Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme








télécharger 333.15 Kb.
titreRésumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme
page1/14
date de publication09.09.2018
taille333.15 Kb.
typeRésumé
ar.21-bal.com > loi > Résumé
  1   2   3   4   5   6   7   8   9   ...   14





Grille d’évaluation Services de certificats Active Directory (AD CS) 2008 (R2)

Version 1.0

Publication : septembre 2009

Auteur : Philippe Beraud

Contributeurs : Frédéric Hervo, Stéphane Metenier, Cyril Voisin

Copyright

© 2009 Microsoft Corporation. Tous droits réservés.

Résumé

Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou AD CS en abrégé) au sein de la plateforme Windows Server 2008 (R2) propose des services personnalisables pour la création et la gestion de certificats à clé publique X.509 v3 utilisés dans les applications, services, systèmes et dispositifs reposant sur les technologies à clé publique.

Ce livre blanc propose une grille d’évaluation d’AD CS et intègre de nombreux liens sur la documentation disponible.

© 2009 Microsoft Corporation. Tous droits réservés.

Les informations contenues dans ce document représentent le point de vue actuel de Microsoft Corporation sur les sujets traités à la date de publication. Etant donné que Microsoft doit s’adapter aux conditions changeantes du marché, ces informations ne doivent pas être interprétées comme un engagement de la part de Microsoft, et Microsoft n’est pas en mesure de garantir l’exactitude de toute information présentée après la date de publication.

Ce document n’est fourni qu’à titre d’information. MICROSOFT NE DONNE AUCUNE GARANTIE EXPRESSE OU IMPLICITE DANS CE DOCUMENT.

Les autres noms de produits ou de sociétés cités dans ce document peuvent être des marques de leurs propriétaires respectifs.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • Etats-Unis

Sommaire

a.Introduction 4

a.1Objectifs et organisation du livre blanc 8

a.2Evaluation au sens des Critères Communs 9

b.Enveloppe fonctionnelle 12

b.1Gestion des certificats et des clés 12

b.2Fonctionnalités connexes 27

b.3Administration et Exploitation 35

c.Enveloppe technique 41

c.1Architecture 41

c.2Mise en place 49

c.3Performances 52

c.4Interopérabilité et options 53

d.Coûts et services 56

d.1Coût 56

d.2Niveau de support 56

d.3Disponibilité du support 57

e.Références 58

f.Synthèse des composants et fonctionnalités 62

g.Pour des informations complémentaires 66




a.Introduction


Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou AD CS en abrégé) dans la plateforme Windows Server 2008 (R2) propose des services personnalisables pour la création et la gestion de certificats à clé publique X.509 v3 utilisés dans les applications, services, systèmes et dispositifs reposant sur les technologies à clé publique. Ce rôle serveur correspond à la cinquième génération de ces services.

Les organisations peuvent s’appuyer sur AD CS pour améliorer la sécurité en liant l’identité d’une personne, d’une machine, d’un dispositif ou d’un service à la clé privée correspondante. AD CS comprend dans le même temps des fonctionnalités qui permettent la gestion de l’enrôlement et de la révocation des certificats dans le contexte d’environnements distribués.

procedure_ddPour ce faire, les services du rôle (role service en anglais) ou composants suivants d’AD CS peuvent être installés sur une plateforme Windows Server 2008 (R2) au travers de l’option Services de certificats Active Directory (en anglais Active Directory Certificate Services) de l’assistant Ajouter des rôles (Add Roles en anglais) du Gestionnaire de serveur (Server Manager en anglais) :

  • Autorité de certification (Certification Authority - CA) - Ce composant permet la mise en œuvre d’autorités de certification (AC ou CA en abrégé pour Certification Authority en anglais) racine et subordonnée(s) utilisées pour l’émission de certificats à destination d’utilisateurs, de machines et de services, ainsi que pour la gestion de leur validité.

Ce composant propose deux modes / types d’installation :

  1. mode autonome destiné principalement aux AC racine et intermédiaire(s) hors ligne ;

  2. mode entreprise destiné aux AC émettrices dans une infrastructure Active Directory.

Ce composant implémente le format X.509 v3 et les profils tels que décrits dans la RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile [RFC 3280] qui est une mise à jour de la RFC 2459 Internet X.509 Public Key Infrastructure Certificate and CRL Profile [RFC 2459] pour l’utilisation de ces certificats, les listes de révocations (LRC ou CRL en abrégé pour Certificate Revocation List en anglais) X.509 v2 y compris les delta CRL.

