SlideShare une entreprise Scribd logo

Mise en place d'une autorité de certification (PKI) sous windows server 2008

Youcef Aliarous
Youcef Aliarous

Un projet d’étude sur la mise en place d'une autorité de certification ( Public key infrastructure ) sous Windows server 2008,avec un scénario d'envoi d'un message électronique signé.

Technologie
1  sur  21
Télécharger pour lire hors ligne
‫واإلتصال‬ ‫اإلعالم‬ ‫وتكنىلىجيات‬ ‫للبريد‬ ‫الىطني‬ ‫المعهد‬ Institut National de la Poste et des Technologies de l'Information et de la Communication Mise en place d’un Public Key Infrastructure sous Windows server 2008 Réalisé par : ALI AROUS Youcef BARHOUMI Yasmine KHELALFA Ali KISRANE Ramzi ZENNOU Asma Année universitaire 2015/2016 Ministère de la Poste et des Technologies de l’Information la Communication Ministère de l’Enseignement Supérieur et de la Recherche Scientifique
Autorité de certification 2 Contents Quelles sont les problématiques ?.......................................................................................................... 3 Introduction :........................................................................................................................................... 4 Pourquoi la cryptographie?..................................................................................................................... 5 A quoi sert la signature électronique ? ................................................................................................... 5 Quelles sont les garanties apportées par une signature électronique ?................................................. 5 Obtention d’un certificat numérique :.................................................................................................... 6 Définition................................................................................................................................................. 6 Fonctionnement interne : ....................................................................................................................... 6 Les axes de fonctionnement de l’autorité de certification ..................................................................... 7 Scénario de demande de certificat au près d’une autorité de certification : ......................................... 7 La PKI (Public Key Infrastructure) :.......................................................................................................... 8 Outils et protocoles de mise en oeuvre des PKIs .................................................................................... 8 La politique d'une PKI :............................................................................................................................ 9 Composants d’une PKI :......................................................................................................................... 10 PKI: Cycle de vie de certificats............................................................................................................... 11 Exemple ANNE-Bernard :....................................................................................................................... 13 1.1 Clé publique/clé privée............................................................................................................ 13 1.2 Message digest ........................................................................................................................ 13 1.3 Signature digitale..................................................................................................................... 13 1.4 Certificats ................................................................................................................................ 14 1.5 Autorité de certification........................................................................................................... 14 Partie pratique....................................................................................................................................... 15 Services de certificats Active Directory......................................................................................... 15 installation et la configuration de base de Services de certificats Active Directory ( AC CS )....... 16 Installation et configuration de serveur mail................................................................................ 17 Préparation des clients.................................................................................................................. 18 Obtient de certificat ...................................................................................................................... 18 Intégration de certificat dans le client mail................................................................................. 19 Scénario d’envoi un mail signer .................................................................................................... 21
Autorité de certification 3 Quelles sont les problématiques ? Les rappels cryptographiques précédents ont mis en lumière que les systèmes asymétriques permettaient de rendre de nombreux services de sécurité, et en particulier ceux d’authentification et de non-répudiation. Tout cela tient au fait que, comme l’illustre la figure 1), lorsque Bob vérifie une signature numérique d’un document avec la clé publique d’Alice et que cette vérification est correcte, alors Bob est convaincu que c’est bien Alice qui a signé ce document. Mais pour cela, encore faut-il que Bob soit bien certain d’avoir utilisé la clé publique d’Alice et non pas celle de Carole. Supposons que dans un amphithéâtre chaque étudiant écrive son nom au tableau en le faisant suivre de sa clé publique. Pour vérifier la signature électronique sur la copie d’Alice, le professeur cherche au tableau le nom d’Alice et utilise la clé qui suit son nom pour effectuer la vérification. Si Carole veut jouer un mauvais tour à Alice, elle envoie une copie pleine de fautes au professeur en signant avec sa clé (celle de Carole) mais, pour faire croire que c’est bien Alice qui a signé, Carole efface la clé publique d’Alice et écrit la sienne à la place. En prenant la clé qui suit le nom d’Alice, le professeur va vérifier correctement la signature sur la fausse copie et croire qu’elle provient bien d’Alice alors qu’il aura vérifié la signature avec la clé de Carole. Cette malveillance a été rendue possible car, dans notre exemple, il n’y avait pas de lien entre le nom d’Alice et sa clé publique. Cela serait encore plus grave si le professeur avait voulu utiliser la clé publique d’Alice pour lui envoyer un
Autorité de certification 4 message confidentiel car, en croyant chiffrer vers Alice, le professeur aurait chiffré en utilisant la clé de Carole qui aurait alors été la seule à pouvoir déchiffrer le message. Voici une illustration explique la procédure de problématique Introduction : L’utilisation massive de messages électroniques et l’expansion du commerce électronique est devenu une opération de plus en plus courante. En effet, les données qui transitent sur Internet, sont sujettes à diverses attaques comme l'attaque man in the middle lorsque les entités échangent leurs clefs publiques. Dans une petite structure, il pourrait être envisageable de générer sa paire de clefs localement et d’échanger les clefs publiques hors ligne (en main propre par exemple), mais cette solution est inimaginable pour une structure internationale. Dans ce cas de figure, une authentification automatique des clefs publiques est indispensable.
Autorité de certification 5 Pourquoi la cryptographie? L'homme a toujours ressenti le besoin de dissimuler des informations, bien avant même l'apparition des premiers ordinateurs et de machines à calculer. Depuis sa création, le réseau Internet a tellement évolué qu'il est devenu un outil essentiel de communication. Cependant, cette communication met de plus en plus en jeu des problèmes stratégique liés à l'activité des entreprises sur le Web. Les transactions faites à travers le réseau peuvent être interceptées, d'autant plus que les lois ont du mal à se mettre en place sur Internet, il faut donc garantir la sécurité de ces informations, c'est la cryptographie qui s'en charge. Le chiffrement se fait généralement à l'aide d'une clef de chiffrement, le déchiffrement nécessite quant à lui une clef de déchiffrement. On distingue généralement deux types de clefs  Les clés symétriques: il s'agit de clés utilisées pour le chiffrement ainsi que pour le déchiffrement. On parle alors de chiffrement symétrique ou de chiffrement à clé secrète.  Les clés asymétriques: il s'agit de clés utilisées dans le cas du chiffrement asymétrique (aussi appelé chiffrement à clé publique). Dans ce cas, une clé différente est utilisée pour le chiffrement et pour le déchiffrement. A quoi sert la signature électronique ? La signature électronique est à un document numérique, ce que la signature manuscrite est à un document papier. Tout comme une signature papier, une signature électronique a pour seul objectif de démontrer à un tiers que le document a été approuvé par une personne identifiée. Il s’agit d’un mécanisme d’engagement fiable faisant appel à des techniques cryptographiques. Quelles sont les garanties apportées par une signature électronique ? La signature électronique permet, pour un document numérique, de garantir :  l’identité du signataire ;  la non-répudiation par le signataire du document signé ;
