La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Philippe BERAUD Consultant Architecte Microsoft France Beta 2 Nicolas GIRARDIN Strategic Alliance Manager Gemalto

Présentations similaires


Présentation au sujet: "Philippe BERAUD Consultant Architecte Microsoft France Beta 2 Nicolas GIRARDIN Strategic Alliance Manager Gemalto"— Transcription de la présentation:

1 Philippe BERAUD Consultant Architecte Microsoft France Beta 2 Nicolas GIRARDIN Strategic Alliance Manager Gemalto

2 Certificats X.509 A la base de très nombreux services utilisateur Ouverture de session par carte à puce (y compris pour les sessions Terminal Services et Remote Desktop), authentification cliente SSL/TLS par certificat, messagerie sécurisée (S/MIME), signature électronique (qualifiée), accès distant via VPN (EAP-TLS), sécurisation accès Wifi (EAP-TLS), etc. Cartes à puce Offrent une protection forte pour les clés privées des certificats X.509 Permettent de réaliser des opérations cryptographiques Offrent une réponse pertinente aux besoins d'authentification forte, de preuve d'identité renforcée Sous forme de badge ou de token USB

3 De nombreuses problématiques se posent pour leur généralisation Une Infrastructure de Gestion de Clés (IGC), cest 5% de produit et 95% dorganisationnel ! Ny a-t-il pas des solutions plus abouties sur le marché ? Le coût démission dun certificat X.509 est faible comparé au reste de son cycle de vie, quelles améliorations puis-je apporter ? Comment préparer nos équipes au déploiement et à la gestion au quotidien de cartes à puce ? Comment mettre en place des processus conformes à notre politique de sécurité notamment en termes de validation des demandes démission de cartes à puce ? Quelle infrastructure dois-je mettre en œuvre afin de pouvoir gérer différents fournisseur de cartes/tokens USB ? Comment faire en sorte que mon IGC soit exploitable ?

4 Faciliter le déploiement et lusage des certificats et des cartes à puce dans lentreprise Certificate Services dans Windows Server 2003 (R2) permet la mise en œuvre dune Autorité de Certification (AC) mspx Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 Aucun coût additionnel de licence ou par certificat émis Intégration avec Active Directory Support de l« auto-tout » (enrôlement / renouvellement / remplacement) Cf. « Certificate Autoenrollment in Windows Server 2003 » security/autoenro.mspx

5 Quelques évolutions connexes… Introduction dune nouvelle architecture facilitant la prise en charge des cartes à puce Simplification des développements et du déploiement avec lintroduction dun Base CSP et de mini-pilotes Cartes à puce (diffusables via Windows Update) Remplacement de la technologie GINA (Graphical Identification and Authentication) pour notamment faciliter lusage des cartes à puces Refonte des interfaces et API denrôlement Introduction du service Credential Roaming Délivrance des certificats/clés privées de lutilisateur à la machine courante de lutilisateur via la réplication Active Directory et les stratégies de groupes Supports de multiples stratégies de groupes à destination des cartes à puce Propagation des certificats de la carte et des certificats racine, Support de multiples certificats sur la même carte pour le logon, etc.

6 …Et Microsoft Certificate Lifecycle Manager (CLM) Constitue une solution de gestion intégrée pour le déploiement des certificats X.509 et des cartes à puces Gestion complète du cycle de vie des certificats et des cartes à puce Emission / renouvellement / remplacement / révocation des certificats Emission / remplacement / retrait /désactivation de cartes à puce Emission de cartes temporaires / duplication de cartes à puce Personnalisation de cartes à puces y compris impression Définition de politiques (règles) pour les workflows de gestion / dautomatisation des processus, la collecte de de données et limpression de documents Support des scénarios centralisés et libre-service Capacités de requêtes et dapprobations déléguées pour les environnements distribués Gestion des PIN (activation et déblocage) Inventaire des cartes à puce Audit et rapport détaillé sur lensemble des activités du cycle de vie des certificats et des cartes

7 Gestionnaires de certificats Souscripteurs de certificats Autorité de Certification dEntreprise SQL Server Serveur SMTP Active Directory Serveur CLM

8 Souscripteurs de certificats Une entité (utilisateur, ordinateur, ou tout périphérique) qui demande ou a reçu un ou plusieurs certificats Un nombre limité de fonctions vis-à-vis de leur(s) propre(s) certificat(s) leurs sont accessibles : celles qui leur ont été accordées Initialisation de lenrôlement, Demande de recouvrement ou déblocage de carte, Visualisation / utilisation des certificats Gestionnaires de certificats Les personnes qui gèrent un groupe de souscripteurs de certificat(s) et, le cas échéant, leur(s) carte(s) à puce Effectuent les fonctions de gestion pour un groupe de souscripteurs pour lesquels ils disposent des permissions nécessaires Gestion des utilisateurs, gestion des cartes à puce, approbation de requêtes, révocation des certificats, recouvrement des clés, « Reporting » et audit

