs avec Active Directory 
• Inscription automatique de certificats 
• Application pratique : Personna...
Particularité pour le modèle EFS 
• Le modèle Efs de base est codé en dur dans le code du système 
 Créer un nouveau modèl...
Inscription automatique 
• Autorité de certification « Entreprise » et membre du groupe « admins du domaine » ou 
« admini...
Inscription automatique 
• L'inscription automatique s’exécute toutes les huit heures 
• Le modèle de certificat peut spéc...
Application 
Application pratique 
Inscription automatique 
d’un modèle de certificat « CorpEfs » 
s1.corp.lan 
Contrôleur...
Ce qu’on a couvert 
• L’utilisation de modèles de certificat pour EFS en contexte Active 
Directory 
• L’inscription autom...
Inscription de certificats 
Itinérance des certificats 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog ...
Plan 
• Problématique certificatsutilisateurs itinérants 
• Solution : Itinérance des certificats 
• Application pratique ...
Problème : Utilisateurs itinérants 
• Problème : L’utilisateur itinérant inscrit un certificat sur chaque machine sur 
laq...
Solution : Itinérance des certificats 
• Itinérance des certificats (Credential Roaming) 
• Stocke le certificat de façon ...
Implémentation 
• Requiert niveau de schéma forêt Windows 2008 
• Activation par stratégie de groupe 
 Activer la stratégi...
Signature de code PowerShell 
• Permet de n’exécuter que les scripts PowerShell signés 
• Requiert un certificat basé sur ...
Application 
Application pratique 
Signature de code  Credential Roaming 
s1.corp.lan 
Contrôleur de domaine 
Stratégie Cr...
Ce qu’on a couvert 
• Itinérance des certificats 
 Basé sur Active Directory (Stockage centralisé) 
 Activé par stratégies...
Inscription de certificats 
Agent d’inscription 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
Forum ...
Plan 
• Qu’est ce qu’un « Agent d’inscription » de certificats? 
• Implémentation d’un « Agent d’inscription » 
• Applicat...
Agent d’inscription 
• L'agent d'inscription peut inscrire des certificats au nom d'autres utilisateurs 
(cartes à puce …)...
Implémentation : Agent d’inscription 
• Créer un Nouveau modèle « d’Agent Inscription » 
• Inscrire un certificat « d’Agen...
Application 
Application pratique 
Agent D’inscription (carte à puces) 
s1.corp.lan 
Contrôleur de domaine 
s2.corp.lan 
A...
Ce qu’on a couvert 
• Agents d’inscription 
 Créer et inscrire un agent d’inscription 
 Inscription de certificat pour d’a...
Sites Web Sécurisés 
Implémentation de SSL 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
Forum : htt...
Plan 
• Fonctionnement du protocole SSL 
• Rôle des certificats avec le protocole SSL 
• Application Pratique : Implémenta...
Sécurisation de sites Web 
 Protocole Ssl (Secure Socket Layer) 
• Url Https 
• Port TCP : 443 
• Authentification du serv...
Processus de connexion SSL 
• Le serveur Web refuse les connexions en http, exige une connexion en https et renvoi son 
ce...
Fonctionnement SSL 
1 1 Clé Privé AC ########## 
Clé Publique AC 
AC  
Hash : 12345678910 
Hash : 12345678910 
 
Clé Publi...
Application Pratique 
Implémentation de sites Web SSL 
s1.corp.lan 
Contrôleur de domaine 
s2.corp.lan 
Autorité de certif...
Ce qu’on a couvert 
• Fonctionnement de Ssl (Certificats) 
• Implémentation du protocole SSL 
La sécurisation de site Web ...
Sites Web Sécurisés 
Nouveautés IIS 8 et 8.5 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
Forum : h...
Plan 
• Nouveautés IIS 8 et 8.5 SslCertificats 
 Indication du server de nom (Server Name Indication - Sni) 
 Magasin de c...
Indication du nom du serveur 
• « Indication du nom du serveur » (Server Name Indication - Sni) 
permet de faire tourner p...
Implémentation Ccs 
• Magasin de certificats centralisé (Centralized Certificate Store - Ccs) 
 Créer un partage de fichie...
Application Pratique 
Implémentation SniCss sur sites Web Ssl 
s1.corp.lan 
Contrôleur de domaine 
s2.corp.lan 
Autorité d...
Ce qu’on a couvert 
• Nouveautés IIs 8  IIS 8.5 
 Indication du nom du serveur (Server Name Indication - Sni) 
 Magasin de...
Révocation de certificats 
Révocation Lan 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
Forum : http...
Plan 
• Concept 
• Raisons de révocation 
• Type de listes de révocation 
• Application Pratique : Révocation de certifica...
Concept 
• La révocation permet de rendre invalide un certificat « avant » sa date de fin de 
validité et donc … d’interdi...
Raisons de la révocation 
• Non spécifié 
• Clé compromise 
• Autorité de certification compromise 
• Modification de l’af...
Types de listes de révocation 
• Liste de révocation complète (Certificate Revocation List - Crl) 
 Contient toutes les em...
Problématiques possibles … 
• Désactivation ou « non supporté » 
(Efs ne prends pas en charge la révocation – In design !!...
Application Pratique 
Révocation de certificats de sites Web SSL 
Impossible d'afficher l'image. Votre 
ordinateur manque ...
Ce qu’on a couvert 
• Le processus de révocation sur le lan 
• L’implémentation et le dépannage de la révocation 
La révoc...
Révocation de certificats 
Révocation Wan 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
Forum : http...
Plan 
• Problématique … et solution !! 
• Emplacement des listes de révocations (Cdp) 
• Emplacement des informations de l...
Problématique fréquente !! 
• Le chemin d’accès à la liste de révocation n’est pas disponible !! 
• Solution : 
 Stocker l...
Emplacements des listes de révocation 
• Emplacement de vérification des listes de révocation 
(CDP - Crl Distribution Poi...
Implémentation de nouvelles URLs CDP 
• Déterminer les chemins de publication des URLs Crl (Serveur Web) 
• Créer les poin...
Autres informations nécessaires (AIA) 
• Emplacement de vérification des autorités de certification 
(AIA - Authority Info...
Emplacements des informations de l’autorité 
• Emplacement de vérification des autorités de certification 
(AIA - Authorit...
Implémentation de nouvelles URLs AIA 
• Déterminer les chemins de publication des URLs AIA (Serveur Web) 
• Créer les poin...
Dépannage des urls CDPAIA 
• Mise en cache des listes de révocation 
 Certutil -setreg chainChainCacheResyncFiletime @now ...
SSTP 
• Secure Socket Tunneling Protocol (SSTP) 
• Nouveau protocole VPN 
 Utilise le port : 443 
 Un certificat pour l’au...
Application Pratique 
Implémentation d’un VPN SSTP 
Active 
Directory 
s5.corp.lan 
VPN SSTP 
s1.corp.lan 
Contrôleur de d...
Ce qu’on a couvert 
• La validation de l’accès aux listes de révocation (CDP) depuis l’extérieur de 
l’entreprise 
• La va...
Révocation de certificats 
Serveur OCSP 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/blog 
Forum : http:/...
Plan 
• Concept 
• Fonctionnement du protocole OCSP 
• Implémentation et validation d’un serveur OCSP 
• Application Prati...
Concept 
• OCSP – Online Certificate Status Protocol 
 Protocole normalisé 
 Première implémentation dans Windows 2008 / V...
Fonctionnement 
Active 
Directory 
s1.corp.lan 
Contrôleur de domaine 
 
OCSP 
s2.corp.lan 
Autorité de certification 
w81...
Implémenter un serveur OSCP 
• Installer le service de rôle « Répondeur en ligne » 
• Sur l’autorité de certification 
 Pe...
Validation du serveur OCSP 
• PKI View 
 Valider l’obtention du certificat de signature OCSP (Mmc certificat) 
 Requiert u...
Application Pratique 
Implémentation d’un serveur OCSP 
Active 
Directory 
s5.corp.lan 
VPN SSTP 
s1.corp.lan 
Contrôleur ...
Ce qu’on a couvert 
• Le fonctionnement du rôle OSCP 
• L’implémentation et le dépannage du server OCSP 
L’implémentation ...
Sécuriser une infrastructure PKI 
Sauvegarde et restauration 
de l’autorité de certification 
Site : http://www.alphorm.co...
Plan 
• Procédure de sauvegarde 
• Procédure de restauration 
• Validation de la restauration 
• Application pratique : Sa...
Sauvegarde de l’autorité de certification 
• Sauvegarde complète du système (Sauvegarde Windows Serveur) 
• Sauvegarde par...
Procédure de restauration 
• Nommer l’ordinateur avec le même nom que celui de l’autorité de certification 
d’origine 
• I...
Application 
Application pratique 
Sauvegarde et restauration 
d’une autorité de certification 
Entreprise 
Implémenter un...
Ce qu’on a couvert 
• Sauvegarde et restauration de l’autorité de certification 
L’autorité de certification « Entreprise ...
Sécuriser une infrastructure PKI 
Archivage des certificats 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/...
Plan 
• Archivage des certificats 
• Agent de récupération (rôle et implémentation) 
• Récupération de certificats 
• Appl...
Archivage des certificats 
• Sauvegarde des certificats 
 Sauvegarde des certificats émis 
 Sauvegarde complète ( Certific...
Agent de récupération 
• Certaines fonctionnalités intègrent leur agent de récupération (EFS) 
• « L’agent de récupération...
Implémentation 
• Créer un agent de récupération 
 Personnaliser le modèle « Agent de récupération » 
 L’agent de récupéra...
Récupération d’un certificat 
• Récupérer le certificat archivé (Agent de récupération) 
 Se connecter avec « Agent de réc...
Application 
Application pratique 
Sauvegarde et récupération 
d’un certificat archivé 
avec un « Agent de récupération » ...
Ce qu’on a couvert 
• La mise en place de l’archivage des certificats 
• La récupération d’un certificat archivé 
Les serv...
Sécuriser une infrastructure PKI 
Architectures sécurisées 
Site : http://www.alphorm.com 
Blog : http://www.alphorm.com/b...
Plan 
• Architecture sécurisées 
• Certificat des autorités de certification secondaires 
• Autorité racine hors connexion...
Architecture 
 Organisations différentes 
 Eclatement géographique 
 Equilibrage de la charge 
 Tolérance de panne 
 Usage...
Certificats de autorités secondaires 
• Délivrés par l’autorité parente 
• Révocation plus facile 
• Pas plus de trois niv...
Autorité racine hors connexion 
• Système Windows 
 Système arrêté en fin de configuration 
 Windows Serveur 2012 r2 Stand...
Implémentation autorité racine autonome 
• Installer et configurer le rôle « autorité de certification » 
• Configurer des...
Implémentation secondaire entreprise 
• Installer le rôle « autorité de certification » 
• Publier les listes de révocatio...
Publication des certificats et Crl dans AD 
• Requiert les droits « Administrateur entreprise » 
• Publier le certificat d...
Application Pratique 
Implémentation d’une hiérarchie 
deux tiers sécurisée 
Clé Privé 
AC 
 