Autorité de certification 6  l’in g i du document signé, c’est-à-dire son absence de modification ; Obtention d’un certificat numérique : Pour obtenir un certificat numérique, le client doit effectuer une requête auprès d’un organisme reconnu. Il transmet avec sa requête sa clef publique. L’organisme construit un certificat incorporant la clef publique du client, il signe le certificat à l’aide de sa clef privée. L’autorité de certification publiera le certificat signé comportant la clef publique et l’identité précise du propriétaire, quiconque consultera ce certificat aura l’assurance dans l’authenticité de la clef publique contenue dans celui-ci car il a confiance dans l’autorité de certification qui a délivré ce certificat. Définition Représentée par une société, une organisation ou un service administratif, une autorité de certification est un prestataire chargé de concevoir, de délivrer mais aussi de gérer des cartes d’identité électroniques pour le compte d’utilisateurs. L’autorité de certification s’engage sur l’identité d’un individu par le biais d’un certificat dont le champ d’application dépend du crédit de l’autorité. Ainsi, l’autorité de certification peut être considérée comme un tiers de confiance qui garantit l’authenticité d’un certificat. Les services des autorités de certification sont principalement utilisés dans le cadre de : - la sécurisation des communications numériques via protocole Transport Layer Security (TLS) utilisé par exemple pour sécuriser les communications web (HTTPS) ou email (SMTP, POP3, IMAP... sur TLS - la sécurisation des documents numériques (par exemple au moyen designatures électroniques avancées telles que PAdES pour des documents PDF, ou via le protocole S/MIME pour les emails). Fonctionnement interne : L'autorité de certification (AC) opère elle-même ou peut déléguer l'hébergement de la clé privée du certificat à un opérateur de certification (OC) ou autorité de dépôt. L'AC contrôle et audite l'opérateur de certification sur la base des procédures établies dans la Déclaration des
Autorité de certification 7 Pratiques de Certification. L'AC est accréditée par une autorité de gestion de la politique qui lui permet d'utiliser un certificat renforcé utilisé par l'OC pour signer la clé publique selon le principe de la signature numérique. Les axes de fonc ionnemen de l’au o i de ce ifica ion L’autorité de certification repose essentiellement sur deux grands axes de fonctionnements.  D’une part, la fonction d’organisation consiste d’abord au traitement des demandes de certificats, de contrôler des informations reçues, avant de valider ou de rejeter les demandes.  D’autre part, la fonction technique est surtout caractérisée par la conception et la production des cartes d’identité électroniques, l’installation, le contrôle et l’entretien des équipements cryptographiques mais aussi d’assurer un cadre sécurisé. Selon les besoins de l’autorité de certification, un volume de production doit être maintenu. Scénario de demande de ce ifica au p ès d’une au o i de ce ifica ion : Dans la plupart des cas, pour configurer un serveur sécurisé utilisant le chiffrement par clé publique, vous envoyez votre demande de certificat (avec votre clé publique) à l'autorité de certification, accompagné d'une preuve de votre identité et de votre paiement. La CA vérifie votre identité et la demande de certificat, puis vous renvoie un certificat pour votre serveur sécurisé.. Le processus d'acquisition d'un certificat signé par un CA est relativement simple et facile. En voici un survol rapide : 1. Créez une paire de clefs privé et publique. 2. Créez une demande de certificat basée sur la clé publique. La demande de certificat contient les informations concernant votre serveur et la société qui l'héberge. 3. Envoyez votre demande de certificat, avec les documents prouvant votre identité, à l'autorité de certification (CA). Nous ne pouvons pas vous dire quelle autorité de
Autorité de certification 8 certification choisir. Votre décision peut être basée sur votre expériences passée, ou sur l'expérience de vos amis ou collègues, ou simplement sur des considérations financières. Une fois l'autorité de certification choisie, vous devez suivre les instructions qu'ils vous ont indiquées pour obtenir un certificat de leur part. 4. Quand l'a§utorité de certification est sûre que vous êtes celui que vous prétendez être, elle vous envoie un certificat numérique. 5. Installez ce certificat sur votre serveur sécurisé, et configurez les applications appropriées pour utiliser le certificat. La PKI (Public Key Infrastructure) : La PKI (Public Key Infrastructure) est l’ensemble de moyens (techniques et Organisationnels) permettant d’établir une forte garantie de confiance dans la validité d’une identité numérique. Ceci est rendu possible par l’utilisation de clés et de certificats d’une part, et surtout d’une organisation garantissant la délivrance et la gestion de ces éléments d’autre part. Cette confiance se traduit dans la capacité à garantir quatre qualités :  la confidentialité : seul le destinataire (ou le possesseur) légitime d’un bloc de données ou d’un message pourra en avoir une vision intelligible ;  l’authentification : lors de l’envoi d’un bloc de données ou d’un message ou lors de la connexion à un système, on connaît sûrement l’identité de l’émetteur ou l’identité de l’utilisateur qui s’est connecté ;  l’intégrité : nous avons la garantie qu’un bloc de données ou un message expédié n’a pas été altéré, accidentellement ou intentionnellement ;  non-répudiation : l’auteur d’un bloc de données ou d’un message ne peut pas renier son œuvre. Outils et protocoles de mise en oeuvre des PKIs Plusieurs outils logiciels opensource permettent de gérer des certificats de clé publique :
Autorité de certification 9  L'enrôlement et la révocation de certificats sont assurés par le logiciel OpenCA développé par The OpenCA Labs. OpenCA se base sur Apache et permet donc aux administrateurs/utilisateurs de réaliser toute la gestion des certificats au travers d'un navigateur classique. Suivant le répertoire auquel on accède sur le serveur OpenCA, un utilisateur jouera le rôle de l'autorité de certification ou de l'autorité d'enregistrement. OpenCA bénéficie de plusieurs avantages vis-à-vis d'autres logiciels de gestion de certificats comme IDEALX. En effet, il est relativement simple d'installation et de plus il s'interface avec OpenLDAP ce qui permet, une fois les certificats générés, de les publier de façon automatique dans la base LDAP.  La publication des certificats et CRL est réalisée par openLDAP développé par The OpenLDAP Project. Depuis 1999, avec les nouveaux attributs de LDAP définis dans le RFC 2587, il est possible de publier un certificat mais aussi une CRL dans une entrée de LDAP. Quant à l'aspect validation, toute la difficulté est d'obliger les applications utilisatrices de certificats de vérifier la validité d'un certificat avant usage. Aujourd'hui, certaines applications comme Netscape 7 implémentent le protocole OCSP (Online Certificate Status Protocol) [RFC 2560] qui permet à une application d'interroger un serveur OCSP en ligne pour connaître la validité d'un certificat. Le serveur OCSP attaché à une autorité de certification se contente en fait de vérifier le statut d'un certificat stocké en local dans un de ces répertoires ; le certificat précise dans un champ l'adresse du serveur OCSP à contacter. Un autre protocole SCVP (Simple Certificate Validation Protocol) [MHF-id] est en cours de définition à l'IETF. Le serveur SCVP qui est local à l'application demandeuse est capable de vérifier la validité de n'importe quel certificat pour peu qu'il ait confiance dans la PKI concernée. La politique d'une PKI : La politique d'une PKI se définit à deux niveaux:  La politique de certification : Une politique de certification est un ensemble de règles, qui fournit un renseignement sur la possibilité d’utiliser un certificat pour une communauté particulière ou des applications ayant des besoins de sécurité communs.
Autorité de certification 10 Elle spécifie entre autre les conditions et les caractéristiques de délivrance du certificat. Dans le cas général, un certificat est utilisable par n’importe quelle application pour autant que ces conditions et ces caractéristiques sont jugées satisfaisantes. Cependant, une politique de certification peut éventuellement restreindre l’usage du certificat à un ensemble données d’applications, voir même à une seule application.  La politique de sécurité : est la partie juridique de la PKI. En effet, lorsqu'on met en place une PKI, il faut fournir trois documents : o Rapport pratique de certification : qui spécifie les critères de certification et la politique de révocation des certificats, o — Politique du certificat : qui explique et limite l'utilisation du certificat numérique, o Considérations légales : qui permet de responsabiliser les utilisateurs en cas de perte ou de fraude à l'intérieur même de la PKI. Composants d’une PKI : Une PKI contient plusieurs composants principaux essentiels à son bon fonctionnement :  Une Autorité d'enregistrement : (Registration Authority - RA) Son principal rôle est de vérifier la demande d'enregistrement (Certificate Signing Request - CSR) d'un nouvel utilisateur dans l'infrastructure. Les méthodes de vérification de cette étape sont définies en fonction de la politique de certification choisie pour l'infrastructure. Si l'autorité d'enregistrement valide la demande d'enregistrement, alors la requête de certificat passera entre les mains de l'autorité de certification. L'autorité d'enregistrement peut être contenue dans l'autorité de certification.
