Evolutions des services de certificats X.509 dans

Evolutions des services de certificats X.509 dans
Philippe BERAUD Consultant Architecte Microsoft France et

Objectifs de la session
g Services de cryptographie g Windows Vista - Services de gestion Enrôlement avancé Auto-enrôlement Credential Roaming Windows Smart Card Framework g Rôles Service Windows Server “Longhorn” - Services de gestion Autorité de certification Services de révocation en ligne Proxy Web Services de révocation en ligne Services d’enrôlement périphériques réseau Services d’enrôlement Web Offrir un panorama des évolutions des services de certificats X.509 dans Windows Server “Longhorn” et Windows Vista

Gestion (plateforme) des certificats X.509
Services de cryptographie Credential Roaming g Windows Vista - Services de gestion Enrôlement avancé Auto-enrôlement Credential Roaming Windows Smart Card Framework g Rôles Serveur Windows Server “Longhorn” - Services de gestion Autorité de certification Services de révocation en ligne Proxy Web Services de révocation en ligne Services d’enrôlement périphériques réseau Services d’enrôlement Web

Crypto Next Generation (CNG)
3/26/2017 3:56 PM Crypto Next Generation (CNG) Nouveau Framework Crypto (par rapport à Crypto API) Simplification du développement de fournisseurs de cryptographiques Capacité en mode noyau et utilisateur d’utiliser ses propres implémentations (y compris algorithmes propriétaires) Implémentation de façon native des algorithmes ECC (ECDSA, ECDH), SHA2 (Suite-B) CNG satisfait les exigences Critères Communs et FIPS pour l’isolation forte et l’audit CNG devient l’API cryptographique recommandée Cryptographic Next Generation Software Development Kit for Windows Vista Complément du Software Development Kit for Windows Vista and .NET Framework 3.0 Runtime Components © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Services de cryptographie g Windows Vista - Services de gestion Enrôlement avancé Auto-enrôlement Credential Roaming Windows Smart Card Framework g Rôles Serveur Windows Server “Longhorn” - Services de gestion Autorité de certification Services de révocation en ligne Proxy Web Services de révocation en ligne Services d’enrôlement périphériques réseau Services d’enrôlement Web

Enrôlement avancé MMC Certificates SysTray Nouvelle UI
3/26/2017 3:56 PM Enrôlement avancé MMC Certificates Nouvelle UI Request New certificate Facilité d’utilisation Supportabilité Fonctionnalités additionnelles Create Custom Request Enroll On Behalf of SysTray Notification d’expiration © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

API d’enrôlement Contrôles ActiveX Xenroll et Scrdenrl Pour mémoire
CSO Summit 2006 3/26/2017 3:56 PM API d’enrôlement Contrôles ActiveX Xenroll et Scrdenrl Pour mémoire La dernière version d’Xenroll expose les interfaces ICEnroll4 et IEnroll4 Scrdenrl expose l’interface IScrdenr et s’appuie sur Xenroll Principalement utilisé au niveau client pour la fonctionnalité « Enroll on Behalf of » Ex. « Smart Card Enrollment Control Example » Difficulté à maintenir et complexité à utiliser des interfaces monolithiques Coût élevé de maintenance Pour Microsoft en termes de support d’Xenroll Pour ses clients et les ACs tierces lorsque Xenroll est mis à jour © 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

APIs d’enrôlement Retrait des contrôles ActiveX Xenroll et Scrdenrl
CSO Summit 2006 3/26/2017 3:56 PM APIs d’enrôlement Retrait des contrôles ActiveX Xenroll et Scrdenrl Cf. « How to use Certificate Services Web enrollment pages together with Windows Vista » (922706) Introduction d’une nouvelle API Certificate Enrollment (CertEnroll) Hiérarchie de classes COM reconçues pour les opérations PKI Ensemble d’interfaces pour créer/gérer L’enrôlements vis-à-vis d’AC Microsoft (les interfaces et protocoles Serveur restent identiques) Les requêtes de certificat (PKCS#10, PKCS#7, and CMC) Support de Crypto Next Generation (CNG) pour les certificats ECC Les clés publique/privée Les propriétés/attributs/extensions de certificats Un sous-ensemble des fonctionnalités peut être scripté dans le cadre de pages Web d’enrôlement Appréhension plus aisée pour les développeurs © 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

APIs d’enrôlement Classes pour les requêtes Classes Crypto
Classes Attributs IDispatch IDispatch IDispatch ICspAlgorithm IX509Attribute IX509CertificateRequest ICspAlgorithms IX509Extension IX509CertificateRequestPkcs10 ICspInformation IX509ExtensionKeyUsage IX509CertificateRequestCertificate IX509ExtensionEnhancedKeyUsage IX509CertificateRequestPkcs7 ICspInformations IX509ExtensionTemplateName IX509CertificateRequestCmc IcspStatus IX509ExtensionTemplate ICspStatuses Classes d’enrôlement IX509Attributes IX509PublicKey IDispatch IX509AttributeExtensions IX509PrivateKey IX509Enrollment ICryptAttribute IX509Enrollments ICryptAttributes IX509EnrollmentStatus