AC 
 
Active 
Directory  
AC...
Ce qu’on a couvert 
• L’installation d’un architecture sécurisée de Pki 
 Une autorité racine autonome hors connexion 
 Un...
Architectures sécurisées 
Autorité racine autonome 
Hors connexion 
Site : http://www.alphorm.com 
Blog : http://www.alpho...
Plan 
• Scénario d’implémentation d’une autorité racine autonome hors 
connexion 
• Chemins d’accès Cdp et Aia 
• Automati...
Implémentation autorité racine autonome 
• Installer et configurer l’ordinateur de l’autorité racine 
• Installer et confi...
Automatisations 
• CaPolicy.inf 
• Scripts d’installation et de configuration des rôles (PowerShell) 
• Scripts de modific...
PowerShell (Installation de rôles) 
• Get-WindowsFeature ADCS* 
• Add-WindowsFeature (-IncludeManagementTools) 
 ADCS-Cert...
PowerShell (Configuration) 
• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools 
• Install-AdcsCertificationAu...
Variables Chemins CDP  AIA 
ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services, 
CN=Services,%6%10 
CN=NomTronquéAutorité...
Variables Chemins CDP  AIA 
%C:windir%Windowssystem32system32CertSrvCertSrvCertEnroll%CertEnroll3%8%9.crl 
NomAutoritéCert...
Variables CDP 
Options de publications pour emplacements CDP 
%1 Publier les listes de révocation des certificats à cet 
e...
Variables AIA 
Options de publications pour emplacements AIA 
%1 Emplacement de publication 
%2 Inclure dans l’extension A...
PowerShell (Urls Cdp  Aia) 
• $crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove- 
CACrlDistributio...
Certutil (Urls Cdp  Aia) 
• Suppression manuelle des Urls existantes 
(ou utilisation de scripts PowerShell) 
• Certutil -...
Application Pratique 
Autorité de certification 
racine autonome hors connexion 
Modification de Urls 
 
CDP et AIA 
Liste...
Ce qu’on a couvert 
• Automatisation de l’installation de l’autorité de certification racine hors 
connexion 
• Automatisa...
Architectures sécurisées 
Autorité de certification 
secondaire entreprise 
Site : http://www.alphorm.com 
Blog : http://w...
Plan 
• Scénario d’implémentation de l’autorité secondaire entreprise 
• Automatisation « PowerShell » et « Certutil » 
• ...
Implémentation secondaire entreprise 
• Installer le rôle « autorité de certification » 
• Publier les listes de révocatio...
Automatisations 
• CaPolicy.inf 
• Scripts d’installation et de configuration des rôles (PowerShell) 
• Scripts de modific...
Publication des certificatsListe de révocation 
• Requiert les droits « Administrateur entreprise » 
• Publier le certific...
CAPolicy.inf CorpSubEntCA 
• Paramètre de configuration de l’autorité appliqués à l’installation 
 Déclaration des pratiqu...
PowerShell (Installation de rôles) 
• Get-WindowsFeature ADCS* 
• Add-WindowsFeature (-IncludeManagementTools) 
 ADCS-Cert...
PowerShell (Configuration) 
• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools 
• Install-AdcsCertificationAu...
Post Installation 
Période de chevauchement Crl et CrlDelta 
 Certutil -SetReg CACRLOverlapPeriodUnits 24 
 Certutil -SetR...
Application Pratique 
Implémentation d’une hiérarchie 
deux tiers sécurisée 
Clé Privé 
AC 
 
AC 
 
Active 
Directory  
AC...
Ce qu’on a couvert 
• Automatisation de l’installation de l’autorité secondaire entreprise 
• Automatisation de modificati...
Autres Rôles PKI 
Certificate Enrollment Web 
Services (CepCes) 
Site : http://www.alphorm.com 
Blog : http://www.alphorm....
Plan 
• Concept 
• Fonctionnement 
• Scénarios d’utilisation 
• Paramétrages 
• Mode « Renouvellement seul » 
• Atelier pr...
Concept 
• Inscription et renouvellement de certificats clients en Https 
• Certificate Enrollment Policy Web Service (Cep...
Fonctionnement 
• Avec des ordinateurs « membres du domaine » : Ldap, Kerberos et RpcDcom 
• Ordinateurs non membres du do...
Fonctionnement 
Active 
Directory 
CEP 
Certificate Enrollment Policy Web Service 
Client 
Workgroup ou Domaine 
Ldap 
Aut...
Scénarios d’utilisation 
• Consolidation de forêt avec connexion Https sur une seule autorité de 
certification dans la fo...
Pares-feu 
• Paramétrage du pare-feu 
 Https (Tcp 443) et Ldap (Tcp 389  636) 
(Cep) 
 Plage de ports Dcom aléatoires et é...
Comptes de service 
• Compte « Application Pool ID » (à l’installation) 
• Compte de domaine (pas de compte locaux support...
CEP CES Authentification 
• Intranet (Scénarios même forêt  Consolidation de forêts) 
 Authentification Windows intégrée p...
Cep  Ces Délégation 
• Requise (toutes les conditions remplies) 
 L’autorité n’est pas sur le même serveur que le service ...
CES  CES 
• Schéma Active Directory 2008 r2 minimum 
• Autorité de certification Entreprise pour 2008 r2 
• Serveurs CepCe...
Implémentation 
• Obtenir un certificat Ssl 
• Ajouter et configurer les rôles 
• Personnaliser IIS (Compte de service, Fr...
Mode renouvellement seul 
• L’inscription avec identité de l’utilisateur augmente les chances 
d’attaque depuis Internet d...
Application Pratique 
Implémentation CepCes 
Active 
Directory 
CepCes 
s1.corp.lan 
Contrôleur de domaine 
Requête Modèle...
Ce qu’on a couvert 
• Le concept et les scénarios d’usage de CepCes 
• Les paramètres d’implémentation 
 Délégation 
 Comp...
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Prochain SlideShare
Chargement dans…5
×

Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2

13 407 vues

Publié le

La formation complète est disponible ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-le-pki-avec-adcs-2012-r2

Au travers des modules couvrant la totalité des rôles ADCS 2012 R2 Microsoft, cette formation vous guide graduellement à l'expertise des architectures PKI Windows 2012 R2 qui constituent aujourd'hui la "pierre angulaire" de toutes stratégies de sécurité informatique.

Vous acquérez toutes les compétences et connaissances nécessaires pour planifier, déployer (avec automatisation), configurer, administrer, maintenir et dépanner, et implémenter des hiérarchies sécurisées d'autorités de certification pour une sécurité et une souplesse maximale de votre PKI.

Tous les modules sont illustrés de travaux pratiques pour une approche pragmatique et 100% concrète.
Les concepts cryptographiques sont également abordés pour une compréhension complète et claire de la gestion des certificats.

Cette formation est utile dans la préparation de certaines certifications Microsoft (70-412...).

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
13 407
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6 868
Actions
Partages
0
Téléchargements
347
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2

