Gérer les certificats avec Beta 2 Philippe BERAUD Consultant Architecte Microsoft France philber@microsoft.com Nicolas GIRARDIN Strategic Alliance Manager Gemalto Nicolas.GIRARDIN@gemalto.com

Certificats et cartes à puce (Smart Cards) Certificats X.509 A la base de très nombreux services utilisateur Ouverture de session par carte à puce (y compris pour les sessions Terminal Services et Remote Desktop), authentification cliente SSL/TLS par certificat, messagerie sécurisée (S/MIME), signature électronique (qualifiée), accès distant via VPN (EAP-TLS), sécurisation accès Wifi (EAP-TLS), etc. Cartes à puce Offrent une protection forte pour les clés privées des certificats X.509 Permettent de réaliser des opérations cryptographiques Offrent une réponse pertinente aux besoins d'authentification forte, de preuve d'identité renforcée Sous forme de badge ou de token USB

3/26/2017 3:56 PM Cependant… De nombreuses problématiques se posent pour leur généralisation Une Infrastructure de Gestion de Clés (IGC), c’est 5% de produit et 95% d’organisationnel ! N’y a-t-il pas des solutions plus abouties sur le marché ? Le coût d’émission d’un certificat X.509 est faible comparé au reste de son cycle de vie, quelles améliorations puis-je apporter ? Comment préparer nos équipes au déploiement et à la gestion au quotidien de cartes à puce ? Comment mettre en place des processus conformes à notre politique de sécurité notamment en termes de validation des demandes d’émission de cartes à puce ? Quelle infrastructure dois-je mettre en œuvre afin de pouvoir gérer différents fournisseur de cartes/tokens USB ? Comment faire en sorte que mon IGC soit exploitable ? © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft et les certificats X.509/Cartes à puce 3/26/2017 3:56 PM Microsoft et les certificats X.509/Cartes à puce Faciliter le déploiement et l’usage des certificats et des cartes à puce dans l’entreprise Certificate Services dans Windows Server 2003 (R2) permet la mise en œuvre d’une Autorité de Certification (AC) http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 Aucun coût additionnel de licence ou par certificat émis Intégration avec Active Directory Support de l’« auto-tout » (enrôlement / renouvellement / remplacement) Cf. « Certificate Autoenrollment in Windows Server 2003 » http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspx © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft et les certificats X.509/cartes à puce 3/26/2017 3:56 PM Microsoft et les certificats X.509/cartes à puce Quelques évolutions connexes… Introduction d’une nouvelle architecture facilitant la prise en charge des cartes à puce Simplification des développements et du déploiement avec l’introduction d’un Base CSP et de mini-pilotes Cartes à puce (diffusables via Windows Update) Remplacement de la technologie GINA (Graphical Identification and Authentication) pour notamment faciliter l’usage des cartes à puces Refonte des interfaces et API d’enrôlement Introduction du service Credential Roaming Délivrance des certificats/clés privées de l’utilisateur à la machine courante de l’utilisateur via la réplication Active Directory et les stratégies de groupes Supports de multiples stratégies de groupes à destination des cartes à puce Propagation des certificats de la carte et des certificats racine, Support de multiples certificats sur la même carte pour le logon, etc. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Microsoft et les certificats X.509/cartes à puce 3/26/2017 3:56 PM Microsoft et les certificats X.509/cartes à puce …Et Microsoft Certificate Lifecycle Manager (CLM) Constitue une solution de gestion intégrée pour le déploiement des certificats X.509 et des cartes à puces Gestion complète du cycle de vie des certificats et des cartes à puce Emission / renouvellement / remplacement / révocation des certificats Emission / remplacement / retrait /désactivation de cartes à puce Emission de cartes temporaires / duplication de cartes à puce Personnalisation de cartes à puces y compris impression Définition de politiques (règles) pour les workflows de gestion / d’automatisation des processus, la collecte de de données et l’impression de documents Support des scénarios centralisés et libre-service Capacités de requêtes et d’approbations déléguées pour les environnements distribués Gestion des PIN (activation et déblocage) Inventaire des cartes à puce Audit et rapport détaillé sur l’ensemble des activités du cycle de vie des certificats et des cartes 6 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Vue d’ensemble de CLM Autorité de Certification d’Entreprise SQL Server Active Directory Serveur SMTP Serveur CLM Gestionnaires de certificats Souscripteurs de certificats