Auto-enrôlement Ré-architecture pour réduire la surface d’attaque et améliorer globalement les performances du systèmes Conception basée sur les jobs WMI Amélioration des conditions d’usage pour les scénarios hors-ligne Notifications d’expiration

Credential Roaming « Nœud dur » dans les solutions basées sur de la PKI Les certificats et les clés privées sont liés à une machine et ne sont pas itinérants Pour un même usage (S/MIME par exemple), les utilisateurs peuvent posséder différents jeux de certificats et de clés privées sur chaque machine Surcoût de gestion de la CA Options possibles Cartes à puce Nombre limité de crédentiels Profils utilisateur itinérant Difficile à gérer et à administrer

3/26/2017 3:56 PM Credential Roaming Les services Credential Roaming permettent de délivrer les crédentiels à la machine courante de l’utilisateur via la réplication Active Directory et les stratégies de groupes Ceci facilite l’usage de fonctions comme La messagerie sécurisée L’authentification client Ainsi qu’une expérience améliorée pour les déploiements Cartes à puce Mise en œuvre Cf. « Configure credential roaming » © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Disponibilité du Credentials Roaming
CSO Summit 2006 3/26/2017 3:56 PM Disponibilité du Credentials Roaming Introduit initialement dans le SP1 de Windows Server 2003 CF. « Description of the Credential Roaming service update for Windows Server 2003 and for Windows XP » (907247) Composants Serveur Windows 2000 Server SP3+ Windows Server 2003 SP1/R2 – Recommandé Windows Server “Longhorn” – Recommandé Composants Client Windows XP SP2+ Windows Server 2003 SP1 Windows Vista/Windows Server “Longhorn” © 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Services de cryptographie g Windows Vista - Services de gestion Enrôlement avancé Auto-enrôlement Credential Roaming Windows Smart Card Framework g Rôles Serveur Windows Server “Longhorn” - Services de gestion Autorité de certification Services de révocation en ligne Proxy Web Services de révocation en ligne Services d’enrôlement périphériques réseau Services d’enrôlement Web Cf. « Enterprise Smart Card Deployment in the Microsoft Windows Smart Card Framework »

Cartes à puce (Smart Cards)
Principales caractéristiques Offrent une protection forte pour les clés privées des certificats Permettent de réaliser des opérations cryptographiques Offrent une réponse aux besoins d'authentification forte, de preuve d'identité renforcée Authentification à 2 facteurs Permettent de disposer d’un badge d’entreprise unique Rapprochement des mondes physique et numérique Constituent une plateforme d’accueil pour d’autres applications de l’entreprise Ex. Gemalto .NET Card Facilité de gestion du cycle de vie avec CLM Personnalisation des cartes, enrôlement, délivrance, renouvellement de certificats, émission de cartes temporaires, renouvellement des cartes, gestion des PIN, etc. Cf. session TechDays « Introduction à CLM Beta 2 »

Sous-système Cartes à puce
Applications utilisant de la cryptographie Applications non crypto CAPI 1 WinSCard API (WinSCard.dll) CSP Carte à puce #1 CSP Carte à puce #2 MS Smart Card Base CSP (BaseCSP.dll) CSP Carte à puce #3 Mini-pilote Carte à puce #1 Carte à puce #n … … Smart Card Service (SCardSrv.exe) - Gestionnaire de ressources Windows 2000 SP4, Windows XP SP2, Windows 2003 Server SP1 Cf. « Microsoft Base Smart Card Cryptographic Service Provider Package: x86 » (909520)

Sous-système Cartes à puce Windows Vista
3/26/2017 3:56 PM Sous-système Cartes à puce Windows Vista Installation Pilote du lecteur de carte (et outils associés) Fournisseur du mini-pilote Carte à puce Vérification de l’installation: Certutil –v –scinfo The Microsoft Smart Card Resource Manager is running. Current reader/card status: Readers: 1 0: O2Micro PCMCIA Reader 0 --- Reader: O2Micro PCMCIA Reader 0 --- Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE --- Status: The card is being shared by a process. --- Card: Axalto Cryptoflex .NET --- ATR: 3b … Provider = Microsoft Base Smart Card Crypto Provider Key Container = 6dd8958a-78cd-4438-ade ac [Default Container] © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Support de Crypto Next Generation (CNG) Introduction du Microsoft Smart Card Key Storage Provider Enrôlement de certificat ECC sur une carte à puce Requiert une IGC ECC Signature ECDSA avec un certificat ECC sur une carte à puce Echanges de clé avec ECDH avec des clés drivées sur une carte à puce Authentification client avec TLS Support sur la carte des fonctions de dérivation (KDF) en conformité avec FIPS 140-2 Stratégie locale HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Providers\Microsoft Smart Card Key Storage Provider Idem Base CSP HKLM\SOFTWARE\Microsoft\Cryptography\Defaufts\Provider\Microsoft Base Smart Card Crypto Provider