Autorité de certification 11  Une Autorité de Certification : (Certificate Authority - CA) Son principal rôle est de générer un certificat pour l'utilisateur. Le certificat contiendra des informations personnelles sur l'utilisateur mais surtout sa clef publique et la date de validité. L'autorité de certification signera ce certificat avec sa clef privée, ainsi ce certificat sera certifié authentique par lui-même. C'est pourquoi on parle de chaîne de confiance dans une PKI car il s'agit de faire confiance à cette autorité de certification qui sera lui-même certifié par une autorité supérieure et ainsi de suite. L'autorité de certification aura aussi le rôle de mettre à jour la liste des certificats qu'il a signé afin de connaître les dates de validité de ses certificats. En effet, pour vérifier si un certificat est valide, il faudra demander à l'autorité de certification qu'il l'a généré si le certificat en question est toujours valide ou s'il a été révoqué.  Un Annuaire (Autorité de dépôt ) : L'annuaire est indépendant de la PKI cependant la PKI en a besoin. Les seules contraintes de l'annuaire sont qu'il doit accepter le protocole X.509 pour le stockage des certificats révoqués et le protocole LDAP. Son rôle est comme dit précédemment de stocker les certificats révoqués et par la même occasion, les certificats en cours de validité afin d'avoir un accès rapide à ces certificats. De plus, l'annuaire peut stocker les clefs privées des utilisateurs dans le cadre du recouvrement de clef. Sachant que les certificats sont largement distribués, l'annuaire est une solution pour les mettre à disposition. PKI: Cycle de vie de certificats La figure suivant explique brièvement Le déroulement de Cycle de vie de certificats à partir d’une demande de certification jusqu’à la expiration
Autorité de certification 12 La gestion des clés proprement dite se compose des opérations suivantes : Enregistrer et vérifier les demandes de certificats  Autorité d’enregistrement Créer et distribuer des certificats  Autorité de certification Vérification de validité de certificats  Autorité de validation G e à ou momen l’ a des ce ifica s e p end e en comp e leur révocation  Dépôt de listes de certificats révoqués CRL (Certificate Revocation List)
Autorité de certification 13 Publier les certificats dans un dépôt  Dépôt de certificats (Annuaire) Exemple ANNE-Bernard : Voici un exemple expliquant l’obtention d’un certificat : 1.1 Clé publique/clé privée Anne veut envoyer un message privé à Bernard et elle veut que seul Bernard puisse le lire. Grâce à la clé publique de Bernard, elle crypte le message et l'envoie. Seul Bernard, qui possède la clé privée correspondante peut décrypter le message. 1.2 Message digest Bien qu'Anne puisse crypter son message pour assurer sa confidentialité, le risque demeure qu'un intrus disposant lui aussi de la clé publique de Bernard, modifie le message original ou lui substitue un autre message. Anne crée donc un bref compte-rendu (message digest ou hash) de son message et l'envoie à Bernard avec le message. À la réception du message et du compte-rendu, Bernard calcule son propre compte-rendu. Si les deux compte-rendus correspondent c'est que le message à été reçu intact. 1.3 Signature digitale Bernard veut s'assurer que le message reçu à bien été envoyé par Anne et non par un intrus. La signature digitale de Anne est donc envoyée avec son message. Cette signature digitale est créé en cryptant le digest du message et d'autres informations (un numéro d'ordre) avec la clé privée de Anne. N'importe qui possédant la clé publique de Anne peut décoder la signature digitale, mais seule Anne peut l'avoir cryptée. Cela garantit que seule Anne a pu signer le message.
Autorité de certification 14 Inclure le digest du message dans la signature signifie que la signature n'est valable que pour ce message particulier. Ceci garantit donc l'intégrité du message, car personne le peut modifier le digest et signer le message à la place de Anne. Pour ce prémunir contre l'interception et la réutilisation de la signature par un intrus, elle contient un numéro d'ordre séquentiel unique. Ceci garantit également que Anne ne pourra pas nier avoir envoyé le message (non-répudiation). 1.4 Certificats Bien qu'Anne ait envoyé un message crypté et signé à Bernard, elle veut être certaine que c'est bien avec Bernard qu'elle communique. Elle veut être certaine que la clé publique qu'elle utilise correspond bien à la clé privée de Bernard. De même, Bernard doit vérifier que la signature du message est bien la signature de Anne. Si chacun dispose d'un certificat validant l'identité de l'autre, confirmant sa clé publique et signé par une tierce personne de confiance (trusted third party) ou autorité de certification, alors chacun est certain de communiquer réellement avec le bon interlocuteur. Chacun utilise la clé publique de l'autorité de certification pour contrôler le certificat de l'autre et pour s'assurer de l'authenticité de sa clé publique. 1.5 Autorité de certification L'autorité de certification (CA pour Certification Authority) signe les certificats avec sa clé privée et permet aux interlocuteurs de vérifier les certificats au moyen de sa clé publique. L'autorité de certification ne doit avoir aucun intérêt commun avec les deux parties en présence.
Autorité de certification 15 Partie pratique Dans cette partie, nous allons installer une autorité de certification sous Windows server 2008, et nous allons faire un scénario d'envoyer un message électronique signé. Pour faire cala, nous allons tous d'abord Installés Windows Server 2008 sur une machine virtuelle. Elle doit être contrôleur de domaine dans le domaine inptic.org. Puis faire installation et la configuration de base de Services de certificats Active Directory et la mise en place de serveur mail. Services de certificats Active Directory AD CS est le moteur sur lequel Windows Server 2008 s’appuie pour gérer les certificats à clé publique. Il vous permet de créer une hiérarchie de PKI complète pour émettre et gérer des certificats dans votre organisation. AD CS comprend plusieurs composants : ■ Autorités de certification (CA) Les CA ( Certificate Authority ) sont les serveurs que vous utilisez pour émettre et gérer des certificats. En raison de la nature hiérarchique d’une PKI, AD CS prend en charge à la fois des CA racine et des CA secondaires, ou enfants. La CA racine attribue généralement des certificats aux CA secondaires, ce qui leur permet d’attribuer à leur tour des certificats aux utilisateurs, aux ordinateurs et aux services. Une CA secondaire ne peut émettre de certificats que si son propre certificat est valide. Lorsque ce dernier expire,
Autorité de certification 16 elle doit en demander le renouvellement auprès de sa CA racine. C’est pourquoi la durée du certificat de celle-ci est souvent plus longue que celle des CA secondaires. De même, la durée des certificats des CA secondaires est plus longue que celle qu’elles attribuent aux utilisateurs, aux ordinateurs et aux services. ■ Inscription le Web via L’inscription web permet aux utilisateurs de se connecter à la CA via un navigateur web pour demander des certificats, utiliser des cartes à puce ou obtenir des listes de révocation de certificats (CRL, Certificate Revocation Lists ). Les CRL indiquent aux utilisateurs de votre infrastructure à clé publique quels sont les certificats qui ont été invalidés ou révoqués par votre organisation. Les systèmes s’appuyant sur la PKI scrutent les serveurs CA pour obtenir des CRL chaque fois qu’un certificat leur est présenté. S’il figure sur la liste, il est automatiquement refusé. ■ Répondeur en ligne Ce service est conçu pour répondre à des requêtes de validation spécifiques et met en œuvre le protocole OCSP ( Online Certificate Status Protocol ). Il évite au système s’appuyant sur la PKI de demander une CRL complète et lui permet de soumettre une requête de validation pour un certificat donné. répondeur en ligne décode cette requête et détermine si le certificat est valide. Lorsqu’il a vérifié le statut dudit certificat, il renvoie une réponse chiffrée contenant les informations demandées. L’emploi des répondeurs en ligne est beaucoup plus rapide et plus efficace que cel installation et la configuration de base de Services de certificats Active Directory ( AC CS ) La première étape consiste à installer et de configurer les Services de certificats Active Directory. À l'aide de gestionnaire de serveur, on ajoute le rôle Services de certificats Active Directory. nous sélectionnons tous les compassant à installer, dans notre cas sont :  Autorités de certification  Inscription le Web via L’inscription web  Répondeur en ligne
Autorité de certification 17 Installation et configuration de serveur mail Pour le serveur mail nous avons opté pour la solution Hmailserver une solution open source, gratuite et léger (taille de fichier d’installation est 3.9 Mb) La configuration de serveur mail compris :  Configuration de base de donnes  L’ajoute de domaine INPTIC.org
Autorité de certification 18  Création des utilisateurs (user1, user2 …)  Autorisation de sous réseaux 192.168.10.0/24 Préparation des clients nous avons utilisé Windows XP comme système d’exploitation des clients, afin de certifier les clients, on les ajoute en tant qu’utilisateur dans le contrôleur de domaine (voire la figure ci- dessous). Pour le service client de messagerie électronique,Nous avons utilisé Thunderbird une solution gratuite et open source de Mozilla Figure l'ajoute des utilisateurs dans le contrôleur de Domain Obtient de certificat Pour que le client obtienne son certification et la certification de l’autorité. Il suffit d’accéder au adresse inptic.org/certsrv.
Autorité de certification 19 Figure portail de L’inscription web Intégration de certificat dans le client mail Afin que le client signer ou crypter les messages électronique il faut intégrer les certifications dans le client mail.
Autorité de certification 20 Figure importation de certification d'autorité
Autorité de certification 21 Scénario d’envoi un mail signer Supposant qu’utilisateur 1 ( user1@inptic.org) envoie un message sensible au l’utilisateur 2 ( user2@inptic.org) . Alors l’utilisateur 1 signer le message. L’utilisateur 2 reçoit le message signé. Figure envoie et signature de message Figure réception de message signé par l’utilisateur 2