Ce composant est supporté par une installation de type Server Core de Windows Server 2008 R2 qui fournit un environnement minimal pour l'exécution des rôles serveur spécifiques, réduisant ainsi de facto les exigences de gestion et de maintenance, ainsi que la surface d’attaque pour les rôles serveur considérés.

  • Inscription de l’autorité de certification via le Web (CA Web Enrollment - CAWE) – L’enrôlement Web permet aux utilisateurs de se connecter à une AC au moyen d’un butineur afin d’effectuer une demande de certificat X.509 v3, obtenir des CRL X.509 v2, y compris les delta CRL, etc.

  • Répondeur en ligne (Online Responder Service) – Le service Répondeur en ligne implémente Online Certificate Status Protocol (OCSP) avec le décodage des requêtes de statut de révocation pour des certificats donnés, l’évaluation du statut de ces certificats, l’envoi en retour d’une réponse signée contenant l’information de statut demandée.

Ce support est conforme à la RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP [RFC 2560].

  • Service d’inscription de périphériques réseau (Network Device Enrollment Service - NDES) – Le service NDES permet à des routeurs et à d’autres dispositifs ou équipements actifs de réseau d’obtenir des certificats X.509 sur la base du protocole Simple Certificate Enrollment Protocol (SCEP) [SCEP] de Cisco Systems Inc.

SCEP [SCEP] a été développé pour permettre l’émission sécurisée et évolutive de certificats à destination de dispositifs réseau par des AC. Le protocole supporte la distribution de la clé publique de l’AC ou celle de l’autorité d’enregistrement (AE ou RA en abrégé pour Registration Authority en anglais), l’enrôlement de certificat, la révocation de certificat, les requêtes de certificat et les requêtes de révocation de certificat.

A cette liste de composants, Windows Server 2008 R2 introduits deux nouveaux composants fondés :

  • Service Web de politique d’enrôlement de certificats (Certificate Enrollment Policy Web Service - CES) – Ce service de type proxy permet l’obtention d’une politique de certificats sur un transport HTTPS

  • Service Web d’enrôlement de certificats (Certificate Enrollment Web Service - CEP) – Ce service de type proxy permet l'enrôlement et le renouvellement de certificats sur un transport HTTPS. 

Les différents composants d’AD CS de Windows Server 2008 (R2) permettent d’émettre et de gérer des certificats X.509 au format standard pour une utilisation par des applications, services et systèmes Microsoft, non Microsoft et/ou non Windows respectant les protocoles et standards mentionnés le cas échéant ci-dessus.

Ils autorisent ainsi la matérialisation d’une infrastructure de confiance au travers de la mise en œuvre de services d’Infrastructure de Gestion de Clés (IGC ou PKI en abrégé pour Public Key Infrastructure en anglais).

procedure_ddAD CS constitue l’une des technologies plateforme des solutions Forefront d’identité et de sécurité de Microsoft, au même titre, par exemple, que :

  • l’annuaire d’entreprise Active Directory (ou sa déclinaison applicative Active Directory Lightweight Directory Services ou AD LDS en abrégé) avec lequel une AC AD CS en mode entreprise peut s’intégrer et permettre alors :

  1. la validation des identités des utilisateurs, des machines, des dispositifs ou des services ;

  2. la publication de certificats, de CRL ;

  3. mais également la publication de ressources globales d’une infrastructure de confiance à destination d’applications, services et systèmes reposant sur les technologies à clé publique comme, par exemple, les OID (Object Identifiers en anglais) déclarés, les modèles de certificats, les services d’enrôlements disponibles, les AC racines de confiance, les AC de confiance pour certains services comme l’ouverture de session par carte à puce (smartcard logon en anglais), Kerberos, etc.