  1. 1. Implémenter une PKI avec ADCS 2012 R2 Titre de vidéo Présentation de la formation Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  2. 2. Plan • Présentation du formateur • Pourquoi une session sur les Pki 2012 R2? • Publics concernés et prérequis • Le plan de formation • Les ateliers pratiques • Architecture de base des ateliers pratiques Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  3. 3. Le formateur • IZZO Patrick • Travailleur indépendant après salariat en SSII • Formateur technique Windows serveur 2012 r2 • MCP, MCST, MCSA 2008 r2, MCSA 2012 r2 • MCT (1997 - 2014) patrick.izzo@orange.fr • Mes références : LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458 Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo Alphorm http://www.alphorm.com/auteur/patrick-izzo Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx (Login : 692101 password : 58964781) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  4. 4. Pourquoi une formation PKI 2012 R2? • Pki (Public Key Infrastructure Environnement sécurisé de gestion et d’utilisation de certificats La base de toute sécurité d’entreprise !! • Des concepts nouveaux • Une implémentation multi-composantes • Richesse de fonctionnalités • Gain de temps • Aide au passage des certifications Microsoft (70-412) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  5. 5. Publics concernés • Techniciens de support • Administrateurs, ingénieurs systèmes • Architecture informatique • Spécialiste en sécurité • Spécialiste en Pki d’entreprise • Passage des certifications Microsoft (70-412) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  6. 6. Connaissances requises • Connaissances de base sur la gestion des systèmes d’exploitation Windows • Connaissances de base sur les réseaux • Connaissances sur l’Active Directory • Pas de prérequis sur la cryptographie (couvert par la session) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  7. 7. Le plan de formation 1. Présentation 2. Cryptographie Type de chiffrement Certificats, Clés publiquesprivés 3. Autorité de certification Entreprise Présentation d’une autorité de certification Installation d’une autorité de certification 5. Sites Web sécurisés Implémentation de Ssl Nouveautés IIS 8 et IIS 8,5 6. Révocation de certificats Révocation Lan Révocation Wan Serveur OCSP 7. Sécurisation d'une infrastructure de clé publiques 4. Inscription de certificats Modèles de certificats Inscription manuelle Inscription via le Web Inscription automatique Itinérance des certificats Agent d'inscription Sauvegarde et restauration Archivage des certificats Architectures sécurisées Installations automatisées autorité racine Installations automatisées autorité secondaire 8. Autres rôles Pki Certificate Enrollment Web Services (CepCes) Network Device Enrollment Service (Ndes) 9. Conclusion Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  8. 8. Ateliers pratiques • Exemples d’ateliers … Cryptage de fichiers EfsAgent de récupération (Domaine Workgroup) Cartes à puceAgent de récupération Vpn SSTP Signature de code PowerShell Sites Web Sécurisés … • Architecture des ateliers Machines virtuelles (Hyper-V 3) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  9. 9. Liens des ressources logicielles • Source Windows 8.1 (version Entreprise) http://technet.microsoft.com/fr-fr/windows/hh771457.aspx • Source Windows 2012 Server http://technet.microsoft.com/fr-fr/evalcenter/hh670538.aspx Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  10. 10. Applications Pratique Architecture domaine : Corp.lan Active Directory s1.corp.lan s5.corp.lan s2.corp.lan Autorité de certification w811.corp.com s4.corp.lan 10.0.0.1 10.0.0.2 80.0.0.11 10.0.0.4 10.0.0.5 Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  11. 11. Ce qu’on a couvert • Présentation dur formateur • Pourquoi les une session sur les Pki 2012 r2 ? • Les prérequis de la formation • Le contenu (plan et ateliers pratiques) C’est parti !! Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  12. 12. Cryptographie Introduction au PKI et à la Cryptographie Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  13. 13. Plan • Rôle des PKI • Utilisation des PKI • Composantes de PKI • Technologies de Cryptographie • Cryptage SymétriqueAsymétrique • Certificats • Application : Chiffrement de fichiers (EFS) La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  14. 14. Rôle des PKI • Pki (Public Key Infrastructure ou Infrastructure de clé publique) Technologies de cryptographie pour la sécurisation de votre environnement informatique Utilisé pour : • Confidentialité (Chiffrement) • Authentification (Utilisateur, Ordinateur) • Intégrité (Données non modifiées) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  15. 15. Exemples d’utilisation des PKI • Fichiers (Efs, Bitlocker) • Pilotes, ActiveX, Macros, Scripts PowerShell • Site Web (Ssl) • Connexions réseau (Vpn, Wifi…) • Sécurisation de trafic réseau (IpSec…) • Authentification Forte (Cartes à puce) • Mails • … Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  16. 16. Composantes d’une architecture de PKI • Cryptographie Algorithmes mathématiques Certificats • Autorités de certifications (Gestion des certificats) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  17. 17. Cryptage symétrique • Algorithme mathématique + Clé (élément variable de l’algorithme) Algorithmes mathématiques : Des, 3Des ou Aes … Une seule clé (128, 256 bits) • La clé symétrique doit être transmise à l’aide de moyen de communication sécurisé Décaler de : 3 Bonjour EEEEEEEErrrrrorrqqqqqqnnmmmmmjjjooorrorruuxuxxuurruurrrr Décaler de : 3 Erqmrxu EEEEBEBEErrrroororqqqqnqnnnmmmmjjjjjoooooorrruuuuxuuxurrurrrrrr Bob Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  18. 18. Composantes Cryptage asymétrique • Certificat Utilisation des clés, propriétaire, durée de vie…) Clé publique • Clé Privé Stocké dans un emplacement protégé sur l’ordinateur Bob Clé Publique de Bob Lien mathématique de 1 à un entre la clé privé et la clé publique Clé Privée de Bob 1 1 Clé Publique Bob de Bob Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  19. 19. Cryptage asymétrique • Certificat avec Clé publique + Clé Privé Je chiffrer avec la « Clé publique » de Bob Bob déchiffrer avec sa « clé privée » Clé Privée de Bob Clé Publique de Bob Bob 1 1 BEorqnmjoruxru! Bonjour Bob Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  20. 20. Comparatif types de cryptage ? • Cryptage symétrique Plus rapide, une seule clé de petite taille (128, 256 bits) Requiert une communication déjà sécurisée pour l’échange de la clé • Cryptage Asymétrique Plus lent (100 fois ou plus …), deux clés (PubliquePrivé + un certificat) Taille des clés plus importante (1024, 2048, 4096 bits) Totalement sécurisé • Lequel utiliser ?? Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  21. 21. Combinaison Symétrique Asymétrique • On utilisera toujours une combinaison de cryptage Symétrique Asymétrique !!! • Chiffrement du contenu : Symétrique Plus rapide • Protection de la clé : Asymétrique Totalement sécurisé Le chiffrement asymétrique sécurise la clé symétrique !!! Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  22. 22. Combinaison SymétriqueAsymétrique • Chiffrement avec un clé symétrique • Protection de la clé symétrique en Asymétrique Lien mathématique de 1 à un entre la clé privé et la clé publique Clé Privée de Bob Clé Publique de Bob 1 1 La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier. 3# 3 Bob BEorqnmjoruxru! Bonjour Bob Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  23. 23. Cryptage EFS • Encryption File System • Chiffrement de fichiers ou de dossiers • Rapide, performant (intégré au noyau Ntfs) • Combine cryptage symétrique et asymétrique • Transparent • Les fichiers cryptés apparaissent en vert Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  24. 24. Fonctionnement du chiffrement EFS • L’utilisateur demande à crypter son document • Le système génère une clé aléatoire symétrique dans l’entête du fichier • Le document est crypté à l’aide de la clé symétrique 3# Bob • La clé symétrique est crypté en asymétrique avec la clé publique de l’utilisateur Ceci ëH3ÿ est 32ö un ë! I‹ÉÿÅH‹È document H‹øÿÅH‹confidentiel ÏŠð Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  25. 25. Déchiffrement EFS • Fonctionnement du déchiffrement EFS L’utilisateur ouvre le document Le système récupère la clé privé de l’utilisateur le système déchiffre la clé symétrique à l’aide de la clé privé de l’utilisateur Clé Privée de Bob #3 Bob Le système déchiffre le document à l’aide de la clé de chiffrement symétrique ëH3ÿ 32ö ë! I‹ÉÿÅH‹È H‹øÿÅH‹ÏŠð Ceci est un document confidentiel Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  26. 26. Application Application pratique Chiffrement de fichiers EFS Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  27. 27. Ce qu’on a couvert • Le fonctionnement de la cryptographie Combinaison de cryptage Symétrique et Asymétrique Les composantes d’un certificat Le rôle des clés, publique et privée, associées Application avec le cryptage de fichier (Efs) Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  28. 28. Cryptographie Partage de fichiers cryptés Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  29. 29. Plan • Partage de fichiers cryptés • Application : Partage de fichiers cryptés Efs La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  30. 30. Partage de fichiers cryptés EFS • L’utilisateur U1 souhaite partager son fichier crypté avec u2 et u3… Sans communiquer sa clé privée !!! • Fonctionnement : Chaque utilisateur pour qui l’on partage le fichier disposera de sa copie de l’entête comprenant la clé symétrique qu’il chiffrera, ou déchiffrera, avec ses clés publiqueprivé ! Il y aura autant d’entêtes dupliqués que d’utilisateurs avec qui l’on partagera le fichier Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  31. 31. Partage d’un fichier chiffré - Entêtes • Le système décrypte la clé symétrique à l’aide de la clé privé de Bob • Le système duplique un nouvel entête pour l’utilisateur « U2 » • La clé symétrique du nouvel entête est chiffré en asymétrique à l’aide # 3# Clé Privée de Bob Bob 3 # U2 de la clé publique de l’utilisateur « U2 » • Il y aura autant d’entête que d’utilisateurs avec qui l’on partagera le fichier … ëH3ÿ 32ö ë! I‹ÉÿÅH‹È H‹øÿÅH‹ÏŠð Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  32. 32. Partage d’un fichier chiffré - Lecture • L’utilisateur « U2 » n’accède pas à l’entête de l’utilisateur (Bob) • L’utilisateur « U2 » accède à son entête • Il décrypte la clé symétrique à l’aide de sa clé privé d’utilisateur « U2 » 3# Clé Privée de U2 U2 #3 • Il déchiffre le document à l’aide de la clé symétrique déchiffrée Ceci est un document confidentiel ëH3ÿ 32ö ë! I‹ÉÿÅH‹È H‹øÿÅH‹ÏŠð Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  33. 33. Application Application pratique Partage de fichiers EFS Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  34. 34. Ce qu’on a couvert • Le fonctionnement de la cryptographie Partage de fichiers cryptés Efs Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  35. 35. Cryptographie Agents de récupération EFS Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  36. 36. Plan • Agents de récupération Efs • Application : Agent de récupération Efs La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  37. 37. Agents de récupération EFS • L’agent de récupération accède à tout les fichiers cryptés !!! Sans communiquer les clés privées des utilisateurs à l’agent de récupération • Le principe est la même que pour le partage de fichiers cryptés Chaque « agent de récupération » dispose d’une copie de l’entête comprenant la clé symétrique qu’il chiffre ou déchiffre avec ses clés publiqueprivé ! Il y aura autant d’entêtes dupliqués que d’ « agents de récupération » déclarés sur l’ordinateur Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  38. 38. Agents de récupération - Entête • Le système décrypte la clé symétrique à l’aide de la clé privé de Bob • Le système duplique un nouvel entête pour l’agent de récupération • La clé symétrique du nouvel entête est chiffré en asymétrique à l’aide # 3# Clé Privée de Bob Bob 3 # AR1 de la clé publique de l’agent de récupération ëH3ÿ 32ö ë! I‹ÉÿÅH‹È H‹øÿÅH‹ÏŠð Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  39. 