Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme








télécharger 333.15 Kb.
titreRésumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme
page5/14
date de publication09.09.2018
taille333.15 Kb.
typeRésumé
ar.21-bal.com > loi > Résumé
1   2   3   4   5   6   7   8   9   ...   14

b.2Fonctionnalités connexes

b.2.1Fonction d’horodatage


Le rôle serveur AD CS de Windows Serveur 2008 (R2) n’offre pas de service d’horodatage.

b.2.2Fonction de validation de certificats


Le moteur d’évaluation de la chaîne de certificats est un composant client qui permet de remonter à l’application ou au service le statut du certificat si celui-ci est présenté.

Il convient de noter que Windows Vista, Windows Server 2008 et ultérieur disposent de l’instrumentation CryptoAPI 2.0 Diagnostics qui offre la possibilité de diagnostiquer et résoudre des problèmes IGC en collectant une information détaillée sur la validation des chaînes de certificats, des opérations relatives aux magasins de certificats, et de la vérification des signatures.

La fonction de validation de certificats entend le support partiel ou complet des mécanismes suivants :

b.2.2.1Support des CRL et delta CRL


AD CS est conforme à la RFC 2459 Internet X.509 Public Key Infrastructure Certificate and CRL Profile [RFC 2459] qui définit les règles d'utilisation des certificats et CRL pour l'Internet au niveau de la section § 6 : validation de la signature avec l'autorité au-dessus, période de validité, non révocation, contraintes d'espace de noms, par rapport au sujet, politique, extensions critiques reconnues, certificat est de type AC (contraintes élémentaires).

AD CS supporte également les delta CRL tels que spécifié dans la RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile [RFC 3280], mise à jour de la RFC 2459 [RFC 2459]. Une delta CRL permet de rafraîchir la CRL de base avant son expiration, en spécifiant une nouvelle base dans la delta CRL.

Les CRL peuvent être testées unitairement avec la commande certutil.exe –URL. Ceci étant, le composant enfichable MMC PKI d’entreprise (Enterprise PKI en anglais) offre une vue graphique du statut des différentes CRL publiées par les AC AD CS de l’infrastructure de confiance, et ce pour l’ensemble des chemins de publication.

b.2.2.2Support d’OCSP (Online Certificate Status Protocol)


Windows Server 2008 (R2) propose au sein du rôle Services de certificats Active Directory (Active Directory Certificate Services en anglais) le service de rôle Répondeur en ligne (Online Responder Service en anglais) conforme à la RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP [RFC 2560].

Extrait de la RFC :

« In order to convey to OCSP clients a well-known point of information access, CAs SHALL provide the capability to include the AuthorityInfoAccess extension (defined in [RFC2459], section 4.2.2.1) in certificates that can be checked using OCSP. Alternatively, the accessLocation for the OCSP provider may be configured locally at the OCSP client. »

AD CS de Windows Server 2008 R2 permet de générer des certificats pour OCSP (où l’emplacement du répondeur OCSP est précisé dans l’extension AIA) ainsi que des certificats Signature de la réponse OCSP (OCSP Response Signing en anglais) pour le répondeur.

OCSP peut sembler contradictoire avec la fonction de vérification d’un certificat hors ligne, qui constitue l’un des avantages de l'approche IGC ; paradoxal également par rapport à la notion de confiance puisque OCSP nécessite de faire confiance à un validateur.

procedure_ddOCSP appelle également les commentaires suivants :

  1. La plupart des répondeurs OCSP font appel à la CRL périodique pour l’obtention de l’information de révocation de certificats. De ce fait, ils n’éliminent donc pas complètement les limitations liées à la nature périodique des CRLs ;

  2. Le répondeur OCSP est vulnérable aux attaques de déni de service où une pléthore de requêtes est soumise au répondeur. Le problème est aggravé par la nécessité de signer numériquement les réponses, ce qui est très consommateur en termes de CPU ;

  3. Les messages d'erreur envoyés par le répondeur OCSP ne sont pas signés numériquement ; ce qui offre une capacité de renvoyer de faux messages d'erreur au demandeur. L’ensemble de l'information de statut de révocation est, par contre, signé.

OCSP offre cependant une réponse pertinente à certains scénarios d’usage. En fait, aucune technologie unique traitant la révocation ne peut répondre à l’ensemble des scénarios avec des utilisateurs perpétuellement mobiles et des transitions entre environnements (intranet, VPN/extranet, Internet, RPC sur HTTP, hors ligne).

Côté « client », la composante CryptoAPI 2.0 réalise pour le compte des applications et services l’évaluation des certificats.

