Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme








télécharger 333.15 Kb.
titreRésumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme
page7/14
date de publication09.09.2018
taille333.15 Kb.
typeRésumé
ar.21-bal.com > loi > Résumé
1   2   3   4   5   6   7   8   9   10   ...   14

c.Enveloppe technique




Ce chapitre envisage cette fois sous l’angle technique, notamment au travers de l’analyse des architectures et modèles de hiérarchie supportés, de la mise en œuvre, des performances ou encore de l’interopérabilité les caractéristiques, le respect des standards, les apports potentiels, etc. des composants d’AD CS pour la mise en œuvre d’une infrastructure de confiance au sein d’une organisation dans le contexte d’un environnement réparti et distribué.

c.1Architecture

c.1.1Architecture de l’IGC (découpage des fonctions : AC, sous AC, AE, etc.)


Les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) offrent un découpage clair des fonctions de façon à permettre différents modèles de déploiement au sein des entreprises dans un contexte d’interopérabilité ou non en fonction de leur existant éventuel en termes d’infrastructure de confiance. (Cf. section § c.4 Interopérabilité et options).

Les « bonnes pratiques » sont rappelées par le livre blanc Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure51.

c.1.2Hiérarchie de certification


Les AC émettrices AD CS peuvent êtres subordonnées à une autorité racine ou intermédiaire tierce existante ; en d’autres termes, une sous-hiérarchie d’autorités de certification mise en œuvre par AD CS de Windows Server 2008 (R2) peut être rattachée (subordonnée) à une hiérarchie existante mise en œuvre par des technologies tierces, Cf. section § c.4.1 Interopérabilité avec des IGC tierces. Dans ce dernier cas, le certificat d’une AC AD CS est signé par une AC non Microsoft.

A l’inverse, une AC AD CS peut émettre des certificats pour des AC tierces (non-Microsoft) permettant ainsi de rattacher à une racine (racine AC AD CS, ou hiérarchie d’AC AD CS) une branche d’AC mise en œuvre par des technologies tierces.

D’une façon générale, les modèles « hiérarchie de type racine » et « hiérarchie de type certification croisée (Cross Certification en anglais) par la subordination qualifiée » sont supportés avec des technologies de fournisseurs tiers.

c.1.2.1Hiérarchies de type certification croisée (Cross Certification) par la subordination qualifiée


La notion de hiérarchie de type certification croisée (Cross Certification) est décrite dans la RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile [RFC 3280].

Les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) permettent la mise en œuvre de ce modèle par la subordination qualifiée qui autorise la définition de contraintes (contraintes élémentaires, contraintes de noms, contrainte de politique, contraintes application).

procedure_ddLa subordination qualifiée offre deux applications pratiques :

  1. quels certificats d'un partenaire peut-on valider / accepter ? La subordination qualifiée permet d’offrir un contrôle plus précis de la confiance des certificats avec l’inclusion / exclusion d'usages (purposes en anglais). Par exemple, la subordination qualifiée peut permettre l'usage d'un certificat tiers pour mèl seulement, alors que le certificat spécifie e-mail et IPsec.

  2. contrôler l'émission des AC subordonnées. Ceci permet d’empêcher les AC d'émettre :

  1. dans des espaces de noms invalides / non autorisés ;

  2. avec des politiques d'émission invalides / non autorisées ;

  3. avec des politiques d'application invalide / non autorisées.

c.1.2.2Support de l’AC Pont


Le modèle AC Pont selon le principe Federal Bridge Certification Authority (FBCA en abrégé) est également supportée par les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2).

A ce titre, les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) sont certifiés « US Federal Bridge CA » (Cf. http://www.cio.gov/fbca/techio.htm).

c.1.3Formats des requêtes de certificats


Les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) supportent nativement les requêtes de certification (Certificate Signing Request en anglais ou CSR en abrégé) au :

  • Format  PKCS #10 [PKCS #10] Certification Request Standard ;

  • Standard CMC tel que décrit dans la RFC 2797 Certificate Management over CMS [RFC 2797] ;

Ainsi que via le protocole Simple Certificate Enrollment Protocol (SCEP) [SCEP].

c.1.4Formats de mise à disposition des certificats et des clés


Les formats suivants sont supportés :

  • PKCS #7 [PKCS #7],

  • PKCS #12 [PKCS #12] (.p12 ou .pfx),

  • PEM (.pem),

  • DER (.der),

  • CER (.cer).

Le format PEM est obtenu à partir d’une conversion par ligne de commande via la commande certutil –encode.

c.1.5Taille de clé et algorithmes cryptographiques


Une AC AD CS de Windows Server 2008 (R2) permet de générer des certificats de 384 bits jusqu’à 16 384 bits en RSA, de 512 bits à 1024 bits en DSA et de 256 à 521 en ECC.

