Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2

Implémenter une PKI avec
ADCS 2012 R2
Titre de vidéo
Présentation de la formation
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Patrick IZZO
Formateur Technique Indépendant
Solutions Microsoft
Certifications : MCT, MCSE 2008, MCSA 2012
Contact : patrick.izzo@orange.fr
Implémenter une PKI avec Windows Server 2012 R2 Active Directory Certificate Services alphorm.com™©

Plan
• Présentation du formateur
• Pourquoi une session sur les Pki 2012 R2?
• Publics concernés et prérequis
• Le plan de formation
• Les ateliers pratiques
• Architecture de base des ateliers pratiques

Le formateur
• IZZO Patrick
• Travailleur indépendant après salariat en SSII
• Formateur technique Windows serveur 2012 r2
• MCP, MCST, MCSA 2008 r2, MCSA 2012 r2
• MCT (1997 - 2014)
patrick.izzo@orange.fr
• Mes références :
LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458
Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo
Alphorm http://www.alphorm.com/auteur/patrick-izzo
Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx
(Login : 692101 password : 58964781)

Pourquoi une formation PKI 2012 R2?
• Pki (Public Key Infrastructure
Environnement sécurisé de gestion et d’utilisation de certificats
La base de toute sécurité d’entreprise !!
• Des concepts nouveaux
• Une implémentation multi-composantes
• Richesse de fonctionnalités
• Gain de temps
• Aide au passage des certifications Microsoft (70-412)

Publics concernés
• Techniciens de support
• Administrateurs, ingénieurs systèmes
• Architecture informatique
• Spécialiste en sécurité
• Spécialiste en Pki d’entreprise
• Passage des certifications Microsoft (70-412)

Connaissances requises
• Connaissances de base sur la gestion des systèmes d’exploitation
Windows
• Connaissances de base sur les réseaux
• Connaissances sur l’Active Directory
• Pas de prérequis sur la cryptographie (couvert par la session)

Le plan de formation
1. Présentation
2. Cryptographie
Type de chiffrement
Certificats, Clés publiquesprivés
3. Autorité de certification Entreprise
Présentation d’une autorité de certification
Installation d’une autorité de certification
5. Sites Web sécurisés
Implémentation de Ssl
Nouveautés IIS 8 et IIS 8,5
6. Révocation de certificats
Révocation Lan
Révocation Wan
Serveur OCSP
7. Sécurisation d'une infrastructure de clé publiques
4. Inscription de certificats
Modèles de certificats
Inscription manuelle
Inscription via le Web
Inscription automatique
Itinérance des certificats
Agent d'inscription
Sauvegarde et restauration
Archivage des certificats
Architectures sécurisées
Installations automatisées autorité racine
Installations automatisées autorité secondaire
8. Autres rôles Pki
Certificate Enrollment Web Services (CepCes)
Network Device Enrollment Service (Ndes)
9. Conclusion

Ateliers pratiques
• Exemples d’ateliers …
Cryptage de fichiers EfsAgent de récupération (Domaine Workgroup)
Cartes à puceAgent de récupération
Vpn SSTP
Signature de code PowerShell
Sites Web Sécurisés …
• Architecture des ateliers
Machines virtuelles (Hyper-V 3)

Liens des ressources logicielles
• Source Windows 8.1 (version Entreprise)
http://technet.microsoft.com/fr-fr/windows/hh771457.aspx
• Source Windows 2012 Server
http://technet.microsoft.com/fr-fr/evalcenter/hh670538.aspx

Applications Pratique
Architecture domaine : Corp.lan
Active
Directory
s1.corp.lan

s5.corp.lan
s2.corp.lan
Autorité de certification
w811.corp.com s4.corp.lan
10.0.0.1
10.0.0.2
80.0.0.11 10.0.0.4 10.0.0.5

Ce qu’on a couvert
• Présentation dur formateur
• Pourquoi les une session sur les Pki 2012 r2 ?
• Les prérequis de la formation
• Le contenu (plan et ateliers pratiques)
C’est parti !!

Cryptographie
Introduction au PKI
et à la Cryptographie
Patrick IZZO
Solutions Microsoft

Plan
• Rôle des PKI
• Utilisation des PKI
• Composantes de PKI
• Technologies de Cryptographie
• Cryptage SymétriqueAsymétrique
• Certificats
• Application : Chiffrement de fichiers (EFS)
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.

Rôle des PKI
• Pki (Public Key Infrastructure ou Infrastructure de clé publique)
Technologies de cryptographie pour la sécurisation de votre environnement
informatique
Utilisé pour :
• Confidentialité (Chiffrement)
• Authentification (Utilisateur, Ordinateur)
• Intégrité (Données non modifiées)

Exemples d’utilisation des PKI
• Fichiers (Efs, Bitlocker)
• Pilotes, ActiveX, Macros, Scripts PowerShell
• Site Web (Ssl)
• Connexions réseau (Vpn, Wifi…)
• Sécurisation de trafic réseau (IpSec…)
• Authentification Forte (Cartes à puce)
• Mails
• …

Composantes d’une architecture de PKI
• Cryptographie
Algorithmes mathématiques
Certificats
• Autorités de certifications (Gestion des certificats)

Cryptage symétrique
• Algorithme mathématique + Clé (élément variable de l’algorithme)
Algorithmes mathématiques : Des, 3Des ou Aes …
Une seule clé (128, 256 bits)
• La clé symétrique doit être transmise à l’aide de moyen de
communication sécurisé
Décaler de : 3
Bonjour
EEEEEEEErrrrrorrqqqqqqnnmmmmmjjjooorrorruuxuxxuurruurrrr
Décaler de : 3
Erqmrxu
EEEEBEBEErrrroororqqqqnqnnnmmmmjjjjjoooooorrruuuuxuuxurrurrrrrr
Bob

Composantes Cryptage asymétrique
• Certificat
Utilisation des clés, propriétaire, durée de vie…)
Clé publique
• Clé Privé
Stocké dans un emplacement protégé sur l’ordinateur
Bob
Clé Publique
de Bob
Lien mathématique de 1 à un entre la clé privé et la clé publique
Clé Privée
de Bob
1 1
Clé Publique
Bob
de Bob

Cryptage asymétrique
• Certificat avec Clé publique + Clé Privé
Je chiffrer avec la « Clé publique » de Bob
Bob déchiffrer avec sa « clé privée »
Clé Privée
de Bob
Clé Publique
de Bob
Bob
1 1
BEorqnmjoruxru! Bonjour
Bob

Comparatif types de cryptage ?
• Cryptage symétrique
Plus rapide, une seule clé de petite taille (128, 256 bits)
Requiert une communication déjà sécurisée pour l’échange de la clé
• Cryptage Asymétrique
Plus lent (100 fois ou plus …), deux clés (PubliquePrivé + un certificat)
Taille des clés plus importante (1024, 2048, 4096 bits)
Totalement sécurisé
• Lequel utiliser ??

Combinaison Symétrique Asymétrique
• On utilisera toujours une combinaison de cryptage Symétrique
Asymétrique !!!
• Chiffrement du contenu : Symétrique
Plus rapide
• Protection de la clé : Asymétrique
Totalement sécurisé
Le chiffrement asymétrique sécurise la clé symétrique !!!

Combinaison SymétriqueAsymétrique
• Chiffrement avec un clé symétrique
• Protection de la clé symétrique en Asymétrique
Lien mathématique de 1 à un entre la clé privé et la clé publique
Clé Privée
de Bob
Clé Publique
de Bob 1 1
La partie de l'image avec l'ID de relation rId3 n'a pas été
trouvé dans le fichier.
3# 3
Bob
BEorqnmjoruxru! Bonjour
Bob

Cryptage EFS
• Encryption File System
• Chiffrement de fichiers ou de dossiers
• Rapide, performant (intégré au noyau Ntfs)
• Combine cryptage symétrique et asymétrique
• Transparent
• Les fichiers cryptés apparaissent en vert

Fonctionnement du chiffrement EFS
• L’utilisateur demande à crypter son document
• Le système génère une clé aléatoire
symétrique dans l’entête du fichier
• Le document est crypté à l’aide
de la clé symétrique
3# Bob
• La clé symétrique est crypté en asymétrique avec
la clé publique de l’utilisateur
Ceci ëH3ÿ est 32ö un
ë!
I‹ÉÿÅH‹È
document
H‹øÿÅH‹confidentiel
ÏŠð