39. Agents de récupération - Déchiffrement EFS • L’agent de récupération n’accède pas à l’entête de l’utilisateur (Bob) • L’agent de récupération accède à son entête • Il décrypte la clé symétrique à l’aide de sa clé privé d’agent de récupération 3# Clé Privée de AR1 AR1 #3 • Il déchiffre le document à l’aide de la clé symétrique déchiffrée Ceci est un document confidentiel ëH3ÿ 32ö ë! I‹ÉÿÅH‹È H‹øÿÅH‹ÏŠð Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  40. 40. Application Application pratique Agent de récupération EFS Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  41. 41. Ce qu’on a couvert • Le fonctionnement de la cryptographie Agent de récupération Efs Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  42. 42. Autorité de certification Entreprise Présentation d’une autorité Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum de certification Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  43. 43. Plan • Rôle de l’autorité de certification • Authentification et intégrité des certificats • Type d’autorité de certification Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  44. 44. Rôle de l’autorité de certification • Autorité de certification (Certification Authority – CA) • Gestion des certificats Délivrer des modèles personnalisés de certificats (Utilisateur, Ordinateurs, Services) Archiver Révoquer • Signature de certificats Authentification Intégrité Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  45. 45. Authentification des certificats - Signature Clé Publique AC Clé Privé AC AC 1 1 Autorité de certification 1 1 Clé Publique Bob Bob Clé Privé Bob Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  46. 46. Authentification des certificats - Intégrité Clé Publique Bob Bob Signature CorpCA • Algorithme mathématique de Hash Md5 (plus rapide) Sha (plus sécurisé) • Calculé à la création • Validé à chaque utilisation du certificat Hash : 12345678910 Hash : 12345678910 Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  47. 47. AuthentificationIntegrité des certificats Clé Publique AC Clé Privé Clé Publique Bob 1 1 AC Clé Privé Bob AC 1 1 Autorité de certification Bob Signature CorpCA HHHaaassshhh : :: 11#22#33#44#55#66#778#89#91#10#0 Hash : 12345678910 Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  48. 48. Application Application pratique Calcul de valeurs de Hash Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  49. 49. Type d’Autorité de certification Autonome Ne requiert pas Active Directory Ne requiert pas que le serveur « Autorité de certification » soit membre du domaine Demande de certificats exclusivement par navigateur Internet Entreprise Requiert Active Directory Le serveur « Autorité de certification » doit être membre du domaine Approbation automatique des requêtes de certificats Les utilisateurs fournissent des informations d’identifications Demandes en attentes jusqu’à approbation manuelle Modèles de certificat non personnalisables Pour un usage interne et externe (Internet) Demande de certificats Navigateur Web Manuelle (Mmc composant certificat) Automatique (Stratégies de groupe) Agent d’inscription Modèles de certificat personnalisables Pour un usage interne à l’entreprise Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  50. 50. Ce qu’on a couvert • Rôle de l’autorité de certification • Authentification et intégrité des certificats • Type d’autorité de certification La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  51. 51. Autorité de certification Entreprise Installation d’une autorité Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum de certification Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  52. 52. Plan • Considération pré-installation • CAPolicy.inf • Post installation • Installation • Inscription de certificats Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  53. 53. Considération pré-installation • Installation complète ou minimale (Serveur Core) de Windows • Appartenance au domaine et nom d'ordinateur non modifiable après le déploiement d'une autorité de certification (quelque soit le type) • Le choix du fournisseur de service de chiffrement cryptographique Compatible avec les applications, services Nom avec un caractère # : Fournisseur (CNG Cryptography Next Generation) • Valeur de la clé (2048 minimum recommandé) • Durée de vie du certificat de l’autorité Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  54. 54. CAPolicy.inf Paramètre de configuration de l’autorité appliqués à l’installation et lors du renouvellement du certificat de l’autorité de certification [Version] Signature= $Windows NT$ [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriodUnits=20 RenewalValidityPeriod=years Doit être placé dans le dossier %windir% Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  55. 55. Post installation • Appliquer les paramètres de fonctionnement (certUtil) certutil -setreg CACRLPeriodUnits 3 certutil -setreg CACRLPeriod Days certutil -setreg CAAuditFilter 127 • Publier une liste de révocation • Personnalisation de modèles de certificats • Tester l’inscription d’un certificat (Mmc : Certificats) • Sauvegarder l’autorité de certification Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  56. 56. Application Application pratique Implémentation d’une autorité de certification racine entreprise s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification w811.corp.lan Client Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  57. 57. Ce qu’on a couvert • Considération pré-installation • CAPolicy.inf • Post installation • Installation • Inscription de certificats La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  58. 58. Inscription de certificats Modèles de certificats Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  59. 59. Plan • Qu’est ce qu’un modèle de certificat • Les versions des modèles de certificat • Application pratique : Personnaliser un modèle de certificat et l’inscrire Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  60. 60. Qu’est ce qu’un modèle de certificat ? • Il définit les propriétés des certificats émis La durée de validité Leles rôles Qui peut inscrire le certificats Méthode d’inscription …Partition Configuration • Il est stocké dans l’Active Directory () • Il est répliqué sur toutes les autorités de certifications de la forêt Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  61. 61. Versions des modèles de certificat • Systèmes d’exploitation et versions Windows 2000 Server : Version 1 Windows Server 2003 Enterprise : Version 1 et 2 Windows Server 2008 Enterprise Edition : Version 1, 2 et 3 Windows Server 2012 : Versions 1, 2, 3 et 4 • Prise en charge des modèles de certificats Avant Windows Server 2008 R2, uniquement avec les éditions Entreprise Windows Server 2008 R2 2012 et 2012 r2 aussi avec les éditions Standard Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  62. 62. Versions des modèles de certificats • Version 1 Compatibles toutes versions d’autorités de certifications Microsoft Non modifiables • Version 2 Obtenu par duplication d’une version 1 et personnalisables • Version 3 Prends en charge CNG (Cryptography Next Generation) et Algorithmes Cryptographie Suite B) Nouveau modèle « signature de réponse OCSP » Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  63. 63. Versions des modèles de certificat • Version 4 Windows Serveur 2012 et Windows 8 l'onglet Compatibilité : Liste les fonctions non disponibles en fonction du système client et de l’autorité de certification Prise en charge de plus de CSP Prise en charge du renouvellement avec une même clé • Mise à niveau des modèles après mise à niveau de l’autorité de certification vers 2012 2012 r2 (oui à l’invite de mise à jour des modèles) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  64. 64. Application Application pratique Création et inscription d’un modèle de certificat personnalisé s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification Modèle : CorpUser w811.corp.lan Client Inscription du certificat Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  65. 65. Ce qu’on a couvert • Les modèles de certificats Créer et personnaliser Gestion des versions Inscription d’un certificat basé sur les nouveaux modèles La création de nouveaux modèles personnalisés permet le contrôle des certificats inscrits ainsi que de leurs propriétés. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  66. 66. Inscription de certificats Inscription via le Web Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  67. 67. Plan • Qu’est ce que l’inscription via le Web • Configuration requise pour le navigateur Web • Application pratique : Inscription d’un modèle personnalisé via le Web Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  68. 68. Inscription via le Web • Demande de certificat avancée ou si l'inscription automatique ne peut pas être utilisée • Inscription manuelle au travers d’un site Web • Rôle « Inscription de l’autorité de certification via le Web » Ajout d’un serveur Web IIS Ajout de page Web pour la demande de certificats • Utiliser l’url « http(s)://nom serveur/certsrv » Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  69. 69. Configuration du navigateur Web • Requiert un certificat Ssl pour un accès en Https • Accès en http pour l’intranet Ajouté au « Sites de confiance » ou au site « Intranet local » • Personnaliser le niveau … - Connexion automatique uniquement dans la zone intranet - Contrôles d’initialisation et de script non marqués comme sécurisé pour l’écriture de script • Autorisations « Lire » et « Inscription » sur le modèle de certificat • Ne peux pas être utilisé pour les certificats machines Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  70. 70. Application Application pratique Inscription de certificats via le Web s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification Inscription de certificat http://s2.corp.lan/certsrv w811.corp.lan Client Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  71. 71. Ce qu’on a couvert • Inscription de certificats via le Web Implémentation du rôle Configuration du navigateur Inscription d’un certificat via le Web L’inscription via le Web est utile lors d’inscription de certificats pour des utilisateurs qui ne disposent pas de compte utilisateurs dans Active Directory. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  72. 72. Inscription de certificats Inscription automatique Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  73. 73. Plan • Implémenter Efs avec Active Directory • Inscription automatique de certificats • Application pratique : Personnaliser le modèle Efs pour l’inscription automatique Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  74. 74. Particularité pour le modèle EFS • Le modèle Efs de base est codé en dur dans le code du système Créer un nouveau modèle personnalisé Paramétrer Efs par stratégie de groupe : • Autoriser le chiffrement Efs • Changer le modèle Efs utilisé par défaut par le modèle personnalisé • Interdire l’utilisation de certificats auto-signé • Ajouter le menu contextuel « ChiffrerDéchiffrer » Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  75. 75. Inscription automatique • Autorité de certification « Entreprise » et membre du groupe « admins du domaine » ou « administrateurs de l'entreprise » • Autorisation « Inscription automatique » à des groupes « globaux » ou « universels » (requiert les autorisations : « Lire » et « Inscription ») • Autorisation « Lecture » au groupe « Utilisateur authentifié » Affichage des modèles de certificats dans AD DS Permet à l'Autorité de certification, exécutée dans le contexte Système, d'afficher les modèles de certificats lors de l'attribution de certificats • Autoriser la stratégie de groupe « Client des services de certificats - Inscription automatique », coté utilisateur etou coté ordinateur Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  76. 