Rôles CLM Souscripteurs de certificats Gestionnaires de certificats 3/26/2017 3:56 PM Rôles CLM Souscripteurs de certificats Une entité (utilisateur, ordinateur, ou tout périphérique) qui demande ou a reçu un ou plusieurs certificats Un nombre limité de fonctions vis-à-vis de leur(s) propre(s) certificat(s) leurs sont accessibles : celles qui leur ont été accordées Initialisation de l’enrôlement, Demande de recouvrement ou déblocage de carte, Visualisation / utilisation des certificats Gestionnaires de certificats Les personnes qui gèrent un groupe de souscripteurs de certificat(s) et, le cas échéant, leur(s) carte(s) à puce Effectuent les fonctions de gestion pour un groupe de souscripteurs pour lesquels ils disposent des permissions nécessaires Gestion des utilisateurs, gestion des cartes à puce, approbation de requêtes, révocation des certificats, recouvrement des clés, « Reporting » et audit © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants Serveur Certificate Lifecycle Manager Beta 2 3/26/2017 3:56 PM Composants Serveur Certificate Lifecycle Manager Beta 2 Application Web ASP.NET exposant les fonctionnalités administratives Intègre un portail d’accès Gestionnaires de certificats (administration) et Souscripteurs de certificats (libre-service) S’appuie sur les droits Windows et Active Directory pour la définition des workflows et des permissions associées Extensions de Certificate Services de Windows Server 2003 Extension des fonctionnalités du Policy Module par défaut afin de permettre de gérer des caractéristiques avancées de demande de certificat Remplacement de l’Exit Module par défaut afin de permettre un « reporting » et un audit centralisé © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Clients CLM pour les cartes à puces 3/26/2017 3:56 PM Clients CLM pour les cartes à puces CLM Smart Card Client Interface de gestion de cartes à puces au dessus de PKCS#11, CSP and Base CSP CLM Bulk Issuance Client Outil permettant la mise en œuvre de cartes à puces dans le cadre de déploiements en masse © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Portail CLM d’administration

Portail CLM « libre service »

3/26/2017 3:56 PM Modèle de profil Constitue l’élément central de l’ensemble des activités de gestion et des workflows associés Contient Un ou plusieurs gabarits de certificat qui seront gérés comme une entité unique Eventuellement publiés par de multiples ACs Les gabarits permettent la mise en application d’une politique de certification En plus du profil du certificat (attributs de base, extensions, etc.), les gabarits peuvent spécifier: La taille de la clé, et si elle peut être exportable ou non, si elle doit être séquestrée, si le certificat doit être publié ou non dans AD, si le renouvellement nécessite un certificat valide, etc. Les informations nécessaires pour gérer les certificats résultants Workflows/politiques de gestion pour chaque opération liée au cycle de vie des certificats et cartes Les approbations et notifications au sein des workflows sur la base des comptes et groupes d’AD Les données de profil additionnelles pour la gestion, le cas échéant, des cartes à puce © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gabarit(s) de certificat Information Carte à puce (si nécessaire) Modèle de profil Modèle de profil Gabarit(s) de certificat … Enrôlement Collection de données Workflow Libre-service Renouvellement Collection de données Workflow Libre-service Etc. Collection de données Workflow Libre-service Politiques de gestion Information Carte à puce (si nécessaire) Les modèles de profil sont stockés dans Active Directory, disponibles dans toute la forêt et communs à l’ensemble des serveurs CLM

Gestion des modèles de profil Via l’interface de gestion CLM sous Administration

Modèle de profil logiciel

Modèle de profil logiciel

Anatomie des workflows/politiques de gestion

Anatomie des workflows/politiques de gestion

Modèle de profil carte à puce

3/26/2017 3:56 PM Portail CLM d’administration, modèles de profil, Portail utilisateur, etc. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Physical Architecture Other Services Logical Architecture Architecture CLM Autorité de certification Policy Module CLM AC d’Entreprise Serveur SMTP Exit Module CLM IIS Intégration CLM AD Serveur CLM Active Directory Application ASP.NET CLM IE 6.x Contrôle CLM SQL Server Middleware Carte à puce