  • les technologies « Geneva » d’authentification ouverte vis-à-vis de laquelle une AC AD CS peut délivrer des certificats (de signature, d’authentification client, d’authentification serveur, etc.) à destination de ses différentes composantes ;

Les technologies “Geneva” primées dans la catégorie « Meilleure innovation » à l’occasion de la conférence EIC (European Identity Conference) 2009 et constituées d’Active Directory Federation Services (AD FS) 2.0, de Windows Identity Foundation (WIF) 1.0 et de Windows CardSpace 2.0, en interaction notamment avec la plateforme Windows Azure dans le nuage proposent :

  • une nouvelle approche de l’identité et de l’authentification unique (SSO en abrégé pour Single Sign On en anglais) qui aide à simplifier au sein de l’entreprise, entre organisations, sur le Web et dans les nuages, l’accès aux applications, aux services Web et à d’autres systèmes.

  • une interopérabilité native intégrée via des standards internationaux comme OASIS WS-Trust, WS-Federation, et SAML 2.0 et des revendications et implémente la vision de méta système d'identité pour une identité ouverte et interopérable quel que soit le contexte.

Les solutions Forefront d’identité et de sécurité sont au cœur de la stratégie Business Ready Security2 de Microsoft. Ces dernières sont conçue autour de 6 scénarios principaux : messagerie sécurisée, collaboration sécurisée, hôte sécurisé, sécurité intégrée et gestion des identités et des accès.

Pour ce faire, la gamme Microsoft Forefront propose une ligne complète de technologies et produits d’identité et sécurité pour vous aider à développer votre entreprise en toute sécurité, et réduire vos coûts. Par leur intégration dans votre infrastructure informatique existante et par leur déploiement et leur administration simples à réaliser, ces technologies et produits assurent une plus grande protection, permettent une plus grande productivité en facilitant les accès sécurisés et un meilleur contrôle de votre entreprise grâce à leurs capacités de gestion.



Ainsi, dans le contexte de ce livre blanc, le produit Microsoft Forefront Identity Manager (en abrégé FIM) 2010 en tant que solution de gestion du cycle de vie des identités, des certificats et supports (carte à puce (smart card en anglais), jeton USB, etc.) offre les services :

  1. d’autorité d’enregistrement (AE ou RA en abrégé pour Registration Authority en anglais) évoluée pour des AC AD CS en mode entreprise avec le support de workflows personnalisables pour mettre en conformité les processus organisationnels des entreprises avec leurs politiques de sécurité et de certification pour la délivrance et la gestion des certificats X.509 utilisateur et des supports (carte à puce, jeton USB etc.) éventuellement associés ;

  2. de système de gestion de supports cryptographiques (ou CMS en abrégé pour Card Management System en anglais), cette fonction constituant un élément essentiel d’une infrastructure de confiance lorsque des supports (carte à puce, jeton USB etc.) sont par exemple déployés à grande échelle.

Forefront fournit une protection qui prend en compte l’ensemble des systèmes et données de votre entreprise, tout en permettant l’accès de vos employés, en tout lieu, sur la base de leur identité. Côté gestion, Forefront sait également tirer parti des investissements existants sur la gamme de produits de gestion Microsoft System Center.

Enfin, Microsoft a une capacité à intervenir sur tous les maillons du système d’information de l’entreprise et de proposer des solutions soit hébergées en interne, soit dans le nuage, soit avec une combinaison des deux :

« Microsoft is one of the few vendors that can truly go end-to-end (cloud-edge-server-client) to make businesses more secure. » 

Enterprise Strategy Group Eric Ogren, June 15, 2006

At the Forefront of Microsoft Security, InternetNews.com
  1   2   3   4   5   6   7   8   9   ...   14

similaire:

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconSolutions Chip pc
«clonage avancé» des terminaux, Chip pc a choisi de développer un logiciel basé sur un concept totalement différent du clonage et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconJean-Frédéric karcher
«Etudes et Développement de Services» au sein du Groupe sfr cegetel dans la Direction Réseaux et Services de sfr

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconEn recherche active

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  icon1 Des fondements pour une pédagogie active et la technologie

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconOpportunity Notice Services professionnels d'ingenieurs-conseils...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconCroissance et transformations sectorielles : d’une économie post-industrielle...
«sociologique», rôle accru de l’Etat, rôle moteur des services collectifs. Ce thème sera repris au tournant du xxème siècle à travers...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconPassation des marchés de fourniture et montage d’installations
«Procurement Policy and Services Group, Operational Core Services Network» (ocspr), seront consultés

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconTraducteur en interne, anglais – français, Connected Language Services, Marseille
«Transfert de technologie entre la recherche publique et l’industrie» (simultané)








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com