Applications utilisant de la cryptographie Applications non crypto CAPI 1 CNG WinSCard API (WinSCard.dll) Mini-pilote Carte (ECC) CSP Carte à puce MS Smart Card Base CSP (BaseCSP.dll) MS Smart Card Base KSP (SCKSP.dll) Mini-pilote Carte (RSA/ECC) Mini-pilote Carte (RSA) Smart Card Service (Svchost.exe) - Gestionnaire de ressources

Mini pilote Carte à puce
3/26/2017 3:56 PM Mini pilote Carte à puce Développement logiciel simplifié Les opérations cryptographiques communes sont gérées par la plateforme (Base CSP/Base KSP) API à destination des encarteurs CardMod.h dans le Cryptographic Next Generation (CNG) Software Development Kit (SDK) for Windows Vista Expérience utilisateur améliorée Diffusion des mini pilotes Carte à puces via Windows Update Programme de certification « Logo Ready » géré par le Microsoft Smart Card Competency Center (SCCC) à Dublin Kit de certification mini pilote Carte à puce © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture de l’authentification
Ré-architecture pour réduire la surface d’attaque et améliorer globalement les performances du systèmes g Session 0 RCM LSA Profils SCM Winlnit Stratégies de groupes Winlogon Stratégies Utilisateur Stratégies Machine Profils MSGINA LSA SCM Shell g Autres sessions Shell Winlogon Stratégies Utilisateur MSGINA LogonUI Credential Provider 1 Credential Provider 2 Credential Provider 3 Winlogon

Credential Providers Remplacent GINA (avec Winlogon et LogonUI)
3/26/2017 3:56 PM Credential Providers Remplacent GINA (avec Winlogon et LogonUI) Sont invoqués par LogonUI (ou CredUI) Utilisés pour collecter et sérialiser les crédentiels Décrivent les champs de l’interface utilisateur pour la présentation et la saisie des crédentiels Permettent la saisie des crédentiels pour Logon ou validation, mais aussi pour le changement/déblocage des crédentiels (code PIN) Effectuent la sérialisation des crédentiels pour soumission au LSA Plusieurs Credential Providers peuvent être opérationnels en même temps Smartcard Credential Provider, PasswordProvider, etc. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Credential Providers Remplacent GINA (avec Winlogon et LogonUI)
3/26/2017 3:56 PM Credential Providers Remplacent GINA (avec Winlogon et LogonUI) GINA (Graphical Identification and Authentication) n’existe plus (Les Winlogon Notification Packages non plus) Sont invoqués par LogonUI (ou CredUI) Plusieurs Credential Provider peuvent être opérationnels en même temps Smartcard Credential Provider, PasswordProvider, etc. Utilisés pour collecter et sérialiser les crédentiels Décrivent les champs de l’interface utilisateur pour la présentation et la saisie des crédentiels pour LogonUI Ne peuvent remplacer ou se substituer à l’interface utilisateur de Winlogon (LogonUI) Permettent la saisie des crédentiels pour Logon ou validation, mais aussi pour le changement/déblocage des crédentiels (code PIN) Effectuent la sérialisation des crédentiels pour soumission au LSA Peut travailler avec un package d’authentification spécifique, ou un package standard comme KERB_CERTIFICATE_LOGON © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Credential Providers CTRL+ALT+SUPPR  Change a Password…
3/26/2017 3:56 PM Credential Providers CTRL+ALT+SUPPR  Change a Password… Changement de PIN Déblocage de PIN Nécessite l’application d’une stratégie © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Credential Providers Enregistrement
3/26/2017 3:56 PM Credential Providers Enregistrement Comme n’importe quel classe COM avec en plus HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers SmartCard Credential Provider {8bf9a910-a8ff-457f-999f-a5ca10b4a885} Pour chaque provider Sous-clé du nom du CLSID du composant COM Plus facile à concevoir et développer que GINA LogonUI (et CredUI) gèrent entièrement l’UI Winlogon gère l’interaction avec la LSA (LSALogonUser) et le support de Terminal Services Interface COM entre LogonUI(/CredUI )et le Credential Provider © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Développement d’un Credential Provider
Environnement de développement Compilateur C/C++ (Visual Studio 2005 ?) Software Development Kit for Windows Vista and .NET Framework 3.0 Runtime Components Implémentation des interfaces, compilation et tests Définition des interfaces Cf. credentialprovider.h et « Credential Provider Technical Reference » Cf. « Windows Vista Credential Provider Samples » Cf. « Create Custom Login Experiences With Credential Providers For Windows Vista »