  • Attention, il convient au lectorat de noter que la problématique n’est pas la génération mais l’utilisation de ce type de clé.

Une AC AD CS s’appuie historiquement sur les APIs de gestion CryptoAPI 1.0 (opérations de chiffrement avec les algorithmes standard) qui comporte une architecture ouverte à base de fournisseurs cryptographiques (Cryptographic Service Provider en anglais ou CSP en abrégé) pour les opérations cryptographiques.

La liste ci-dessous représente un éventail (non exhaustif) des algorithmes supportes en standard sur la plateforme Windows :

  • RC2, RC4, DES, 3DES, AES128, AES192, AES256 ;

  • MD4, MD5, SHA-1 ;

  • HMAC (MD5, SHA-1) ;

  • RSA, DH, DSS.

Par ailleurs, l’environnement cryptographique Cryptography API: Next Generation (CNG), bus cryptographique ouvert (Open Cryptographic Interface en anglais), appelé à remplacer la composante CryptoAPI 1.0, est nativement intégré par une AC AD CS de Windows Server 2008 (R2).

Ceci permet notamment de supporter les Key Service Provider (KSP en abrégé) de CNG et, par voie de conséquence, de supporter en standard les algorithmes à courbes elliptiques (ECC en abrégé) et les condensés de type SHA deuxième génération, à savoir :

  • ECDH_P256, ECDH_P384, ECDH_P521 pour l’échange de clé ;

  • ECDSA_P256, ECDSA_P384, et ECDSA_P521 pour la signature ;

  • la famille SHA-2 (SHA256, SHA384, et SHA512) et HMAC à base de ces condensés.

Cette description appelle les deux remarques suivantes :

  • une AC AD CS supporte dès aujourd’hui l’ensemble des algorithmes décrite par la Politique de Référencement Intersectorielle de Sécurité (PRIS) v2.1 de l’ANSSI et de la DGME ;

  • l’introduction des algorithmes type ECC au sein d’un environnement existant suppose que les applications et services consommateur d’IGC soient à même de prendre en charge ces algorithmes.

Ceci peut conduire par ailleurs à déployer vis-à-vis de la hiérarchie en place une hiérarchie distincte avec certification croisée (cross certification en anglais) comme suggéré dans le livre blanc précédent.

    • Le livre blanc Installing a Suite B only PKI55 illustre comment déployer les services de certificats Active Directory (AD CS) pour supporter les algorithmes précédents, qu’il s’agisse des algorithmes ECC et/ou des condensés de type SHA-2.

Les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) supportent ce type de scénario avec la subordination qualifiée qui permet de préciser, le cas échéant, les contraintes (contraintes élémentaires, contraintes de nom, contraintes de politique, contraintes application) et d’inclure/exclure les usages (purposes en anglais). Ainsi, la subordination qualifiée permet non seulement de contrôler l’émission des ACs subordonnées mais également d’offrir un contrôle plus précis de la confiance dans les certificats.

c.1.6Taille de l’exposant de clé


Les fonctions IGC d’une AC AD CS de Windows Server 2008 (R2) reposent sur les API CryptoAPI (CryptoAPI 1.0 et CryptoAPI 2.0) et CNG de la plateforme Windows. Ce point est donc géré plutôt par ces API et non par l’AC elle-même.

CryptoAPI 1.0 et CNG permettent nativement les opérations de chiffrement avec les algorithmes standards, Cf. section § c.1.5 Taille de clé et algorithmes cryptographiques.

Une infrastructure de confiance basée sur les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) ne permet pas de choisir l’exposant pour la génération de paires de clés RSA, la valeur est toujours 65537. Par contre, d’autres valeurs d’exposants sont supportées pour les clés qui ne sont pas générées par l’infrastructure d’IGC en tant que telle.

Windows Server 2008 (R2) (par le biais de CNG) met à disposition un bus cryptographique ouvert (Open Cryptographic Interface en anglais) qui permet le cas échéant d’exécuter sa propre implémentation de tel ou tel algorithme.

c.1.7Support des modules cryptographiques


La plateforme Windows repose nativement sur les API CryptoAPI (CryptoAPI 1.0 et CryptoAPI 2.0) et CNG (Windows Vista, Windows Server 2008 et ultérieur).

Les modules cryptographiques pour les opérations de chiffrement avec les algorithmes standard s’appuient sur les fournisseurs de service de chiffrement :

  • CSP (Cryptography Service Provider en anglais) pour CryptoAPI 1.0 ;

  • et KSP (Key Storage Provider en anglais) pour CNG.

