La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Philippe BERAUD Consultant Architecte Microsoft France

Présentations similaires


Présentation au sujet: "Philippe BERAUD Consultant Architecte Microsoft France"— Transcription de la présentation:

1 Philippe BERAUD Consultant Architecte Microsoft France

2 g g g g Offrir un panorama des évolutions des services de certificats X.509 dans Windows Server Longhorn et Windows Vista g g Credential Roaming Enrôlement avancé Auto-enrôlement Windows Smart Card Framework Windows Vista - Services de gestion Autorité de certification Rôles Service Windows Server Longhorn - Services de gestion Services denrôlement périphériques réseau Services denrôlement Web Services de révocation en ligne Proxy Web Services de révocation en ligne Services de cryptographie

3 g g g g g g Credential Roaming Enrôlement avancé Auto-enrôlement Windows Smart Card Framework Windows Vista - Services de gestion Autorité de certification Rôles Serveur Windows Server Longhorn - Services de gestion Services denrôlement périphériques réseau Services denrôlement Web Services de révocation en ligne Proxy Web Services de révocation en ligne Credential Roaming Services de cryptographie

4 Nouveau Framework Crypto (par rapport à Crypto API) Simplification du développement de fournisseurs de cryptographiques Capacité en mode noyau et utilisateur dutiliser ses propres implémentations (y compris algorithmes propriétaires) Implémentation de façon native des algorithmes ECC (ECDSA, ECDH), SHA2 (Suite-B) CNG satisfait les exigences Critères Communs et FIPS pour lisolation forte et laudit CNG devient lAPI cryptographique recommandée Cryptographic Next Generation Software Development Kit for Windows Vista B018-49DB-A98B-0CED7CB8FF6F&displaylang=en Complément du Software Development Kit for Windows Vista and.NET Framework 3.0 Runtime Components 4DFB-AA0C-DB53035F40A0&displaylang=en

5 g g g g g g Credential Roaming Enrôlement avancé Auto-enrôlement Windows Smart Card Framework Windows Vista - Services de gestion Autorité de certification Rôles Serveur Windows Server Longhorn - Services de gestion Services denrôlement périphériques réseau Services denrôlement Web Services de révocation en ligne Proxy Web Services de révocation en ligne Services de cryptographie

6 MMC Certificates Nouvelle UI Request New certificate Facilité dutilisation Supportabilité Fonctionnalités additionnelles Create Custom Request Enroll On Behalf of SysTray Notification dexpiration

7 Contrôles ActiveX Xenroll et Scrdenrl Pour mémoire La dernière version dXenroll expose les interfaces ICEnroll4 et IEnroll4 Scrdenrl expose linterface IScrdenr et sappuie sur Xenroll Principalement utilisé au niveau client pour la fonctionnalité « Enroll on Behalf of » Ex. « Smart Card Enrollment Control Example » Difficulté à maintenir et complexité à utiliser des interfaces monolithiques Coût élevé de maintenance Pour Microsoft en termes de support dXenroll Pour ses clients et les ACs tierces lorsque Xenroll est mis à jour

8 Retrait des contrôles ActiveX Xenroll et Scrdenrl Cf. « How to use Certificate Services Web enrollment pages together with Windows Vista » (922706) Introduction dune nouvelle API Certificate Enrollment (CertEnroll) Hiérarchie de classes COM reconçues pour les opérations PKI Ensemble dinterfaces pour créer/gérer Lenrôlements vis-à-vis dAC Microsoft (les interfaces et protocoles Serveur restent identiques) Les requêtes de certificat (PKCS#10, PKCS#7, and CMC) Support de Crypto Next Generation (CNG) pour les certificats ECC Les clés publique/privée Les propriétés/attributs/extensions de certificats Un sous-ensemble des fonctionnalités peut être scripté dans le cadre de pages Web denrôlement Appréhension plus aisée pour les développeurs

9 Classes pour les requêtes Classes denrôlement Classes Crypto Classes Attributs

10 g g g g g g Credential Roaming Enrôlement avancé Auto-enrôlement Windows Smart Card Framework Windows Vista - Services de gestion Autorité de certification Rôles Serveur Windows Server Longhorn - Services de gestion Services denrôlement périphériques réseau Services denrôlement Web Services de révocation en ligne Proxy Web Services de révocation en ligne Services de cryptographie

11 Ré-architecture pour réduire la surface dattaque et améliorer globalement les performances du systèmes Conception basée sur les jobs WMI Amélioration des conditions dusage pour les scénarios hors-ligne Notifications dexpiration