Développement d’un Credential Provider
Implémentation des interfaces, compilation et tests Dans la pratique, requiert l’implémentation De deux classes Credential Provider - Interface ICredentialProvider Liste des crédentiels (utilisateurs/comptes disponibles), si approprié Credential Provider Credential - Interface ICredentialProviderCredential Décrit les champs pour le crédentiel considéré Pré-remplit les champs Sérialise les crédentiels pour soumission à LSA via LogonUI et WinLogon D’une interface système type callback – ICredentialProviderCredentialEvents Enregistrement et débogage Cf. « Windows Vista Credential Provider Samples » Support Microsoft en direct

Interactions LogonUI/Credential Provider
WLUIRequestCredentials Advise User enters SAS SetUsageScenario SetTarget for each credential provider GetCredentialCount *pdwCount>0 Generate field descriptors for existing user GetCredentialAt for each credential GetFieldDescriptorCount GetFieldDescriptorAt for each field descriptor GetXxxxValue for each credential Winlogon for each field descriptor LogonUI Credential Provider Credential Provider Credential render user tile list Advise user selects user tile render single user tile SetXxxxValue Validate user interaction GetSerialization user selects submit UnAdvise UnAdvise for each credential provider WLUIRequestCredentials

Ouverture de session par carte à puce
3/26/2017 3:56 PM Ouverture de session par carte à puce 1. Insertion de la carte Winlogon 10. LSALogonUser LSA 2. Demande des crédentiels 9. Crédentiels 5. Clic sur le titre, entrée du PIN, validation LogonUI 4. Affichage UI Interfaces Credential Provider 6. Validation 7. Obtention des crédentiels pour l’ouverture de session 3. Obtention de l’information sur les crédentiels LogonUI requests credential information SC CP gets list of SC readers, if there is a card inserted then each logon cert will have mapping SC CP tells LogonUI which tiles to display for each logon cert LogonUI request credential blob SC CP returns cred blob w/ ATR & PIN 1. SC is inserted 2. Certs are populated in the User’s certificate store 3. When card is removed or blocked then cached certs in store are removed Credential Provider Cartes à puce Credential Provider personnalisé Credential Provider Mot de passe WinSCard API 8. Appel API WinSCard ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Ouverture de session par carte à puce
3/26/2017 3:56 PM Ouverture de session par carte à puce Extension Kerberos PKINIT Cf. « Description of PKINIT Version Implemented in Kerberos in Windows 2000 » (248753) + Support OCSP (RFC2560) Objet utilisateur: Nom, UPN, Appartenance aux groupes, Publication Certificat LSA AD 14. 11. PA_PK_AS_REQ Certificat utilisateur signé avec la clé privée Clé privée 13. 12. KDC KERBEROS SSP PA_PK_AS_REP Contenant: TGT + PAC + clé de session + condensé NTLM du mot de passe 16. Le client Kerberos déchiffre la clé de session avec la clé privée Utilise la clé publique du certificat pour déchiffrer l’AS_REQ (Vérifie le NTAuth) Mappe le compte Créer un TGT Chiffré avec la clé publique 15. © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Stratégies Carte à puce
3/26/2017 3:56 PM Stratégies Carte à puce Stratégies machine exclusivement Computer Configuration\Administrative Templates\Windows Components\SmartCard HKLM\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider HKLM\SOFTWARE\Policies\Microsoft\Windows\CertProp Déblocage intégré des cartes à puce pour le Smartcard Credential Provider Propagation des certificats de la carte et des certificats racine Via le Certificate Propagation Service (CertPropSvc) Nettoyage possible des certificats racine Support de multiples certificats sur la même carte pour le logon + EKU Smart Card Logon ( ) optionnel + subjectAltName (SAN) = UPN optionnel Champ optionnel lors du logon pour AltSecID Amélioration sensible de la flexibilité Cf. « Guidelines for Enabling Smart Card Logon with Third-Party Certification » (281245) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Stratégies Carte à puce
3/26/2017 3:56 PM Stratégies Carte à puce Stratégies machine exclusivement Computer Settings\Windows Settings\Security Settings\Local Policies\Security Options Imposer une ouverture de session par carte à puce Définir le comportement lorsque la carte à puce est retirée Nécessite le Smart Card Policy Service (SCPolicySvc) ©2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Services de cryptographie g Windows Vista - Services de gestion Enrôlement avancé Auto-enrôlement Credential Roaming Windows Smart Card Framework g Rôles Serveur Windows Server “Longhorn” - Services de gestion Autorité de certification Services de révocation en ligne Proxy Web Services de révocation en ligne Services d’enrôlement périphériques réseau Services d’enrôlement Web Cf. « Active Directory Certificate Server Enhancements (aka Windows PKI) in Windows Server “Longhorn” »

