Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme








télécharger 333.15 Kb.
titreRésumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme
page8/14
date de publication09.09.2018
taille333.15 Kb.
typeRésumé
ar.21-bal.com > loi > Résumé
1   ...   4   5   6   7   8   9   10   11   ...   14

c.2Mise en place

c.2.1Facilité d’installation


L’installation d’une AC AD CS est prise en charge par l’option Services de certificats Active Directory (Active Directory Certificate Services en anglais) de l’assistant Ajouter des rôles (Add Roles en anglais) du Gestionnaire de serveur (Server Manager en anglais).

L’Outil de gestion des rôles (Roles Management Tool en anglais ou RMT en abrégé) gère les dépendances internes en fonction des composantes sélectionnées (Cf. section § a Introduction) et installe les (autres) fonctionnalités (éventuellement) manquantes.

L’assistant d’installation propose une définition de valeurs par défaut pour l’ensemble des étapes (avec ou sans fichier CAPolicy.inf d’installation).

Depuis les premières versions, l’installation d’une AC AD CS peut être dans la pratique largement automatisée via la définition d’un fichier CAPolicy.inf d’installation et de scripts complémentaires fondés sur l’utilitaire en ligne de commande Certutil.exe.

Ceci étant, Windows Server 2008 a introduit l’objet COM certocm.CertSrvSetup (certocm.dll) fondé sur l’interface ICertSrvSetup qui peut être utilisé pour contrôler complètement l'installation d’une AC. L’interface ICertSrvSetup définit à cet effet un ensemble de méthodes et de propriétés pour installer et désinstaller les composants (service du rôle) Autorité de certification (AC) et Inscription de l’autorité de certification via le Web (CAWE).

Le billet Automated CA installs using VB script on Windows Server 2008 and 2008 R265 propose le script VBScript SetupCA.vbs (Cf. section § c.4.5 Environnement de « scripting ») utilisé en interne par le groupe produit pour les tests du rôle Services de certificats Active Directory. Ce script qui repose sur l’objet COM précédent permet d’automatiser l’installation et la configuration des deux composants précédents. Il donne accès de façon automatisée à l’ensemble des fonctionnalités accessibles depuis l’interface graphique de l’assistant d’installation. Ainsi, la plupart des fonctionnalités offertes se traduisent par la simple définition de propriétés ; quelques fonctionnalités, telles que la réutilisation de clé/certificat, requièrent cependant un peu (plus) de code.

Il convient de noter que ce script permet également d’automatiser l’installation et la configuration d’une AC AD CS au niveau d’une installation de type Server Core de Windows Server 2008 R2 où par essence, aucune interface graphique n’est disponible pour l’installation. Ceci peut nécessiter quelques étapes additionnelles comme suit :

  1. Si la fonctionnalité WoW64 est nécessaire, par exemple pour utiliser sur le système 64 bits un boîtier HSM réseau qui s’appuie sur des fichiers binaires 32 bits, la prise en charge WoW64 doit être installée via la commande Start /w ocsetup ServerCore-WOW64 et nécessite un redémarrage à l’issue de l’installation du « package ».

  2. Si l’AC doit fonctionner avec un boîtier HSM réseau ou non, le logiciel afférent doit être installé et configuré selon les instructions fournies.

  3. Le script SetupCA.vbs précédent peut ensuite être utilisé pour procéder à l’installation en tant que telle de l’AC.

Le billet Using VBScript to install CA on server core66 décrit l’utilisation de ce script dans le contexte d’une installation de type Server Core.

Enfin, au-delà de ces éléments et vis-à-vis de la version précédente des services de certificats, l’ergonomie générale ainsi que les capacités de diagnostic se sont très sensiblement améliorées. A ce propos, Windows Server 2008 R2 introduit l’outil Analyseur des « bonnes pratiques » (Best Practices Analyzer en anglais ou BPA en abrégé).

c.2.2Configuration du produit


Le Gestionnaire de serveur (Server Manager en anglais) au travers notamment du composant enfichable MMC Autorité de certification (Certificate Authority en anglais) permet une configuration en mode graphique d’une AC AD CS.