Composants - Certificate Services 3/26/2017 3:56 PM Composants - Certificate Services Support des ACs d’Entreprise Windows 2003 Server (R2) Enterprise Edition Emission des certificats en fonction des gabarits de certificat V2 Séquestre des clés Communication/interactions avec l’AC CLM Policy Module CLM Exit Module RPC pour l’accès à l’interface d’administration © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants - Gabarits de certificat 3/26/2017 3:56 PM Composants - Gabarits de certificat L’IGC de Windows Server 2003 fournit des gabarits pour définir le contenu des certificats émis Cf. « Implementing and Administering Certificate Templates in Windows Server 2003 » http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspx Nécessite une installation de type Entreprise Container AD Certificate Templates Ressource globale d’entreprise Container AD Enrollment Services Liste des gabarits servis pour chaque AC d’entreprise Les gabarits de certificats doivent avoir les permissions adéquates, autorisant la gestion par les gestionnaires et l’enrôlement par les souscripteurs © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants - Active Directory 3/26/2017 3:56 PM Composants - Active Directory Active Directory est un référentiel distribué pour Les informations d’identité Les gabarits de certificat Les modèles de profil CLM Fournir aux gestionnaires et aux souscripteurs les accès appropriés L’Authentification intégrée Kerberos Utilise les permissions (utilisateurs et groupes) pour définir les droits des utilisateurs (Souscripteurs vs. Gestionnaires de certificats) Authentification intégrée IIS Les ACLs et les permissions étendues Permet à CLM de déterminer ce que l’utilisateur peut (ou ne peut pas) faire dans une session Les permissions CLM sont basées sur les ACLs définies par les outils standards © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants – Permissions avancées AD 3/26/2017 3:56 PM Composants – Permissions avancées AD Des groupes de sécurité Active Directory peuvent être créés pour contrôler l’accès au modules de self-service Les permissions suivantes sont disponibles et peuvent être soit données soit refusées CLM Audit - Permet de voir en lecture seule l’ensemble des informations d’un modèle de profil CLM Enroll - Permet à un utilisateur d’initier ou d’exécuter une requête d’enrôlement CLM Enrollment Agent - Permet à un utilisateur de demander des certificats pour le compte d’un autre CLM Recover - Permet à un utilisateur d’initier ou d’exécuter une requête de recouvrement CLM Renew - Permet à un utilisateur d’initier ou d’exécuter une requête de renouvellement CLM Revoke - Permet à un utilisateur d’initier ou d’exécuter une requête de révocation CLM Unblock - Permet à un utilisateur d’initier ou d’exécuter une requête de déblocage de carte © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants – Permissions avancées AD Public Key Services <Domain> System Microsoft Certificate Lifecycle Manager <ComputerName> Certificate Templates Certificate Template A 4 CN=Profile Templates Profile Template A 2 1 Users Point de connexion Service Object modèle de profil Utilisateurs/groupes Gabarits de certificat Au sein de la politique de gestion Users/Groups 3 5

Composants – Permissions avancées AD Exemple d’enrôlement délégué Point de connexion Service Les gestionnaires doivent posséder la permission CLM Enroll, les souscripteurs Read Au sein de la politique d’enrôlement (en libre service) Les gestionnaires doivent faire partie du workflow d’approbation Modèle de profil Gabarit de certificat Les gestionnaires doivent posséder les permissions CLM Enroll et Read sur le modèle de profil considéré Les souscripteurs doivent posséder les permissions CLM Enroll et Read vis-à-vis du modèle de profil considéré Les souscripteurs doivent posséder les permissions Read et Enroll vis-à-vis des gabarits de certificats considérés Gestionnaires Souscripteurs Les gestionnaires doivent se voir conférer la permission CLM Request Enroll nécessaires sur les souscripteurs