Déchiffrement EFS
• Fonctionnement du déchiffrement EFS
L’utilisateur ouvre le document
Le système récupère la clé privé
de l’utilisateur
le système déchiffre la clé symétrique
à l’aide de la clé privé de l’utilisateur
Clé Privée
de Bob
#3 Bob
Le système déchiffre le document à l’aide
de la clé de chiffrement symétrique
ëH3ÿ 32ö ë!
I‹ÉÿÅH‹È
H‹øÿÅH‹ÏŠð
Ceci est un
document
confidentiel

Application
Application pratique
Chiffrement de fichiers EFS

• Le fonctionnement de la cryptographie
Combinaison de cryptage Symétrique et Asymétrique
Les composantes d’un certificat
Le rôle des clés, publique et privée, associées
Application avec le cryptage de fichier (Efs)
Une bonne compréhension des notions essentielles de cryptographie
permet une implémentation efficace de votre infrastructure de PKI

Cryptographie
Partage de fichiers
cryptés
Patrick IZZO
Solutions Microsoft

Plan
• Partage de fichiers cryptés
• Application : Partage de fichiers cryptés Efs

Partage de fichiers cryptés EFS
• L’utilisateur U1 souhaite partager son fichier crypté avec u2 et u3…
Sans communiquer sa clé privée !!!
• Fonctionnement :
Chaque utilisateur pour qui l’on partage le fichier disposera de sa copie de
l’entête comprenant la clé symétrique qu’il chiffrera, ou déchiffrera, avec ses
clés publiqueprivé !
Il y aura autant d’entêtes dupliqués que d’utilisateurs avec qui l’on partagera
le fichier

Partage d’un fichier chiffré - Entêtes
• Le système décrypte la clé symétrique
à l’aide de la clé privé de Bob
• Le système duplique un nouvel
entête pour l’utilisateur « U2 »
• La clé symétrique du nouvel entête
est chiffré en asymétrique à l’aide
#
3#
Clé Privée
de Bob
Bob
3
# U2
de la clé publique de l’utilisateur « U2 »
• Il y aura autant d’entête que d’utilisateurs
avec qui l’on partagera le fichier …
ëH3ÿ 32ö ë!
I‹ÉÿÅH‹È

Partage d’un fichier chiffré - Lecture
• L’utilisateur « U2 » n’accède pas à l’entête
de l’utilisateur (Bob)
• L’utilisateur « U2 » accède à
son entête
• Il décrypte la clé symétrique à l’aide
de sa clé privé d’utilisateur « U2 »
3#
Clé Privée
de U2
U2 #3
• Il déchiffre le document à l’aide
de la clé symétrique déchiffrée
Ceci est un
document
confidentiel
ëH3ÿ 32ö ë!
I‹ÉÿÅH‹È

Application
Partage de fichiers EFS

Partage de fichiers cryptés Efs

Cryptographie
Agents de récupération
EFS
Patrick IZZO
Solutions Microsoft

Plan
• Agents de récupération Efs
• Application : Agent de récupération Efs

Agents de récupération EFS
• L’agent de récupération accède à tout les fichiers cryptés !!!
Sans communiquer les clés privées des utilisateurs à l’agent de
récupération
• Le principe est la même que pour le partage de fichiers cryptés
Chaque « agent de récupération » dispose d’une copie de l’entête
comprenant la clé symétrique qu’il chiffre ou déchiffre avec ses clés
publiqueprivé !
Il y aura autant d’entêtes dupliqués que d’ « agents de récupération »
déclarés sur l’ordinateur

Agents de récupération - Entête
• Le système décrypte la clé symétrique
à l’aide de la clé privé de Bob
• Le système duplique un nouvel
entête pour l’agent de récupération
• La clé symétrique du nouvel entête
est chiffré en asymétrique à l’aide
#
3#
Clé Privée
de Bob
Bob
3
# AR1
de la clé publique de l’agent de récupération
ëH3ÿ 32ö ë!
I‹ÉÿÅH‹È

Agents de récupération - Déchiffrement EFS
• L’agent de récupération n’accède pas à l’entête
de l’utilisateur (Bob)
• L’agent de récupération accède à
son entête
• Il décrypte la clé symétrique à l’aide
de sa clé privé d’agent de récupération
3#
Clé Privée
de AR1
AR1 #3
• Il déchiffre le document à l’aide
de la clé symétrique déchiffrée
Ceci est un
document
confidentiel
ëH3ÿ 32ö ë!
I‹ÉÿÅH‹È

Application
Agent de récupération EFS

Agent de récupération Efs

Autorité de certification Entreprise
Présentation d’une autorité
de certification
Patrick IZZO
Solutions Microsoft

Plan
• Rôle de l’autorité de certification
• Authentification et intégrité des certificats
• Type d’autorité de certification

Rôle de l’autorité de certification
• Autorité de certification (Certification Authority – CA)
• Gestion des certificats
Délivrer des modèles personnalisés de certificats
(Utilisateur, Ordinateurs, Services)
Archiver
Révoquer
• Signature de certificats
Authentification
Intégrité

Authentification des certificats - Signature
Clé Publique AC Clé Privé
AC
AC
1 1

Autorité de
certification
1 1
Clé Publique
Bob
Bob
Clé Privé
Bob


Authentification des certificats - Intégrité
Clé Publique
Bob
Bob

Signature
CorpCA
• Algorithme mathématique de Hash
Md5 (plus rapide)
Sha (plus sécurisé)
• Calculé à la création
• Validé à chaque utilisation du certificat
Hash : 12345678910
Hash : 12345678910

AuthentificationIntegrité des certificats
Clé Publique AC Clé Privé
Clé Publique
Bob
1 1
AC
Clé Privé
Bob
AC
1 1

Autorité de
certification
Bob

Signature
CorpCA HHHaaassshhh : :: 11#22#33#44#55#66#778#89#91#10#0
Hash : 12345678910

Application
Calcul de valeurs de Hash

Type d’Autorité de certification
Autonome
Ne requiert pas Active Directory
Ne requiert pas que le serveur « Autorité de
certification » soit membre du domaine
Demande de certificats exclusivement par navigateur
Internet
Entreprise
Requiert Active Directory
Le serveur « Autorité de certification » doit être
membre du domaine
Approbation automatique des requêtes de
certificats
Les utilisateurs fournissent des informations
d’identifications
Demandes en attentes jusqu’à approbation manuelle
Modèles de certificat non personnalisables
Pour un usage interne et externe (Internet)
Demande de certificats
Navigateur Web
Manuelle (Mmc composant certificat)
Automatique (Stratégies de groupe)
Agent d’inscription
Modèles de certificat personnalisables
Pour un usage interne à l’entreprise

• Rôle de l’autorité de certification
• Authentification et intégrité des certificats
• Type d’autorité de certification

Autorité de certification Entreprise
Installation d’une autorité
de certification
Patrick IZZO
Solutions Microsoft

Plan
• Considération pré-installation
• CAPolicy.inf
• Post installation
• Installation
• Inscription de certificats

Considération pré-installation
• Installation complète ou minimale (Serveur Core) de Windows
• Appartenance au domaine et nom d'ordinateur non modifiable après le
déploiement d'une autorité de certification (quelque soit le type)
• Le choix du fournisseur de service de chiffrement cryptographique
Compatible avec les applications, services
Nom avec un caractère # : Fournisseur (CNG Cryptography Next Generation)
• Valeur de la clé (2048 minimum recommandé)
• Durée de vie du certificat de l’autorité

CAPolicy.inf
Paramètre de configuration de l’autorité appliqués à l’installation et
lors du renouvellement du certificat de l’autorité de certification
[Version]
Signature= $Windows NT$
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriodUnits=20
RenewalValidityPeriod=years
Doit être placé dans le dossier %windir%

Post installation
• Appliquer les paramètres de fonctionnement (certUtil)
certutil -setreg CACRLPeriodUnits 3
certutil -setreg CACRLPeriod Days
certutil -setreg CAAuditFilter 127
• Publier une liste de révocation
• Personnalisation de modèles de certificats
• Tester l’inscription d’un certificat (Mmc : Certificats)
• Sauvegarder l’autorité de certification

Application
Implémentation d’une autorité
de certification racine entreprise
s1.corp.lan
Contrôleur de domaine
s2.corp.lan
w811.corp.lan
Client

• Considération pré-installation
• CAPolicy.inf
• Post installation
• Installation
• Inscription de certificats

Inscription de certificats
Modèles de certificats
Patrick IZZO
Solutions Microsoft

Plan
• Qu’est ce qu’un modèle de certificat
• Les versions des modèles de certificat
• Application pratique : Personnaliser un modèle de certificat et l’inscrire