Recommandé

PKI
PKIPKI
PKIhossam-10
 
Présentation10
Présentation10Présentation10
Présentation10hossam-10
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfJoelChouamou
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Conception et Réalisation Application Web Laravel PFE BTS
Conception et Réalisation Application Web Laravel PFE BTSConception et Réalisation Application Web Laravel PFE BTS
Conception et Réalisation Application Web Laravel PFE BTSFaissoilMkavavo
 

Recommandé

PKI
PKIPKI
PKIhossam-10
 
Présentation10
Présentation10Présentation10
Présentation10hossam-10
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfJoelChouamou
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Conception et Réalisation Application Web Laravel PFE BTS
Conception et Réalisation Application Web Laravel PFE BTSConception et Réalisation Application Web Laravel PFE BTS
Conception et Réalisation Application Web Laravel PFE BTSFaissoilMkavavo
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLSThomas Moegli
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LINAGORA
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim HannachiMémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachislim Hannachi
 
Tp voip
Tp voipTp voip
Tp voipamalouwarda
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finialemarwenbencheikhali
 
Virtualisation des serveurs et Sécurisation avec Docker
Virtualisation des serveurs et Sécurisation avec Docker Virtualisation des serveurs et Sécurisation avec Docker
Virtualisation des serveurs et Sécurisation avec Docker Wahbi Belhadj
 
Rapport tp openssl
Rapport tp opensslRapport tp openssl
Rapport tp opensslYacoubou Salifou Bouraima
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Rapport projet conception et la réalisation d'une application web gestion des...
Rapport projet conception et la réalisation d'une application web gestion des...Rapport projet conception et la réalisation d'une application web gestion des...
Rapport projet conception et la réalisation d'une application web gestion des...SAAD SARHANI
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWANMed Amine El Abed
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 
Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...
Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...
Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...Odel Odeldz
 
Activités de R&D en prodcuuction caprine: des interactions pour une recherche...
Activités de R&D en prodcuuction caprine: des interactions pour une recherche...Activités de R&D en prodcuuction caprine: des interactions pour une recherche...
Activités de R&D en prodcuuction caprine: des interactions pour une recherche...Institut de l'Elevage - Idele
 

Contenu connexe

Tendances

LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LINAGORA
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim HannachiMémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachislim Hannachi
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackBayeOusseynouFall
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Virtualisation des serveurs et Sécurisation avec Docker
Virtualisation des serveurs et Sécurisation avec Docker Virtualisation des serveurs et Sécurisation avec Docker
Virtualisation des serveurs et Sécurisation avec Docker Wahbi Belhadj
 
Rapport projet conception et la réalisation d'une application web gestion des...
Rapport projet conception et la réalisation d'une application web gestion des...Rapport projet conception et la réalisation d'une application web gestion des...
Rapport projet conception et la réalisation d'une application web gestion des...SAAD SARHANI
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 

Tendances (20)

Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefs
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim HannachiMémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachi
 
Tp voip
Tp voipTp voip
Tp voip
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
 
Etude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec OpenstackEtude et mise en place d’un Cloud privé Avec Openstack
Etude et mise en place d’un Cloud privé Avec Openstack
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Virtualisation des serveurs et Sécurisation avec Docker
Virtualisation des serveurs et Sécurisation avec Docker Virtualisation des serveurs et Sécurisation avec Docker
Virtualisation des serveurs et Sécurisation avec Docker
 
Rapport tp openssl
Rapport tp opensslRapport tp openssl
Rapport tp openssl
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Rapport projet conception et la réalisation d'une application web gestion des...
Rapport projet conception et la réalisation d'une application web gestion des...Rapport projet conception et la réalisation d'une application web gestion des...
Rapport projet conception et la réalisation d'une application web gestion des...
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 

En vedette

Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...
Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...
Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...Odel Odeldz
 
Activités de R&D en prodcuuction caprine: des interactions pour une recherche...
Activités de R&D en prodcuuction caprine: des interactions pour une recherche...Activités de R&D en prodcuuction caprine: des interactions pour une recherche...
Activités de R&D en prodcuuction caprine: des interactions pour une recherche...Institut de l'Elevage - Idele
 
Les enjeux de R&D pour la filière caprine de Poitou-Charente et Pays de la Loire
Les enjeux de R&D pour la filière caprine de Poitou-Charente et Pays de la LoireLes enjeux de R&D pour la filière caprine de Poitou-Charente et Pays de la Loire
Les enjeux de R&D pour la filière caprine de Poitou-Charente et Pays de la LoireInstitut de l'Elevage - Idele
 
Programme de la journée d'études "Douala et le Cameroun dans la grande guerre...
Programme de la journée d'études "Douala et le Cameroun dans la grande guerre...Programme de la journée d'études "Douala et le Cameroun dans la grande guerre...
Programme de la journée d'études "Douala et le Cameroun dans la grande guerre...Tadajeu Kenfack ulrich
 
PRASAC : EVOLUTION, ACTUALITES ET PERSPECTIVES
PRASAC : EVOLUTION, ACTUALITES ET PERSPECTIVESPRASAC : EVOLUTION, ACTUALITES ET PERSPECTIVES
PRASAC : EVOLUTION, ACTUALITES ET PERSPECTIVESpropac
 
Évaluation des activités anticancéreuses de quelques plantes utilisées dans ...
Évaluation des activités anticancéreuses de quelques plantes utilisées dans ...Évaluation des activités anticancéreuses de quelques plantes utilisées dans ...
Évaluation des activités anticancéreuses de quelques plantes utilisées dans ...Université de Dschang
 
L'Afrique, les défis du développement
L'Afrique, les défis du développementL'Afrique, les défis du développement
L'Afrique, les défis du développementjmdbt
 
Mini projet webservice soap
Mini projet webservice soapMini projet webservice soap
Mini projet webservice soapYoucef Aliarous
 
Cameroun - Repertoire des projets prioritaires à besoins de financement
Cameroun - Repertoire des projets prioritaires à besoins de financementCameroun - Repertoire des projets prioritaires à besoins de financement
Cameroun - Repertoire des projets prioritaires à besoins de financementinvestincameroon
 
Présentation de la CEEAC (historique, structure, missions, fonctionnement, p...
Présentation de la CEEAC (historique, structure, missions, fonctionnement, p...Présentation de la CEEAC (historique, structure, missions, fonctionnement, p...
Présentation de la CEEAC (historique, structure, missions, fonctionnement, p...propac
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003Souhaib El
 
Biodiversité moléculaire des écotypes de chèvres (Capra hircus) du Cameroun
Biodiversité moléculaire des écotypes de chèvres (Capra hircus) du CamerounBiodiversité moléculaire des écotypes de chèvres (Capra hircus) du Cameroun
Biodiversité moléculaire des écotypes de chèvres (Capra hircus) du CamerounUniversité de Dschang
 
Cameroun , opportunites d’investissement
Cameroun , opportunites d’investissementCameroun , opportunites d’investissement
Cameroun , opportunites d’investissementinvestincameroon
 
Diffusion des résultats de recherche et capitalisation des savoirs endogènes
Diffusion des résultats de recherche et capitalisation des savoirs endogènesDiffusion des résultats de recherche et capitalisation des savoirs endogènes
Diffusion des résultats de recherche et capitalisation des savoirs endogènespropac
 
PRASAC Pôle régional de recherche appliquée au développement des systèmes agr...
PRASAC Pôle régional de recherche appliquée au développement des systèmes agr...PRASAC Pôle régional de recherche appliquée au développement des systèmes agr...
PRASAC Pôle régional de recherche appliquée au développement des systèmes agr...propac
 
Planification stratégique 2015-2019
Planification stratégique 2015-2019Planification stratégique 2015-2019
Planification stratégique 2015-2019Annick Laprise
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteNis
 

En vedette (20)

Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...
Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...
Déploiement d’une nouvelle infrastructure réseau sous windows 2008 serveur au...
 
Activités de R&D en prodcuuction caprine: des interactions pour une recherche...
Activités de R&D en prodcuuction caprine: des interactions pour une recherche...Activités de R&D en prodcuuction caprine: des interactions pour une recherche...
Activités de R&D en prodcuuction caprine: des interactions pour une recherche...
 
Les enjeux de R&D pour la filière caprine de Poitou-Charente et Pays de la Loire
Les enjeux de R&D pour la filière caprine de Poitou-Charente et Pays de la LoireLes enjeux de R&D pour la filière caprine de Poitou-Charente et Pays de la Loire
Les enjeux de R&D pour la filière caprine de Poitou-Charente et Pays de la Loire
 
Programme de la journée d'études "Douala et le Cameroun dans la grande guerre...
Programme de la journée d'études "Douala et le Cameroun dans la grande guerre...Programme de la journée d'études "Douala et le Cameroun dans la grande guerre...
Programme de la journée d'études "Douala et le Cameroun dans la grande guerre...
 
USING EQUIST FOR BOTTLENECK ANALYSIS
USING EQUIST FOR BOTTLENECK ANALYSIS �USING EQUIST FOR BOTTLENECK ANALYSIS �
USING EQUIST FOR BOTTLENECK ANALYSIS
 
PRASAC : EVOLUTION, ACTUALITES ET PERSPECTIVES
PRASAC : EVOLUTION, ACTUALITES ET PERSPECTIVESPRASAC : EVOLUTION, ACTUALITES ET PERSPECTIVES
PRASAC : EVOLUTION, ACTUALITES ET PERSPECTIVES
 
Évaluation des activités anticancéreuses de quelques plantes utilisées dans ...
Évaluation des activités anticancéreuses de quelques plantes utilisées dans ...Évaluation des activités anticancéreuses de quelques plantes utilisées dans ...
Évaluation des activités anticancéreuses de quelques plantes utilisées dans ...
 
