Mise en place d'un serveur SSL
SSL (Secure Socket Layer) SSL est un protocole, conçu par Netscape pour assurer la sécurité des échanges sur Internet en particulier pour les échanges commerciaux (paiement, connexion bancaire, etc..) La version 2.0 fut développée par Netscape ; La version 3.0 est actuellement la plus répandue ; La version 3.1 baptisée TLS (transport Layer Security, RFC 2246) est standardisée par l'IETF (Internet Engineering Task Force). Yonel GRUSSON
SSL – Secure Socket Layer SSL est un protocole indépendant du protocole de l'application. Il peut s'utiliser avec HTTP, FTP, POP, etc. SSL se situe entre les couches application et transport (TCP le plus généralement). On le considère comme un protocole de session. Les ports utilisés sont : HTTPS 443 LDAPS 636 SMTPS 465 POP3S 995 NNTPS (news) 563 IMAPS TELNETS 992 Yonel GRUSSON
SSL – Secure Socket Layer Aujourd'hui, les navigateurs supportent tous ce protocole. Son utilisation est repérable Par le début de l'URL : https://… où le "s" signifie "sécurité" Par l'icône : Yonel GRUSSON
SSL – Secure Socket Layer SSL comprend essentiellement 2 protocoles : SSL Handshake protocol qui est la phase de négociation entre le client et le serveur. SSL Record protocol qui chiffre les informations échangés et effectue divers contrôles. Donc 2 phases : La négociation La communication Yonel GRUSSON
SSL – Secure Socket Layer Phase 1 : La négociation Le client se connecte au serveur sécurisé par SSL et demande au serveur de s'authentifier. Cette demande est accompagnée de la liste des systèmes de cryptage (longueur des clés) que le client supporte. Le serveur répond au client en lui envoyant un certificat contenant sa clé publique. Ce certificat est signé électroniquement par une autorité de certification (tiers de confiance). Yonel GRUSSON
SSL – Secure Socket Layer Phase 1 : La négociation En d'autre terme le certificat reçu est crypté à l'aide de la clé privée du tiers de confiance. A réception, le client doit donc s'assurer de l'identité du serveur. Est-il bien celui qu'il prétend être ? Les navigateurs possèdent un certains nombre de PKI (Public Key Infrastructure) contenant la clé public du tiers de confiance. Celle-ci permet de vérifier la signature. Yonel GRUSSON
SSL – Secure Socket Layer Phase 1 : La négociation Une fois le serveur authentifié, le client génère une clé de cryptage aléatoire et chiffre cette clé avec la clé publique du serveur. Le serveur peut déchiffrer la clé du client avec sa clé privée. Note : Le protocole prévoit également que le serveur puisse demander au client de s'authentifier ; mais ceci est très rare car peu de clients possèdent des clés certifiées. Yonel GRUSSON
SSL – Secure Socket Layer Phase 2 : La communication L'intégrité et la confidentialité des échanges sont garantis par l'utilisation des clés de chiffrement détenues par chaque partenaire. Le client chiffre avec la clé publique du serveur et déchiffre avec la clé qu'il à généré aléatoirement Le serveur chiffre avec la clé qu'il a reçue du client et déchiffre avec sa clé privée Yonel GRUSSON
SSL – Secure Socket Layer La gestion des certificats par Internet Explorer Yonel GRUSSON
SSL – Secure Socket Layer Le protocole SSL est évidemment utilisé sur l'Internet dans des échanges qui doivent être protégés. Mais il peut être aussi mis en œuvre dans le cadre d'un intranet entre le serveur d'une entreprise et des stations clientes mobiles. Dans ce cas, l'authentification du client est plus importante que celle du serveur. Yonel GRUSSON
SSH - SSL SSH et SSL paraissent très proches (OpenSSH s'appuie d'ailleurs sur les bibliothèques d'OpenSSL). SSH provient surtout du monde Unix où il permet de sécuriser les sessions interactives entre des équipements "partenaires". Il existe des implantations pour Windows. SSL utilise la notion de certificat et met en relation des équipements "indépendants" (Internaute et serveur commercial). Yonel GRUSSON
Mise en place d'un serveur SSL La mise en place présentée ici se situe dans le cadre d'un intranet. Trois acteurs interviennent donc : Le tiers de confiance qui génère et gère les certificat (rôle jouer ici par l'entreprise). Un serveur Web (ici un serveur IIS) qui diffuse un certificat proposé par l'autorité précédente Le client qui utilise le certificat.
Mise en place d'un serveur SSL Etape 1 : Mise en place d'une autorité de certification
Mise en place d'un serveur SSL Etape 1 : Mise en place d'une autorité de certification
Mise en place d'un serveur SSL Etape 1 : Mise en place d'une autorité de certification L'autorité est gérée par une console : crtsrv.msc
Mise en place d'un serveur SSL Etape 2 : Le serveur Web demande un certificat La seconde option sera utilisée si l'autorité se trouve sur le réseau local. Bien que cela soit le cas dans cette présentation, nous considérons l'autorité créée (BTSIG) comme extérieure au réseau local Choisir le serveur Web qui doit être protégé. SSL peut porter également sur un répertoire virtuel
Mise en place d'un serveur SSL Etape 2 : Le serveur Web demande un certificat
Mise en place d'un serveur SSL Etape 2 : Le serveur Web demande un certificat
Mise en place d'un serveur SSL Etape 3 : Demande d'un certificat à l'autorité Cette opération se fait auprès d'une autorité de certification (par exemple http://www.verisign.com) Coller ou rechercher le fichier : CERTIFICAT.TXT
Mise en place d'un serveur SSL Etape 3 : Demande d'un certificat à l'autorité
Mise en place d'un serveur SSL Etape 4 : Suppression de la demande
Mise en place d'un serveur SSL Etape 5 : Attribuer le certificat au serveur Port SSL normalisé
Mise en place d'un serveur SSL Etape 5 : Configuration de IIS Le serveur doit exiger un certificat Généralement dans un contexte SSL, les sites ne sont plus anonymes.
Mise en place d'un serveur SSL Au niveau du client