Qu’est ce qu’un modèle de certificat ?
• Il définit les propriétés des certificats émis
La durée de validité
Leles rôles
Qui peut inscrire le certificats
Méthode d’inscription
…Partition Configuration
• Il est stocké dans l’Active Directory ()
• Il est répliqué sur toutes les autorités de certifications de la forêt

Versions des modèles de certificat
• Systèmes d’exploitation et versions
Windows 2000 Server : Version 1
Windows Server 2003 Enterprise : Version 1 et 2
Windows Server 2008 Enterprise Edition : Version 1, 2 et 3
Windows Server 2012 : Versions 1, 2, 3 et 4
• Prise en charge des modèles de certificats
Avant Windows Server 2008 R2, uniquement avec les éditions Entreprise
Windows Server 2008 R2 2012 et 2012 r2 aussi avec les éditions Standard

Versions des modèles de certificats
• Version 1
Compatibles toutes versions d’autorités de certifications Microsoft
Non modifiables
• Version 2
Obtenu par duplication d’une version 1 et personnalisables
• Version 3
Prends en charge CNG (Cryptography Next Generation) et Algorithmes Cryptographie
Suite B)
Nouveau modèle « signature de réponse OCSP »

Versions des modèles de certificat
• Version 4 Windows Serveur 2012 et Windows 8
l'onglet Compatibilité : Liste les fonctions non disponibles en fonction du
système client et de l’autorité de certification
Prise en charge de plus de CSP
Prise en charge du renouvellement avec une même clé
• Mise à niveau des modèles après mise à niveau de l’autorité de
certification vers 2012 2012 r2 (oui à l’invite de mise à jour des
modèles)

Application
Création et inscription
d’un modèle de certificat personnalisé
s1.corp.lan
s2.corp.lan
Modèle : CorpUser
w811.corp.lan
Client
Inscription du certificat

• Les modèles de certificats
Créer et personnaliser
Gestion des versions
Inscription d’un certificat basé sur les nouveaux modèles
La création de nouveaux modèles personnalisés permet le contrôle
des certificats inscrits ainsi que de leurs propriétés.

Patrick IZZO
Solutions Microsoft

Plan
• Qu’est ce que l’inscription via le Web
• Configuration requise pour le navigateur Web
• Application pratique : Inscription d’un modèle personnalisé via le Web

• Demande de certificat avancée ou si l'inscription automatique ne peut pas être utilisée
• Inscription manuelle au travers d’un site Web
• Rôle « Inscription de l’autorité de certification via le Web »
Ajout d’un serveur Web IIS
Ajout de page Web pour la demande de certificats
• Utiliser l’url « http(s)://nom serveur/certsrv »

Configuration du navigateur Web
• Requiert un certificat Ssl pour un accès en Https
• Accès en http pour l’intranet
Ajouté au « Sites de confiance » ou au site « Intranet local »
• Personnaliser le niveau …
- Connexion automatique uniquement dans la zone intranet
- Contrôles d’initialisation et de script non marqués comme sécurisé pour l’écriture de script
• Autorisations « Lire » et « Inscription » sur le modèle de certificat
• Ne peux pas être utilisé pour les certificats machines

Application
Inscription de certificats via le Web
s1.corp.lan
s2.corp.lan
Inscription de certificat
http://s2.corp.lan/certsrv
w811.corp.lan
Client

• Inscription de certificats via le Web
Implémentation du rôle
Configuration du navigateur
Inscription d’un certificat via le Web
L’inscription via le Web est utile lors d’inscription de certificats pour des
utilisateurs qui ne disposent pas de compte utilisateurs dans Active Directory.

Patrick IZZO
Solutions Microsoft

Plan
• Implémenter Efs avec Active Directory
• Inscription automatique de certificats
• Application pratique : Personnaliser le modèle Efs pour l’inscription
automatique

Particularité pour le modèle EFS
• Le modèle Efs de base est codé en dur dans le code du système
Créer un nouveau modèle personnalisé
Paramétrer Efs par stratégie de groupe :
• Autoriser le chiffrement Efs
• Changer le modèle Efs utilisé par défaut par le modèle personnalisé
• Interdire l’utilisation de certificats auto-signé
• Ajouter le menu contextuel « ChiffrerDéchiffrer »

• Autorité de certification « Entreprise » et membre du groupe « admins du domaine » ou
« administrateurs de l'entreprise »
• Autorisation « Inscription automatique » à des groupes « globaux » ou « universels »
(requiert les autorisations : « Lire » et « Inscription »)
• Autorisation « Lecture » au groupe « Utilisateur authentifié »
Affichage des modèles de certificats dans AD DS
Permet à l'Autorité de certification, exécutée dans le contexte Système, d'afficher les modèles de
certificats lors de l'attribution de certificats
• Autoriser la stratégie de groupe « Client des services de certificats - Inscription
automatique », coté utilisateur etou coté ordinateur

• L'inscription automatique s’exécute toutes les huit heures
• Le modèle de certificat peut spécifier une interaction utilisateur à l’inscription
(fenêtre contextuelle 1mn après ouverture de session)
• Permet aussi (par stratégie de groupe) :
Le renouvellement automatique de certificat
Le remplacement des modèles obsolètes
• Onglet modèles obsolètes du nouveau modèle

Application
d’un modèle de certificat « CorpEfs »
s1.corp.lan
Stratégies EFS
s2.corp.lan
Modèle : CorpEfs
w811.corp.lan
Client
Chiffrement de fichiers

• L’utilisation de modèles de certificat pour EFS en contexte Active
Directory
• L’inscription automatique de certificats (Efs)
L’inscription automatique fournie une gestion totalement transparente des
certificats. Aussi bien pour les utilisateurs (inscriptionrenouvellement de
certificats) que pour les administrateurs (renouvellement de modèle de
certificats).

Itinérance des certificats
Patrick IZZO
Solutions Microsoft

Plan
• Problématique certificatsutilisateurs itinérants
• Solution : Itinérance des certificats
• Application pratique : Signature de code PowerShell

Problème : Utilisateurs itinérants
• Problème : L’utilisateur itinérant inscrit un certificat sur chaque machine sur
laquelle il se connecte
• Implique : Plus de certificats émis, disfonctionnements (Efs), perte de certificats
lors suppressioncorruption de profils utilisateur
• Solution : Activation des profils itinérants où utilisation de carte à puce
• Compatible avec Windows Server 2003 Sp3 Xp Sp2
• Correctif (KB 907247) pour Windows XP and Windows Server 2003 qui est une
mise à jour du schéma pour le support des informations identification itinérants

Solution : Itinérance des certificats
• Itinérance des certificats (Credential Roaming)
• Stocke le certificat de façon centralisée dans Active Directory !!!
• Utilise les mécanismes d'ouverture de session et d'inscription automatique pour
télécharger les certificats et les clés sur un ordinateur local etou les supprimer
lorsque l'utilisateur se déconnecte
• Déclenché également :
Au verrouillagedéverrouillage de l'ordinateur
Au changement d’une clé privée ou d’un certificat
A l’actualisation de la stratégie de groupe

Implémentation
• Requiert niveau de schéma forêt Windows 2008
• Activation par stratégie de groupe
Activer la stratégie
Accepter l’exclusion de ces données du profils itinérant de l’utilisateur dans la stratégie
de groupe
• Sur le modèle cocher « Enregistrer le certificat dans Active Directory »
• Désactiver le coté « ordinateur » de la stratégie
• Lier la stratégie à tous les domaines de la forêt

Signature de code PowerShell
• Permet de n’exécuter que les scripts PowerShell signés
• Requiert un certificat basé sur le modèle « Signature de code »
• Les scripts sont signés avec le certificat
• Vérification de :
L’authentification
De l’intégrité
De la révocation

Application
Signature de code Credential Roaming
s1.corp.lan
Stratégie Credential Roaming
s2.corp.lan
Modèle : Corp_SigningCode
w811.corp.lan
Client
Signature de code
w812.corp.lan
Client
Signature de code

• Itinérance des certificats
Basé sur Active Directory (Stockage centralisé)
Activé par stratégies de groupe
Utilisation de certification pour la signature de code
L’itinérance des certificats permet, pour les utilisateurs itinérants, de disposer
du même certificat quelque soit l’ordinateur sur lequel ils se connectent.