L'Afrique, les défis du développement
L'Afrique, les défis du développementL'Afrique, les défis du développement
L'Afrique, les défis du développement
 
Mini projet webservice soap
Mini projet webservice soapMini projet webservice soap
Mini projet webservice soap
 
Cameroun - Repertoire des projets prioritaires à besoins de financement
Cameroun - Repertoire des projets prioritaires à besoins de financementCameroun - Repertoire des projets prioritaires à besoins de financement
Cameroun - Repertoire des projets prioritaires à besoins de financement
 
Présentation de la CEEAC (historique, structure, missions, fonctionnement, p...
Présentation de la CEEAC (historique, structure, missions, fonctionnement, p...Présentation de la CEEAC (historique, structure, missions, fonctionnement, p...
Présentation de la CEEAC (historique, structure, missions, fonctionnement, p...
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003
 
Biodiversité moléculaire des écotypes de chèvres (Capra hircus) du Cameroun
Biodiversité moléculaire des écotypes de chèvres (Capra hircus) du CamerounBiodiversité moléculaire des écotypes de chèvres (Capra hircus) du Cameroun
Biodiversité moléculaire des écotypes de chèvres (Capra hircus) du Cameroun
 
Cameroun , opportunites d’investissement
Cameroun , opportunites d’investissementCameroun , opportunites d’investissement
Cameroun , opportunites d’investissement
 
Diffusion des résultats de recherche et capitalisation des savoirs endogènes
Diffusion des résultats de recherche et capitalisation des savoirs endogènesDiffusion des résultats de recherche et capitalisation des savoirs endogènes
Diffusion des résultats de recherche et capitalisation des savoirs endogènes
 
PRASAC Pôle régional de recherche appliquée au développement des systèmes agr...
PRASAC Pôle régional de recherche appliquée au développement des systèmes agr...PRASAC Pôle régional de recherche appliquée au développement des systèmes agr...
PRASAC Pôle régional de recherche appliquée au développement des systèmes agr...
 
Exemple evaluation 2007
Exemple evaluation 2007Exemple evaluation 2007
Exemple evaluation 2007
 
Planification stratégique 2015-2019
Planification stratégique 2015-2019Planification stratégique 2015-2019
Planification stratégique 2015-2019
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 
Cours: de la stratégie au plan d\'action
Cours: de la stratégie au plan d\'actionCours: de la stratégie au plan d\'action
Cours: de la stratégie au plan d\'action
 

Similaire à Mise en place d'une autorité de certification (PKI) sous windows server 2008

Signature électronique par SSL Europa
Signature électronique par SSL EuropaSignature électronique par SSL Europa
Signature électronique par SSL Europassleuropa
 
Internet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreInternet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreADIPh
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
2011 10 20 signature electronique by competitic
2011 10 20 signature electronique by competitic2011 10 20 signature electronique by competitic
2011 10 20 signature electronique by competiticCOMPETITIC
 
Livre-blanc-Cryptolog-contractualisation-en-ligne
Livre-blanc-Cryptolog-contractualisation-en-ligneLivre-blanc-Cryptolog-contractualisation-en-ligne
Livre-blanc-Cryptolog-contractualisation-en-ligneGautier Harmel
 
Présentation Universign Documation 2011
Présentation Universign Documation 2011Présentation Universign Documation 2011
Présentation Universign Documation 2011Universign
 
Le guide de la signature électronique
Le guide de la signature électroniqueLe guide de la signature électronique
Le guide de la signature électroniqueGrégoire TETARD
 
Signature electronique
Signature electroniqueSignature electronique
Signature electroniqueCOMPETITIC
 
Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Ardesi Midi-Pyrénées
 
Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02Xplor France
 
Keynectis - Certificats SSL - Avis d'Expert
Keynectis - Certificats SSL - Avis d'ExpertKeynectis - Certificats SSL - Avis d'Expert
Keynectis - Certificats SSL - Avis d'ExpertKeynectis
 
Tester gratuitement la signature electronique
Tester gratuitement la signature electroniqueTester gratuitement la signature electronique
Tester gratuitement la signature electroniqueAlice and Bob
 
Protection des emails
Protection des emailsProtection des emails
Protection des emailsSalma HARIM
 
La blockchain, quand l'individu sert au collectif... malgré lui
La blockchain, quand l'individu sert au collectif... malgré luiLa blockchain, quand l'individu sert au collectif... malgré lui
La blockchain, quand l'individu sert au collectif... malgré luiFrancois Zaninotto
 
Crypto camer
Crypto camerCrypto camer
Crypto camerdilan23
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesAntoine Vigneron
 

Similaire à Mise en place d'une autorité de certification (PKI) sous windows server 2008 (20)

Signature électronique par SSL Europa
Signature électronique par SSL EuropaSignature électronique par SSL Europa
Signature électronique par SSL Europa
 
Internet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie HospitalièreInternet, Intranet, Extranet et Pharmacie Hospitalière
Internet, Intranet, Extranet et Pharmacie Hospitalière
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tls
 
2011 10 20 signature electronique by competitic
2011 10 20 signature electronique by competitic2011 10 20 signature electronique by competitic
2011 10 20 signature electronique by competitic
 
Livre-blanc-Cryptolog-contractualisation-en-ligne
Livre-blanc-Cryptolog-contractualisation-en-ligneLivre-blanc-Cryptolog-contractualisation-en-ligne
Livre-blanc-Cryptolog-contractualisation-en-ligne
 
Chapitre 4
Chapitre 4Chapitre 4
Chapitre 4
 
Présentation Universign Documation 2011
Présentation Universign Documation 2011Présentation Universign Documation 2011
Présentation Universign Documation 2011
 
Le guide de la signature électronique
Le guide de la signature électroniqueLe guide de la signature électronique
Le guide de la signature électronique
 
Signature electronique
Signature electroniqueSignature electronique
Signature electronique
 
Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)
 
Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02
 
Eregex Terminologie Clients
Eregex Terminologie ClientsEregex Terminologie Clients
Eregex Terminologie Clients
 
La cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlogLa cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlog
 
Keynectis - Certificats SSL - Avis d'Expert
Keynectis - Certificats SSL - Avis d'ExpertKeynectis - Certificats SSL - Avis d'Expert
Keynectis - Certificats SSL - Avis d'Expert
 
Tester gratuitement la signature electronique
Tester gratuitement la signature electroniqueTester gratuitement la signature electronique
Tester gratuitement la signature electronique
 
Protection des emails
Protection des emailsProtection des emails
Protection des emails
 
La blockchain, quand l'individu sert au collectif... malgré lui
La blockchain, quand l'individu sert au collectif... malgré luiLa blockchain, quand l'individu sert au collectif... malgré lui
La blockchain, quand l'individu sert au collectif... malgré lui
 
Crypto camer
Crypto camerCrypto camer
Crypto camer
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usages
 

Plus de Youcef Aliarous

Migration d’une solution de sécurité réseau vers la solution Fortigate
Migration d’une solution de sécurité réseau vers la solution Fortigate Migration d’une solution de sécurité réseau vers la solution Fortigate
Migration d’une solution de sécurité réseau vers la solution Fortigate Youcef Aliarous
 
مشروع نشر سكراتش في المدارس الابتدائية الجزائرية
مشروع نشر سكراتش في المدارس الابتدائية الجزائريةمشروع نشر سكراتش في المدارس الابتدائية الجزائرية
مشروع نشر سكراتش في المدارس الابتدائية الجزائريةYoucef Aliarous
 
Plan stratégique d'algérie télécom [projet d'étude]
Plan stratégique d'algérie télécom [projet d'étude] Plan stratégique d'algérie télécom [projet d'étude]
Plan stratégique d'algérie télécom [projet d'étude]Youcef Aliarous
 
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Youcef Aliarous
 

Plus de Youcef Aliarous (9)

Migration d’une solution de sécurité réseau vers la solution Fortigate
Migration d’une solution de sécurité réseau vers la solution Fortigate Migration d’une solution de sécurité réseau vers la solution Fortigate
Migration d’une solution de sécurité réseau vers la solution Fortigate
 
مشروع نشر سكراتش في المدارس الابتدائية الجزائرية
مشروع نشر سكراتش في المدارس الابتدائية الجزائريةمشروع نشر سكراتش في المدارس الابتدائية الجزائرية
مشروع نشر سكراتش في المدارس الابتدائية الجزائرية
 
Plan stratégique d'algérie télécom [projet d'étude]
Plan stratégique d'algérie télécom [projet d'étude] Plan stratégique d'algérie télécom [projet d'étude]
Plan stratégique d'algérie télécom [projet d'étude]
 
RFID
RFID RFID
RFID
 
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...Implémentation de technologie de haute disponibilité et de tolérance aux pann...
Implémentation de technologie de haute disponibilité et de tolérance aux pann...
 