12 « Nœud dur » dans les solutions basées sur de la PKI Les certificats et les clés privées sont liés à une machine et ne sont pas itinérants Pour un même usage (S/MIME par exemple), les utilisateurs peuvent posséder différents jeux de certificats et de clés privées sur chaque machine Surcoût de gestion de la CA Options possibles Cartes à puce Nombre limité de crédentiels Profils utilisateur itinérant Difficile à gérer et à administrer

13 Les services Credential Roaming permettent de délivrer les crédentiels à la machine courante de lutilisateur via la réplication Active Directory et les stratégies de groupes Ceci facilite lusage de fonctions comme La messagerie sécurisée Lauthentification client Ainsi quune expérience améliorée pour les déploiements Cartes à puce Mise en œuvre Cf. « Configure credential roaming » 4f2c-a0f0-5bea36dc mspx?mfr=true

14 Introduit initialement dans le SP1 de Windows Server 2003 CF. « Description of the Credential Roaming service update for Windows Server 2003 and for Windows XP » (907247) Composants Serveur Composants Serveur Windows 2000 Server SP3+ Windows Server 2003 SP1/R2 – Recommandé Windows Server Longhorn – Recommandé Composants Client Windows XP SP2+ Windows Server 2003 SP1 Windows Vista/Windows Server Longhorn

15 g g g g Cf. « Enterprise Smart Card Deployment in the Microsoft Windows Smart Card Framework » 4e53-a0c b6a7ab6&DisplayLang=en g g Credential Roaming Enrôlement avancé Auto-enrôlement Windows Smart Card Framework Windows Vista - Services de gestion Autorité de certification Rôles Serveur Windows Server Longhorn - Services de gestion Services denrôlement périphériques réseau Services denrôlement Web Services de révocation en ligne Proxy Web Services de révocation en ligne Services de cryptographie

16 Principales caractéristiques Offrent une protection forte pour les clés privées des certificats Permettent de réaliser des opérations cryptographiques Offrent une réponse aux besoins d'authentification forte, de preuve d'identité renforcée Authentification à 2 facteurs Permettent de disposer dun badge dentreprise unique Rapprochement des mondes physique et numérique Constituent une plateforme daccueil pour dautres applications de lentreprise Ex. Gemalto.NET Card Facilité de gestion du cycle de vie avec CLM Personnalisation des cartes, enrôlement, délivrance, renouvellement de certificats, émission de cartes temporaires, renouvellement des cartes, gestion des PIN, etc. Cf. session TechDays « Introduction à CLM Beta 2 »

17 Windows 2000 SP4, Windows XP SP2, Windows 2003 Server SP1 Cf. « Microsoft Base Smart Card Cryptographic Service Provider Package: x86 » (909520) ea6b45b41c6&DisplayLang=en Applications utilisant de la cryptographie CAPI 1 WinSCard API (WinSCard.dll) WinSCard API (WinSCard.dll) Smart Card Service (SCardSrv.exe) - Gestionnaire de ressources CSP Carte à puce #3 … Applications non crypto Applications non crypto

18 Installation Pilote du lecteur de carte (et outils associés) Fournisseur du mini-pilote Carte à puce Vérification de linstallation: Certutil –v –scinfo The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 1 0: O2Micro PCMCIA Reader 0 0: O2Micro PCMCIA Reader Reader: O2Micro PCMCIA Reader Reader: O2Micro PCMCIA Reader Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Status: The card is being shared by a process. --- Card: Axalto Cryptoflex.NET --- Card: Axalto Cryptoflex.NET --- ATR: --- ATR: 3b … --- Reader: O2Micro PCMCIA Reader Reader: O2Micro PCMCIA Reader Card: Axalto Cryptoflex.NET --- Card: Axalto Cryptoflex.NET Provider = Microsoft Base Smart Card Crypto Provider Provider = Microsoft Base Smart Card Crypto Provider Key Container = 6dd8958a-78cd-4438-ade ac [Default Container] Key Container = 6dd8958a-78cd-4438-ade ac [Default Container] …

19 Support de Crypto Next Generation (CNG) Introduction du Microsoft Smart Card Key Storage Provider Enrôlement de certificat ECC sur une carte à puce Requiert une IGC ECC Signature ECDSA avec un certificat ECC sur une carte à puce Echanges de clé avec ECDH avec des clés drivées sur une carte à puce Authentification client avec TLS Support sur la carte des fonctions de dérivation (KDF) en conformité avec FIPS Stratégie locale HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Providers\Micro soft Smart Card Key Storage Provider Idem Base CSP HKLM\SOFTWARE\Microsoft\Cryptography\Defaufts\Provider\Microsoft Base Smart Card Crypto Provider