Certificate Services dans Windows Server 2003 R2
3/26/2017 3:56 PM Certificate Services dans Windows Server 2003 R2 Service natif de Windows Server 2003 permettant la mise en œuvre d’une Autorité de Certification (AC) Cf. « Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure » Cf. « Windows Server 2003 PKI Operations Guide » Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 Aucun coût additionnel de licence ou par certificat émis © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Active Directory Certificate Services
CSO Summit 2006 3/26/2017 3:56 PM Active Directory Certificate Services Support de Crypto Next Generation (CNG) En termes de configuration, permettre la configuration de l’ensemble des éléments directement associés à la crypto Support de Suite-B Algorithmes ECC (ECDH, ECDSA), courbes P-256, P-384 P-521 Condensés SHA-2 (256, 384, 512) Emission de certificats Certificats de l’AC (signature, échange de clé) Certificat Serveur, Client, Protocole (SSL et IPSec) Gabarits de certificat Requête de certificat manuelle Algorithme de chiffrement pour la séquestre des clés En termes de flexibilité, permettre aux entreprises d’insérer si besoin leurs propres algorithmes © 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Support des certificats utilisant des algorithmes Suite-B Concerne uniquement Windows Vista et Windows Server “Longhorn” Application Vérification d’une chaîne de certification contenant des certificats utilisant des algorithmes Suite-B Utilisation d’algorithmes qui ne sont pas supportés par CAPI EFS Oui Non IPSec Kerberos S/MIME Outlook 2003 : Non Outlook 2007 : Oui Smart Card Logon Non (dans la Bêta 2 de Windows Server “Longhorn”) Non (dans la Bêta 2 de Windows Server “Longhorn”) SSL Wireless

3/26/2017 3:56 PM Active Directory Certificate Services Consiste en 4 Rôles Services Certification Authority Certification Authority Web Enrollment (CAWE) Online Certificate Status Protocol (OCSP) Nouveau service conforme à la RFC 2560 Microsoft Simple Certificate Enrollment Protocol (MSCEP) Intégration en natif du Simple Certificate Enrollment Protocol (SCEP) Add-on pour Certificate Services de Windows Server 2003 R2 Cf. Installation des rôles en mode sans attente ou interactif via Add Roles Wizard du Server Manager Le Roles Management Tool (RMT) gère les dépendances internes et installe les composants manquants Définition de valeurs par défaut pour l’ensemble des étapes Amélioration de l’ergonomie et des capacités de diagnostic © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Installation du rôle Certification Authority
Des éléments à définir au préalable Politique de Certification (CP) Définit le « quoi » - les exigences Déclaration des Pratiques de Certification (CPS) Définit le « comment » - les moyens URL pointant sur un document Paramétrage de l’AC Période de validité de l’AC Fournisseur de cryptographie, algorithmes, longueur de clé, etc. Chemins de publication pour l’extension authorityInfoAccess (AIA) Construction de la chaîne de certification Permet de retrouver le certificat de l’autorité émettrice, et ainsi de suite jusqu’à la racine Chemins de publication pour l’extension cRLDistributionPoints (CDP) Vérification de la révocation de chacun des certificats de la chaîne Permet de retrouver la CRL, delta CRL, ou une autorité de validation OCSP Contraintes diverses à honorer par l’AC Contraintes de base, contraintes de politique

Deux types d’installation
Autonome Intervention humaine pour émission (par défaut) Vérification identité du demandeur manuelle ou Out-Of-Band Entreprise Intégration Active Directory Support des gabarits de certificats (versions 1, 2 et 3) Emission des certificats sans intervention humaine (par défaut, sinon configurable par gabarit) Vérification identité du demandeur par authentification AD Établissement de la confiance en l’AC racine par la publication de son certificat dans AD systématique Publication des certificats utilisateurs et CRLs dans AD systématique Auto-tout (enrôlement/renouvellement/remplacement), agent d’enrôlement (restreint), gestionnaire de certificats (restreint), séquestre de clés, etc. Support des clusters à deux nœuds Configuration Active/Passive

Choix Autonome vs. Entreprise
Principalement pour les ACs racines et ACs intermédiaires offline Scénarios extranet, clients et environnements hétérogènes, hors environnement AD Identification des entités détentrices manuelle Entreprise Principalement pour les ACs émettrices sur une infrastructure AD Scénarios intranet/réseau d’entreprise Volumétrie importante: on tire parti de l’enrôlement/renouvellement automatique Nécessite une infrastructure AD sécurisée, en laquelle on peut faire confiance