Python
PythonPython
Python
 
Gns3
Gns3Gns3
Gns3
 
E-Marketing
E-Marketing E-Marketing
E-Marketing
 
E-Marketing
E-MarketingE-Marketing
E-Marketing
 

Mise en place d'une autorité de certification (PKI) sous windows server 2008

  • 1. ‫واإلتصال‬ ‫اإلعالم‬ ‫وتكنىلىجيات‬ ‫للبريد‬ ‫الىطني‬ ‫المعهد‬ Institut National de la Poste et des Technologies de l'Information et de la Communication Mise en place d’un Public Key Infrastructure sous Windows server 2008 Réalisé par : ALI AROUS Youcef BARHOUMI Yasmine KHELALFA Ali KISRANE Ramzi ZENNOU Asma Année universitaire 2015/2016 Ministère de la Poste et des Technologies de l’Information la Communication Ministère de l’Enseignement Supérieur et de la Recherche Scientifique
  • 2. Autorité de certification 2 Contents Quelles sont les problématiques ?.......................................................................................................... 3 Introduction :........................................................................................................................................... 4 Pourquoi la cryptographie?..................................................................................................................... 5 A quoi sert la signature électronique ? ................................................................................................... 5 Quelles sont les garanties apportées par une signature électronique ?................................................. 5 Obtention d’un certificat numérique :.................................................................................................... 6 Définition................................................................................................................................................. 6 Fonctionnement interne : ....................................................................................................................... 6 Les axes de fonctionnement de l’autorité de certification ..................................................................... 7 Scénario de demande de certificat au près d’une autorité de certification : ......................................... 7 La PKI (Public Key Infrastructure) :.......................................................................................................... 8 Outils et protocoles de mise en oeuvre des PKIs .................................................................................... 8 La politique d'une PKI :............................................................................................................................ 9 Composants d’une PKI :......................................................................................................................... 10 PKI: Cycle de vie de certificats............................................................................................................... 11 Exemple ANNE-Bernard :....................................................................................................................... 13 1.1 Clé publique/clé privée............................................................................................................ 13 1.2 Message digest ........................................................................................................................ 13 1.3 Signature digitale..................................................................................................................... 13 1.4 Certificats ................................................................................................................................ 14 1.5 Autorité de certification........................................................................................................... 14 Partie pratique....................................................................................................................................... 15 Services de certificats Active Directory......................................................................................... 15 installation et la configuration de base de Services de certificats Active Directory ( AC CS )....... 16 Installation et configuration de serveur mail................................................................................ 17 Préparation des clients.................................................................................................................. 18 Obtient de certificat ...................................................................................................................... 18 Intégration de certificat dans le client mail................................................................................. 19 Scénario d’envoi un mail signer .................................................................................................... 21
  • 3. Autorité de certification 3 Quelles sont les problématiques ? Les rappels cryptographiques précédents ont mis en lumière que les systèmes asymétriques permettaient de rendre de nombreux services de sécurité, et en particulier ceux d’authentification et de non-répudiation. Tout cela tient au fait que, comme l’illustre la figure 1), lorsque Bob vérifie une signature numérique d’un document avec la clé publique d’Alice et que cette vérification est correcte, alors Bob est convaincu que c’est bien Alice qui a signé ce document. Mais pour cela, encore faut-il que Bob soit bien certain d’avoir utilisé la clé publique d’Alice et non pas celle de Carole. Supposons que dans un amphithéâtre chaque étudiant écrive son nom au tableau en le faisant suivre de sa clé publique. Pour vérifier la signature électronique sur la copie d’Alice, le professeur cherche au tableau le nom d’Alice et utilise la clé qui suit son nom pour effectuer la vérification. Si Carole veut jouer un mauvais tour à Alice, elle envoie une copie pleine de fautes au professeur en signant avec sa clé (celle de Carole) mais, pour faire croire que c’est bien Alice qui a signé, Carole efface la clé publique d’Alice et écrit la sienne à la place. En prenant la clé qui suit le nom d’Alice, le professeur va vérifier correctement la signature sur la fausse copie et croire qu’elle provient bien d’Alice alors qu’il aura vérifié la signature avec la clé de Carole. Cette malveillance a été rendue possible car, dans notre exemple, il n’y avait pas de lien entre le nom d’Alice et sa clé publique. Cela serait encore plus grave si le professeur avait voulu utiliser la clé publique d’Alice pour lui envoyer un
  • 4. Autorité de certification 4 message confidentiel car, en croyant chiffrer vers Alice, le professeur aurait chiffré en utilisant la clé de Carole qui aurait alors été la seule à pouvoir déchiffrer le message. Voici une illustration explique la procédure de problématique Introduction : L’utilisation massive de messages électroniques et l’expansion du commerce électronique est devenu une opération de plus en plus courante. En effet, les données qui transitent sur Internet, sont sujettes à diverses attaques comme l'attaque man in the middle lorsque les entités échangent leurs clefs publiques. Dans une petite structure, il pourrait être envisageable de générer sa paire de clefs localement et d’échanger les clefs publiques hors ligne (en main propre par exemple), mais cette solution est inimaginable pour une structure internationale. Dans ce cas de figure, une authentification automatique des clefs publiques est indispensable.
  • 5. Autorité de certification 5 Pourquoi la cryptographie? L'homme a toujours ressenti le besoin de dissimuler des informations, bien avant même l'apparition des premiers ordinateurs et de machines à calculer. Depuis sa création, le réseau Internet a tellement évolué qu'il est devenu un outil essentiel de communication. Cependant, cette communication met de plus en plus en jeu des problèmes stratégique liés à l'activité des entreprises sur le Web. Les transactions faites à travers le réseau peuvent être interceptées, d'autant plus que les lois ont du mal à se mettre en place sur Internet, il faut donc garantir la sécurité de ces informations, c'est la cryptographie qui s'en charge. Le chiffrement se fait généralement à l'aide d'une clef de chiffrement, le déchiffrement nécessite quant à lui une clef de déchiffrement. On distingue généralement deux types de clefs  Les clés symétriques: il s'agit de clés utilisées pour le chiffrement ainsi que pour le déchiffrement. On parle alors de chiffrement symétrique ou de chiffrement à clé secrète.  Les clés asymétriques: il s'agit de clés utilisées dans le cas du chiffrement asymétrique (aussi appelé chiffrement à clé publique). Dans ce cas, une clé différente est utilisée pour le chiffrement et pour le déchiffrement. A quoi sert la signature électronique ? La signature électronique est à un document numérique, ce que la signature manuscrite est à un document papier. Tout comme une signature papier, une signature électronique a pour seul objectif de démontrer à un tiers que le document a été approuvé par une personne identifiée. Il s’agit d’un mécanisme d’engagement fiable faisant appel à des techniques cryptographiques. Quelles sont les garanties apportées par une signature électronique ? La signature électronique permet, pour un document numérique, de garantir :  l’identité du signataire ;  la non-répudiation par le signataire du document signé ;