20 Applications utilisant de la cryptographie Smart Card Service (Svchost.exe) - Gestionnaire de ressources CSP Carte à puce CSP Carte à puce Applications non crypto Applications non crypto MS Smart Card Base CSP (BaseCSP.dll) MS Smart Card Base CSP (BaseCSP.dll) MS Smart Card Base KSP (SCKSP.dll) MS Smart Card Base KSP (SCKSP.dll) WinSCard API (WinSCard.dll) WinSCard API (WinSCard.dll) CAPI 1 CNG Mini-pilote Carte (RSA/ECC) Mini-pilote Carte (RSA/ECC) Mini-pilote Carte (ECC) Mini-pilote Carte (ECC) Mini-pilote Carte (RSA) Mini-pilote Carte (RSA)

21 Développement logiciel simplifié Les opérations cryptographiques communes sont gérées par la plateforme (Base CSP/Base KSP) API à destination des encarteurs minidriver.mspx CardMod.h dans le Cryptographic Next Generation (CNG) Software Development Kit (SDK) for Windows Vista Expérience utilisateur améliorée Diffusion des mini pilotes Carte à puces via Windows Update Programme de certification « Logo Ready » géré par le Microsoft Smart Card Competency Center (SCCC) à Dublin Kit de certification mini pilote Carte à puce

22 g g g g Autres sessions Session 0 WinlogonWinlogon Stratégies Utilisateur Stratégies Machine Profils MSGINA LSA SCM Shell RCM LSA Profils SCM Winlnit Stratégies de groupes Shell WinlogonWinlogon Stratégies Utilisateur MSGINA LogonUI Credential Provider 1 Credential Provider 2 Credential Provider 3 WinlogonWinlogon Ré-architecture pour réduire la surface dattaque et améliorer globalement les performances du systèmes

23 Remplacent GINA (avec Winlogon et LogonUI) Sont invoqués par LogonUI (ou CredUI) Utilisés pour collecter et sérialiser les crédentiels Décrivent les champs de linterface utilisateur pour la présentation et la saisie des crédentiels Permettent la saisie des crédentiels pour Logon ou validation, mais aussi pour le changement/déblocage des crédentiels (code PIN) Effectuent la sérialisation des crédentiels pour soumission au LSA Plusieurs Credential Providers peuvent être opérationnels en même temps Smartcard Credential Provider, PasswordProvider, etc.

24 Remplacent GINA (avec Winlogon et LogonUI) GINA (Graphical Identification and Authentication) nexiste plus (Les Winlogon Notification Packages non plus) Sont invoqués par LogonUI (ou CredUI) Plusieurs Credential Provider peuvent être opérationnels en même temps Smartcard Credential Provider, PasswordProvider, etc. Utilisés pour collecter et sérialiser les crédentiels Décrivent les champs de linterface utilisateur pour la présentation et la saisie des crédentiels pour LogonUI Ne peuvent remplacer ou se substituer à linterface utilisateur de Winlogon (LogonUI) Permettent la saisie des crédentiels pour Logon ou validation, mais aussi pour le changement/déblocage des crédentiels (code PIN) Effectuent la sérialisation des crédentiels pour soumission au LSA Peut travailler avec un package dauthentification spécifique, ou un package standard comme KERB_CERTIFICATE_LOGON

25 25 CTRL+ALT+SUPPR Change a Password… Changement de PIN Déblocage de PIN Nécessite lapplication dune stratégie

26 Enregistrement Comme nimporte quel classe COM avec en plus HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Cr edential Providers SmartCard Credential Provider {8bf9a910-a8ff-457f-999f-a5ca10b4a885} Pour chaque provider Sous-clé du nom du CLSID du composant COM Plus facile à concevoir et développer que GINA LogonUI (et CredUI) gèrent entièrement lUI Winlogon gère linteraction avec la LSA (LSALogonUser) et le support de Terminal Services Interface COM entre LogonUI(/CredUI )et le Credential Provider 26