9 Certificate Lifecycle Manager Beta 2 Application Web ASP.NET exposant les fonctionnalités administratives Intègre un portail daccès Gestionnaires de certificats (administration) et Souscripteurs de certificats (libre-service) Sappuie sur les droits Windows et Active Directory pour la définition des workflows et des permissions associées Extensions de Certificate Services de Windows Server 2003 Extension des fonctionnalités du Policy Module par défaut afin de permettre de gérer des caractéristiques avancées de demande de certificat Remplacement de lExit Module par défaut afin de permettre un « reporting » et un audit centralisé

10 CLM Smart Card Client Interface de gestion de cartes à puces au dessus de PKCS#11, CSP and Base CSP CLM Bulk Issuance Client Outil permettant la mise en œuvre de cartes à puces dans le cadre de déploiements en masse

11

12

13

14 Constitue lélément central de lensemble des activités de gestion et des workflows associés Contient Un ou plusieurs gabarits de certificat qui seront gérés comme une entité unique Eventuellement publiés par de multiples ACs Les gabarits permettent la mise en application dune politique de certification En plus du profil du certificat (attributs de base, extensions, etc.), les gabarits peuvent spécifier: La taille de la clé, et si elle peut être exportable ou non, si elle doit être séquestrée, si le certificat doit être publié ou non dans AD, si le renouvellement nécessite un certificat valide, etc. Les informations nécessaires pour gérer les certificats résultants Workflows/politiques de gestion pour chaque opération liée au cycle de vie des certificats et cartes Les approbations et notifications au sein des workflows sur la base des comptes et groupes dAD Les données de profil additionnelles pour la gestion, le cas échéant, des cartes à puce

15 Modèle de profil Les modèles de profil sont stockés dans Active Directory, disponibles dans toute la forêt et communs à lensemble des serveurs CLM … Gabarit(s) de certificat Information Carte à puce (si nécessaire) Politiques de gestion

16 Via linterface de gestion CLM sous Administration

17

18

19

20

21

22

23 Physical Architecture Logical Architecture Other Services Serveur CLM AC dEntreprise Serveur SMTP Active Directory SQL Server Autorité de certification Exit Module CLM Policy Module CLM IIS Application ASP.NET CLM Intégration CLM AD IE 6.x Middleware Carte à puce Middleware Carte à puce Contrôle CLM

24 Support des ACs dEntreprise Windows 2003 Server (R2) Enterprise Edition Emission des certificats en fonction des gabarits de certificat V2 Séquestre des clés Communication/interactions avec lAC CLM Policy Module CLM Exit Module RPC pour laccès à linterface dadministration

25 LIGC de Windows Server 2003 fournit des gabarits pour définir le contenu des certificats émis Cf. « Implementing and Administering Certificate Templates in Windows Server 2003 » ologies/security/ws03crtm.mspx Nécessite une installation de type Entreprise Container AD Certificate Templates Ressource globale dentreprise Container AD Enrollment Services Liste des gabarits servis pour chaque AC dentreprise Les gabarits de certificats doivent avoir les permissions adéquates, autorisant la gestion par les gestionnaires et lenrôlement par les souscripteurs

26 Active Directory est un référentiel distribué pour Les informations didentité Les gabarits de certificat Les modèles de profil CLM Fournir aux gestionnaires et aux souscripteurs les accès appropriés LAuthentification intégrée Kerberos Utilise les permissions (utilisateurs et groupes) pour définir les droits des utilisateurs (Souscripteurs vs. Gestionnaires de certificats) Authentification intégrée IIS Les ACLs et les permissions étendues Permet à CLM de déterminer ce que lutilisateur peut (ou ne peut pas) faire dans une session Les permissions CLM sont basées sur les ACLs définies par les outils standards

27 Des groupes de sécurité Active Directory peuvent être créés pour contrôler laccès au modules de self-service Les permissions suivantes sont disponibles et peuvent être soit données soit refusées CLM Audit - Permet de voir en lecture seule lensemble des informations dun modèle de profil CLM Enroll - Permet à un utilisateur dinitier ou dexécuter une requête denrôlement CLM Enrollment Agent - Permet à un utilisateur de demander des certificats pour le compte dun autre CLM Recover - Permet à un utilisateur dinitier ou dexécuter une requête de recouvrement CLM Renew - Permet à un utilisateur dinitier ou dexécuter une requête de renouvellement CLM Revoke - Permet à un utilisateur dinitier ou dexécuter une requête de révocation CLM Unblock - Permet à un utilisateur dinitier ou dexécuter une requête de déblocage de carte

28 Point de connexion Service Object modèle de profil Utilisateurs/groupes Gabarits de certificat Au sein de la politique de gestion Public Key Services CN=Profile Templates Certificate Template A Certificate Templates Profile Template A System Microsoft Certificate Lifecycle Manager Users/Groups Users

29 Exemple denrôlement délégué Point de connexion Service Les gestionnaires doivent posséder la permission CLM Enroll, les souscripteurs Read Au sein de la politique denrôlement (en libre service) Les gestionnaires doivent faire partie du workflow dapprobation Gestionnaires Souscripteurs Gabarit de certificat Modèle de profil Les souscripteurs doivent posséder les permissions Read et Enroll vis-à-vis des gabarits de certificats considérés Les souscripteurs doivent posséder les permissions CLM Enroll et Read vis-à-vis du modèle de profil considéré Les gestionnaires doivent se voir conférer la permission CLM Request Enroll nécessaires sur les souscripteurs Les gestionnaires doivent posséder les permissions CLM Enroll et Read sur le modèle de profil considéré