  • 6. Autorité de certification 6  l’in g i du document signé, c’est-à-dire son absence de modification ; Obtention d’un certificat numérique : Pour obtenir un certificat numérique, le client doit effectuer une requête auprès d’un organisme reconnu. Il transmet avec sa requête sa clef publique. L’organisme construit un certificat incorporant la clef publique du client, il signe le certificat à l’aide de sa clef privée. L’autorité de certification publiera le certificat signé comportant la clef publique et l’identité précise du propriétaire, quiconque consultera ce certificat aura l’assurance dans l’authenticité de la clef publique contenue dans celui-ci car il a confiance dans l’autorité de certification qui a délivré ce certificat. Définition Représentée par une société, une organisation ou un service administratif, une autorité de certification est un prestataire chargé de concevoir, de délivrer mais aussi de gérer des cartes d’identité électroniques pour le compte d’utilisateurs. L’autorité de certification s’engage sur l’identité d’un individu par le biais d’un certificat dont le champ d’application dépend du crédit de l’autorité. Ainsi, l’autorité de certification peut être considérée comme un tiers de confiance qui garantit l’authenticité d’un certificat. Les services des autorités de certification sont principalement utilisés dans le cadre de : - la sécurisation des communications numériques via protocole Transport Layer Security (TLS) utilisé par exemple pour sécuriser les communications web (HTTPS) ou email (SMTP, POP3, IMAP... sur TLS - la sécurisation des documents numériques (par exemple au moyen designatures électroniques avancées telles que PAdES pour des documents PDF, ou via le protocole S/MIME pour les emails). Fonctionnement interne : L'autorité de certification (AC) opère elle-même ou peut déléguer l'hébergement de la clé privée du certificat à un opérateur de certification (OC) ou autorité de dépôt. L'AC contrôle et audite l'opérateur de certification sur la base des procédures établies dans la Déclaration des
  • 7. Autorité de certification 7 Pratiques de Certification. L'AC est accréditée par une autorité de gestion de la politique qui lui permet d'utiliser un certificat renforcé utilisé par l'OC pour signer la clé publique selon le principe de la signature numérique. Les axes de fonc ionnemen de l’au o i de ce ifica ion L’autorité de certification repose essentiellement sur deux grands axes de fonctionnements.  D’une part, la fonction d’organisation consiste d’abord au traitement des demandes de certificats, de contrôler des informations reçues, avant de valider ou de rejeter les demandes.  D’autre part, la fonction technique est surtout caractérisée par la conception et la production des cartes d’identité électroniques, l’installation, le contrôle et l’entretien des équipements cryptographiques mais aussi d’assurer un cadre sécurisé. Selon les besoins de l’autorité de certification, un volume de production doit être maintenu. Scénario de demande de ce ifica au p ès d’une au o i de ce ifica ion : Dans la plupart des cas, pour configurer un serveur sécurisé utilisant le chiffrement par clé publique, vous envoyez votre demande de certificat (avec votre clé publique) à l'autorité de certification, accompagné d'une preuve de votre identité et de votre paiement. La CA vérifie votre identité et la demande de certificat, puis vous renvoie un certificat pour votre serveur sécurisé.. Le processus d'acquisition d'un certificat signé par un CA est relativement simple et facile. En voici un survol rapide : 1. Créez une paire de clefs privé et publique. 2. Créez une demande de certificat basée sur la clé publique. La demande de certificat contient les informations concernant votre serveur et la société qui l'héberge. 3. Envoyez votre demande de certificat, avec les documents prouvant votre identité, à l'autorité de certification (CA). Nous ne pouvons pas vous dire quelle autorité de
  • 8. Autorité de certification 8 certification choisir. Votre décision peut être basée sur votre expériences passée, ou sur l'expérience de vos amis ou collègues, ou simplement sur des considérations financières. Une fois l'autorité de certification choisie, vous devez suivre les instructions qu'ils vous ont indiquées pour obtenir un certificat de leur part. 4. Quand l'a§utorité de certification est sûre que vous êtes celui que vous prétendez être, elle vous envoie un certificat numérique. 5. Installez ce certificat sur votre serveur sécurisé, et configurez les applications appropriées pour utiliser le certificat. La PKI (Public Key Infrastructure) : La PKI (Public Key Infrastructure) est l’ensemble de moyens (techniques et Organisationnels) permettant d’établir une forte garantie de confiance dans la validité d’une identité numérique. Ceci est rendu possible par l’utilisation de clés et de certificats d’une part, et surtout d’une organisation garantissant la délivrance et la gestion de ces éléments d’autre part. Cette confiance se traduit dans la capacité à garantir quatre qualités :  la confidentialité : seul le destinataire (ou le possesseur) légitime d’un bloc de données ou d’un message pourra en avoir une vision intelligible ;  l’authentification : lors de l’envoi d’un bloc de données ou d’un message ou lors de la connexion à un système, on connaît sûrement l’identité de l’émetteur ou l’identité de l’utilisateur qui s’est connecté ;  l’intégrité : nous avons la garantie qu’un bloc de données ou un message expédié n’a pas été altéré, accidentellement ou intentionnellement ;  non-répudiation : l’auteur d’un bloc de données ou d’un message ne peut pas renier son œuvre. Outils et protocoles de mise en oeuvre des PKIs Plusieurs outils logiciels opensource permettent de gérer des certificats de clé publique :
  • 9. Autorité de certification 9  L'enrôlement et la révocation de certificats sont assurés par le logiciel OpenCA développé par The OpenCA Labs. OpenCA se base sur Apache et permet donc aux administrateurs/utilisateurs de réaliser toute la gestion des certificats au travers d'un navigateur classique. Suivant le répertoire auquel on accède sur le serveur OpenCA, un utilisateur jouera le rôle de l'autorité de certification ou de l'autorité d'enregistrement. OpenCA bénéficie de plusieurs avantages vis-à-vis d'autres logiciels de gestion de certificats comme IDEALX. En effet, il est relativement simple d'installation et de plus il s'interface avec OpenLDAP ce qui permet, une fois les certificats générés, de les publier de façon automatique dans la base LDAP.  La publication des certificats et CRL est réalisée par openLDAP développé par The OpenLDAP Project. Depuis 1999, avec les nouveaux attributs de LDAP définis dans le RFC 2587, il est possible de publier un certificat mais aussi une CRL dans une entrée de LDAP. Quant à l'aspect validation, toute la difficulté est d'obliger les applications utilisatrices de certificats de vérifier la validité d'un certificat avant usage. Aujourd'hui, certaines applications comme Netscape 7 implémentent le protocole OCSP (Online Certificate Status Protocol) [RFC 2560] qui permet à une application d'interroger un serveur OCSP en ligne pour connaître la validité d'un certificat. Le serveur OCSP attaché à une autorité de certification se contente en fait de vérifier le statut d'un certificat stocké en local dans un de ces répertoires ; le certificat précise dans un champ l'adresse du serveur OCSP à contacter. Un autre protocole SCVP (Simple Certificate Validation Protocol) [MHF-id] est en cours de définition à l'IETF. Le serveur SCVP qui est local à l'application demandeuse est capable de vérifier la validité de n'importe quel certificat pour peu qu'il ait confiance dans la PKI concernée. La politique d'une PKI : La politique d'une PKI se définit à deux niveaux:  La politique de certification : Une politique de certification est un ensemble de règles, qui fournit un renseignement sur la possibilité d’utiliser un certificat pour une communauté particulière ou des applications ayant des besoins de sécurité communs.
  • 10. Autorité de certification 10 Elle spécifie entre autre les conditions et les caractéristiques de délivrance du certificat. Dans le cas général, un certificat est utilisable par n’importe quelle application pour autant que ces conditions et ces caractéristiques sont jugées satisfaisantes. Cependant, une politique de certification peut éventuellement restreindre l’usage du certificat à un ensemble données d’applications, voir même à une seule application.  La politique de sécurité : est la partie juridique de la PKI. En effet, lorsqu'on met en place une PKI, il faut fournir trois documents : o Rapport pratique de certification : qui spécifie les critères de certification et la politique de révocation des certificats, o — Politique du certificat : qui explique et limite l'utilisation du certificat numérique, o Considérations légales : qui permet de responsabiliser les utilisateurs en cas de perte ou de fraude à l'intérieur même de la PKI. Composants d’une PKI : Une PKI contient plusieurs composants principaux essentiels à son bon fonctionnement :  Une Autorité d'enregistrement : (Registration Authority - RA) Son principal rôle est de vérifier la demande d'enregistrement (Certificate Signing Request - CSR) d'un nouvel utilisateur dans l'infrastructure. Les méthodes de vérification de cette étape sont définies en fonction de la politique de certification choisie pour l'infrastructure. Si l'autorité d'enregistrement valide la demande d'enregistrement, alors la requête de certificat passera entre les mains de l'autorité de certification. L'autorité d'enregistrement peut être contenue dans l'autorité de certification.