76. Inscription automatique • L'inscription automatique s’exécute toutes les huit heures • Le modèle de certificat peut spécifier une interaction utilisateur à l’inscription (fenêtre contextuelle 1mn après ouverture de session) • Permet aussi (par stratégie de groupe) : Le renouvellement automatique de certificat Le remplacement des modèles obsolètes • Onglet modèles obsolètes du nouveau modèle Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  77. 77. Application Application pratique Inscription automatique d’un modèle de certificat « CorpEfs » s1.corp.lan Contrôleur de domaine Stratégies EFS s2.corp.lan Autorité de certification Modèle : CorpEfs w811.corp.lan Client Chiffrement de fichiers Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  78. 78. Ce qu’on a couvert • L’utilisation de modèles de certificat pour EFS en contexte Active Directory • L’inscription automatique de certificats (Efs) L’inscription automatique fournie une gestion totalement transparente des certificats. Aussi bien pour les utilisateurs (inscriptionrenouvellement de certificats) que pour les administrateurs (renouvellement de modèle de certificats). Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  79. 79. Inscription de certificats Itinérance des certificats Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  80. 80. Plan • Problématique certificatsutilisateurs itinérants • Solution : Itinérance des certificats • Application pratique : Signature de code PowerShell Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  81. 81. Problème : Utilisateurs itinérants • Problème : L’utilisateur itinérant inscrit un certificat sur chaque machine sur laquelle il se connecte • Implique : Plus de certificats émis, disfonctionnements (Efs), perte de certificats lors suppressioncorruption de profils utilisateur • Solution : Activation des profils itinérants où utilisation de carte à puce • Compatible avec Windows Server 2003 Sp3 Xp Sp2 • Correctif (KB 907247) pour Windows XP and Windows Server 2003 qui est une mise à jour du schéma pour le support des informations identification itinérants Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  82. 82. Solution : Itinérance des certificats • Itinérance des certificats (Credential Roaming) • Stocke le certificat de façon centralisée dans Active Directory !!! • Utilise les mécanismes d'ouverture de session et d'inscription automatique pour télécharger les certificats et les clés sur un ordinateur local etou les supprimer lorsque l'utilisateur se déconnecte • Déclenché également : Au verrouillagedéverrouillage de l'ordinateur Au changement d’une clé privée ou d’un certificat A l’actualisation de la stratégie de groupe Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  83. 83. Implémentation • Requiert niveau de schéma forêt Windows 2008 • Activation par stratégie de groupe Activer la stratégie Accepter l’exclusion de ces données du profils itinérant de l’utilisateur dans la stratégie de groupe • Sur le modèle cocher « Enregistrer le certificat dans Active Directory » • Désactiver le coté « ordinateur » de la stratégie • Lier la stratégie à tous les domaines de la forêt Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  84. 84. Signature de code PowerShell • Permet de n’exécuter que les scripts PowerShell signés • Requiert un certificat basé sur le modèle « Signature de code » • Les scripts sont signés avec le certificat • Vérification de : L’authentification De l’intégrité De la révocation Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  85. 85. Application Application pratique Signature de code Credential Roaming s1.corp.lan Contrôleur de domaine Stratégie Credential Roaming s2.corp.lan Autorité de certification Modèle : Corp_SigningCode w811.corp.lan Client Signature de code w812.corp.lan Client Signature de code Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  86. 86. Ce qu’on a couvert • Itinérance des certificats Basé sur Active Directory (Stockage centralisé) Activé par stratégies de groupe Utilisation de certification pour la signature de code L’itinérance des certificats permet, pour les utilisateurs itinérants, de disposer du même certificat quelque soit l’ordinateur sur lequel ils se connectent. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  87. 87. Inscription de certificats Agent d’inscription Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  88. 88. Plan • Qu’est ce qu’un « Agent d’inscription » de certificats? • Implémentation d’un « Agent d’inscription » • Application pratique : Inscription de certificats de carte à puce Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  89. 89. Agent d’inscription • L'agent d'inscription peut inscrire des certificats au nom d'autres utilisateurs (cartes à puce …) • « Agent d’inscription restreint » sur l’autorité de certification Quel agent d’inscription ? (Windows Server 2008 Entreprise) Pour quels groupes d'utilisateurs ? (Windows Server 2008 Entreprise) Pour quels modèles de certificats ? (Windows Serveur 2012) • Ne requiert pas de droits administratifs (responsableemployé de confiance) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  90. 90. Implémentation : Agent d’inscription • Créer un Nouveau modèle « d’Agent Inscription » • Inscrire un certificat « d’Agent d’Inscription » • Sur l’autorité de certification spécifier Les agents d’inscription Pour quel groupes d’utilisateurs Pour quel types de certificats • Inscrire les certificats (cartes à puces des utilisateurs) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  91. 91. Application Application pratique Agent D’inscription (carte à puces) s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification Modèle « Corp Agent Inscription » s3.corp.lan Inscription d’un certificat « Agent d’inscription » Inscription des certificats carte à puce utilisateur Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  92. 92. Ce qu’on a couvert • Agents d’inscription Créer et inscrire un agent d’inscription Inscription de certificat pour d’autres utilisateurs Les agents d’inscriptions sont indispensable dans certains contexte (carte à puce) où ils offrent alors une gestion plus simplifié et plus sécurisé des certificats émis. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  93. 93. Sites Web Sécurisés Implémentation de SSL Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  94. 94. Plan • Fonctionnement du protocole SSL • Rôle des certificats avec le protocole SSL • Application Pratique : Implémentation d’un serveur Web SSL Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  95. 95. Sécurisation de sites Web Protocole Ssl (Secure Socket Layer) • Url Https • Port TCP : 443 • Authentification du serveur Web (Anti Fishing) • Sécurisation des données transférées (Chiffrement symétrique) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  96. 96. Processus de connexion SSL • Le serveur Web refuse les connexions en http, exige une connexion en https et renvoi son certificat (qui contient sa clé publique) • Le client vérifie l'authenticité du certificat du serveur (à l’aide du certificat de l’autorité de certification) • Le client génère une clé symétrique aléatoire • Le client envoie la clé symétrique au serveur Web (cryptée en asymétrique avec clé publique du certificat du serveur Web) • Le serveur Web décrypte la clé symétrique avec sa clé privé • Connexion sécurisée établie (cadenas dans la barre d état et Url affichée en vert) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  97. 97. Fonctionnement SSL 1 1 Clé Privé AC ########## Clé Publique AC AC Hash : 12345678910 Hash : 12345678910 Clé Publique www.corp.lan 3 #www.corp.lan httpsw:/w/www.cwor.cpo.lrapn.lan 3 # s3.corp.lan Serveur Web SSL https://www.corp.lan w811.corp.lan Client Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  98. 98. Application Pratique Implémentation de sites Web SSL s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification s3.corp.lan Serveur Web SSL https://ww.corp.lan w811.corp.lan Client Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  99. 99. Ce qu’on a couvert • Fonctionnement de Ssl (Certificats) • Implémentation du protocole SSL La sécurisation de site Web est l’une des utilisations fondamentale d’une Pki. SSL sécurise les sites Web, mais aussi les portails applicatifs (Owa, Applications bureau à distance, Connexion Bureau à distance…) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  100. 100. Sites Web Sécurisés Nouveautés IIS 8 et 8.5 Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  101. 101. Plan • Nouveautés IIS 8 et 8.5 SslCertificats Indication du server de nom (Server Name Indication - Sni) Magasin de certificats centralisé (Centralized Certificate Store - Ccs) • Application Pratique : Gestion de sites Web SSL avec Sni et Ccs Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  102. 102. Indication du nom du serveur • « Indication du nom du serveur » (Server Name Indication - Sni) permet de faire tourner plusieurs sites Web en SSL sur : la même adresse Ip le même port (443) • Immédiatement disponible sous IIS 8 IIS 8.5 • La correspondance s’effectue sur le nom d’hôte du site • Les liaisons ne sont plus effectuées au démarrage de IIs mais à la demande (puis mise ne cache) • Meilleure gestion de la mémoire et gain de performances Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  103. 103. Implémentation Ccs • Magasin de certificats centralisé (Centralized Certificate Store - Ccs) Créer un partage de fichiers (Dfs ou cluster) • Lire pour le compte qui aura accès au certificats Créer les certificat Ssl (exportés en .pfx, nommé avec la bonne url) Installer CSS • Installer le rôle IIS : « Prise en charge centralisée des certificats » • Paramétrer l’icone « Certificats Centralisés » • Vérifier l’utilisation du magasin de « certificats centralisé » lors de la liaison Ssl !! Scénario de ferme de serveur Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  104. 104. Application Pratique Implémentation SniCss sur sites Web Ssl s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification s3.corp.lan Serveur Web SSL https://intra.corp.lan https://rh.corp.lan w811.corp.lan Client Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  105. 105. Ce qu’on a couvert • Nouveautés IIs 8 IIS 8.5 Indication du nom du serveur (Server Name Indication - Sni) Magasin de certificats centralisés (Centralized Certificate Store) Ces nouveautés permettent une montée en charge plus efficace (plusieurs serveurs Web Ssl sur le même serveur IIS - Sni) et … une gestion plus simple des clusters de sites Web Ssl (centralisation des certificats - Ccs) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  106. 106. Révocation de certificats Révocation Lan Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  107. 107. Plan • Concept • Raisons de révocation • Type de listes de révocation • Application Pratique : Révocation de certificats de site Web SSL et de certificats de signature de code PowerShell Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  108. 108. Concept • La révocation permet de rendre invalide un certificat « avant » sa date de fin de validité et donc … d’interdire l’usage de l’applicatif ou du service associé ! • Autorisation « Emettre et gérer les certificats » pour révoquer • Ajout du numéro de série du certificat révoqué à une « liste de révocation » • La liste est publiée dans un emplacement centralisé accessible aux machines et utilisateurs : Active Directory ! Publication manuelle Publication planifiée Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  109. 109. Raisons de la révocation • Non spécifié • Clé compromise • Autorité de certification compromise • Modification de l’affiliation • Certificat remplacé • Cessation de l’opération • Certificat retenu (annulation de la révocation possible) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  110. 110. Types de listes de révocation • Liste de révocation complète (Certificate Revocation List - Crl) Contient toutes les empreintes numériques de tous les certificats révoqués • Liste de révocation delta (Certificate Revocation List Delta - Crl Delta) Contient uniquement les nouvelles révocations depuis la dernière publication de liste de révocation complète Support depuis Windows 2000 Xp Requiert la publication d’une liste de révocation complète Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  111. 