Permissions avancées AD 3/26/2017 3:56 PM Permissions avancées AD © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants – SQL Server 3/26/2017 3:56 PM Composants – SQL Server Stockage des données Microsoft SQL Server 2000 SP4 ou 2005 Utilisé pour le reporting et le stockage des données applicatives Aucune information liée aux utilisateurs/rôles n’y est stockée Paramètres d’authentification Mode mixte Authentification intégrée Modèles de déploiement Serveur dédié ou cohabitation avec CLM Possibilité d’utiliser une base existante © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants - Reporting 3/26/2017 3:56 PM Composants - Reporting Reporting intégré Filtrage Export, impression 10 états disponibles Inventaire des cartes Résumé des demandes Usage des certificats Expiration des certificats Demandes liées aux cartes Détails des gabarits de certificat Détails des modèles de profil Listes de révocation Historique des cartes 32 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants - Reporting

Composants - Reporting

Composants - Reporting

Composants - Services de messagerie SMTP 3/26/2017 3:56 PM Composants - Services de messagerie SMTP Utilisé pour les notifications des administrateurs et des utilisateurs Ex: envoie des OTP (One Time Passwords) Spécifier l’adresse IP ou le nom du serveur mail capable de relayer les messages SMTP CLM utilise le relais anonyme pour envoyer tous les messages sortants © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants - Policy Module CLM 3/26/2017 3:56 PM Composants - Policy Module CLM Communique avec CLM Contrôle le comportement de l’AC vis-à-vis de CLM Le Policy Module CLM possède une architecture modulable permettant l’ajout de modules additionnels apportant des nouvelles fonctionnalités CLM est livré en standard avec 4 module de règles Module « Subject » Insertion d’un sujet personnalisé dans un certificat Module « Certificate SMIMECapabilities » Limit ation des algorithmes disponibles qui peuvent être utilisés avec les certificats S/MIME Module « SubjectAltName » Insertion d’un nom alternatif de sujet dans un certificat Module « Support for non-CLM certificate request » Enregistrement de certificats émis en dehors de CLM Axe d’intégration des fonctionnalités Auto-« tout » © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants - Exit Module CLM 3/26/2017 3:56 PM Composants - Exit Module CLM Enregistre l’ensemble des activités de l’AC dans SQL Fourni une base centrale pour les journaux et l’audit © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Composants – Client CLM 3/26/2017 3:56 PM Composants – Client CLM Contrôle « Smart Card Self Service » Plug-in ActiveX du butineur permettant une gestion des cartes à puces Contrôle « Smart Card Personalization » Relie CLM avec le middleware de la carte à puce Prise en charge du Smart Card Base CSP (et des mini pilotes Carte à puce) Toutes les communications sont sécurisées en SSL Fournit des fonctionnalités avancées de récupération des certificats archivés incluant l’injection sécurisée de clé Gestion du code PIN Gestion des applets Java basé sur Global Platform v 2.x © 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Beta 2 Nicolas GIRARDIN Strategic Alliance Manager Gemalto 3/26/2017 3:56 PM Beta 2 Nicolas GIRARDIN Strategic Alliance Manager Gemalto Nicolas.GIRARDIN@gemalto.com © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gemalto, Digital Security CA €1,7 Milliard en 2005 11 000 employés, 85 nationalités 24 sites de production 31 sites de personnalisation 10 centres de R&D, 1 500 ingénieurs 117 bureaux dans le monde > 200 partenaires

Gemalto, Digital Security Telecom Financial Services & Retail Enterprise Internet Content Provider Public Sector & Transport

Gemalto .NET et CLM La solution carte Gemalto .Net est le complément idéal du CLM pour le déploiement d’une solution carte et certificats pour renforcer la sécurisation de votre infrastructure Windows One Smart Card and device to sign, encrypt, certificate authentication or 2FA with OTP ISA = Firewall IAS = Radius OWA = Outlook Web Access Windows Users sign documents and/or encrypt using Office applications and Collaborative tools like SharePoint Strong Mutual Authentication thought the firewall with ISA Strong 2 factor Authentication with Protiva OTP, Active Directory, IAS to access OWA