27 Environnement de développement Compilateur C/C++ (Visual Studio 2005 ?) Software Development Kit for Windows Vista and.NET Framework 3.0 Runtime Components 8A64-4DFB-AA0C-DB53035F40A0&displaylang=en Implémentation des interfaces, compilation et tests Définition des interfaces Cf. credentialprovider.h et « Credential Provider Technical Reference » Cf. « Windows Vista Credential Provider Samples » 2D3A-4FAC-982F-289F4F4B9300&displaylang=en Cf. « Create Custom Login Experiences With Credential Providers For Windows Vista » aspx

28 Implémentation des interfaces, compilation et tests Dans la pratique, requiert limplémentation De deux classes 1.Credential Provider - Interface ICredentialProvider Liste des crédentiels (utilisateurs/comptes disponibles), si approprié 2.Credential Provider Credential - Interface ICredentialProviderCredential Décrit les champs pour le crédentiel considéré Pré-remplit les champs Sérialise les crédentiels pour soumission à LSA via LogonUI et WinLogon Dune interface système type callback – ICredentialProviderCredentialEvents Enregistrement et débogage Cf. « Windows Vista Credential Provider Samples » Support Microsoft en direct

29 User enters SAS Advise render user tile list user interaction SetXxxxValue Validate render single user tile user selects submit GetSerialization WLUIRequestCredentials for each credential provider UnAdvise user selects user tile WLUIRequestCredentials SetUsageScenario SetTarget GetCredentialCount *pdwCount>0 for each credential GetFieldDescriptorCount GetFieldDescriptorAt for each credential for each field descriptor GetXxxxValue Generate field descriptors for existing user GetCredentialAt for each field descriptor for each credential provider Winlogon LogonUI Credential Provider Credential Provider Credential

30 WinSCard API Interfaces Credential Provider Interfaces Credential Provider 1. Insertion de la carte 2. Demande des crédentiels 10. LSALogonUser 5. Clic sur le titre, entrée du PIN, validation 4. Affichage UI 9. Crédentiels 6. Validation WinlogonWinlogon LSALSA LogonUI 7. Obtention des crédentiels pour louverture de session 3. Obtention de linformation sur les crédentiels 8. Appel API WinSCard Credential Provider Cartes à puce Credential Provider Cartes à puce Credential Provider personnalisé Credential Provider personnalisé Credential Provider Mot de passe Credential Provider Mot de passe

31 Extension Kerberos PKINIT Cf. « Description of PKINIT Version Implemented in Kerberos in Windows 2000 » (248753) + Support OCSP (RFC2560) Chiffré avec la clé publique KDC Clé privée AD a.Utilise la clé publique du certificat pour déchiffrer lAS_REQ b.(Vérifie le NTAuth) c.Mappe le compte d.Créer un TGT PA_PK_AS_REQ Certificat utilisateur signé avec la clé privée PA_PK_AS_REP Contenant: TGT + PAC + clé de session + condensé NTLM du mot de passe Objet utilisateur: Nom, UPN, Appartenance aux groupes, Publication Certificat LSALSA KERBEROS SSP KERBEROS SSP Le client Kerberos déchiffre la clé de session avec la clé privée

32 Stratégies machine exclusivement Computer Configuration\Administrative Templates\Windows Components\SmartCard HKLM\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialPro vider HKLM\SOFTWARE\Policies\Microsoft\Windows\CertProp Déblocage intégré des cartes à puce pour le Smartcard Credential Provider Propagation des certificats de la carte et des certificats racine Via le Certificate Propagation Service (CertPropSvc) Nettoyage possible des certificats racine Support de multiples certificats sur la même carte pour le logon + EKU Smart Card Logon ( ) optionnel + subjectAltName (SAN) = UPN optionnel Champ optionnel lors du logon pour AltSecID Amélioration sensible de la flexibilité Cf. « Guidelines for Enabling Smart Card Logon with Third-Party Certification » (281245)

33 Stratégies machine exclusivement Computer Settings\Windows Settings\Security Settings\Local Policies\Security Options Imposer une ouverture de session par carte à puce Définir le comportement lorsque la carte à puce est retirée Nécessite le Smart Card Policy Service (SCPolicySvc)

34 g g g g Cf. « Active Directory Certificate Server Enhancements (aka Windows PKI) in Windows Server Longhorn » 4ff9-8fb8-0539ba21ab95&displaylang=en g g Credential Roaming Enrôlement avancé Auto-enrôlement Windows Smart Card Framework Windows Vista - Services de gestion Autorité de certification Rôles Serveur Windows Server Longhorn - Services de gestion Services denrôlement périphériques réseau Services denrôlement Web Services de révocation en ligne Proxy Web Services de révocation en ligne Services de cryptographie