111. Problématiques possibles … • Désactivation ou « non supporté » (Efs ne prends pas en charge la révocation – In design !!) • Accès pour l’applicatifService à l’emplacement de publication (Active Directory) • Latence due à la planification • Mise en cache locales des liste de révocation certutil -setreg chainChainCacheResyncFiletime @now (Synchronise le cache local avec la liste de publication de révocation) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  112. 112. Application Pratique Révocation de certificats de sites Web SSL Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. Liste de révocation 25e58558698556845 85956415125125122 Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. s1.corp.lan Contrôleur de domaine Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. s2.corp.lan Autorité de certification Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. s3.corp.lan Serveur Web SSL https://intra.corp.lan https://rh.corp.lan w811.corp.lan Client Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  113. 113. Ce qu’on a couvert • Le processus de révocation sur le lan • L’implémentation et le dépannage de la révocation La révocation est une fonction clé de la gestion des certificats. Contrairement aux certificats auto-signés, les certificats émis par une autorité de certification sont révocables, permettant ainsi à l’administrateur un contrôle total des applicatifs et services associés. Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  114. 114. Révocation de certificats Révocation Wan Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  115. 115. Plan • Problématique … et solution !! • Emplacement des listes de révocations (Cdp) • Emplacement des informations de l’autorité (Aia) • Implémentation de nouveaux emplacements pour Internet • Application Pratique : Validation et dépannage de la révocation depuis Internet avec un VPN SSTP Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  116. 116. Problématique fréquente !! • Le chemin d’accès à la liste de révocation n’est pas disponible !! • Solution : Stocker la liste de révocation sur un emplacement accessible depuis Internet Exposer ces listes via un serveur Web (http) Inclure les nouveau chemins d’accès aux listes de révocations dans le certificats émis Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  117. 117. Emplacements des listes de révocation • Emplacement de vérification des listes de révocation (CDP - Crl Distribution Point) Autorité de certification Serveur Web Public Active Directory Partage de fichier Serveur Web Interne Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  118. 118. Implémentation de nouvelles URLs CDP • Déterminer les chemins de publication des URLs Crl (Serveur Web) • Créer les points de publication (Serveur Web) Un dossier pour stocker les listes de révocation Un dossier virtuel IIS pour les exposer en http • Publier les listes de révocation • Ajouter les nouvelles URLs aux nouveaux certificats émis Modifier les « extensions » de l’autorité de certification pour ajouter les nouveaux chemins de publication des Crl CDP Tout nouveau certificat émis intégrera les nouvelles URLs Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  119. 119. Autres informations nécessaires (AIA) • Emplacement de vérification des autorités de certification (AIA - Authority Information Access) • Contient les emplacements vers lesquels les certificats de l'autorité de certification peuvent être téléchargés si nécessaire • Permet de remonter/valider la chaine de certification • Certificat de vérification de la signature des listes de révocation Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  120. 120. Emplacements des informations de l’autorité • Emplacement de vérification des autorités de certification (AIA - Authority Information Access) Autorité de certification Serveur Web Public Active Directory Partage de fichier Serveur Web Interne Serveur FTP Interne Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  121. 121. Implémentation de nouvelles URLs AIA • Déterminer les chemins de publication des URLs AIA (Serveur Web) • Créer les points de publication (Serveur Web) Un dossier pour stocker les listes de révocation Un dossier virtuel IIS pour les exposer en http • Publier les listes de révocation • Ajouter les nouvelles url au certificats émis Modifier les « extensions » de l’autorité de certification pour ajouter les nouveau chemins de publication des Crl AIA Tout nouveau certificat émis intégrera les nouvelles URLs Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  122. 122. Dépannage des urls CDPAIA • Mise en cache des listes de révocation Certutil -setreg chainChainCacheResyncFiletime @now (recharger le cache) Certutil -urlcache CRL (Voir les URLs des caches de listes de révocation) Certutil -urlcache CRL delete (Vider les caches de listes de révocation) • Teste des URLs Certutil –url fichier certificat.cer Console « PKI Entreprise » Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  123. 123. SSTP • Secure Socket Tunneling Protocol (SSTP) • Nouveau protocole VPN Utilise le port : 443 Un certificat pour l’authentification du serveur VPN SSTP • C’est du VPN mais c’est surtout du SSL !!! • Permet la connexion VPN depuis toute connexion Internet Maison Hôtel … Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  124. 124. Application Pratique Implémentation d’un VPN SSTP Active Directory s5.corp.lan VPN SSTP s1.corp.lan Contrôleur de domaine Serveur Web Public (CRL et AIA) Partage de fichier s2.corp.lan Autorité de certification Serveur Web Interne (CRL et AIA) w811.corp.com Client Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  125. 125. Ce qu’on a couvert • La validation de l’accès aux listes de révocation (CDP) depuis l’extérieur de l’entreprise • La validation des l’accès aux listes d’information de l’autorité (AIA) depuis l’extérieur de l’entreprise • L’implémentation de Vpn SSTP La validation des liste CDP et AIA est une problématique classique qu’il faut absolument maitriser pour une validation correcte de la validité de vos certificats. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  126. 126. Révocation de certificats Serveur OCSP Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  127. 127. Plan • Concept • Fonctionnement du protocole OCSP • Implémentation et validation d’un serveur OCSP • Application Pratique : Validation et dépannage de la révocation depuis Internet à l’aide d’un serveur OCSP (VPN SSTP) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  128. 128. Concept • OCSP – Online Certificate Status Protocol Protocole normalisé Première implémentation dans Windows 2008 / Vista • Fonctionnement Télécharge les listes de révocation depuis l’autorité de certification Le serveur OSCP valide la révocation (réponse signée) Le client utilise de préférence OCSP Performances améliorées lors du contrôle de la révocation Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  129. 129. Fonctionnement Active Directory s1.corp.lan Contrôleur de domaine OCSP s2.corp.lan Autorité de certification w811.corp.com Client Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  130. 130. Implémenter un serveur OSCP • Installer le service de rôle « Répondeur en ligne » • Sur l’autorité de certification Personnaliser le modèle de certificat « Signature de réponse OCSP » Modifier l’extension AIA de l’autorité de certification • Sur le serveur Ocsp Créer la configuration de révocation • Inscription automatique du certificat de signature OCSP • Indication des « fournisseurs de révocation » (Active Directory) • Autant d’autorité à traiter = autant de configuration de révocation Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  131. 131. Validation du serveur OCSP • PKI View Valider l’obtention du certificat de signature OCSP (Mmc certificat) Requiert un certificat « CA Exchange » récent • Révoquer le dernier certificat « CA Exchange » • Certutil -caninfo xchg • Certutil -url fichierCertificat.cer Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  132. 132. Application Pratique Implémentation d’un serveur OCSP Active Directory s5.corp.lan VPN SSTP s1.corp.lan Contrôleur de domaine s4.corp.lan OCSP s2.corp.lan Autorité de certification w811.corp.com Client Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  133. 133. Ce qu’on a couvert • Le fonctionnement du rôle OSCP • L’implémentation et le dépannage du server OCSP L’implémentation du protocole OCSP améliore les performances lors de la vérification des certificats révoqués et autorise ainsi la montée en charge de votre infrastructure PKI Windows 2012 r2 Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  134. 134. Sécuriser une infrastructure PKI Sauvegarde et restauration de l’autorité de certification Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  135. 135. Plan • Procédure de sauvegarde • Procédure de restauration • Validation de la restauration • Application pratique : Sauvegarde et restauration complète d’une autorité de certification Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  136. 136. Sauvegarde de l’autorité de certification • Sauvegarde complète du système (Sauvegarde Windows Serveur) • Sauvegarde par la console Autorité de certification Moins lourd et plus rapide (recommandé) Sauvegarder la base de donnée, les clés et les journaux • Console « Autorité de certification » (ou CertUtil -backup « Chemin d’accès ») • Sauvegarde des fichiers de post-configuration (commandes certutil) et du fichier CaPolicy.inf Support des sauvegardes « incrémentielles » Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  137. 137. Procédure de restauration • Nommer l’ordinateur avec le même nom que celui de l’autorité de certification d’origine • Intégrer l’ordinateur au même domaine que celui de l’autorité de certification d’origine • Importer CAPolicy.inf dans le dossier %windir% • Ajouter et configurer le rôle AD CS Cocher l’option utiliser une clé privé existante Sélectionner le certificat de l’autorité de certification originelle • Appliquer les configurations post-installation Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  138. 138. Application Application pratique Sauvegarde et restauration d’une autorité de certification Entreprise Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  139. 139. Ce qu’on a couvert • Sauvegarde et restauration de l’autorité de certification L’autorité de certification « Entreprise » s’appuie sur l’infrastructure Active Directory et permet une gestion automatisée des certificats Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  140. 140. Sécuriser une infrastructure PKI Archivage des certificats Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  141. 141. Plan • Archivage des certificats • Agent de récupération (rôle et implémentation) • Récupération de certificats • Application pratique : Archivage et restauration de certificats avec l’agent de restauration Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  142. 142. Archivage des certificats • Sauvegarde des certificats Sauvegarde des certificats émis Sauvegarde complète ( Certificat avec clé publique + Clé privé) Gérée par l’autorité de certification Totalement automatisée • Restauration sécurisée Agent de récupération Installation par l’utilisateur Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  143. 143. Agent de récupération • Certaines fonctionnalités intègrent leur agent de récupération (EFS) • « L’agent de récupération » récupère tout certificats archivé • Pas de droits administratifs supplémentaires requis • Bonnes pratiques Utilisateuradministrateur de confiance Sauvegarde manuelle des certificats « d’agent de récupération » Plusieurs agents de récupérations recommandés Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  144. 