Deux types d’ACs AC Racine AC Subordonnée
Ex. AC Autonome racine hors ligne Son certificat n’a ni d’AIA, ni de CDP Par défaut, plus besoin d’un fichier CAPolicy.inf Les certificats qu’elle émet ont une AIA et une CDP Son certificat et ses CRLs sont publiés manuellement AC Subordonnée Ex. AC Autonome intermédiaire hors ligne Son certificat, émis pas la racine, comprend une AIA et CDP Reste identique à l’AC racine, à l’exception de l’absence de publication de son certificat Ex. AC Entreprise émettrice en ligne Son certificat, émis pas l’AC intermédiaire, comprend une AIA et CDP Son certificat et ses CRL sont publiés automatiquement

Choix du rattachement de la hiérarchie
Créer sa propre hiérarchie indépendante Se rattacher à une hiérarchie existante Support de la certification croisée et de la subornation qualifiée Cf. « Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003 » Permet l’introduction des algorithmes Suite-B au sein d’un environnement existant AC 1 Racine Signature SHA-1 AC 2 Racine Signature ECDSA Certification croisée AC 11 Emettrice Signature SHA-1 AC 21 Emettrice Signature ECDSA Certificat Entité Signature SHA-1 Chiffrement RSA Certificat Entité Signature ECDSA Chiffr. ECDSA

Configuration d’une AC
Lors de l’installation à l’aide d’un fichier CAPolicy.inf Situé sous %SYSTEMROOT% Même format que sous Windows Server 2003 Cf. « Installing and configuring a certification authority » Plus besoin d’un fichier CAPolicy.inf pour définir correctement le certificat Racine (absence d’extensions AIA et CDP) Chargement différé des gabarits pas défaut LoadDefaultTemplates=0 sous [Certsrv_Server] Utilisation de signatures discrètes pour les certificats de l’AC et des requêtes de certificat de l’AC Support du format de signature PKCS#1 V2.1 DiscreteSignatureAlgorithm=1 sous [Certsrv_Server] Post-installation (CDP, AIA, publication, etc.) Server Manager/Manage Role  MMC Certification Authority certutil –setreg|getreg

Tous les paramètres de l’AC sont dans la clé du service CertSvc dans le registre HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\configuration\<Nom AC> Aussi bien les paramètres du moteur de l’AC, les fournisseurs de cryptographie et définition des algorithmes associés, que des Policy et Exit modules CSP, EncryptionCSP, ExitModules, PolicyModules Exemples de paramètres de configuration CACertPublicationURLs CRLPublicationURLs CSP\Provider CSP\CNGHashAlgorithm CSP\CNGPublicKeyAlgorithm Outils de configuration/paramétrage Server Manager/Manage Role  MMC Certification Authority certutil.exe –setreg|getreg Redémarrage du service CertSvc

Objets AD pour une installation de type Enterprise Publication des informations dans la partition de configuration de la forêt AD Une IGC Windows est une infrastructure du niveau de la forêt  Information disponible pour tous les clients de la forêt Ex. CN=Public Key Services, CN=Services, CN=Configuration, DC=contoso, DC=com Objet du compte utilisateur Attribut userCertificate Outils certutil.exe –dspublish Server Manager/Add|Manager Roles  MMC Certification Authority MMC Certificate Templates Server Manager/Manager Roles  MMC Active Directory Sites and Services ADSIEdit Enterprise PKI

CertEnroll %SYSTEMROOT%\System32\CertSrv\CertEnroll Typiquement, CRLs pour publication HTTP: et FILE: Contient aussi certificats de la CA: *.crt CertLog %SYSTEMROOT%\System32\CertLog Base de données des certificats CAPolicy.inf C:\WINDOWS\CAPolicy.inf Paramétrage de l’installation A conserver pour le renouvellement

Outils et instrumentation
Server Manager|Manage Role (CompMgmtLauncher.exe) Avec MMC Certification Authority (certsrv.msc) MMC Certificate Templates (certtmpl.msc) MMC Event Viewer (eventvwr.msc) pour CAPI2 Enterprise PKI MMC Reliability and Performances Monitor (perfmon.msc)

Gabarits de certificats
Pour rappel Permet la mise en application d’une politique de certification En plus du profil du certificat (attributs de base, extensions, etc.), les gabarits permettent de spécifier La taille de la clé, et si elle peut être exportable ou non, si elle doit être séquestrée Si le certificat doit être émis sans intervention humaine, ou après approbation d’un gestionnaire de certificat Si le certificat doit être publié dans AD (userCertificate) ou non Si le renouvellement nécessite un certificat valide Si le gabarit vient en remplacement d’une ou plusieurs gabarits obsolètes Si le certificat est soumis à une gestion automatique de son cycle de vie par la fonction d’auto-enrôlement Etc.