35 Service natif de Windows Server 2003 permettant la mise en œuvre dune Autorité de Certification (AC) spx Cf. « Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure » rity/ws3pkibp.mspx Cf. « Windows Server 2003 PKI Operations Guide » 99d a91033.mspx Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 Aucun coût additionnel de licence ou par certificat émis

36 Support de Crypto Next Generation (CNG) En termes de configuration, permettre la configuration de lensemble des éléments directement associés à la crypto Support de Suite-B Algorithmes ECC (ECDH, ECDSA), courbes P-256, P-384 P-521 Condensés SHA-2 (256, 384, 512) Emission de certificats Certificats de lAC (signature, échange de clé) Certificat Serveur, Client, Protocole (SSL et IPSec) Gabarits de certificat Requête de certificat manuelle Algorithme de chiffrement pour la séquestre des clés En termes de flexibilité, permettre aux entreprises dinsérer si besoin leurs propres algorithmes

37 ApplicationVérification dune chaîne de certification contenant des certificats utilisant des algorithmes Suite-B Utilisation dalgorithmes qui ne sont pas supportés par CAPI EFS OuiNon IPSec Oui Kerberos Non S/MIME Outlook 2003 : Non Outlook 2007 : Oui Outlook 2003 : Non Outlook 2007 : Oui Smart Card Logon Non (dans la Bêta 2 de Windows Server Longhorn) SSL Oui Wireless Oui Support des certificats utilisant des algorithmes Suite-B Concerne uniquement Windows Vista et Windows Server Longhorn

38 Consiste en 4 Rôles Services Certification Authority Certification Authority Web Enrollment (CAWE) Online Certificate Status Protocol (OCSP) Nouveau service conforme à la RFC 2560 Microsoft Simple Certificate Enrollment Protocol (MSCEP) Intégration en natif du Simple Certificate Enrollment Protocol (SCEP) Add-on pour Certificate Services de Windows Server 2003 R2 Cf. d036-41d b2d01&displaylang=en Installation des rôles en mode sans attente ou interactif via Add Roles Wizard du Server Manager Le Roles Management Tool (RMT) gère les dépendances internes et installe les composants manquants Définition de valeurs par défaut pour lensemble des étapes Amélioration de lergonomie et des capacités de diagnostic

39 Des éléments à définir au préalable Politique de Certification (CP) Définit le « quoi » - les exigences Déclaration des Pratiques de Certification (CPS) Définit le « comment » - les moyens URL pointant sur un document Paramétrage de lAC Période de validité de lAC Fournisseur de cryptographie, algorithmes, longueur de clé, etc. Chemins de publication pour lextension authorityInfoAccess (AIA) Construction de la chaîne de certification Permet de retrouver le certificat de lautorité émettrice, et ainsi de suite jusquà la racine Chemins de publication pour lextension cRLDistributionPoints (CDP) Vérification de la révocation de chacun des certificats de la chaîne Permet de retrouver la CRL, delta CRL, ou une autorité de validation OCSP Contraintes diverses à honorer par lAC Contraintes de base, contraintes de politique

40 Autonome Intervention humaine pour émission (par défaut) Vérification identité du demandeur manuelle ou Out-Of-Band Entreprise Intégration Active Directory Support des gabarits de certificats (versions 1, 2 et 3) Emission des certificats sans intervention humaine (par défaut, sinon configurable par gabarit) Vérification identité du demandeur par authentification AD Établissement de la confiance en lAC racine par la publication de son certificat dans AD systématique Publication des certificats utilisateurs et CRLs dans AD systématique Auto-tout (enrôlement/renouvellement/remplacement), agent denrôlement (restreint), gestionnaire de certificats (restreint), séquestre de clés, etc. Support des clusters à deux nœuds Configuration Active/Passive Configuration Active/Passive

41 Autonome Principalement pour les ACs racines et ACs intermédiaires offline Scénarios extranet, clients et environnements hétérogènes, hors environnement AD Identification des entités détentrices manuelle Entreprise Principalement pour les ACs émettrices sur une infrastructure AD Scénarios intranet/réseau dentreprise Volumétrie importante: on tire parti de lenrôlement/renouvellement automatique Nécessite une infrastructure AD sécurisée, en laquelle on peut faire confiance

