Utilisation des certificats pour l'authentification des périphériques mobiles

  • Article

 

Dernière rubrique modifiée : 2008-02-14

Le mois dernier, nous avons discuté de l'utilisation de SSL (Secure Sockets Layer) pour accroître la sécurité des communications entre vos clients Microsoft Exchange ActiveSync et l'ordinateur exécutant Microsoft Exchange. Ce mois-ci, nous allons discuter d'un niveau de sécurité supplémentaire : l'authentification client.

L'authentification est le processus par lequel un client et un serveur vérifient leur identité pour la transmission de données. Le chiffrement des communications avec SSL renvoie les données échangées entre le client et le serveur dans une couche de chiffrement afin de sécuriser ces données. Dans Microsoft Exchange Server 2007, l'authentification permet de déterminer si un utilisateur ou un client souhaitant communiquer avec le serveur Exchange est ce qu'il prétend être. Cette authentification permet de vérifier qu'un périphérique appartient à un individu spécifique.

Vous pouvez configurer l'authentification sur le répertoire virtuel Exchange ActiveSync. Ce paramètre contrôlera si les périphériques clients utiliseront des certificats clients pour l'authentification. Par défaut, lorsque vous installez le rôle serveur d'accès au client pour Exchange 2007, le répertoire virtuel Exchange ActiveSync est configuré de manière à utiliser l'authentification de base avec le protocole SSL. Vous pouvez changer de méthode d'authentification en modifiant les propriétés du répertoire virtuel Exchange ActiveSync. Cet article fournit une vue d'ensemble des différents types d'authentification, ainsi que des instructions sur la configuration de la méthode d'authentification pour le répertoire virtuel Exchange ActiveSync. Il fournira également des instructions sur la configuration des certificats clients pour l'authentification sur vos périphériques mobiles.

Vue d'ensemble des types d'authentifications

Il existe trois types d'authentifications : l'authentification de base, l'authentification basée sur des certificats et l'authentification basée sur des jetons. Cette section fournit une brève vue d'ensemble de ces types d'authentifications.

Authentification de base

L'authentification de base est la méthode d'authentification la plus simple. Avec l'authentification de base, le serveur demande au client de fournir un nom d'utilisateur et un mot de passe. Ces nom et mot de passe de l’utilisateur sont envoyés en texte clair au serveur via Internet. Le serveur vérifie que les nom et mot de passe de l'utilisateur fournis sont valides, puis autorise l'accès au client. Il s'agit de la méthode d'authentification par défaut pour Exchange ActiveSync. Il est recommandé de n'utiliser cette méthode d'authentification que lorsque SSL est activé. Si vous envisagez de désactiver SSL sur le répertoire virtuel Exchange ActiveSync, il est recommandé d'utiliser une autre méthode d'authentification.

Authentification basée sur des certificats

L'authentification basée sur des certificats utilise un certificat numérique pour vérifier une identité. L'authentification basée sur des certificats fournit une autre forme d'informations d'identification, en plus des nom et mot de passe de l'utilisateur, pour prouver l'identité de l'utilisateur qui tente d'accéder aux ressources de boîtes aux lettres stockées dans le serveur Exchange 2007. Un certificat numérique est constitué de deux composants : la clé privée stockée dans le périphérique et la clé publique installée sur le serveur.

Si vous configurez Exchange 2007 pour demander une authentification basée sur des certificats pour Exchange ActiveSync, seuls les périphériques répondant aux critères suivants peuvent effectuer une synchronisation avec Exchange 2007 :

  • Le périphérique possède un certificat client installé valide créé aux fins d'authentification des utilisateurs.

  • Le périphérique possède un certificat racine approuvé pour le serveur auquel il se connecte pour établir la connexion SSL.

Lorsque vous déployez une authentification basée sur des certificats, vous empêchez les utilisateurs possédant uniquement un nom et un mot de passe d'effectuer une synchronisation avec Exchange 2007. Un niveau de protection supplémentaire consiste à installer le certificat client pour l'authentification uniquement lorsque le périphérique est connecté à un ordinateur appartenant au domaine via DesktopActiveSync 4.5 ou une version ultérieure dans Microsoft Windows XP ou via le Gestionnaire pour appareils Windows dans Windows Vista.