Gemalto et CLM Microsoft partner Gemalto "has done a super job on this", said Gates. "We will be using their smartcards internally - each employee will use those to get in and out of the buildings as we used to connect to our machines. We're requiring them. We will completely replace passwords." - Bill Gates, keynote address IT Forum, Copenhagen 2004 + [Speaker Notes] Ask the participants, “What do you already know about PKI?” Affirm correct answers. Based on these answers, fill in the gaps in participants’ understanding of PKI. Key Points: The smart card stores both the public and private keys. Public keys come in the form of certificates, which are only available from a certification authority. You need someone’s certificate (public key) to send them secure information. Public keys can be easily shared with others. Certificates can be verified through a validation authority. Each public key has a unique private key associated with it. The private key cannot be taken off the smart card. The authentication takes place on the card itself and only the response is transmitted off the card. The connected-mode Protiva OTP devices currently support PKI. The smart card in the Protiva OTP devices is Gemalto’s Cyberflex card, a Java-based smart card. The process for getting PKI up and running is an involved one because of the need to install middleware. That’s why Gemalto has been working with Microsoft to deliver a convenient PKI solution, Protiva Gemalto .NET. In his keynote address at RSA 2006, Bill Gates outlined how smart card security (Using Gemalto’s Protiva with Gemalto .NET) will be supported out-of-the-box with Windows Vista and has recently been added to all currently supported versions of Windows. Gates’ team also demonstrated Microsoft’s new Certificate Lifecycle Manager smart card provisioning system; Sun has a similar capability. (Gemalto has long-standing partnerships with both companies). [Student Notes] The connected-mode Protiva OTP devices currently support PKI. The smart card in the Protiva OTP devices is Gemalto’s Cyberflex card, a Java-based smart card. The process for getting PKI up and running is involved because of the need to install middleware. That’s why Gemalto has been working with Microsoft to deliver a convenient PKI solution, Protiva Gemalto .NET “We decided on smart cards … because of the cumulative sum of their reliability, performance, cost, features, mobility benefits, and integration with existing infrastructure.” – Peter McKiernan, Microsoft, senior product manager

Offre Gemalto pour CLM Modules fonctionnels complémentaires Fonction de déblocage de PIN en mode non connecté Module de gestion d’assemblages.NET pour la carte Gemalto.NET Console intégré de prise de photo et de définition de « card layout » Interface avec services de personnalisation de carte (service bureau)

Gemalto, accompagnement de projets CLM Développement projet : au cas par cas Ex. interfaçage avec solution de gestion d’accès physique pour la propagation de l’émission et la révocation dans le cas de badge entreprise hybrides Intégration et implémentation Collaboration avec intégrateurs pour intégration CLM dans une infrastructure cible Couche carte : production et déploiement des cartes pré-imprimées, lecteurs, etc. Couche applicative : ouverture de session Windows avec carte, messagerie sécurisée, signature électronique, etc. Installation, configuration, tests, recette de la solution CLM

Gemalto et CLM, en synthèse 2 leaders Mondiaux, Microsoft et Gemalto, partenaires pour fournir la meilleure solution de gestion d’authentification forte à base de certificats X.509 et cartes à puce Gemalto : Une capacité de livraison de la solution complète : CLM + solutions et services carte Pour une implémentation rapide et efficace de votre projet carte et PKI Pour un coût de possession réduit de votre infrastructure de confiance

Où trouver de l’information Next Generation Business Solutions Platform Strategy Review 3/26/2017 3:56 PM Où trouver de l’information Un point d’entrée sur CLM http://www.microsoft.com/technet/clm/default.mspx Un point d’entrée sur Certificate Services http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx Télécharger la Bêta 2 de CLM http://www.microsoft.com/technet/clm/download.mspx Des blogs Shivaram Mysore http://blogs.msdn.com/shivaram Dan Griffin http://blogs.msdn.com/dangriff © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Questions ? © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La référence technique pour les IT Pros : La référence technique technet.microsoft.com 3/26/2017 3:56 PM La référence technique pour les développeurs : msdn.microsoft.com Abonnement TechNet Plus : Versions d’éval + 2 incidents support Visual Studio 2005 + Abonnement MSDN Premium S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Votre potentiel, notre passion TM 3/26/2017 3:56 PM Votre potentiel, notre passion TM © 2007 Microsoft France © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.