Patrick IZZO
Solutions Microsoft

Plan
• Qu’est ce qu’un « Agent d’inscription » de certificats?
• Implémentation d’un « Agent d’inscription »
• Application pratique : Inscription de certificats de carte à puce

• L'agent d'inscription peut inscrire des certificats au nom d'autres utilisateurs
(cartes à puce …)
• « Agent d’inscription restreint » sur l’autorité de certification
Quel agent d’inscription ? (Windows Server 2008 Entreprise)
Pour quels groupes d'utilisateurs ? (Windows Server 2008 Entreprise)
Pour quels modèles de certificats ? (Windows Serveur 2012)
• Ne requiert pas de droits administratifs (responsableemployé de confiance)

Implémentation : Agent d’inscription
• Créer un Nouveau modèle « d’Agent Inscription »
• Inscrire un certificat « d’Agent d’Inscription »
• Sur l’autorité de certification spécifier
Les agents d’inscription
Pour quel groupes d’utilisateurs
Pour quel types de certificats
• Inscrire les certificats (cartes à puces des utilisateurs)

Application
Agent D’inscription (carte à puces)
s1.corp.lan
s2.corp.lan
Modèle « Corp Agent Inscription »
s3.corp.lan
Inscription d’un certificat « Agent d’inscription »
Inscription des certificats carte à puce utilisateur

• Agents d’inscription
Créer et inscrire un agent d’inscription
Inscription de certificat pour d’autres utilisateurs
Les agents d’inscriptions sont indispensable dans certains contexte (carte à
puce) où ils offrent alors une gestion plus simplifié et plus sécurisé des
certificats émis.

Sites Web Sécurisés
Implémentation de SSL
Patrick IZZO
Solutions Microsoft

Plan
• Fonctionnement du protocole SSL
• Rôle des certificats avec le protocole SSL
• Application Pratique : Implémentation d’un serveur Web SSL

Sécurisation de sites Web
Protocole Ssl (Secure Socket Layer)
• Url Https
• Port TCP : 443
• Authentification du serveur Web (Anti Fishing)
• Sécurisation des données transférées (Chiffrement symétrique)

Processus de connexion SSL
• Le serveur Web refuse les connexions en http, exige une connexion en https et renvoi son
certificat (qui contient sa clé publique)
• Le client vérifie l'authenticité du certificat du serveur (à l’aide du certificat de l’autorité de
certification)
• Le client génère une clé symétrique aléatoire
• Le client envoie la clé symétrique au serveur Web (cryptée en asymétrique avec clé
publique du certificat du serveur Web)
• Le serveur Web décrypte la clé symétrique avec sa clé privé
• Connexion sécurisée établie (cadenas dans la barre d état et Url affichée en vert)

Fonctionnement SSL
1 1 Clé Privé AC ##########
Clé Publique AC
AC
Hash : 12345678910
Hash : 12345678910

Clé Publique
www.corp.lan
3 #www.corp.lan httpsw:/w/www.cwor.cpo.lrapn.lan 3
#
s3.corp.lan
Serveur Web SSL
https://www.corp.lan
w811.corp.lan
Client

Application Pratique
Implémentation de sites Web SSL
s1.corp.lan
s2.corp.lan
s3.corp.lan
Serveur Web SSL
https://ww.corp.lan
w811.corp.lan
Client

• Fonctionnement de Ssl (Certificats)
• Implémentation du protocole SSL
La sécurisation de site Web est l’une des utilisations fondamentale d’une Pki.
SSL sécurise les sites Web, mais aussi les portails applicatifs (Owa, Applications
bureau à distance, Connexion Bureau à distance…)

Sites Web Sécurisés
Nouveautés IIS 8 et 8.5
Patrick IZZO
Solutions Microsoft

Plan
• Nouveautés IIS 8 et 8.5 SslCertificats
Indication du server de nom (Server Name Indication - Sni)
Magasin de certificats centralisé (Centralized Certificate Store - Ccs)
• Application Pratique : Gestion de sites Web SSL avec Sni et Ccs

Indication du nom du serveur
• « Indication du nom du serveur » (Server Name Indication - Sni)
permet de faire tourner plusieurs sites Web en SSL sur :
la même adresse Ip
le même port (443)
• Immédiatement disponible sous IIS 8 IIS 8.5
• La correspondance s’effectue sur le nom d’hôte du site
• Les liaisons ne sont plus effectuées au démarrage de IIs mais à la demande (puis
mise ne cache)
• Meilleure gestion de la mémoire et gain de performances

Implémentation Ccs
• Magasin de certificats centralisé (Centralized Certificate Store - Ccs)
Créer un partage de fichiers (Dfs ou cluster)
• Lire pour le compte qui aura accès au certificats
Créer les certificat Ssl (exportés en .pfx, nommé avec la bonne url)
Installer CSS
• Installer le rôle IIS : « Prise en charge centralisée des certificats »
• Paramétrer l’icone « Certificats Centralisés »
• Vérifier l’utilisation du magasin de « certificats centralisé » lors de la liaison Ssl
!! Scénario de ferme de serveur

Implémentation SniCss sur sites Web Ssl
s1.corp.lan
s2.corp.lan
s3.corp.lan
Serveur Web SSL
https://intra.corp.lan
https://rh.corp.lan
w811.corp.lan
Client

• Nouveautés IIs 8 IIS 8.5
Indication du nom du serveur (Server Name Indication - Sni)
Magasin de certificats centralisés (Centralized Certificate Store)
Ces nouveautés permettent une montée en charge plus efficace (plusieurs
serveurs Web Ssl sur le même serveur IIS - Sni) et … une gestion plus simple
des clusters de sites Web Ssl (centralisation des certificats - Ccs)

Révocation de certificats
Révocation Lan
Patrick IZZO
Solutions Microsoft

Plan
• Concept
• Raisons de révocation
• Type de listes de révocation
• Application Pratique : Révocation de certificats de site Web SSL et de
certificats de signature de code PowerShell

Concept
• La révocation permet de rendre invalide un certificat « avant » sa date de fin de
validité et donc … d’interdire l’usage de l’applicatif ou du service associé !
• Autorisation « Emettre et gérer les certificats » pour révoquer
• Ajout du numéro de série du certificat révoqué à une « liste de révocation »
• La liste est publiée dans un emplacement centralisé accessible aux machines et
utilisateurs : Active Directory !
Publication manuelle
Publication planifiée

Raisons de la révocation
• Non spécifié
• Clé compromise
• Autorité de certification compromise
• Modification de l’affiliation
• Certificat remplacé
• Cessation de l’opération
• Certificat retenu (annulation de la révocation possible)

Types de listes de révocation
• Liste de révocation complète (Certificate Revocation List - Crl)
Contient toutes les empreintes numériques de tous les certificats révoqués
• Liste de révocation delta (Certificate Revocation List Delta - Crl Delta)
Contient uniquement les nouvelles révocations depuis la dernière publication de liste
de révocation complète
Support depuis Windows 2000 Xp
Requiert la publication d’une liste de révocation complète

Problématiques possibles …
• Désactivation ou « non supporté »
(Efs ne prends pas en charge la révocation – In design !!)
• Accès pour l’applicatifService à l’emplacement de publication
(Active Directory)
• Latence due à la planification
• Mise en cache locales des liste de révocation
certutil -setreg chainChainCacheResyncFiletime @now
(Synchronise le cache local avec la liste de publication de révocation)

Révocation de certificats de sites Web SSL
Impossible d'afficher l'image. Votre
ordinateur manque peut-être de mémoire
pour ouvrir l'image ou l'image est
endommagée. Redémarrez l'ordinateur, puis
ouvrez à nouveau le fichier. Si le x rouge est
toujours affiché, vous devrez peut-être
supprimer l'image avant de la réinsérer.
Impossible d'afficher l'image. Votre
ordinateur manque peut-être de mémoire
pour ouvrir l'image ou l'image est
endommagée. Redémarrez l'ordinateur, puis
ouvrez à nouveau le fichier. Si le x rouge est
toujours affiché, vous devrez peut-être
supprimer l'image avant de la réinsérer.
Liste de révocation
25e58558698556845
85956415125125122
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir
l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier.
Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la
réinsérer.
s1.corp.lan
réinsérer.
s2.corp.lan
réinsérer.
s3.corp.lan
Serveur Web SSL
https://intra.corp.lan
https://rh.corp.lan
w811.corp.lan
Client

• Le processus de révocation sur le lan
• L’implémentation et le dépannage de la révocation
La révocation est une fonction clé de la gestion des certificats.
Contrairement aux certificats auto-signés, les certificats émis par une autorité de
certification sont révocables, permettant ainsi à l’administrateur un contrôle total
des applicatifs et services associés.
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau
le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.