Il est intéressant de noter que les modules de chiffrement de la plateforme Windows (2000, XP et 2003) sont certifiés FIPS 140-1/140-2 dans le cadre du programme CMV (Cryptographic Module Validation, http://csrc.nist.gov/cryptval) du Computer Security Division à la NIST.

    • Les CSP d’origine Microsoft utilisent un générateur de nombre aléatoire (Random Number Generator en anglais ou RNG en abrégé) qui respecte le cadre de génération aléatoire décrit à l’annexe 3 de la publication FIPS186-2 (http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf) sur la signature numérique par le NIST (National Institute of Standards and Technology).

Le CSP Microsoft Enhanced Cryptographic Provider (dans le mode FIPS) est certifié FIPS 140-1 (certificat n°238 Enhanced Cryptographic Provider (RSAENH) by Microsoft Corporation, http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp1010.pdf).

Pour le développement de CSP, il est possible de consulter avec profit :

c.1.8Stockage des clés des AC


Les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) supportent l’utilisation de boitiers matériels (HSM en abrégé ou Hardware Storage Module en anglais) pour (la génération et) le stockage des bi-clés.

Ceci suppose simplement pour ces matériels la disponibilité d’un CSP comme c’est le cas avec :

L’utilisation de boîtiers HSM est recommandée pour les AC en ligne. Cette dernière peut nécessiter plusieurs opérateurs/administrateurs pour démarrage, avec cartes.

c.1.9Support des standards (PKCS #7, PKCS#10, PKCS#12, CRL X.509v2, etc.)


Les fonctions IGC d’une AC AD CS de Windows Server 2008 (R2) reposent sur les API CryptoAPI (CryptoAPI 1.0 et CryptoAPI 2.0) et CNG de la plateforme Windows. Ce point est donc géré plutôt par ces API et non par l’AC elle-même.

Pour mémoire, CryptoAPI 1.0 et CNG permettent nativement les opérations de chiffrement avec les algorithmes standards, Cf. section § c.1.5 Taille de clé et algorithmes cryptographiques.

CryptoAPI 2.0 permet nativement :

  • La gestion des messages de signature et de chiffrement aux formats standards (PKCS #7 [PKCS # 7], CMS [RFC 3852]),

  • La gestion des demandes de certificat, des certificats et des CRL aux formats standards (PKCS #10 [PKCS #10], CMC [RFC 2797], certificats X509v3, CRL X509v2)

  • L’utilisation et la vérification des certificats, des signatures, des CRL selon les standards tels que définis par les RFC 2459 [RFC 2459] et 3280 [RFC 3280]. L'architecture prend en compte la vérification en ligne telle qu’OCSP en conformité avec la RFC 2560 [RFC 2560], Cf. section § c.1.14 Protocole d’accès aux CRL.

Sur la base de CryptoAPI 1.0 et/ou de CNG selon configuration.

c.1.10Compatibilité avec le monde XML (protocole XKMS, WS-Trust)


La recommandation XKMS (XML Key Manipulation Service) du W3C est destinée à être implémentée en tant que service Web permettant à un client d'accéder à des fonctions que l'on retrouve dans les standards de l’infrastructure d’IGC.

XKMS est composée de deux protocoles :

  1. X-KISS (XML Key Information Service Specification) pour les requêtes de localisation et de validation des clés publiques ;

  2. X-KRSS (XML Key Registration Service Specification) pour enregistrer, renouveler, révoquer et obtenir des clés.

Comme contributeur et co-auteur de la spécification XKMS , il nous apparaît, que le débat autour d’XKMS (qui ne bénéficie pas à ce jour d’implémentations majeures) à une tendance naturelle à s’orienter vers le standard OASIS WS-Trust des services Web avancés (pile standardisée WS-*) pour les scénarios d’enrôlement X.509. Nos investissements vont clairement dans ce sens.

    • Le livre blanc Introduction à l’architecture de services Web et ses spécifications WS-*59 donne une vue d’ensemble de la pile WS-* et des spécifications/protocoles, recommandations W3C ou standards OASIS, qui la constituent. Ces standards résultants sont ouverts, publics et libres d’implémentation et disposent aujourd’hui de nombreuses implémentations quels que soient les environnements techniques.

Le standard OASIS WS-Trust définit en particulier un modèle de service de jetons de sécurité auprès duquel de tels jetons de sécurité peuvent être obtenus ainsi que le protocole pour converser avec ce service de jetons de sécurité. Un tel service est à même d’émettre, de valider et d’échanger des jetons de sécurité. (La notion d’échange induit la capacité transformation de jetons en termes de type de confiance, de format, de sémantique et des (valeurs des) revendications véhiculées par un jeton.)