42 AC Racine Ex. AC Autonome racine hors ligne Ex. AC Autonome racine hors ligne Son certificat na ni dAIA, ni de CDP Par défaut, plus besoin dun fichier CAPolicy.inf Les certificats quelle émet ont une AIA et une CDP Son certificat et ses CRLs sont publiés manuellement AC Subordonnée Ex. AC Autonome intermédiaire hors ligne Son certificat, émis pas la racine, comprend une AIA et CDP Reste identique à lAC racine, à lexception de labsence de publication de son certificat Ex. AC Entreprise émettrice en ligne Son certificat, émis pas lAC intermédiaire, comprend une AIA et CDP Les certificats quelle émet ont une AIA et une CDP Son certificat et ses CRL sont publiés automatiquement

43 Créer sa propre hiérarchie indépendante Se rattacher à une hiérarchie existante Support de la certification croisée et de la subornation qualifiée Cf. « Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003 » s/security/ws03qswp.mspx Permet lintroduction des algorithmes Suite-B au sein dun environnement existant Certificat Entité Signature SHA-1 Chiffrement RSA Certificat Entité Signature SHA-1 Chiffrement RSA Certificat Entité Signature ECDSA Chiffr. ECDSA Certificat Entité Signature ECDSA Chiffr. ECDSA AC 11 Emettrice Signature SHA-1 AC 11 Emettrice Signature SHA-1 AC 1 Racine Signature SHA-1 AC 1 Racine Signature SHA-1 AC 21 Emettrice Signature ECDSA AC 21 Emettrice Signature ECDSA Certification croisée AC 2 Racine Signature ECDSA

44 Lors de linstallation à laide dun fichier CAPolicy.inf Situé sous %SYSTEMROOT% Même format que sous Windows Server 2003 Cf. « Installing and configuring a certification authority » 9fde-4978be14ebf41033.mspx?mfr=true Plus besoin dun fichier CAPolicy.inf pour définir correctement le certificat Racine (absence dextensions AIA et CDP) Chargement différé des gabarits pas défaut LoadDefaultTemplates=0 sous [Certsrv_Server] Utilisation de signatures discrètes pour les certificats de lAC et des requêtes de certificat de lAC Support du format de signature PKCS#1 V2.1 DiscreteSignatureAlgorithm=1 sous [Certsrv_Server] Post-installation (CDP, AIA, publication, etc.) Server Manager/Manage Role MMC Certification Authority certutil –setreg|getreg

45 Tous les paramètres de lAC sont dans la clé du service CertSvc dans le registre HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\configuration\ HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\configuration\ Aussi bien les paramètres du moteur de lAC, les fournisseurs de cryptographie et définition des algorithmes associés, que des Policy et Exit modules CSP, EncryptionCSP, ExitModules, PolicyModules Exemples de paramètres de configuration CACertPublicationURLsCRLPublicationURLsCSP\ProviderCSP\CNGHashAlgorithmCSP\CNGPublicKeyAlgorithm Outils de configuration/paramétrage Server Manager/Manage Role MMC Certification Authority certutil.exe –setreg|getreg Redémarrage du service CertSvc

46 Objets AD pour une installation de type Enterprise Publication des informations dans la partition de configuration de la forêt AD Une IGC Windows est une infrastructure du niveau de la forêt Information disponible pour tous les clients de la forêt Ex. CN=Public Key Services, CN=Services, CN=Configuration, DC=contoso, DC=com Objet du compte utilisateur Attribut userCertificate Outils certutil.exe –dspublish Server Manager/Add|Manager Roles MMC Certification Authority MMC Certificate Templates Server Manager/Manager Roles MMC Active Directory Sites and Services ADSIEdit Enterprise PKI

47 CertEnroll%SYSTEMROOT%\System32\CertSrv\CertEnroll Typiquement, CRLs pour publication HTTP: et FILE: Contient aussi certificats de la CA: *.crt CertLog%SYSTEMROOT%\System32\CertLog Base de données des certificats CAPolicy.infC:\WINDOWS\CAPolicy.inf Paramétrage de linstallation A conserver pour le renouvellement

48 Server Manager|Manage Role (CompMgmtLauncher.e xe) Avec MMC Certification Authority (certsrv.msc) MMC Certificate Templates (certtmpl.msc) MMC Event Viewer (eventvwr.msc) pour CAPI2 Enterprise PKI MMC Reliability and Performances Monitor (perfmon.msc)

49 Pour rappel Permet la mise en application dune politique de certification En plus du profil du certificat (attributs de base, extensions, etc.), les gabarits permettent de spécifier La taille de la clé, et si elle peut être exportable ou non, si elle doit être séquestrée Si le certificat doit être émis sans intervention humaine, ou après approbation dun gestionnaire de certificat Si le certificat doit être publié dans AD (userCertificate) ou non Si le renouvellement nécessite un certificat valide Si le gabarit vient en remplacement dune ou plusieurs gabarits obsolètes Si le certificat est soumis à une gestion automatique de son cycle de vie par la fonction dauto-enrôlement Etc.