144. Implémentation • Créer un agent de récupération Personnaliser le modèle « Agent de récupération » L’agent de récupération inscrit un certificat « agent de récupération » Sauvegarder les certificats des agents de récupération • Activer l’archivage des certificats Associer leles « Agent de récupération » et Autorité de certification • Créer de nouveau modèles de certificats avec support de l’archivage Dans le modèle : « Archiver la clé privée de chiffrement du sujet » Inscrire les nouveaux certificats Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  145. 145. Récupération d’un certificat • Récupérer le certificat archivé (Agent de récupération) Se connecter avec « Agent de récupération » Créer un fichier Blob (Binary Logical Object) Convertir le fichier .Blob en fichier .pfx • Installer le certificat archivé (compte utilisateur ou machine) Importer le .pfx dans le magasin de certificat de l’utilisateur Valider la récupération du certificat utilisateur Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  146. 146. Application Application pratique Sauvegarde et récupération d’un certificat archivé avec un « Agent de récupération » Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  147. 147. Ce qu’on a couvert • La mise en place de l’archivage des certificats • La récupération d’un certificat archivé Les services de certificats Windows Serveur 2012 offre l’archivage des certificats émis, de façon totalement automatisée et sécurisée ! Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  148. 148. Sécuriser une infrastructure PKI Architectures sécurisées Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  149. 149. Plan • Architecture sécurisées • Certificat des autorités de certification secondaires • Autorité racine hors connexion • Implémentation d’autorités de certification racine et secondaire • Atelier pratique : Implémentation d’une architecture pki deux tiers sécurisée (avec autorité de certification racine hors connexion) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  150. 150. Architecture Organisations différentes Eclatement géographique Equilibrage de la charge Tolérance de panne Usages différentes Autorité de certification Autorité de certification Secondaire Autorité de certification Secondaire Racine Hors Connexion Sécurité renforcée Autorité de certification Niveau 3 Autorité de certification Niveau 3 Autorité de certification Niveau 3 Autorité de certification Niveau 3 Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  151. 151. Certificats de autorités secondaires • Délivrés par l’autorité parente • Révocation plus facile • Pas plus de trois niveaux Racine AC Clé Privé Racine Secondaire Secondaire AC AC Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  152. 152. Autorité racine hors connexion • Système Windows Système arrêté en fin de configuration Windows Serveur 2012 r2 Standard Workgroup Machine virtuelle (recommandé pour la sauvegarde Hors connexion) • Modifier les emplacement CDP et d'AIA (Http etou Ldap) • Période de validité pour les listes de révocation de certificats Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  153. 153. Implémentation autorité racine autonome • Installer et configurer le rôle « autorité de certification » • Configurer des extensions (ldap etou http) • Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité secondaire • Délivrer un certificat pour l’autorité secondaire • Arrêter la vm • Mettre le fichier de la vm CorpRootCA au coffre Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  154. 154. Implémentation secondaire entreprise • Installer le rôle « autorité de certification » • Publier les listes de révocation et le certificat de l’autorité racine dans Active Directory • Configurer le rôle « autorité de certification » Création du certificat de l’autorité de certification secondaire • Faire signer le certificat de l’autorité secondaire par l’autorité racine • Installer le certificat sur la secondaire • Démarrer le service Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  155. 155. Publication des certificats et Crl dans AD • Requiert les droits « Administrateur entreprise » • Publier le certificat de l’autorité de certification racine dans l’Active Directory certutil -dspublish -f « FichierCertificatCARacine.crt » RootCA • Publier la liste de révocation de l’autorité de certification racine dans l’Active Directory certutil –setreg CADSConfigDN C=Configuration,Dc=corp,Dc=lan certutil –dspublish -f « FichierRevocationCARacine.crl » Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  156. 156. Application Pratique Implémentation d’une hiérarchie deux tiers sécurisée Clé Privé AC AC Active Directory AC Liste révocation Certificat Ca Racine s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification secondaire entreprise s5 Autorité racine autonome Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  157. 157. Ce qu’on a couvert • L’installation d’un architecture sécurisée de Pki Une autorité racine autonome hors connexion Une autorité secondaire entreprise Publication des listes de révocation et certificats d’autorité de certification dans Active Directory Les hiérarchies d’autorités de certification permettent une plus grande souplesse et montée en charge de votre Pki. La sécurité de la hiérarchie est assurée avec l’implémentation d’une autorité racine hors connexion. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  158. 158. Architectures sécurisées Autorité racine autonome Hors connexion Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum (Automatisation) Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  159. 159. Plan • Scénario d’implémentation d’une autorité racine autonome hors connexion • Chemins d’accès Cdp et Aia • Automatisation de la modification des urls CDP AIA • Automatisation de l’installation et de la configuration • Application pratique : Installation automatisée d’une hiérarchie d’autorités de certification sécurisée Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  160. 160. Implémentation autorité racine autonome • Installer et configurer l’ordinateur de l’autorité racine • Installer et configurer le rôle « autorité de certification » • Configurer des extensions : Ldap et Http • Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité secondaire • Délivrer un certificat pour l’autorité secondaire • Arrêter la vm • Mettre le fichier de la vm au coffre Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  161. 161. Automatisations • CaPolicy.inf • Scripts d’installation et de configuration des rôles (PowerShell) • Scripts de modification des Urls (Certutil, PowerShell) • Scripts de post-installation (Certutil) • Stratégie de groupe Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  162. 162. PowerShell (Installation de rôles) • Get-WindowsFeature ADCS* • Add-WindowsFeature (-IncludeManagementTools) ADCS-Cert-Authority (Autorité de certification) ADCS-Web-Enrollment (Inscription via le Web) ADCS-Online-Cert (Serveur Ocsp) ADCS-Enroll-Web-Pol (Sep) ADCS-Enroll-Web-Svc (Ces) ADSC-Device-Enrollment (Ndes) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  163. 163. PowerShell (Configuration) • Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools • Install-AdcsCertificationAuthority -CAType StandaloneRootCA -CACommonName « CorpRootCA » -CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR » –KeyLLength 4096 -HashAlgorithName SHA1 -CryptoProviderName « RSA#Microsft Software Key Storage Provider » -DatabaseDirectory ‘’D:CertDB’’ -LogDirectory ‘’D:CertLog’’ -ValidityPeriod ‘’Years’’ -ValidityPeriodsUnits 20 Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  164. 164. Variables Chemins CDP AIA ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services, CN=Services,%6%10 CN=NomTronquéAutoritéCertificationSuffixeNomListeRévoca tionCertificats,CN=NomCourtServeur,CN=CDP,CN=Public Key Services,CN=Services,ConteneurConfigurationClasseObjetCDP TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP AIA %1 ServerDNSName Nom du serveur DNS Nom Dns de l’ordinateur de l’autorité de certification %2 ServerShortName NomCourtServeur Nom Netbios de l’ordinateur de l’autorité de certification %3 CaName NomAutoritéCertification Nom logique de l’autorité de certification %4 CertificateName NomCertificat Nom du fichier de certificat de l’autorité de certification %5 Domain DN DN (Chemin d’accès Ldap) du domaine %6 ConfigDN ConteneurConfiguration Chemin d’accès Ldap à la partition de configuration %7 CATruncatedName NomTronquéAutoritéCertification Nom Raccourci de l’autorité de certification (32 caractères) %8 CRLNameSuffix SuffixeNomListeRévocationCertificats L’extension des Crls %9 DeltaCRLAllowed ListeRévocationCertificatsDeltaAutorisée Support de la publication des Crls delta %10 CDPObjectClass ClasseObjetCDP Indique un objet Cdp dans Active Directory %11 CAObjectClass ClasseObjetAutoritéCertification Indique un objet Certificat dans Active Directory Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  165. 165. Variables Chemins CDP AIA %C:windir%Windowssystem32system32CertSrvCertSrvCertEnroll%CertEnroll3%8%9.crl NomAutoritéCertificationS uffixeNomListeRévocationCertificatsListeRévocationCertificatsDeltaAut orisée.crl TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP AIA %1 ServerDNSName Nom du serveur DNS Nom Dns de l’ordinateur de l’autorité de certification %2 ServerShortName NomCourtServeur Nom Netbios de l’ordinateur de l’autorité de certification %3 CaName NomAutoritéCertification Nom logique de l’autorité de certification %4 CertificateName NomCertificat Nom du fichier de certificat de l’autorité de certification %5 Domain DN DN (Chemin d’accès Ldap) du domaine %6 ConfigDN ConteneurConfiguration Chemin d’accès Ldap à la partition de configuration %7 CATruncatedName NomTronquéAutoritéCertification Nom Raccourci de l’autorité de certification (32 caractères) %8 CRLNameSuffix SuffixeNomListeRévocationCertificats L’extension des Crls %9 DeltaCRLAllowed ListeRévocationCertificatsDeltaAutorisée Support de la publication des Crls delta %10 CDPObjectClass ClasseObjetCDP Indique un objet Cdp dans Active Directory %11 CAObjectClass ClasseObjetAutoritéCertification Indique un objet Certificat dans Active Directory Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  166. 166. Variables CDP Options de publications pour emplacements CDP %1 Publier les listes de révocation des certificats à cet emplacement %2 Inclure dans toutes les listes de révocation des certificats. Indique l’emplacement de destination dans Active Directory lors des publications manuelles %4 Inclure dans les listes de révocation des certificats afin de pouvoir rechercher les listes de révocation des certificats delta %8 Inclure dans l’extension des certificats CDP émis %64 Publier les listes de révocation des certificats delta à cet emplacement %128 Inclure dans l’extension IDP des listes de révocation des certificats émises • n2:http://crl.pki.corp.com/CertEnroll/%3 %8%9.crl • n10:ldap:///CN=%7%8,CN=%2,CN=CD P,CN=Public Key Services,CN=Services,%6%10 Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  167. 167. Variables AIA Options de publications pour emplacements AIA %1 Emplacement de publication %2 Inclure dans l’extension AIA des certificats émis %32 Inclure dans l’extension OCSP (Online Certificate Status Protocol) • 1:c:inetpubCertEnroll%1_%3%4.crt • n2:http://crl.pki.corp.com/CertEnroll/%1 _%3%4.crt • n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11 Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  168. 168. PowerShell (Urls Cdp Aia) • $crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove- CACrlDistributionPoint $crl.uri -Force} • $aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove- CAAuthorityInformationAccess $aia.uri -Force} • Modification d’Urls Add-CAcrlDistributionPoint -Uri http://pki.corp.com/pki/CaName CRLNameSuffixDeltaCRLAllowed.crl -AddtoCertificateCDP -Force -Verbose Add-CaAuthorityInformationAccess –Uri http://pki.corp.com/pki ServerDnsName_CaNameCertificateName.crt -AddtocertificateAIA -Force - Verbose • Restart-service certsvc Get-CACRLDistributionPoint Get- CAAuthorityInformationAccess Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  169. 