Révocation Wan
Patrick IZZO
Solutions Microsoft

Plan
• Problématique … et solution !!
• Emplacement des listes de révocations (Cdp)
• Emplacement des informations de l’autorité (Aia)
• Implémentation de nouveaux emplacements pour Internet
• Application Pratique : Validation et dépannage de la révocation depuis Internet
avec un VPN SSTP

Problématique fréquente !!
• Le chemin d’accès à la liste de révocation n’est pas disponible !!
• Solution :
Stocker la liste de révocation sur un emplacement accessible depuis Internet
Exposer ces listes via un serveur Web (http)
Inclure les nouveau chemins d’accès aux listes de révocations dans le
certificats émis

Emplacements des listes de révocation
• Emplacement de vérification des listes de révocation
(CDP - Crl Distribution Point)
Autorité
de certification
Serveur Web
Public

Active
Directory
Partage
de fichier
Serveur Web
Interne

Implémentation de nouvelles URLs CDP
• Déterminer les chemins de publication des URLs Crl (Serveur Web)
• Créer les points de publication (Serveur Web)
Un dossier pour stocker les listes de révocation
Un dossier virtuel IIS pour les exposer en http
• Publier les listes de révocation
• Ajouter les nouvelles URLs aux nouveaux certificats émis
Modifier les « extensions » de l’autorité de certification pour ajouter les nouveaux
chemins de publication des Crl CDP
Tout nouveau certificat émis intégrera les nouvelles URLs

Autres informations nécessaires (AIA)
• Emplacement de vérification des autorités de certification
(AIA - Authority Information Access)
• Contient les emplacements vers lesquels les certificats de l'autorité de
certification peuvent être téléchargés si nécessaire
• Permet de remonter/valider la chaine de certification
• Certificat de vérification de la signature des listes de révocation

Emplacements des informations de l’autorité
• Emplacement de vérification des autorités de certification
(AIA - Authority Information Access)
Autorité
de certification
Serveur Web
Public

Active
Directory
Partage
de fichier
Serveur Web
Interne
Serveur FTP
Interne

Implémentation de nouvelles URLs AIA
• Déterminer les chemins de publication des URLs AIA (Serveur Web)
• Créer les points de publication (Serveur Web)
Un dossier pour stocker les listes de révocation
Un dossier virtuel IIS pour les exposer en http
• Publier les listes de révocation
• Ajouter les nouvelles url au certificats émis
Modifier les « extensions » de l’autorité de certification pour ajouter les nouveau
chemins de publication des Crl AIA
Tout nouveau certificat émis intégrera les nouvelles URLs

Dépannage des urls CDPAIA
• Mise en cache des listes de révocation
Certutil -setreg chainChainCacheResyncFiletime @now
(recharger le cache)
Certutil -urlcache CRL
(Voir les URLs des caches de listes de révocation)
Certutil -urlcache CRL delete
(Vider les caches de listes de révocation)
• Teste des URLs
Certutil –url fichier certificat.cer
Console « PKI Entreprise »

SSTP
• Secure Socket Tunneling Protocol (SSTP)
• Nouveau protocole VPN
Utilise le port : 443
Un certificat pour l’authentification du serveur VPN SSTP
• C’est du VPN mais c’est surtout du SSL !!!
• Permet la connexion VPN depuis toute connexion Internet
Maison
Hôtel …

Implémentation d’un VPN SSTP
Active
Directory
s5.corp.lan
VPN SSTP
s1.corp.lan
Serveur Web Public
(CRL et AIA)

Partage
de fichier
s2.corp.lan
Serveur Web Interne
(CRL et AIA)
w811.corp.com
Client

• La validation de l’accès aux listes de révocation (CDP) depuis l’extérieur de
l’entreprise
• La validation des l’accès aux listes d’information de l’autorité (AIA) depuis
l’extérieur de l’entreprise
• L’implémentation de Vpn SSTP
La validation des liste CDP et AIA est une problématique classique qu’il faut
absolument maitriser pour une validation correcte de la validité de vos certificats.

Serveur OCSP
Patrick IZZO
Solutions Microsoft

Plan
• Concept
• Fonctionnement du protocole OCSP
• Implémentation et validation d’un serveur OCSP
• Application Pratique : Validation et dépannage de la révocation depuis
Internet à l’aide d’un serveur OCSP (VPN SSTP)

Concept
• OCSP – Online Certificate Status Protocol
Protocole normalisé
Première implémentation dans Windows 2008 / Vista
• Fonctionnement
Télécharge les listes de révocation depuis l’autorité de certification
Le serveur OSCP valide la révocation (réponse signée)
Le client utilise de préférence OCSP
Performances améliorées lors du contrôle de la révocation

Fonctionnement
Active
Directory
s1.corp.lan

OCSP
s2.corp.lan
w811.corp.com
Client

Implémenter un serveur OSCP
• Installer le service de rôle « Répondeur en ligne »
• Sur l’autorité de certification
Personnaliser le modèle de certificat « Signature de réponse OCSP »
Modifier l’extension AIA de l’autorité de certification
• Sur le serveur Ocsp
Créer la configuration de révocation
• Inscription automatique du certificat de signature OCSP
• Indication des « fournisseurs de révocation » (Active Directory)
• Autant d’autorité à traiter = autant de configuration de révocation

Validation du serveur OCSP
• PKI View
Valider l’obtention du certificat de signature OCSP (Mmc certificat)
Requiert un certificat « CA Exchange » récent
• Révoquer le dernier certificat « CA Exchange »
• Certutil -caninfo xchg
• Certutil -url fichierCertificat.cer

Implémentation d’un serveur OCSP
Active
Directory
s5.corp.lan
VPN SSTP
s1.corp.lan
s4.corp.lan

OCSP
s2.corp.lan
w811.corp.com
Client

• Le fonctionnement du rôle OSCP
• L’implémentation et le dépannage du server OCSP
L’implémentation du protocole OCSP améliore les performances lors de
la vérification des certificats révoqués et autorise ainsi la montée en
charge de votre infrastructure PKI Windows 2012 r2

Sécuriser une infrastructure PKI
de l’autorité de certification
Patrick IZZO
Solutions Microsoft

Plan
• Procédure de sauvegarde
• Procédure de restauration
• Validation de la restauration
• Application pratique : Sauvegarde et restauration complète d’une
autorité de certification

Sauvegarde de l’autorité de certification
• Sauvegarde complète du système (Sauvegarde Windows Serveur)
• Sauvegarde par la console Autorité de certification
Moins lourd et plus rapide (recommandé)
Sauvegarder la base de donnée, les clés et les journaux
• Console « Autorité de certification »
(ou CertUtil -backup « Chemin d’accès »)
• Sauvegarde des fichiers de post-configuration (commandes certutil) et du fichier
CaPolicy.inf
Support des sauvegardes « incrémentielles »

Procédure de restauration
• Nommer l’ordinateur avec le même nom que celui de l’autorité de certification
d’origine
• Intégrer l’ordinateur au même domaine que celui de l’autorité de certification
d’origine
• Importer CAPolicy.inf dans le dossier %windir%
• Ajouter et configurer le rôle AD CS
Cocher l’option utiliser une clé privé existante
Sélectionner le certificat de l’autorité de certification originelle
• Appliquer les configurations post-installation

Application
d’une autorité de certification
Entreprise

• Sauvegarde et restauration de l’autorité de certification
L’autorité de certification « Entreprise » s’appuie sur l’infrastructure Active
Directory et permet une gestion automatisée des certificats

Patrick IZZO
Solutions Microsoft

Plan
• Archivage des certificats
• Agent de récupération (rôle et implémentation)
• Récupération de certificats
• Application pratique : Archivage et restauration de certificats avec
l’agent de restauration

• Sauvegarde des certificats
Sauvegarde des certificats émis
Sauvegarde complète ( Certificat avec clé publique + Clé privé)
Gérée par l’autorité de certification
Totalement automatisée
• Restauration sécurisée
Agent de récupération
Installation par l’utilisateur

Agent de récupération
• Certaines fonctionnalités intègrent leur agent de récupération (EFS)
• « L’agent de récupération » récupère tout certificats archivé
• Pas de droits administratifs supplémentaires requis
• Bonnes pratiques
Utilisateuradministrateur de confiance
Sauvegarde manuelle des certificats « d’agent de récupération »
Plusieurs agents de récupérations recommandés

Implémentation
• Créer un agent de récupération
Personnaliser le modèle « Agent de récupération »
L’agent de récupération inscrit un certificat « agent de récupération »
Sauvegarder les certificats des agents de récupération
• Activer l’archivage des certificats
Associer leles « Agent de récupération » et Autorité de certification
• Créer de nouveau modèles de certificats avec support de l’archivage
Dans le modèle : « Archiver la clé privée de chiffrement du sujet »
Inscrire les nouveaux certificats

Récupération d’un certificat
• Récupérer le certificat archivé (Agent de récupération)
Se connecter avec « Agent de récupération »
Créer un fichier Blob (Binary Logical Object)
Convertir le fichier .Blob en fichier .pfx
• Installer le certificat archivé (compte utilisateur ou machine)
Importer le .pfx dans le magasin de certificat de l’utilisateur
Valider la récupération du certificat utilisateur

Application
Sauvegarde et récupération
d’un certificat archivé
avec un « Agent de récupération »

• La mise en place de l’archivage des certificats
• La récupération d’un certificat archivé
Les services de certificats Windows Serveur 2012 offre l’archivage des
certificats émis, de façon totalement automatisée et sécurisée !