Ce sujet renvoie également à celui de l’interopérabilité des infrastructures de gestion de clés publiques (Cf. section § c.4 Interopérabilité et options).

En effet, de façon à proposer des services d’(auto-)enrôlement et d’(auto-)renouvellement fondés sur HTTP/WS-*, Microsoft a défini des extensions du standard OASIS WS-Trust qui se traduisent par les deux spécifications [MS-WSTEP] : WS-Trust Enrollment Extensions [MS-WSTEP] et [MS-XCEP] : X.509 Certificate Enrollment Policy Protocol Specification [MS-XCEP].

Ces spécifications sont implémentées dans les services Web d’enrôlement de certificats de Windows 7 et Windows Server 2008 R2 (Cf. section § b.1.1 Fonction d’enregistrement).

Des travaux connexes sont en cours avec des éditeurs de logiciels, des autorités de certification commerciales afin de mettre à disposition des solutions interopérables. A ce titre, une mise en œuvre de ces protocoles vient d’être démontrée publiquement par GlobalSign dans le cadre de l‘évènement Microsoft TechEd US qui s’est déroulé du 11 au 15 mai 2009 pour l’enrôlement et le renouvellement de certificat SSL sur l’Internet.

c.1.11Support du protocole d’enregistrement SCEP


L’enrôlement via le protocole SCEP [SCEP] est supporté par les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) au travers du service de rôle Service d’inscription des périphériques réseau (Network Device Enrollment Services en anglais).

c.1.12Systèmes d’exploitation supportés


Les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) constituent l’un des rôles serveur de Windows Server 2008 (R2).

Ce système est par voie de conséquence requis pour les fonctions serveur d’IGC.

c.1.13Mode de publication des CRL


Le module enfichable MMC Autorité de certification (Certification Authority en anglais) et l'outil en ligne de commande Certutil.exe ainsi que le fichier CAPolicy.inf d'installation d'une AC permettent le paramétrage complet de la publication des CRL (et delta CRL).

Les emplacements de publications sont paramétrables et peuvent être multiples (chemin LDAP, chemin HTTP: ou fichier FILE:).

c.1.14Protocole d’accès aux CRL


Au-delà du support des protocoles HTTP et de LDAP pour l’accès aux CRL, Windows Server 2008 (R2) propose, au sein du rôle Services de certificats Active Directory (Active Directory Certificate Services), le service de rôle Répondeur en ligne (Online Responder). Ce dernier offre une implémentation du protocole OCSP conforme à la RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP [RFC 2560].

Il convient de noter que Windows Vista, Windows Server 2008 et ultérieur disposent de l’instrumentation CryptoAPI 2.0 Diagnostics qui offre la possibilité de diagnostiquer et résoudre des problèmes PKI en collectant une information détaillée sur la validation des chaînes de certificats, des opérations relatives aux magasins de certificats, et de la vérification des signatures.

Les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) n’offrent pas de support direct de la Liste des Autorités Révoquées (ARL en abrégé ou Authority Revocation List en anglais). Moyennant un processus manuel, il est possible de créer et de maintenir une « ARL artificielle ».

c.1.15Base de stockage locale


Les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) s’appuient sur une base de donnée locale basée sur la technologie Jet, et ce quel que soit le type d'AC (mode autonome vs. mode entreprise). Ceci permet de bénéficier de l’ensemble des outils disponibles pour cette technologie.

Les AC émettrices AD CS en mode entreprise s'appuient, en plus, sur des informations de configuration stockées dans la partition de configuration de leur forêt Active Directory d'appartenance.
1   2   3   4   5   6   7   8   9   10   ...   14

similaire:

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconSolutions Chip pc
«clonage avancé» des terminaux, Chip pc a choisi de développer un logiciel basé sur un concept totalement différent du clonage et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconJean-Frédéric karcher
«Etudes et Développement de Services» au sein du Groupe sfr cegetel dans la Direction Réseaux et Services de sfr

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconEn recherche active

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  icon1 Des fondements pour une pédagogie active et la technologie

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconOpportunity Notice Services professionnels d'ingenieurs-conseils...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconCroissance et transformations sectorielles : d’une économie post-industrielle...
«sociologique», rôle accru de l’Etat, rôle moteur des services collectifs. Ce thème sera repris au tournant du xxème siècle à travers...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconPassation des marchés de fourniture et montage d’installations
«Procurement Policy and Services Group, Operational Core Services Network» (ocspr), seront consultés

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconTraducteur en interne, anglais – français, Connected Language Services, Marseille
«Transfert de technologie entre la recherche publique et l’industrie» (simultané)








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com