50 Support des gabarits versions 1 et 2 Cf. « Implementing and Administering Certificate Templates in Windows Server 2003 » ologies/security/ws03crtm.mspx Nécessite une installation de type Entreprise Container AD Certificate Templates Ressource globale dentreprise ACLs sur les gabarits Quelles populations ont droit à quel(s) certificat(s) LAC vérifie lautorisation de demandeur sur le gabarit référencé dans la requête Container AD Enrollment Services Liste des gabarits servis pour chaque AC dentreprise Introduction dune version 3 Prise en compte des nouvelles fonctionnalités pour les clients Windows Vista seulement Non disponible dans CAWE

51 Enregistrement des gabarits Regsvr32 /i:i /n %windir%\System32\certcli.dll Gabarits modifiables MMC Certificate Templates Copie dun gabarit existant version 1, 2 ou 3, puis modification ou enrichissement pour créer un nouveau gabarit Choix de la version cible : 2 vs. 3

52 Version 3 Onglet Request Handling Support dAES 256 pour le chiffrement des clés privées lors du transfert à lAC pour séquestre Ajout, pour des gabarits machine, dune permissions Read sur la clé privée pour Network Service Plus besoin dajuster manuellement à postériori le magasin de certificats machine Filtrage de la liste des algorithmes asymétriques en fonction du but du certificat Onglet Cryptography

53 Version 3 Onglet Request Handling Support dAES 256 pour le chiffrement des clés privées lors du transfert à lAC pour séquestre Ajout, pour des gabarits machine, dune permissions Read sur la clé privée pour Network Service Plus besoin dajuster manuellement à postériori le magasin de certificats machine Filtrage de la liste des algorithmes asymétriques en fonction du but du certificat Onglet Cryptography

54 Version 3 Nouvel onglet Cryptography Support des algorithmes asymétriques implémentés par un KSP CNG Par défaut : DSA, ECDH_P256, ECDH_P384, ECDH_P521, ECDSA_P384, ECDSA_P521 et RSA Support des algorithmes de condensé implémentés par un KSP CNG Par défaut : MD2, MD4, MD5, SHA-1, SHA-256, SHA-384 et SHA-512 Support de lexigence dune signature discrète pour les requêtes de certificats Pour lauto-enrôlement et les requêtes via la MMC Certificates Ne sapplique pas aux requêtes créées avec Certreq.exe Filtrage de la liste des fournisseurs en fonction de la taille de clé minimum

55 AttributWindows 2000Windows Server 2003 Windows Server Longhorn Subject CN={FQDN}Empty Certificate Template DomainController Directory Replication Domain Controller Authentication Kerberos Authentication Enhanced Key Usage Client Authentication ( ) Server Authentication ( ) Directory Service Replication ( ) Client Authentication ( ) Server Authentication ( ) Smart Card Logon ( ) Client Authentication ( ) Server Authentication ( ) Smart Card Logon ( ) KDC Authentication ( ) Subject Alternate Name Other Name: ={GUI D} DNS Name={FQDN} Other Name: ={GUI D} DNS Name={FQDN} DNS Name={FQDN- hostname} DNS Name={FQDN- domainname} DNS Name={NetBIOS- Domain-Name} Amélioration à chaque version Serveur de Windows La fonctionnalité de base pour louverture de session par carte à puce nest pas affectée mais les nouveaux gabarits offrent une meilleure flexibilité ou granularité

56 Permet de limiter les permissions dont disposent les agents denrôlement pour lenrôlement pour le compte dautres vis-à- vis de tel ou tel gabarit Un agent denrôlement doit disposer dun certificat agent denrôlement Extension politique applicative « Certificate Request Agent » (OID= )

57 Permet de contrôler la granularité de la gestion des certificats (approbation/révocation) Suppose de définir des groupes de sécurité et de leur conférer des permissions pour émettre et gérer des certificats Restrictions des gabarits, et des populations par gabarit