Patrick IZZO
Solutions Microsoft

Plan
• Architecture sécurisées
• Certificat des autorités de certification secondaires
• Autorité racine hors connexion
• Implémentation d’autorités de certification racine et secondaire
• Atelier pratique : Implémentation d’une architecture pki deux tiers
sécurisée (avec autorité de certification racine hors connexion)

Architecture
Organisations différentes
Eclatement géographique
Equilibrage de la charge
Tolérance de panne
Usages différentes
Secondaire
Secondaire
Racine
Hors Connexion
Sécurité renforcée
Niveau 3
Niveau 3
Niveau 3
Niveau 3

Certificats de autorités secondaires
• Délivrés par l’autorité parente
• Révocation plus facile
• Pas plus de trois niveaux
Racine
AC

Clé Privé Racine
Secondaire Secondaire
AC AC


Autorité racine hors connexion
• Système Windows
Système arrêté en fin de configuration
Windows Serveur 2012 r2 Standard
Workgroup
Machine virtuelle (recommandé pour la sauvegarde Hors connexion)
• Modifier les emplacement CDP et d'AIA (Http etou Ldap)
• Période de validité pour les listes de révocation de certificats

Implémentation autorité racine autonome
• Installer et configurer le rôle « autorité de certification »
• Configurer des extensions (ldap etou http)
• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité
secondaire
• Délivrer un certificat pour l’autorité secondaire
• Arrêter la vm
• Mettre le fichier de la vm CorpRootCA au coffre

Implémentation secondaire entreprise
• Installer le rôle « autorité de certification »
• Publier les listes de révocation et le certificat de l’autorité racine dans Active
Directory
• Configurer le rôle « autorité de certification »
Création du certificat de l’autorité de certification secondaire
• Faire signer le certificat de l’autorité secondaire par l’autorité racine
• Installer le certificat sur la secondaire
• Démarrer le service

Publication des certificats et Crl dans AD
• Requiert les droits « Administrateur entreprise »
• Publier le certificat de l’autorité de certification racine dans l’Active Directory
certutil -dspublish -f « FichierCertificatCARacine.crt » RootCA
• Publier la liste de révocation de l’autorité de certification racine dans l’Active
Directory
certutil –setreg CADSConfigDN C=Configuration,Dc=corp,Dc=lan
certutil –dspublish -f « FichierRevocationCARacine.crl »

Implémentation d’une hiérarchie
deux tiers sécurisée
Clé Privé
AC

AC

Active
Directory
AC
Liste révocation
Certificat Ca Racine
s1.corp.lan
s2.corp.lan

Autorité de certification secondaire entreprise
s5
Autorité racine autonome

• L’installation d’un architecture sécurisée de Pki
Une autorité racine autonome hors connexion
Une autorité secondaire entreprise
Publication des listes de révocation et certificats d’autorité de certification
dans Active Directory
Les hiérarchies d’autorités de certification permettent une plus grande souplesse
et montée en charge de votre Pki. La sécurité de la hiérarchie est assurée avec
l’implémentation d’une autorité racine hors connexion.

Hors connexion
(Automatisation)
Patrick IZZO
Solutions Microsoft

Plan
• Scénario d’implémentation d’une autorité racine autonome hors
connexion
• Chemins d’accès Cdp et Aia
• Automatisation de la modification des urls CDP AIA
• Automatisation de l’installation et de la configuration
• Application pratique : Installation automatisée d’une hiérarchie
d’autorités de certification sécurisée

Implémentation autorité racine autonome
• Installer et configurer l’ordinateur de l’autorité racine
• Installer et configurer le rôle « autorité de certification »
• Configurer des extensions : Ldap et Http
• Copier les listes de révocation et le certificat de l’autorité racine sur l’autorité secondaire
• Délivrer un certificat pour l’autorité secondaire
• Arrêter la vm
• Mettre le fichier de la vm au coffre

Automatisations
• CaPolicy.inf
• Scripts d’installation et de configuration des rôles (PowerShell)
• Scripts de modification des Urls (Certutil, PowerShell)
• Scripts de post-installation (Certutil)
• Stratégie de groupe

PowerShell (Installation de rôles)
• Get-WindowsFeature ADCS*
• Add-WindowsFeature (-IncludeManagementTools)
ADCS-Cert-Authority (Autorité de certification)
ADCS-Web-Enrollment (Inscription via le Web)
ADCS-Online-Cert (Serveur Ocsp)
ADCS-Enroll-Web-Pol (Sep)
ADCS-Enroll-Web-Svc (Ces)
ADSC-Device-Enrollment (Ndes)

PowerShell (Configuration)
• Add-Windowsfeature Adcs-Cert-Authority –IncludeManagmentTools
• Install-AdcsCertificationAuthority
-CAType StandaloneRootCA
-CACommonName « CorpRootCA »
-CAdistinguishNameSuffix « OU=PKI,O=CORP,c=FR »
–KeyLLength 4096
-HashAlgorithName SHA1
-CryptoProviderName « RSA#Microsft Software Key Storage Provider »
-DatabaseDirectory ‘’D:CertDB’’
-LogDirectory ‘’D:CertLog’’
-ValidityPeriod ‘’Years’’
-ValidityPeriodsUnits 20

Variables Chemins CDP AIA
ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,
CN=Services,%6%10
CN=NomTronquéAutoritéCertificationSuffixeNomListeRévoca
tionCertificats,CN=NomCourtServeur,CN=CDP,CN=Public Key
Services,CN=Services,ConteneurConfigurationClasseObjetCDP
TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP AIA
%1 ServerDNSName Nom du serveur DNS Nom Dns de l’ordinateur de l’autorité de
certification
%2 ServerShortName NomCourtServeur Nom Netbios de l’ordinateur de l’autorité de
certification
%3 CaName NomAutoritéCertification Nom logique de l’autorité de certification
%4 CertificateName NomCertificat Nom du fichier de certificat de l’autorité de
certification
%5 Domain DN DN (Chemin d’accès Ldap) du domaine
%6 ConfigDN ConteneurConfiguration Chemin d’accès Ldap à la partition de configuration
%7 CATruncatedName NomTronquéAutoritéCertification Nom Raccourci de l’autorité de certification
(32 caractères)
%8 CRLNameSuffix SuffixeNomListeRévocationCertificats L’extension des Crls
%9 DeltaCRLAllowed ListeRévocationCertificatsDeltaAutorisée Support de la publication des Crls delta
%10 CDPObjectClass ClasseObjetCDP Indique un objet Cdp dans Active Directory
%11 CAObjectClass ClasseObjetAutoritéCertification Indique un objet Certificat dans Active Directory

Variables Chemins CDP AIA
%C:windir%Windowssystem32system32CertSrvCertSrvCertEnroll%CertEnroll3%8%9.crl
NomAutoritéCertificationS
uffixeNomListeRévocationCertificatsListeRévocationCertificatsDeltaAut
orisée.crl
TABLEAU DES VARIABLES UTILISEES POUR L’AUTOMATISATION DES URLS CDP AIA
%1 ServerDNSName Nom du serveur DNS Nom Dns de l’ordinateur de l’autorité de
certification
%2 ServerShortName NomCourtServeur Nom Netbios de l’ordinateur de l’autorité de
certification
%3 CaName NomAutoritéCertification Nom logique de l’autorité de certification
%4 CertificateName NomCertificat Nom du fichier de certificat de l’autorité de
certification
%5 Domain DN DN (Chemin d’accès Ldap) du domaine
%6 ConfigDN ConteneurConfiguration Chemin d’accès Ldap à la partition de configuration
%7 CATruncatedName NomTronquéAutoritéCertification Nom Raccourci de l’autorité de certification
(32 caractères)
%8 CRLNameSuffix SuffixeNomListeRévocationCertificats L’extension des Crls
%9 DeltaCRLAllowed ListeRévocationCertificatsDeltaAutorisée Support de la publication des Crls delta
%10 CDPObjectClass ClasseObjetCDP Indique un objet Cdp dans Active Directory
%11 CAObjectClass ClasseObjetAutoritéCertification Indique un objet Certificat dans Active Directory