Gabarits de certificat
Support des gabarits versions 1 et 2 Cf. « Implementing and Administering Certificate Templates in Windows Server 2003 » Nécessite une installation de type Entreprise Container AD Certificate Templates Ressource globale d’entreprise ACLs sur les gabarits Quelles populations ont droit à quel(s) certificat(s) L’AC vérifie l’autorisation de demandeur sur le gabarit référencé dans la requête Container AD Enrollment Services Liste des gabarits servis pour chaque AC d’entreprise Introduction d’une version 3 Prise en compte des nouvelles fonctionnalités pour les clients Windows Vista seulement Non disponible dans CAWE

Enregistrement des gabarits Regsvr32 /i:i /n %windir%\System32\certcli.dll Gabarits modifiables MMC Certificate Templates Copie d’un gabarit existant version 1, 2 ou 3, puis modification ou enrichissement pour créer un nouveau gabarit Choix de la version cible : 2 vs. 3

Version 3 Onglet Request Handling Support d’AES 256 pour le chiffrement des clés privées lors du transfert à l’AC pour séquestre Ajout, pour des gabarits machine, d’une permissions Read sur la clé privée pour Network Service Plus besoin d’ajuster manuellement à postériori le magasin de certificats machine Filtrage de la liste des algorithmes asymétriques en fonction du but du certificat Onglet Cryptography

Version 3 Nouvel onglet Cryptography Support des algorithmes asymétriques implémentés par un KSP CNG Par défaut : DSA, ECDH_P256, ECDH_P384, ECDH_P521, ECDSA_P384, ECDSA_P521 et RSA Support des algorithmes de condensé implémentés par un KSP CNG Par défaut : MD2, MD4, MD5, SHA-1, SHA-256, SHA-384 et SHA-512 Support de l’exigence d’une signature discrète pour les requêtes de certificats Pour l’auto-enrôlement et les requêtes via la MMC Certificates Ne s’applique pas aux requêtes créées avec Certreq.exe Filtrage de la liste des fournisseurs en fonction de la taille de clé minimum

Gabarits de certificat Contrôleur de domaine
Amélioration à chaque version Serveur de Windows La fonctionnalité de base pour l’ouverture de session par carte à puce n’est pas affectée mais les nouveaux gabarits offrent une meilleure flexibilité ou granularité Attribut Windows 2000 Windows Server 2003 Windows Server “Longhorn” Subject CN={FQDN} Empty Certificate Template DomainController Directory Replication Domain Controller Authentication Kerberos Authentication Enhanced Key Usage Client Authentication ( ) Server Authentication ( ) Directory Service Replication ( ) Smart Card Logon ( ) KDC Authentication ( ) Subject Alternate Name Other Name: ={GUID} DNS Name={FQDN} DNS Name={FQDN} DNS Name={FQDN-hostname} DNS Name={FQDN-domainname} DNS Name={NetBIOS-Domain-Name}

Agent d’enrôlement restreint
Permet de limiter les permissions dont disposent les agents d’enrôlement pour l’enrôlement pour le compte d’autres vis-à-vis de tel ou tel gabarit Un agent d’enrôlement doit disposer d’un certificat agent d’enrôlement Extension politique applicative « Certificate Request Agent » (OID= )

Gestionnaire de certificats restreint
Permet de contrôler la granularité de la gestion des certificats (approbation/révocation) Suppose de définir des groupes de sécurité et de leur conférer des permissions pour émettre et gérer des certificats Restrictions des gabarits, et des populations par gabarit

Autres améliorations Support de l’extension IDP CRL
3/26/2017 3:56 PM Autres améliorations Support de l’extension IDP CRL Détermination du périmètre d’une LRC Ajoutée pour les clients non Windows et pointe vers les même URL que l’extension CDP (HTTP et LDAP) Géré par les clients Windows avec MS05-11 Compteurs de performances Nouveaux groupes de compteurs Certification Authority Certification Authority Connections Enterprise PKI Valider le statut de multiples ACs Précédemment inclus dans le Windows Server 2003 Service Pack 1 Administration Tools Pack Intègre désormais les URLs OCSP © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