  • 11. Autorité de certification 11  Une Autorité de Certification : (Certificate Authority - CA) Son principal rôle est de générer un certificat pour l'utilisateur. Le certificat contiendra des informations personnelles sur l'utilisateur mais surtout sa clef publique et la date de validité. L'autorité de certification signera ce certificat avec sa clef privée, ainsi ce certificat sera certifié authentique par lui-même. C'est pourquoi on parle de chaîne de confiance dans une PKI car il s'agit de faire confiance à cette autorité de certification qui sera lui-même certifié par une autorité supérieure et ainsi de suite. L'autorité de certification aura aussi le rôle de mettre à jour la liste des certificats qu'il a signé afin de connaître les dates de validité de ses certificats. En effet, pour vérifier si un certificat est valide, il faudra demander à l'autorité de certification qu'il l'a généré si le certificat en question est toujours valide ou s'il a été révoqué.  Un Annuaire (Autorité de dépôt ) : L'annuaire est indépendant de la PKI cependant la PKI en a besoin. Les seules contraintes de l'annuaire sont qu'il doit accepter le protocole X.509 pour le stockage des certificats révoqués et le protocole LDAP. Son rôle est comme dit précédemment de stocker les certificats révoqués et par la même occasion, les certificats en cours de validité afin d'avoir un accès rapide à ces certificats. De plus, l'annuaire peut stocker les clefs privées des utilisateurs dans le cadre du recouvrement de clef. Sachant que les certificats sont largement distribués, l'annuaire est une solution pour les mettre à disposition. PKI: Cycle de vie de certificats La figure suivant explique brièvement Le déroulement de Cycle de vie de certificats à partir d’une demande de certification jusqu’à la expiration
  • 12. Autorité de certification 12 La gestion des clés proprement dite se compose des opérations suivantes : Enregistrer et vérifier les demandes de certificats  Autorité d’enregistrement Créer et distribuer des certificats  Autorité de certification Vérification de validité de certificats  Autorité de validation G e à ou momen l’ a des ce ifica s e p end e en comp e leur révocation  Dépôt de listes de certificats révoqués CRL (Certificate Revocation List)
  • 13. Autorité de certification 13 Publier les certificats dans un dépôt  Dépôt de certificats (Annuaire) Exemple ANNE-Bernard : Voici un exemple expliquant l’obtention d’un certificat : 1.1 Clé publique/clé privée Anne veut envoyer un message privé à Bernard et elle veut que seul Bernard puisse le lire. Grâce à la clé publique de Bernard, elle crypte le message et l'envoie. Seul Bernard, qui possède la clé privée correspondante peut décrypter le message. 1.2 Message digest Bien qu'Anne puisse crypter son message pour assurer sa confidentialité, le risque demeure qu'un intrus disposant lui aussi de la clé publique de Bernard, modifie le message original ou lui substitue un autre message. Anne crée donc un bref compte-rendu (message digest ou hash) de son message et l'envoie à Bernard avec le message. À la réception du message et du compte-rendu, Bernard calcule son propre compte-rendu. Si les deux compte-rendus correspondent c'est que le message à été reçu intact. 1.3 Signature digitale Bernard veut s'assurer que le message reçu à bien été envoyé par Anne et non par un intrus. La signature digitale de Anne est donc envoyée avec son message. Cette signature digitale est créé en cryptant le digest du message et d'autres informations (un numéro d'ordre) avec la clé privée de Anne. N'importe qui possédant la clé publique de Anne peut décoder la signature digitale, mais seule Anne peut l'avoir cryptée. Cela garantit que seule Anne a pu signer le message.
  • 14. Autorité de certification 14 Inclure le digest du message dans la signature signifie que la signature n'est valable que pour ce message particulier. Ceci garantit donc l'intégrité du message, car personne le peut modifier le digest et signer le message à la place de Anne. Pour ce prémunir contre l'interception et la réutilisation de la signature par un intrus, elle contient un numéro d'ordre séquentiel unique. Ceci garantit également que Anne ne pourra pas nier avoir envoyé le message (non-répudiation). 1.4 Certificats Bien qu'Anne ait envoyé un message crypté et signé à Bernard, elle veut être certaine que c'est bien avec Bernard qu'elle communique. Elle veut être certaine que la clé publique qu'elle utilise correspond bien à la clé privée de Bernard. De même, Bernard doit vérifier que la signature du message est bien la signature de Anne. Si chacun dispose d'un certificat validant l'identité de l'autre, confirmant sa clé publique et signé par une tierce personne de confiance (trusted third party) ou autorité de certification, alors chacun est certain de communiquer réellement avec le bon interlocuteur. Chacun utilise la clé publique de l'autorité de certification pour contrôler le certificat de l'autre et pour s'assurer de l'authenticité de sa clé publique. 1.5 Autorité de certification L'autorité de certification (CA pour Certification Authority) signe les certificats avec sa clé privée et permet aux interlocuteurs de vérifier les certificats au moyen de sa clé publique. L'autorité de certification ne doit avoir aucun intérêt commun avec les deux parties en présence.
  • 15. Autorité de certification 15 Partie pratique Dans cette partie, nous allons installer une autorité de certification sous Windows server 2008, et nous allons faire un scénario d'envoyer un message électronique signé. Pour faire cala, nous allons tous d'abord Installés Windows Server 2008 sur une machine virtuelle. Elle doit être contrôleur de domaine dans le domaine inptic.org. Puis faire installation et la configuration de base de Services de certificats Active Directory et la mise en place de serveur mail. Services de certificats Active Directory AD CS est le moteur sur lequel Windows Server 2008 s’appuie pour gérer les certificats à clé publique. Il vous permet de créer une hiérarchie de PKI complète pour émettre et gérer des certificats dans votre organisation. AD CS comprend plusieurs composants : ■ Autorités de certification (CA) Les CA ( Certificate Authority ) sont les serveurs que vous utilisez pour émettre et gérer des certificats. En raison de la nature hiérarchique d’une PKI, AD CS prend en charge à la fois des CA racine et des CA secondaires, ou enfants. La CA racine attribue généralement des certificats aux CA secondaires, ce qui leur permet d’attribuer à leur tour des certificats aux utilisateurs, aux ordinateurs et aux services. Une CA secondaire ne peut émettre de certificats que si son propre certificat est valide. Lorsque ce dernier expire,
  • 16. Autorité de certification 16 elle doit en demander le renouvellement auprès de sa CA racine. C’est pourquoi la durée du certificat de celle-ci est souvent plus longue que celle des CA secondaires. De même, la durée des certificats des CA secondaires est plus longue que celle qu’elles attribuent aux utilisateurs, aux ordinateurs et aux services. ■ Inscription le Web via L’inscription web permet aux utilisateurs de se connecter à la CA via un navigateur web pour demander des certificats, utiliser des cartes à puce ou obtenir des listes de révocation de certificats (CRL, Certificate Revocation Lists ). Les CRL indiquent aux utilisateurs de votre infrastructure à clé publique quels sont les certificats qui ont été invalidés ou révoqués par votre organisation. Les systèmes s’appuyant sur la PKI scrutent les serveurs CA pour obtenir des CRL chaque fois qu’un certificat leur est présenté. S’il figure sur la liste, il est automatiquement refusé. ■ Répondeur en ligne Ce service est conçu pour répondre à des requêtes de validation spécifiques et met en œuvre le protocole OCSP ( Online Certificate Status Protocol ). Il évite au système s’appuyant sur la PKI de demander une CRL complète et lui permet de soumettre une requête de validation pour un certificat donné. répondeur en ligne décode cette requête et détermine si le certificat est valide. Lorsqu’il a vérifié le statut dudit certificat, il renvoie une réponse chiffrée contenant les informations demandées. L’emploi des répondeurs en ligne est beaucoup plus rapide et plus efficace que cel installation et la configuration de base de Services de certificats Active Directory ( AC CS ) La première étape consiste à installer et de configurer les Services de certificats Active Directory. À l'aide de gestionnaire de serveur, on ajoute le rôle Services de certificats Active Directory. nous sélectionnons tous les compassant à installer, dans notre cas sont :  Autorités de certification  Inscription le Web via L’inscription web  Répondeur en ligne
  • 17. Autorité de certification 17 Installation et configuration de serveur mail Pour le serveur mail nous avons opté pour la solution Hmailserver une solution open source, gratuite et léger (taille de fichier d’installation est 3.9 Mb) La configuration de serveur mail compris :  Configuration de base de donnes  L’ajoute de domaine INPTIC.org
  • 18. Autorité de certification 18  Création des utilisateurs (user1, user2 …)  Autorisation de sous réseaux 192.168.10.0/24 Préparation des clients nous avons utilisé Windows XP comme système d’exploitation des clients, afin de certifier les clients, on les ajoute en tant qu’utilisateur dans le contrôleur de domaine (voire la figure ci- dessous). Pour le service client de messagerie électronique,Nous avons utilisé Thunderbird une solution gratuite et open source de Mozilla Figure l'ajoute des utilisateurs dans le contrôleur de Domain Obtient de certificat Pour que le client obtienne son certification et la certification de l’autorité. Il suffit d’accéder au adresse inptic.org/certsrv.
  • 19. Autorité de certification 19 Figure portail de L’inscription web Intégration de certificat dans le client mail Afin que le client signer ou crypter les messages électronique il faut intégrer les certifications dans le client mail.
  • 20. Autorité de certification 20 Figure importation de certification d'autorité
  • 21. Autorité de certification 21 Scénario d’envoi un mail signer Supposant qu’utilisateur 1 ( user1@inptic.org) envoie un message sensible au l’utilisateur 2 ( user2@inptic.org) . Alors l’utilisateur 1 signer le message. L’utilisateur 2 reçoit le message signé. Figure envoie et signature de message Figure réception de message signé par l’utilisateur 2