Mise en place d'un serveur SSL

Présentation au sujet: "Mise en place d'un serveur SSL"— Transcription de la présentation:

1 Mise en place d'un serveur SSL

2 SSL (Secure Socket Layer)
SSL est un protocole, conçu par Netscape pour assurer la sécurité des échanges sur Internet en particulier pour les échanges commerciaux (paiement, connexion bancaire, etc..) La version 2.0 fut développée par Netscape ; La version 3.0 est actuellement la plus répandue ; La version 3.1 baptisée TLS (transport Layer Security, RFC 2246) est standardisée par l'IETF (Internet Engineering Task Force). Yonel GRUSSON

3 SSL – Secure Socket Layer
SSL est un protocole indépendant du protocole de l'application. Il peut s'utiliser avec HTTP, FTP, POP, etc. SSL se situe entre les couches application et transport (TCP le plus généralement). On le considère comme un protocole de session. Les ports utilisés sont : HTTPS 443 LDAPS 636 SMTPS 465 POP3S 995 NNTPS (news) 563 IMAPS TELNETS 992 Yonel GRUSSON

4 SSL – Secure Socket Layer
Aujourd'hui, les navigateurs supportent tous ce protocole. Son utilisation est repérable Par le début de l'URL : où le "s" signifie "sécurité" Par l'icône : Yonel GRUSSON

5 SSL – Secure Socket Layer
SSL comprend essentiellement 2 protocoles : SSL Handshake protocol qui est la phase de négociation entre le client et le serveur. SSL Record protocol qui chiffre les informations échangés et effectue divers contrôles. Donc 2 phases : La négociation La communication Yonel GRUSSON

6 SSL – Secure Socket Layer
Phase 1 : La négociation Le client se connecte au serveur sécurisé par SSL et demande au serveur de s'authentifier. Cette demande est accompagnée de la liste des systèmes de cryptage (longueur des clés) que le client supporte. Le serveur répond au client en lui envoyant un certificat contenant sa clé publique. Ce certificat est signé électroniquement par une autorité de certification (tiers de confiance). Yonel GRUSSON

7 SSL – Secure Socket Layer
Phase 1 : La négociation En d'autre terme le certificat reçu est crypté à l'aide de la clé privée du tiers de confiance. A réception, le client doit donc s'assurer de l'identité du serveur. Est-il bien celui qu'il prétend être ? Les navigateurs possèdent un certains nombre de PKI (Public Key Infrastructure) contenant la clé public du tiers de confiance. Celle-ci permet de vérifier la signature. Yonel GRUSSON

8 SSL – Secure Socket Layer
Phase 1 : La négociation Une fois le serveur authentifié, le client génère une clé de cryptage aléatoire et chiffre cette clé avec la clé publique du serveur. Le serveur peut déchiffrer la clé du client avec sa clé privée. Note : Le protocole prévoit également que le serveur puisse demander au client de s'authentifier ; mais ceci est très rare car peu de clients possèdent des clés certifiées. Yonel GRUSSON

9 SSL – Secure Socket Layer
Phase 2 : La communication L'intégrité et la confidentialité des échanges sont garantis par l'utilisation des clés de chiffrement détenues par chaque partenaire. Le client chiffre avec la clé publique du serveur et déchiffre avec la clé qu'il à généré aléatoirement Le serveur chiffre avec la clé qu'il a reçue du client et déchiffre avec sa clé privée Yonel GRUSSON

10 SSL – Secure Socket Layer
La gestion des certificats par Internet Explorer Yonel GRUSSON

11 SSL – Secure Socket Layer
Le protocole SSL est évidemment utilisé sur l'Internet dans des échanges qui doivent être protégés. Mais il peut être aussi mis en œuvre dans le cadre d'un intranet entre le serveur d'une entreprise et des stations clientes mobiles. Dans ce cas, l'authentification du client est plus importante que celle du serveur. Yonel GRUSSON

12 SSH - SSL SSH et SSL paraissent très proches (OpenSSH s'appuie d'ailleurs sur les bibliothèques d'OpenSSL). SSH provient surtout du monde Unix où il permet de sécuriser les sessions interactives entre des équipements "partenaires". Il existe des implantations pour Windows. SSL utilise la notion de certificat et met en relation des équipements "indépendants" (Internaute et serveur commercial). Yonel GRUSSON

13 Mise en place d'un serveur SSL
La mise en place présentée ici se situe dans le cadre d'un intranet. Trois acteurs interviennent donc : Le tiers de confiance qui génère et gère les certificat (rôle jouer ici par l'entreprise). Un serveur Web (ici un serveur IIS) qui diffuse un certificat proposé par l'autorité précédente Le client qui utilise le certificat.

14 Mise en place d'un serveur SSL
Etape 1 : Mise en place d'une autorité de certification

15 Mise en place d'un serveur SSL
Etape 1 : Mise en place d'une autorité de certification

16 Mise en place d'un serveur SSL
Etape 1 : Mise en place d'une autorité de certification L'autorité est gérée par une console : crtsrv.msc

17 Mise en place d'un serveur SSL
Etape 2 : Le serveur Web demande un certificat La seconde option sera utilisée si l'autorité se trouve sur le réseau local. Bien que cela soit le cas dans cette présentation, nous considérons l'autorité créée (BTSIG) comme extérieure au réseau local Choisir le serveur Web qui doit être protégé. SSL peut porter également sur un répertoire virtuel

18 Mise en place d'un serveur SSL
Etape 2 : Le serveur Web demande un certificat

19 Mise en place d'un serveur SSL
Etape 2 : Le serveur Web demande un certificat

20 Mise en place d'un serveur SSL
Etape 3 : Demande d'un certificat à l'autorité Cette opération se fait auprès d'une autorité de certification (par exemple Coller ou rechercher le fichier : CERTIFICAT.TXT

21 Mise en place d'un serveur SSL
Etape 3 : Demande d'un certificat à l'autorité

22 Mise en place d'un serveur SSL
Etape 4 : Suppression de la demande

23 Mise en place d'un serveur SSL
Etape 5 : Attribuer le certificat au serveur Port SSL normalisé

24 Mise en place d'un serveur SSL
Etape 5 : Configuration de IIS Le serveur doit exiger un certificat Généralement dans un contexte SSL, les sites ne sont plus anonymes.

25 Mise en place d'un serveur SSL
Au niveau du client