L’utilitaire en ligne de commande Certutil.exe permet de réaliser ces opérations depuis une invite de commande.

c.2.3Sécurisation des accès logiques


La sécurisation des accès logiques passe, par exemple, par les actions d’administrations suivantes :

  1. Forcer une authentification par carte à puce pour l’accès en local des stratégies de groupes (Group Policy Object en anglais ou GPO en abrégé) adaptées ;

  2. Contrôler l’appartenance aux groupes Active Directory sensibles ;

  3. Activer la séparation des rôles (Cf. section § b.3.1 Séparation des rôles) ;

Windows Server 2008 R2 permet d’aller encore plus loin et d’imposer le « carte à puce nécessaire » pour le contrôle d’accès quel que soit les modalités d’accès (en local ou à distance).

Pour ce faire, il convient d’associer un SID de groupe Active Directory à un OID de politique d’émission, de configurer un modèle de certificat (Cf. section § ) pour l’ouverture de session avec l’OID de politique d’émission précédent, de restreindre les accès aux objets en termes de liste de contrôle d’accès (Access Control List en anglais ou ACL en abrégé), d’enrôler les personnes concernées par le rôle souhaité avec un support physique. Lorsqu’une personne ouvre une session avec un certificat basé sur le modèle de certificat précédent, Kerberos ajoute automatiquement le SID du groupe dans le jeton Utilisateur.

Ces différentes actions sont des actions de configuration et de paramétrage.

c.2.4Sécurisation des accès physiques


La sécurisation des accès physiques rentre dans le cadre de l’offre de services (livrables) qui accompagne la mise en œuvre d’une infrastructure de confiance.

c.2.5Virtualisation du produit


Une seule AC AD CS peut être installée par instance Windows Server 2008 (R2). Par contre, AD CS est virtualisable au sens qu’une AC AD CS peut fonctionner dans une machine virtuelle gérée par Microsoft Hyper-V.

Une même License Windows Server 2008 (R2) permet d’utiliser sur la plateforme hôte jusqu’à 4 machines virtuelles Windows Server 2008 (R2).

c.2.6Haute-disponibilité


3 niveaux de disponibilités sont à prendre en considération et possibles pour les services de certificats Active Directory :

  1. CRL : critique, facilement redondé. Les approches possibles sont le round-robin DNS, le support du « scale-out » notamment avec le Service de répartition de charge réseau Microsoft (Microsoft Network Load Balancing en anglais ou NLB en abrégé) de la plateforme Windows Server, etc. ;

  2. OCSP : critique, facilement redondé. Les approches possibles sont le round-robin DNS, le support du « scale-out » notamment avec le Service de répartition de charge réseau Microsoft (Microsoft Network Load Balancing en anglais ou NLB en abrégé) de la plateforme Windows Server, etc. ;

  3. AC : selon besoins d’administration.

Au-delà de la virtualisation (Cf. section précédente), AD CS de Windows Server 2008 (R2) supporte la mise en œuvre des services de clusterisation Microsoft (Microsoft Cluster Service en anglais ou MSCS en abrégé) avec cluster à 2 nœuds (en mode actif-passif).
1   ...   4   5   6   7   8   9   10   11   ...   14

similaire:

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconSolutions Chip pc
«clonage avancé» des terminaux, Chip pc a choisi de développer un logiciel basé sur un concept totalement différent du clonage et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconJean-Frédéric karcher
«Etudes et Développement de Services» au sein du Groupe sfr cegetel dans la Direction Réseaux et Services de sfr

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconEn recherche active

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  icon1 Des fondements pour une pédagogie active et la technologie

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconOpportunity Notice Services professionnels d'ingenieurs-conseils...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconCroissance et transformations sectorielles : d’une économie post-industrielle...
«sociologique», rôle accru de l’Etat, rôle moteur des services collectifs. Ce thème sera repris au tournant du xxème siècle à travers...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconPassation des marchés de fourniture et montage d’installations
«Procurement Policy and Services Group, Operational Core Services Network» (ocspr), seront consultés

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconTraducteur en interne, anglais – français, Connected Language Services, Marseille
«Transfert de technologie entre la recherche publique et l’industrie» (simultané)








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com