En termes de mécanismes supportés par défaut par le moteur d’évaluation de CryptoAPI 2.0, deux situations sont à prendre en considération :

  1. Windows 2000, Windows XP et Windows Server 2003. Ces environnements supportent deux mécanismes par défaut par le moteur d’évaluation : CRL et delta CRL avec une mise en cache.

CryptoAPI 2.0 supporte une architecture modulaire à base de modules plug-in appelés fournisseurs de révocation (Revocation Providers en anglais) pour l’évaluation de la révocation. Le support d’OCSP est possible via un tel module plug-in tiers.

  1. Windows Vista, Windows Server 2008 et ultérieur. Ces environnements intègrent de façon native un fournisseur (client) OCSP conforme à la RFC 2560 [RFC 2560] et supportent de fait les trois mécanismes du moteur d’évaluation : OCSP (défaut), CRL et delta CRL avec une mise en cache.

Dans le contexte spécifique de l’ouverture de session, il convient de noter que l’implémentation de PKINIT pour Kerberos conforme à la RFC 4556 Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) [RFC 4556] offre un support d’OCSP conforme à la RFC 4557 Online Certificate Status Protocol (OCSP) Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) [RFC 4557].

Un KDC (Key Distribution Center en anglais) Kerberos Windows Server 2008 propose dans le même temps un mécanisme d’optimisation, le « Kerberos Stapling » en anglais, qui permet de communiquer au client le certificat de son contrôleur de domaine avec la réponse OCSP associée ; le client n’a pas alors à effectuer une demande spécifique auprès du répondeur.

Le Service Pack 3 (SP3) de Windows XP offre le même support.

La gestion de la révocation nécessite alors l’établissement d’un compromis entre l‘atténuation du risque et l’expérience utilisateur.

Aussi bien CryptoAPI 2.0 côté client que les services d’IGC Microsoft au travers de leur support de l’ensemble des mécanismes offrent la souplesse nécessaire pour répondre aux différents scénarios à envisager.

b.2.2.3Support de SCVP (Simple Certificate Validation Protocol)


AD CS n’offre pas, dans la version courante, de support de SCVP.

b.2.2.4Support d’ARL (Authority Revocation List)


AD CS n’offre pas de support d’ARL aujourd’hui. Dans la pratique, une AC racine publie une CRL, mais son certificat ne contient pas de CDP : il n’y a pas besoin de CDP (CRL) pour le certificat de l’AC racine.

Si l’AC racine est compromise, on retire son certificat des magasins et on révoque tous les certificats émis par l’AC racine.

b.2.3Fonction d’archivage


Des développements via les extensions et interfaces proposées par le moteur permettent d’implémenter facilement la fonction d’archivage (Cf. section § c.4.4 API de développement).

Ceci est notamment proposé par l’environnement FIM qui s'intègre dans l'architecture flexible et extensible ainsi mise à disposition.

b.2.4Interfaçage avec applications existantes


procedure_ddL’interfaçage est multiple :

  • intégration Windows avec l’ouverture de session par carte à puce (smartcard logon en anglais), le système de fichiers EFS (Encrypted File System en anglais), la signature de code Authenticode, etc. ;

  • intégration Linux/Unix avec notamment l’ouverture de session par carte à puce via la solution Quest Authentication Services (http://www.quest.com/authentication-services) ;

  • intégration aux applications courantes comme l’authentification SSL/TLS, la messagerie sécurisée avec le chiffrement et la signature S/MIME ;

  • intégration à l'infrastructure avec l’authentification d'ordinateur client IPsec, l’authentification d'ordinateur client IPsec dans le cadre d'un VPN, l’authentification de serveur VPN IPsec, l’authentification de client sans fil, l’authentification de serveur IAS/NPS), etc. ;

  • iIntégration avec des équipements réseau avec le support du protocole SCEP [SCEP] (Cf. section § c.1.11 Support du protocole d’enregistrement SCEP).

b.2.5Gestion des supports de certificats (carte à puce / jeton USB)


Les services de certificats Active Directory (Active Directory Certificate Services en anglais) de Windows Server 2008 (R2) permettent d'offrir de façon native de la délégation d’enrôlement ou de l'enrôlement pour le compte d’un tiers et permettent dans ce cadre l'émission de cartes à puce ou d'autres facteurs de forme (jeton USB par exemple).

Ces fonctions peuvent être très largement étendues avec l’environnement FIM. FIM permet d’associer un ensemble de certificats (modèles) et un support (carte à puce, jeton USB) à un profil matériel. Un tel profil autorise ensuite la définition et personnalisation des processus qui lui sont associés de façon à couvrir la gestion de l’ensemble du cycle de vie des certificats X.509 v3 et de leurs supports associés.