30

31 Stockage des données Microsoft SQL Server 2000 SP4 ou 2005 Utilisé pour le reporting et le stockage des données applicatives Aucune information liée aux utilisateurs/rôles ny est stockée Paramètres dauthentification Mode mixte Authentification intégrée Modèles de déploiement Serveur dédié ou cohabitation avec CLM Possibilité dutiliser une base existante

32 Reporting intégré Filtrage Export, impression 10 états disponibles Inventaire des cartes Résumé des demandes Usage des certificats Expiration des certificats Demandes liées aux cartes Détails des gabarits de certificat Détails des modèles de profil Listes de révocation Historique des cartes

33

34

35

36 Utilisé pour les notifications des administrateurs et des utilisateurs Ex: envoie des OTP (One Time Passwords) Spécifier ladresse IP ou le nom du serveur mail capable de relayer les messages SMTP CLM utilise le relais anonyme pour envoyer tous les messages sortants

37 Communique avec CLM Contrôle le comportement de lAC vis-à-vis de CLM Le Policy Module CLM possède une architecture modulable permettant lajout de modules additionnels apportant des nouvelles fonctionnalités CLM est livré en standard avec 4 module de règles Module « Subject » Insertion dun sujet personnalisé dans un certificat Module « Certificate SMIMECapabilities » Limit ation des algorithmes disponibles qui peuvent être utilisés avec les certificats S/MIME Module « SubjectAltName » Insertion dun nom alternatif de sujet dans un certificat Module « Support for non-CLM certificate request » Enregistrement de certificats émis en dehors de CLM Axe dintégration des fonctionnalités Auto-« tout »

38 Enregistre lensemble des activités de lAC dans SQL Fourni une base centrale pour les journaux et laudit

39 Contrôle « Smart Card Self Service » Plug-in ActiveX du butineur permettant une gestion des cartes à puces Contrôle « Smart Card Personalization » Relie CLM avec le middleware de la carte à puce Prise en charge du Smart Card Base CSP (et des mini pilotes Carte à puce) Toutes les communications sont sécurisées en SSL Fournit des fonctionnalités avancées de récupération des certificats archivés incluant linjection sécurisée de clé Gestion du code PIN Gestion des applets Java basé sur Global Platform v 2.x

40 Beta 2 Nicolas GIRARDIN Strategic Alliance Manager Gemalto

41 CA 1,7 Milliard en employés, 85 nationalités 24 sites de production 31 sites de personnalisation 10 centres de R&D, ingénieurs 117 bureaux dans le monde > 200 partenaires

42 Telecom Financial Services & Retail Enterprise Internet Content Provider Public Sector & Transport

43 La solution carte Gemalto.Net est le complément idéal du CLM pour le déploiement dune solution carte et certificats pour renforcer la sécurisation de votre infrastructure Windows

44 + Microsoft partner Gemalto "has done a super job on this", said Gates. "We will be using their smartcards internally - each employee will use those to get in and out of the buildings as we used to connect to our machines. We're requiring them. We will completely replace passwords." - Bill Gates, keynote address IT Forum, Copenhagen 2004

45 Modules fonctionnels complémentaires Fonction de déblocage de PIN en mode non connecté Module de gestion dassemblages.NET pour la carte Gemalto.NET Console intégré de prise de photo et de définition de « card layout » Interface avec services de personnalisation de carte (service bureau)

46 Développement projet : au cas par cas Ex. interfaçage avec solution de gestion daccès physique pour la propagation de lémission et la révocation dans le cas de badge entreprise hybrides Intégration et implémentation Collaboration avec intégrateurs pour intégration CLM dans une infrastructure cible Couche carte : production et déploiement des cartes pré-imprimées, lecteurs, etc. Couche applicative : ouverture de session Windows avec carte, messagerie sécurisée, signature électronique, etc. Installation, configuration, tests, recette de la solution CLM

47 2 leaders Mondiaux, Microsoft et Gemalto, partenaires pour fournir la meilleure solution de gestion dauthentification forte à base de certificats X.509 et cartes à puce Gemalto : Une capacité de livraison de la solution complète : CLM + solutions et services carte Pour une implémentation rapide et efficace de votre projet carte et PKI Pour un coût de possession réduit de votre infrastructure de confiance

48 Un point dentrée sur CLM Un point dentrée sur Certificate Services ult.mspx Télécharger la Bêta 2 de CLM Des blogs Shivaram Mysore Dan Griffin

49

50 Sinformer - Un portail dinformations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique Visual Studio Abonnement MSDN Premium Abonnement TechNet Plus : Versions déval + 2 incidents support

51 © 2007 Microsoft France Votre potentiel, notre passion TM


Télécharger ppt "Philippe BERAUD Consultant Architecte Microsoft France Beta 2 Nicolas GIRARDIN Strategic Alliance Manager Gemalto"

Présentations similaires


Annonces Google