Variables CDP
Options de publications pour emplacements CDP
%1 Publier les listes de révocation des certificats à cet
emplacement
%2 Inclure dans toutes les listes de révocation des certificats.
Indique l’emplacement de destination dans Active Directory
lors des publications manuelles
%4 Inclure dans les listes de révocation des certificats afin de
pouvoir rechercher les listes de révocation des certificats
delta
%8 Inclure dans l’extension des certificats CDP émis
%64 Publier les listes de révocation des certificats delta à cet
emplacement
%128 Inclure dans l’extension IDP des listes de révocation des
certificats émises
• n2:http://crl.pki.corp.com/CertEnroll/%3
%8%9.crl
• n10:ldap:///CN=%7%8,CN=%2,CN=CD
P,CN=Public Key
Services,CN=Services,%6%10

Variables AIA
Options de publications pour emplacements AIA
%1 Emplacement de publication
%2 Inclure dans l’extension AIA des certificats émis
%32 Inclure dans l’extension OCSP (Online Certificate Status
Protocol)
• 1:c:inetpubCertEnroll%1_%3%4.crt
• n2:http://crl.pki.corp.com/CertEnroll/%1
_%3%4.crt
• n2:ldap:///CN=%7,CN=AIA,CN=Public
Key Services,CN=Services,%6%11

PowerShell (Urls Cdp Aia)
• $crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-
CACrlDistributionPoint $crl.uri -Force}
• $aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-
CAAuthorityInformationAccess $aia.uri -Force}
• Modification d’Urls
Add-CAcrlDistributionPoint -Uri http://pki.corp.com/pki/CaName
CRLNameSuffixDeltaCRLAllowed.crl -AddtoCertificateCDP -Force -Verbose
Add-CaAuthorityInformationAccess –Uri http://pki.corp.com/pki
ServerDnsName_CaNameCertificateName.crt -AddtocertificateAIA -Force -
Verbose
• Restart-service certsvc Get-CACRLDistributionPoint Get-
CAAuthorityInformationAccess

Certutil (Urls Cdp Aia)
• Suppression manuelle des Urls existantes
(ou utilisation de scripts PowerShell)
• Certutil -setreg CACRLPublicationURLs
1:%windir%system32CertSrvCertEnroll%3%8.crln2:http://crl.pki.corp.com/C
ertEnroll/%3%8.crln10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key
Services,CN=Services,%6%10
• Net Stop Certsrv
• Net Start Certsrv
• Certutil -GetReg caCrlPublicationUrls
• Certutil -GetReg CACACertPublicationURLs

racine autonome hors connexion
Modification de Urls

CDP et AIA
Liste révocation
s1.corp.lan
s2.corp.lan
s5

• Automatisation de l’installation de l’autorité de certification racine hors
connexion
• Automatisation de modifications Urls Cdp Aia
• Automatisation de tâches de post-installation
• Implémentation pratique : autorité de certification racine autonome hors
connexion
L’automatisation des tâches via « CertUtil » et « PowerShell »
autorise une implémentation efficace, sure et rapide de
toutes vos infrastructures complexes de PKI.

secondaire entreprise
(Automatisation)
Patrick IZZO
Solutions Microsoft

Plan
• Scénario d’implémentation de l’autorité secondaire entreprise
• Automatisation « PowerShell » et « Certutil »
• Publication des certificats listes de révocation
• CaPolicy.inf
• L’installation et les tâches de post-installation
• Application pratique : Installation automatisée d’une hiérarchie
d’autorités de certification sécurisée

Implémentation secondaire entreprise
• Installer le rôle « autorité de certification »
• Publier les listes de révocation et le certificat de l’autorité racine
(localement, Active Directory, Site Web)
• Obtenir le certificat signé pour l’autorité secondaire et démarre le service
• Publier le certificat de l’autorité de certification racine aux ordinateurs du domaine
(stratégie de groupe)
• Autres tâches …
Créer les modèles de certificats personnalisés
Activer le déploiement automatique de certificats etou l’itinérance de certificats
Activer l’archivage automatique
• Sauvegarder les autorités de certification

Publication des certificatsListe de révocation
• Requiert les droits « Administrateur entreprise »
• Publier le certificat de l’autorité de certification racine
Certutil -dspublish -f « FichierCertificatCARacine.crt » rootca
Certutil –addstore –f root c:s2_CorpRootCA.crt
• Publier la liste de révocation de l’autorité de certification racine dans l’Active Directory
Certutil -dspublish -f c:CorpRootCA.crl
Certutil –addstore –f root c:CorpRootCA.crl
• La publication Active Directory s’effectue dans le conteneur « Configuration »
(cn=configuration, dc=corp, dc=lan)

CAPolicy.inf CorpSubEntCA
• Paramètre de configuration de l’autorité appliqués à l’installation
Déclaration des pratiques de certification
(CPS - Certification Practice Statement)
Définit les mesures prises pour sécuriser les opérations de l’autorité et la
gestion des certificats émis
Identificateur d'objet (OID - Object IDentifier)
Inscrit auprès de l’IANA (Internet Assigned Number Autority)
Associé à la CPS
Taille des clés et période de validité du certificat
Intervalles de publication des listes de révocations

Post Installation
Période de chevauchement Crl et CrlDelta
Certutil -SetReg CACRLOverlapPeriodUnits 24
Certutil -SetReg CACRLOverlapPeriod Hours
Activation de l’audit
Certutil -SetReg CAAuditFilter 127
• Net Stop Certsvc
• Net Start Certsvc
• Certutil -Crl

Implémentation d’une hiérarchie
deux tiers sécurisée
Clé Privé
AC

AC

Active
Directory
AC
Liste révocation
s1.corp.lan
Serveur Web
s2.corp.lan
s5

• Automatisation de l’installation de l’autorité secondaire entreprise
• Automatisation de modifications Urls Cdp Aia
• Automatisation de tâches de post-installation
• Implémentation pratique complète
L’automatisation des tâches via « CertUtil » et « PowerShell »
autorise une implémentation efficace, sure et rapide de
toutes vos infrastructures complexes de PKI.

Autres Rôles PKI
Certificate Enrollment Web
Services (CepCes)
Patrick IZZO
Solutions Microsoft

Plan
• Concept
• Fonctionnement
• Scénarios d’utilisation
• Paramétrages
• Mode « Renouvellement seul »
• Atelier pratique : Implémentation et validation de CepCes

Concept
• Inscription et renouvellement de certificats clients en Https
• Certificate Enrollment Policy Web Service (Cep)
• Certificate Enrollment Web Service (Ces)
• CepCes Open document (client ouvert)
• Inscription par mot de passe
• Renouvellement avec authentification sur la base du certificat inscrit
• Mode « renouvellement seul »

Fonctionnement
• Avec des ordinateurs « membres du domaine » : Ldap, Kerberos et RpcDcom
• Ordinateurs non membres du domaine etou pas d’accès à travers le pare-feu
• Flux en Https
CEP - Certificate Enrollment Policy Web Service (Ldap)
CES - Certificate Enrollment Web Service (Rpc Dcom)
• Les deux services Cep and Ces (peuvent être sur le même pc)
• Inscription par le web est interactive (construction de requêtes spécifiques).
Cepces fournit l’inscription et le renouvellement automatique de certificats
• Paramétrage client par stratégie locale
(Windows 7Windows 2008 r2 et supérieur)

Fonctionnement
Active
Directory
CEP
Certificate Enrollment Policy Web Service
Client
Workgroup ou Domaine
Ldap
Autorité
de certification
CES
Certificate Enrollment Web Service
Uniquement en HttpS
Rpc Dcom

Scénarios d’utilisation
• Consolidation de forêt avec connexion Https sur une seule autorité de
certification dans la forêt
Authentification Kerberos
Délégation
• Dans le même domaine ou en Workgroup mais hors entreprise
(ne peuvent communiquer qu’en HttpS avec Cep Ces en Dm)
• Direct Access
Certificats obtenus lors du processus de boot
• Ordinateurs en Workgroup

Pares-feu
• Paramétrage du pare-feu
Https (Tcp 443) et Ldap (Tcp 389 636)
(Cep)
Plage de ports Dcom aléatoires et éphémères
Plage de port configurable
(Ces)
Le(s) ordinateur(s) qui hébergent les services CepCes doit être membre du
domaine de l’autorité de certification

Comptes de service
• Compte « Application Pool ID » (à l’installation)
• Compte de domaine (pas de compte locaux supportés) ou Compte de
service géré
Membre du groupe IIS local « IIS_IUSRS »
Autorisation « Demander des certificats » sur l’autorité de certification
Délégation requise si authentification par « Kerberos » ou « Certificats »
Spn requis
setspn -s https/ces.pki.corp.com corpces_svc