FIM s’appuie sur la notion de numéro de série (SN en abrégé ou Serial Number en anglais) du support dans la gestion des cartes actives, retirées, etc. et leur attribution ou non à une identité Active Directory et permet d’offrir des états sur cette base.

La gestion des supports suppose, d’une façon générale, les éléments suivants.

b.2.5.1Disponibilité d’un lecteur reconnu pour le support


Le support doit disposer d’un lecteur supporté par la plateforme Windows. Cette dernière supporte PC/SC v1.0 [PCSC 1.0] du PC/SC workgroup. 

Windows Vista, Windows Server 2008 et ultérieur comportent en standard un pilote USB-CCID comme mentionné à l’adresse http://www.microsoft.com/whdc/device/input/smartcard/USB_CCID.mspx ; ce qui signifie que tout lecteur de carte à puce USB conforme USB-CCID [USB-CCID], ne nécessite pas l’installation d’un pilote additionnel.

Ce pilote est également disponible sur Windows Update pour Windows 2000, Windows XP et Windows Server 2003.

Un lecteur de carte à puce et le pilote correspondant doivent se conformer au programme logo WHQL décrit à l’adresse http://www.microsoft.com/whdc/whql/device/smartcard.mspx pour obtenir le « Windows Logo for the Smart Card Reader » et que ce dernier soit rendu disponible sur Windows Update.

b.2.5.2Disponibilité d’un module cryptographique pour le support


Un module cryptographique de type CSP (Cryptographic Service Provider en anglais) monolithique (Cf. section § c.1.7 Support des modules cryptographiques ) ou un mini-pilote pour la nouvelle architecture SmartCard Base CSP / SmartCard KSP doit être disponible pour le support. Nous détaillons ces éléments ci-après.

Une AC fondée sur les services de certificats Active Directory de Windows Server repose historiquement sur CryptoAPI 1.0 pour l’ensemble des opérations cryptographiques.

CryptoAPI 1.0 désigne les APIs de gestion relatives aux opérations de chiffrement avec les algorithmes standard, les opérations étant réalisées dans l’architecture modulaire proposée par un fournisseur de services de chiffrement (Cryptographic Service Provider en anglais ou CSP).

La prise en compte d’un support suppose historiquement de disposer du CSP (monolithique) pour ce support. L’infrastructure carte à puce de la plateforme Windows, en l’occurrence Microsoft Windows Smart Card Framework (WSCF en abrégé), a vu l’introduction d’un SmartCard Base CSP générique et d’un modèle à base de mini-pilotes pour les cartes à puce de façon à faciliter la prise en compte de nouveaux supports.

Le SmartCard Base CSP est disponible sous forme de téléchargement gratuit et optionnel pour Windows 2000 SP4, Windows XP SP2, Windows 2003 Server SP1 sur le site Microsoft à l’adresse http://go.microsoft.com/fwlink/?LinkId=93341. Il est présent nativement sur Windows Vista, Windows Server 2008 et ultérieur.

La définition d’un mini-pilote pour un support demande un investissement limité, offre des bénéfices significatifs en termes de performances, de mécanismes de cache de données et de PIN, etc.

Windows Vista, Windows Server 2008 et ultérieur intègrent l’environnement cryptographique Cryptography API: Next Generation (CNG), bus cryptographique ouvert (Open Cryptographic Interface en anglais), appelé à remplacer la composante CryptoAPI 1.0 (opérations de chiffrement avec les algorithmes standard).

Une AC AD CS peut reposer, selon configuration, sur CryptoAPI 1.0 ou CNG. Ceci permet notamment de supporter les Key Service Provider (KSP en abrégé) de CNG et par voie de conséquence, de supporter en standard les algorithmes à courbes elliptiques (ECC) et les condensés de type SHA de deuxième génération, à savoir :

  • ECDH_P256, ECDH_P384, ECDH_P521 pour l’échange de clé ;

  • ECDSA_P256, ECDSA_P384, et ECDSA_P521 pour la signature ;

  • La famille SHA-2 (SHA256, SHA384, et SHA512) et HMAC à base de ces condensés ;

La prise en compte avec CNG d’un support suppose de disposer d’un KSP pour ce support. Windows Vista, Windows Server 2008 et ultérieur intègre nativement un SmartCard KSP qui est le pendant du SmartCard Base CSP pour CryptoAPI 1.0.

Ce dernier offre un support des scénarios suivants :

  • Enrôlement de certificat ECC sur une carte à puce (ce qui requiert le support d’ECC au niveau de l’infrastructure de confiance) ;

  • Signature ECDSA avec un certificat ECC sur un support ;

  • Echanges de clé avec ECDH avec des clés privées sur un support (pour l’authentification client avec TLS par exemple) ;

  • Prise en charge sur le support des fonctions de dérivation (KDF en abrégé pour Key Derivation Functions en anglais) en conformité avec FIPS 140-2.