169. Certutil (Urls Cdp Aia) • Suppression manuelle des Urls existantes (ou utilisation de scripts PowerShell) • Certutil -setreg CACRLPublicationURLs 1:%windir%system32CertSrvCertEnroll%3%8.crln2:http://crl.pki.corp.com/C ertEnroll/%3%8.crln10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10 • Net Stop Certsrv • Net Start Certsrv • Certutil -GetReg caCrlPublicationUrls • Certutil -GetReg CACACertPublicationURLs Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  170. 170. Application Pratique Autorité de certification racine autonome hors connexion Modification de Urls CDP et AIA Liste révocation Certificat Ca Racine s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification secondaire entreprise s5 Autorité racine autonome Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  171. 171. Ce qu’on a couvert • Automatisation de l’installation de l’autorité de certification racine hors connexion • Automatisation de modifications Urls Cdp Aia • Automatisation de tâches de post-installation • Implémentation pratique : autorité de certification racine autonome hors connexion L’automatisation des tâches via « CertUtil » et « PowerShell » autorise une implémentation efficace, sure et rapide de toutes vos infrastructures complexes de PKI. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  172. 172. Architectures sécurisées Autorité de certification secondaire entreprise Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum (Automatisation) Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  173. 173. Plan • Scénario d’implémentation de l’autorité secondaire entreprise • Automatisation « PowerShell » et « Certutil » • Publication des certificats listes de révocation • CaPolicy.inf • L’installation et les tâches de post-installation • Application pratique : Installation automatisée d’une hiérarchie d’autorités de certification sécurisée Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  174. 174. Implémentation secondaire entreprise • Installer le rôle « autorité de certification » • Publier les listes de révocation et le certificat de l’autorité racine (localement, Active Directory, Site Web) • Obtenir le certificat signé pour l’autorité secondaire et démarre le service • Publier le certificat de l’autorité de certification racine aux ordinateurs du domaine (stratégie de groupe) • Autres tâches … Créer les modèles de certificats personnalisés Activer le déploiement automatique de certificats etou l’itinérance de certificats Activer l’archivage automatique • Sauvegarder les autorités de certification Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  175. 175. Automatisations • CaPolicy.inf • Scripts d’installation et de configuration des rôles (PowerShell) • Scripts de modification des Urls (Certutil, PowerShell) • Scripts de post-installation (Certutil) • Stratégie de groupe Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  176. 176. Publication des certificatsListe de révocation • Requiert les droits « Administrateur entreprise » • Publier le certificat de l’autorité de certification racine Certutil -dspublish -f « FichierCertificatCARacine.crt » rootca Certutil –addstore –f root c:s2_CorpRootCA.crt • Publier la liste de révocation de l’autorité de certification racine dans l’Active Directory Certutil -dspublish -f c:CorpRootCA.crl Certutil –addstore –f root c:CorpRootCA.crl • La publication Active Directory s’effectue dans le conteneur « Configuration » (cn=configuration, dc=corp, dc=lan) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  177. 177. CAPolicy.inf CorpSubEntCA • Paramètre de configuration de l’autorité appliqués à l’installation Déclaration des pratiques de certification (CPS - Certification Practice Statement) Définit les mesures prises pour sécuriser les opérations de l’autorité et la gestion des certificats émis Identificateur d'objet (OID - Object IDentifier) Inscrit auprès de l’IANA (Internet Assigned Number Autority) Associé à la CPS Taille des clés et période de validité du certificat Intervalles de publication des listes de révocations Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  178. 178. PowerShell (Installation de rôles) • Get-WindowsFeature ADCS* • Add-WindowsFeature (-IncludeManagementTools) ADCS-Cert-Authority (Autorité de certification) ADCS-Web-Enrollment (Inscription via le Web) ADCS-Online-Cert (Serveur Ocsp) ADCS-Enroll-Web-Pol (Sep) ADCS-Enroll-Web-Svc (Ces) ADSC-Device-Enrollment (Ndes) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  179. 179. PowerShell (Configuration) • Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools • Install-AdcsCertificationAuthority -CAType StandaloneRootCA -CACommonName « CorpRootCA » -CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR » –KeyLLength 4096 -HashAlgorithName SHA1 -CryptoProviderName « RSA#Microsft Software Key Storage Provider » -DatabaseDirectory ‘’D:CertDB’’ -LogDirectory ‘’D:CertLog’’ -ValidityPeriod ‘’Years’’ -ValidityPeriodsUnits 20 Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  180. 180. Post Installation Période de chevauchement Crl et CrlDelta Certutil -SetReg CACRLOverlapPeriodUnits 24 Certutil -SetReg CACRLOverlapPeriod Hours Activation de l’audit Certutil -SetReg CAAuditFilter 127 • Net Stop Certsvc • Net Start Certsvc • Certutil -Crl Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  181. 181. Application Pratique Implémentation d’une hiérarchie deux tiers sécurisée Clé Privé AC AC Active Directory AC Liste révocation Certificat Ca Racine s1.corp.lan Contrôleur de domaine Serveur Web s2.corp.lan Autorité de certification secondaire entreprise s5 Autorité racine autonome Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  182. 182. Ce qu’on a couvert • Automatisation de l’installation de l’autorité secondaire entreprise • Automatisation de modifications Urls Cdp Aia • Automatisation de tâches de post-installation • Implémentation pratique complète L’automatisation des tâches via « CertUtil » et « PowerShell » autorise une implémentation efficace, sure et rapide de toutes vos infrastructures complexes de PKI. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  183. 183. Autres Rôles PKI Certificate Enrollment Web Services (CepCes) Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications : MCT, MCSE 2008, MCSA 2012 Contact : patrick.izzo@orange.fr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  184. 184. Plan • Concept • Fonctionnement • Scénarios d’utilisation • Paramétrages • Mode « Renouvellement seul » • Atelier pratique : Implémentation et validation de CepCes Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  185. 185. Concept • Inscription et renouvellement de certificats clients en Https • Certificate Enrollment Policy Web Service (Cep) • Certificate Enrollment Web Service (Ces) • CepCes Open document (client ouvert) • Inscription par mot de passe • Renouvellement avec authentification sur la base du certificat inscrit • Mode « renouvellement seul » Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  186. 186. Fonctionnement • Avec des ordinateurs « membres du domaine » : Ldap, Kerberos et RpcDcom • Ordinateurs non membres du domaine etou pas d’accès à travers le pare-feu • Flux en Https CEP - Certificate Enrollment Policy Web Service (Ldap) CES - Certificate Enrollment Web Service (Rpc Dcom) • Les deux services Cep and Ces (peuvent être sur le même pc) • Inscription par le web est interactive (construction de requêtes spécifiques). Cepces fournit l’inscription et le renouvellement automatique de certificats • Paramétrage client par stratégie locale (Windows 7Windows 2008 r2 et supérieur) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  187. 187. Fonctionnement Active Directory CEP Certificate Enrollment Policy Web Service Client Workgroup ou Domaine Ldap Autorité de certification CES Certificate Enrollment Web Service Uniquement en HttpS Rpc Dcom Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  188. 188. Scénarios d’utilisation • Consolidation de forêt avec connexion Https sur une seule autorité de certification dans la forêt Authentification Kerberos Délégation • Dans le même domaine ou en Workgroup mais hors entreprise (ne peuvent communiquer qu’en HttpS avec Cep Ces en Dm) • Direct Access Certificats obtenus lors du processus de boot • Ordinateurs en Workgroup Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  189. 189. Pares-feu • Paramétrage du pare-feu Https (Tcp 443) et Ldap (Tcp 389 636) (Cep) Plage de ports Dcom aléatoires et éphémères Plage de port configurable (Ces) Le(s) ordinateur(s) qui hébergent les services CepCes doit être membre du domaine de l’autorité de certification Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  190. 190. Comptes de service • Compte « Application Pool ID » (à l’installation) • Compte de domaine (pas de compte locaux supportés) ou Compte de service géré Membre du groupe IIS local « IIS_IUSRS » Autorisation « Demander des certificats » sur l’autorité de certification Délégation requise si authentification par « Kerberos » ou « Certificats » Spn requis setspn -s https/ces.pki.corp.com corpces_svc Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  191. 191. CEP CES Authentification • Intranet (Scénarios même forêt Consolidation de forêts) Authentification Windows intégrée pour usage sur le réseau interne • Internet (Workgroup Https uniquement) Certificat ! plus sécurisé (mécanisme supplémentaire pour acquérir ce certificat) Nom + mot de passe (première inscription) Pas de d’accès anonymes Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  192. 192. Cep Ces Délégation • Requise (toutes les conditions remplies) L’autorité n’est pas sur le même serveur que le service Ces effectue le processus d’inscription L’authentification est de type : « Certificat » ou « Kerberos » • Non requise L’autorité est sur le même serveur que le service L’authentification est de type : « NomMot de passe » Ces est en mode « renouvellement seul » Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  193. 193. CES CES • Schéma Active Directory 2008 r2 minimum • Autorité de certification Entreprise pour 2008 r2 • Serveurs CepCes membres du domaine • Client Windows 7 Windows 2008 r2 et supérieur • Requiert un certificat pour Https • Administrateur de l’entreprise pour l’installation • Cohabite avec tous les services de rôles AD CS • Plusieurs urls publiables pour la tolérance de panne (pas de Nlb) Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  194. 194. Implémentation • Obtenir un certificat Ssl • Ajouter et configurer les rôles • Personnaliser IIS (Compte de service, Friendly Name, Urls) • Paramétrer le client par stratégies de groupe locales Url(s) Cep etou renouvellement automatique • Tester l’obtention d’un certificat Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  195. 195. Mode renouvellement seul • L’inscription avec identité de l’utilisateur augmente les chances d’attaque depuis Internet donc … • Mode « Renouvellement seulement » Le renouvellement se fait sur la base de la confiance au premier certificat Le certificat est renouvelé sur la base de ses informations Pas « d’impersonnalisation » de l’utilisateur ((impersonation : « Agir en tant que ») Implique de posséder un premier certificat (délivré en contexte sécurisé) Plus sûr Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  196. 196. Application Pratique Implémentation CepCes Active Directory CepCes s1.corp.lan Contrôleur de domaine Requête Modèles Stratégies Locales de certificats Url Cep Requête certificat s3.corp.lan s2.corp.lan Autorité de certification w811 Client en workgroup Uniquement HttpS Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©
  197. 197. Ce qu’on a couvert • Le concept et les scénarios d’usage de CepCes • Les paramètres d’implémentation Délégation Compte de service Infrastructure (pare-feu, protocoles) • Application pratique d’implémentation de CepCes CepCes offre une inscription et un renouvellement automatique et sécurisé de certificats pour les ordinateurs en Workgroup ou les ordinateurs en domaine mais disposant d’une connexion en https uniquement. Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©

×