CEP CES Authentification
• Intranet (Scénarios même forêt Consolidation de forêts)
Authentification Windows intégrée pour usage sur le réseau interne
• Internet (Workgroup Https uniquement)
Certificat ! plus sécurisé
(mécanisme supplémentaire pour acquérir ce certificat)
Nom + mot de passe (première inscription)
Pas de d’accès anonymes

Cep Ces Délégation
• Requise (toutes les conditions remplies)
L’autorité n’est pas sur le même serveur que le service
Ces effectue le processus d’inscription
L’authentification est de type : « Certificat » ou « Kerberos »
• Non requise
L’autorité est sur le même serveur que le service
L’authentification est de type : « NomMot de passe »
Ces est en mode « renouvellement seul »

CES CES
• Schéma Active Directory 2008 r2 minimum
• Autorité de certification Entreprise pour 2008 r2
• Serveurs CepCes membres du domaine
• Client Windows 7 Windows 2008 r2 et supérieur
• Requiert un certificat pour Https
• Administrateur de l’entreprise pour l’installation
• Cohabite avec tous les services de rôles AD CS
• Plusieurs urls publiables pour la tolérance de panne (pas de Nlb)

Implémentation
• Obtenir un certificat Ssl
• Ajouter et configurer les rôles
• Personnaliser IIS (Compte de service, Friendly Name, Urls)
• Paramétrer le client par stratégies de groupe locales
Url(s) Cep etou renouvellement automatique
• Tester l’obtention d’un certificat

Mode renouvellement seul
• L’inscription avec identité de l’utilisateur augmente les chances
d’attaque depuis Internet donc …
• Mode « Renouvellement seulement »
Le renouvellement se fait sur la base de la confiance au premier certificat
Le certificat est renouvelé sur la base de ses informations
Pas « d’impersonnalisation » de l’utilisateur ((impersonation : « Agir en tant que »)
Implique de posséder un premier certificat (délivré en contexte sécurisé)
Plus sûr

Implémentation CepCes
Active
Directory
CepCes
s1.corp.lan
Requête Modèles Stratégies Locales de certificats
Url Cep
Requête certificat
s3.corp.lan
s2.corp.lan

w811
Client en workgroup
Uniquement HttpS

• Le concept et les scénarios d’usage de CepCes
• Les paramètres d’implémentation
Délégation
Compte de service
Infrastructure (pare-feu, protocoles)
• Application pratique d’implémentation de CepCes
CepCes offre une inscription et un renouvellement
automatique et sécurisé de certificats pour les ordinateurs
en Workgroup ou les ordinateurs en domaine
mais disposant d’une connexion en https uniquement.

Autres Rôles Pki
Network Device Enrollment
Service (Ndes)
Patrick IZZO
Solutions Microsoft

Plan
• Concepts
• Authentification des périphériques
• Fonctionnement de Ndes
• Post-installation de l’autorité d’inscription
• Compte de service « Ndes »
• Gestion des mots de passes des périphériques
• Procédure d’implémentation
• Application pratique : Implémentation de Ndes

Concepts
• Service d’inscription de périphériques réseau (Network Device
Enrollment Service)
• Implémentation Microsoft du protocole SCEP (Simple Certificate
Enrollment Protocol) développé par Cisco et Microsoft
• Améliore la sécurité de la communication avec le périphérique
(802.1x requiert des certificats installés sur des commutateurs et des
points d'accès, Secure Shell (SSH), Ipsec …)
• Inscription et renouvellement de certificats pour des périphériques
Sans comptes Active Directory
Protocole léger (peu de mémoire)

Authentification des périphériques
• Authentification par un mot de passe
L’administrateur NDES requiert un mot de passe pour le périphérique
L’administrateur du périphérique installeutilise le mot de passe sur le
périphérique pour son authentification
• Le périphérique est approuvé puisqu’il dispose du mot de passe de
l’administrateur NDES qui lui-même est approuvé par l’autorité de
certification
• L’administrateur NDES agit comme un agent d’inscription pour le
périphérique

Fonctionnement Ndes
x2?q21xu
x2?q21xu

Network Device Autorité de certification
Enrollment Services
x2?q21xu

Post-installation de l’autorité d’inscription
• Compte d'utilisateur dédié au service ou compte de service réseau
• Certificat SSL pour la sécurisation de la page Web des « mots de passe
des périphériques »
• Taille des clés de signature et de chiffrement employées pour signer et
chiffrer la communication entre l'autorité de certification et l'autorité
d'inscription
• Créer un modèle de certificat personnalisé pour les certificats émis aux
périphériques
La longueur des clés des certificats émis aux périphériques
La durée de vie de ces certificats

Compte de service Ndes
• Compte de domaine et membre du groupe « IIS_IUSRS » local du
serveur Ndes
• Autorisation « Demander des certificats » sur l’autorité de certification
• Autorisation «Lecture » et « Inscrire » sur le modèle de certificats utilisé
pour délivrer des certificats aux périphériques
• Sur le pool applicatif « SCEP »
Paramètres avancésCharger le profil utilisateur (True)
(Utilisation d’un mot de passe unique …)

Gestion du mot de passe
• HkeyLocalMachineSoftwareMicrosoftCryptographyMscep
EnforcePassword (ActivationDésactivation du mot de passe)
PasswordValidity (60 minutes)
PasswordMax (5 par défaut)
PasswordLength (8 caractères par défaut)
UseSinglePassword (Mot de passe unique pour tous les périphériques)
Modèles de certificats utilisés pour les périphériques
• Redémarer Iis (iisreset)

Procédure d’implémentation
• Créer le compte Utilisateur Ndes (compte de service Ndes)
• Créer un modèle de certificat personnalisé pour les périphériques
réseau
• Installer le rôle « Services d’inscription de périphériques réseau »
Créer et inscrit deux nouveaux modèles pour la signaturechiffrement des
demandes de certificat auprès de l’autorité
• Active le modèle de certificat personnalisé pour les périphérique
• Générer les mots de passe pour les périphériques
https://NomDnsServeurNdes/certsrv/mscep_admin

Implémentation Ndes et gestion des mots
de passes de périphériques
s1.corp.lan
s2.corp.lan
s3.corp.lan
Active
Directory
Autorité d’enregistrement (Ndes)

• Concept du protocole scep
• Fonctionnement et l’implémentation de Ndes
• Gestion des mots de passe des périphériques
• Application pratique : Implémentation et gestion des mots de passe
Ndes
Ndes offre la possibilité d’inscrire et renouveler des certificats
pour des périphériques réseaux supportant le protocole SCEP
auprès d’une autorité de certification Microsoft.

Implémenter une PKI
avec ADCS 2012 r2
Conclusion
Patrick IZZO
Solutions Microsoft

• Un tour d’horizon complet des Pki Services de certificats sous
Windows 2012 r2
Cryptographie
Autorité entreprise
Les architectures sécurisées
L’automatisation
Tous les rôles ADCS (Ocsp, CepCes, Ndes …)
Une expérience … pratique !!
Avec de nombreux ateliers concrets
(Efs, Vpn, Signature de code …)

Références
• Microsoft (Web)
http://technet.microsoft.com/en-us/windowsserver/dd448615
http://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-enrollment-
web-services-in-active-directory-certificate-services.aspx
https://social.technet.microsoft.com/Forums/windowsserver/en-
US/home?searchTerm=pki
• Livre
Windows Server 2008 PKI and Certificate Security (Brian Komar)

Cartes à puces Token Usb

Cartes à puces Token Usb
Mme Typhaine VANNIER
typhaine.vannier@cardelya.fr
Http://www.cardelya.fr
Http://www.scardshop.com/boutique/liste_rayons.cfm

Une question ??
• IZZO Patrick
• Travailleur indépendant après salariat en SSII
• Formateur technique Windows serveur 2012 R2
• MCP, MCSA 2008 R2, MCSA 2012 R2
• Mes références :
patrick.izzo@orange.fr
LinkedIn http://fr.linkedin.com/pub/patrick-izzo/27/25a/458
Viadeo http://fr.viadeo.com/fr/profile/patrick.izzo
Alphorm http://www.alphorm.com/auteur/patrick-izzo
Microsoft https://mcp.microsoft.com/authenticate/validatemcp.aspx
(Login : 692101 password : 58964781)

Merci !!!
A bientôt sur …

Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2

Contenu connexe

Tendances

En vedette

Similaire à Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2

Plus de Alphorm

Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2