Le SmartCard KSP s’appuie sur le même modèle à base de mini-pilotes pour les cartes à puce de façon à faciliter la prise en compte de nouveaux supports. Il est ainsi possible de développer des mini-pilotes pour CryptoAPI, pour CNG, ou duals pour CryptoAPI et CNG.

Après qualification et certification par le Microsoft Smart Card Competency Center (SCCC), un mini-pilote peut être diffusé sur Windows Update.

Les SmartCard Base CSP et SmartCard KSP représentent une traduction de l’engagement de Microsoft vis-à-vis des supports et de l’évolution du support de l’infrastructure carte à puce WSCF.

Cette nouvelle architecture est conçue pour :

  • simplifier le déploiement et la prise en charge des supports,

  • offrir un cadre de cohérence pour les implémentations des interfaces carte à puce,

  • et simplifier l’accès aux fonctions de gestion associées aux supports comme le changement de code PIN ou le déblocage de support par exemple.



Windows 7 et Windows Server 2008 R2 propose une expérience utilisateur de type Plug-and-Play : la première insertion d'une carte à puce dans un lecteur de carte à puce déclenche des événements Plug-and-Play qui induisent une recherche d'un mini-pilote approprié sur le site Windows Update et le cas échéant un téléchargement automatique suivi d’une installation. Le mécanisme afférent est décrit dans la spécification v7.06 Windows Smart Card Minidriver Specification44.

De ce fait, l’utilisation d’une carte à puce disposant d’un mini-pilote certifié et donc disponible sur Windows Update avec un lecteur carte à puce USB conforme USB-CCID (Cf. section § b.2.5.1 Disponibilité d’un lecteur reconnu pour le support) depuis un ordinateur connecté à Internet ne requiert aucune intervention de la part de l’utilisateur.

L’infrastructure carte à puce WSCF propose de facto un support natif et aussi transparent que possible des cartes à puces dans la mesure où les deux conditions précédentes sont remplies.

De plus, Windows 7 et Windows Server 2008 R2 introduisent une nouvelle plateforme pour les périphériques biométriques, en l’occurrence le Windows Biometric Framework (WBF en abrégé).

L’utilisation de ce Framework dans le contexte de l’infrastructure carte à puce WSCF permet la collecte et le traitement des données biométriques pour déverrouiller une carte à puce.

b.2.5.3Considérations relatives au support lui-même


Ainsi qu’illustré précédemment, la plateforme Windows est agnostique par rapport au système d’exploitation du support (Java Card, .NET, MultOS, etc.) à partir du moment où un module cryptographique (CSP monolithique « legacy » ou mini-pilote) est disponible.

procedure_ddPar contre, les contraintes suivantes du support peuvent être prises en considération comme :

  1. les caractéristiques cryptographiques du support avec le support d’algorithmes de type ECC (courbes elliptiques).

Les services de certificats Active Directory de Windows Server 2008 (R2) peuvent s’appuyer sur les fonctionnalités de CNG.

    • Le livre blanc Installing a Suite B only PKI46 illustre comment déployer les services de certificats Active Directory (AD CS) pour supporter les algorithmes précédents, qu’il s’agisse des algorithmes ECC et/ou des condensés de type SHA-2.

Offrant par exemple d’ores et déjà le support de l’ensemble des algorithmes prévu par la PRIS v2.1 de l’ANSSI et de la DGME, une autorité de certification prend en charge de ce fait des algorithmes de type ECC non (encore) gérés par un support donné ;

  1. la capacité du support influe directement sur le nombre de certificats, fonction également de la taille des clés ;

  2. le facteur de forme.
1   2   3   4   5   6   7   8   9   ...   14

similaire:

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconSolutions Chip pc
«clonage avancé» des terminaux, Chip pc a choisi de développer un logiciel basé sur un concept totalement différent du clonage et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconJean-Frédéric karcher
«Etudes et Développement de Services» au sein du Groupe sfr cegetel dans la Direction Réseaux et Services de sfr

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconEn recherche active

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  icon1 Des fondements pour une pédagogie active et la technologie

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconOpportunity Notice Services professionnels d'ingenieurs-conseils...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconCroissance et transformations sectorielles : d’une économie post-industrielle...
«sociologique», rôle accru de l’Etat, rôle moteur des services collectifs. Ce thème sera repris au tournant du xxème siècle à travers...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconPassation des marchés de fourniture et montage d’installations
«Procurement Policy and Services Group, Operational Core Services Network» (ocspr), seront consultés

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconTraducteur en interne, anglais – français, Connected Language Services, Marseille
«Transfert de technologie entre la recherche publique et l’industrie» (simultané)








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com