58 Support de lextension IDP CRL Détermination du périmètre dune LRC Ajoutée pour les clients non Windows et pointe vers les même URL que lextension CDP (HTTP et LDAP) Géré par les clients Windows avec MS05-11 Compteurs de performances Nouveaux groupes de compteurs Certification Authority Certification Authority Connections Enterprise PKI Valider le statut de multiples ACs Précédemment inclus dans le Windows Server 2003 Service Pack 1 Administration Tools Pack 436A-A A25BAD7&displaylang=en Intègre désormais les URLs OCSP

59 Diagnostics CAPI2 MMC Event Viewer Applications and Services Logs\Microsoft\Windows\CAPI2\Operational Wevutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true MOM 2005 Management Pack Directement opérationnel avec un paramétrage prédéfini (modifiable) Exécution des scripts MOM pour vérifier 4 domaines 1.Interfaces RPC et DCOM de lAC 2.Statut des certificats de lAC 3.Statut de la CRL de lAC 4.Statut des certificats KRA de lAC Collecte des évènements significatifs Documentation des évènements Comment confirmer un état ou un dysfonctionnement ? Comment résoudre un dysfonctionnement lié à un évènement ? Collecte des compteurs de performances Définition des seuils dalerte et derreur pour certains compteurs Documentation pour les seuils lorsquils sont atteints

60 g g g g g g Credential Roaming Enrôlement avancé Auto-enrôlement Windows Smart Card Framework Windows Vista - Services de gestion Autorité de certification Rôles Serveur Windows Server Longhorn - Services de gestion Services denrôlement périphériques réseau Services denrôlement Web Services de révocation en ligne Proxy Web Services de révocation en ligne Services de cryptographie

61 La révocation basée sur les LRC et delta LRC nest pas adaptées à lensemble des scénarios LRCs de taille importante, connexion RPC, contrôle de révocation au moment du boot Nouveau service OCSP Responder dans Windows Server Longhorn Nouveau client OCSP dans Windows Vista Intégration OCSP stapling dans les protocoles Kerberos et SSL

62 Conforme avec la RFC 2560 Axes de conception Performances, évolutivité (scale-out) et exploitabilité Principales fonctionnalités de lOCSP Responder Support du cache (in-memory Extension ISAPI) En complément du cache de 120 secs dHTTP.SYS IIS Support des requêtes NONCE et No-NONCE Support de multiples ACs Support des audits Fonctionnalités additionnelles Compteurs de performances spécifiques MOM 2005 Management Pack Gabarit de certificat OCSP Signing pour faciliter le déploiement

63

64 Si une extensions AIA OCSP est présente dans le certificat, elle sera utilisée en priorité Lextension CDP est utilisée comme mécanisme de secours Requête OCSP Ninclut pas NONCE Nest pas signée Est envoyée sur HTTP seulement Certificat Responder Le Certificat Responder est digne de confiance si Il est signé par le certificat de lAC Il est signé par un signataire délégué de lAC

65 Windows Longhorn Server Web proxy (nombre de threads et tableau de) Taille du cache Certificats de type OCSP signing Paramétrages relatifs aux LRCs des ACs Configuration/requêtes Audit Client Préférence CDP sur OCSP Extension de la durée de vie des réponses

66 Améliorations de Kerberos et TLS Le serveur obtient le statut de révocation de son PROPRE certificat Le serveur met en cache le statut de révocation obtenu Le serveur joint le statut de révocation lors du handshake du protocole Le client utilise le statut de révocation joint pour valider le certificat du serveur Elimination dun aller-retour client – serveur

67 Support de bout-en-bout des principaux scénarios dutilisation dune ICG Ouverture de session par carte à puce, authentification cliente SSL/TLS par certificat, messagerie sécurisée (S/MIME), signature électronique (qualifiée), accès distant via VPN (EAP-TLS), sécurisation accès Wifi (EAP-TLS), etc. Avec une agilité cryptographique (CNG) et une prise en compte facilitée des cartes à puce (mini-pilote) Nouvelles UI et API denrôlement Amélioration du déploiement et de la capacité de gestion dAD Certificate Services Support de lensemble des mécanismes de révocation

68 Windows Vista mspx Windows Server Longhorn Public Key Infrastructure for Windows Server efault.mspx Microsoft Certificate Lifecycle Manager (CLM) Beta 2

69

70 Sinformer - Un portail dinformations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique Visual Studio Abonnement MSDN Premium Abonnement TechNet Plus : Versions déval + 2 incidents support

71 © 2007 Microsoft France Votre potentiel, notre passion TM


Télécharger ppt "Philippe BERAUD Consultant Architecte Microsoft France"

Présentations similaires


Annonces Google