En complément Diagnostics CAPI2 MOM 2005 Management Pack
3/26/2017 3:56 PM En complément Diagnostics CAPI2 MMC Event Viewer Applications and Services Logs\Microsoft\Windows\CAPI2\Operational Wevutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true MOM 2005 Management Pack Directement opérationnel avec un paramétrage prédéfini (modifiable) Exécution des scripts MOM pour vérifier 4 domaines Interfaces RPC et DCOM de l’AC Statut des certificats de l’AC Statut de la CRL de l’AC Statut des certificats KRA de l’AC Collecte des évènements significatifs Documentation des évènements Comment confirmer un état ou un dysfonctionnement ? Comment résoudre un dysfonctionnement lié à un évènement ? Collecte des compteurs de performances Définition des seuils d’alerte et d’erreur pour certains compteurs Documentation pour les seuils lorsqu’ils sont atteints © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Révocation La révocation basée sur les LRC et delta LRC n’est pas adaptées à l’ensemble des scénarios LRCs de taille importante, connexion RPC, contrôle de révocation au moment du boot Nouveau service OCSP Responder dans Windows Server “Longhorn” Nouveau client OCSP dans Windows Vista Intégration OCSP stapling dans les protocoles Kerberos et SSL © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Rôle Service OCSP Conforme avec la RFC 2560 Axes de conception
3/26/2017 3:56 PM Rôle Service OCSP Conforme avec la RFC 2560 Axes de conception Performances, évolutivité (scale-out) et exploitabilité Principales fonctionnalités de l’OCSP Responder Support du cache (in-memory Extension ISAPI) En complément du cache de 120 secs d’HTTP.SYS IIS Support des requêtes NONCE et No-NONCE Support de multiples ACs Support des audits Fonctionnalités additionnelles Compteurs de performances spécifiques MOM 2005 Management Pack Gabarit de certificat OCSP Signing pour faciliter le déploiement © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Installation de Rôle Service Online Certificate Status Protocol
3/26/2017 3:56 PM Installation de Rôle Service Online Certificate Status Protocol © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Client OCSP dans Windows Vista
3/26/2017 3:56 PM Client OCSP dans Windows Vista Si une extensions AIA OCSP est présente dans le certificat, elle sera utilisée en priorité L’extension CDP est utilisée comme mécanisme de secours Requête OCSP N’inclut pas NONCE N’est pas signée Est envoyée sur HTTP seulement Certificat Responder Le Certificat Responder est digne de confiance si Il est signé par le certificat de l’AC Il est signé par un signataire délégué de l’AC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Eléments de configuration OCSP
3/26/2017 3:56 PM Eléments de configuration OCSP Windows Longhorn “Server” Web proxy (nombre de threads et tableau de) Taille du cache Certificats de type OCSP signing Paramétrages relatifs aux LRCs des ACs Configuration/requêtes Audit Client Préférence CDP sur OCSP Extension de la durée de vie des réponses © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Protocol Stapling Améliorations de Kerberos et TLS
3/26/2017 3:56 PM Protocol Stapling Améliorations de Kerberos et TLS Le serveur obtient le statut de révocation de son PROPRE certificat Le serveur met en cache le statut de révocation obtenu Le serveur joint le statut de révocation lors du handshake du protocole Le client utilise le statut de révocation joint pour valider le certificat du serveur Elimination d’un aller-retour client – serveur © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

CSO Summit 2006 3/26/2017 3:56 PM En guise de conclusion Support de bout-en-bout des principaux scénarios d’utilisation d’une ICG Ouverture de session par carte à puce, authentification cliente SSL/TLS par certificat, messagerie sécurisée (S/MIME), signature électronique (qualifiée), accès distant via VPN (EAP-TLS), sécurisation accès Wifi (EAP-TLS), etc. Avec une agilité cryptographique (CNG) et une prise en compte facilitée des cartes à puce (mini-pilote) Nouvelles UI et API d’enrôlement Amélioration du déploiement et de la capacité de gestion d’AD Certificate Services Support de l’ensemble des mécanismes de révocation © 2006 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.© 2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Où trouver de l’information
Next Generation Business Solutions Platform Strategy Review 3/26/2017 3:56 PM Où trouver de l’information Windows Vista Windows Server “Longhorn” Public Key Infrastructure for Windows Server 2003 Microsoft Certificate Lifecycle Manager (CLM) Beta 2 © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:56 PM Questions ? © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

La référence technique pour les IT Pros : La référence technique
technet.microsoft.com 3/26/2017 3:56 PM La référence technique pour les développeurs : msdn.microsoft.com Abonnement TechNet Plus : Versions d’éval + 2 incidents support Visual Studio Abonnement MSDN Premium S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Votre potentiel, notre passion TM
3/26/2017 3:56 PM Votre potentiel, notre passion TM © 2007 Microsoft France © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Evolutions des services de certificats X.509 dans

Présentations similaires

Présentation au sujet: "Evolutions des services de certificats X.509 dans"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back

Entrer

S'autoriser via un réseau social:

Evolutions des services de certificats X.509 dans

Présentations similaires

Présentation au sujet: "Evolutions des services de certificats X.509 dans"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back