Systèmes d'authentification basés sur des jetons

Un système d'authentification basé sur des jetons est un système d'authentification à deux facteurs. Une authentification à deux facteurs est basée sur des informations connues par l'utilisateur, par exemple un mot de passe, ainsi que sur un périphérique externe, généralement une carte de crédit ou un porte-clé qu'un utilisateur peut garder avec lui. Chaque périphérique comporte un numéro de série unique. En plus de jetons matériels, certains fournisseurs offrent des jetons logiciels fonctionnant sur des périphériques mobiles.

Les jetons affichent un numéro unique, généralement composé de six chiffres, qui change toutes les 60 secondes. Lorsqu'un jeton est communiqué à un utilisateur, il est synchronisé avec le logiciel du serveur. Pour s'authentifier, l'utilisateur entre son nom, son mot de passe et le numéro affiché sur le jeton. Avec certains systèmes d'authentification basés sur des jetons, l'utilisateur doit également entrer un code confidentiel.

L'authentification basée sur des jetons est une forme d'authentification très efficace. Toutefois, elle comporte certains inconvénients, notamment le fait que vous deviez installer le logiciel d'authentification sur le serveur et déployer le logiciel d'authentification sur chaque ordinateur ou périphérique mobile des utilisateurs. Il se peut également que les utilisateurs perdent le périphérique externe. Ceci peut avoir un coût financier important en raison de l'obligation de remplacement des périphériques externes perdus. Toutefois, le périphérique externe ne sera d'aucune utilité pour un utilisateur ne possédant pas les informations d'authentification de l'utilisateur original. Plusieurs sociétés fournissent des systèmes d'authentification basés sur des jetons. Pour plus d'informations sur ces systèmes, notamment sur la procédure de configuration, consultez la documentation spécifique au système.

Procédure de configuration de l'authentification basée sur des certificats sur le répertoire virtuel Exchange ActiveSync

Pour configurer le répertoire virtuel Exchange ActiveSync pour l'authentification basée sur des certificats, utilisez l'une des procédures suivantes.

Utilisation de la console de gestion Exchange pour configurer une authentification basée sur des certificats pour Exchange ActiveSync

  1. Développez Configuration du serveur, puis cliquez sur Accès au client.

  2. Dans le volet Résultats, cliquez sur l'onglet Exchange ActiveSync.

  3. Sélectionnez le répertoire virtuel Microsoft-Server-ActiveSync.

  4. Dans le volet Actions, sous Microsoft-Server-ActiveSync, cliquez sur Propriétés.

  5. Cliquez sur l'onglet Authentification.

  6. Désactivez la case à cocher située à côté de Authentification de base (le mot de passe est transmis en texte clair).

  7. Cliquez sur Exiger les certificats clients. Ou, pour autoriser sans exiger l'authentification de certificats clients, vous pouvez cliquer sur Accepter les certificats clients.

  8. Cliquez sur Appliquer pour enregistrer vos modifications ou sur OK pour enregistrer les modifications et fermer la boîte de dialogue Propriétés de Microsoft-Server-ActiveSync.

Utilisation de l'environnement de ligne de commande Exchange Management Shell pour configurer une authentification basée sur des certificats pour Exchange ActiveSync

  • Exécutez la commande suivante :

    Set-ActiveSyncVirtualDirectory -Identity :"ExchSrvr\Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthEnabled:$false -ClientCertAuth:"Required"

Pour plus d'informations sur la syntaxe et les paramètres, consultez la rubrique Set-ActiveSyncVirtualDirectory.

Procédure de configuration de l'authentification basée sur des certificats sur les périphériques Windows Mobile

Pour exécuter la procédure suivante sur un périphérique Windows Mobile, assurez-vous que vous disposez d'une connexion ActiveSync entre le périphérique et un ordinateur portable ou de bureau. En outre, l’ordinateur de bureau ou portable doit être associé au domaine. Pour les ordinateurs Windows XP, utilisez Desktop ActiveSync pour créer cette connexion. Pour les ordinateurs Windows Vista, utilisez le Gestionnaire pour appareils Windows.

Pour pouvoir utiliser l'outil d'inscription au certificat de poste de travail, votre périphérique doit être relié à un ordinateur connecté au réseau de l'entreprise. La procédure suivante utilise Desktop ActiveSync ou le Gestionnaire pour appareils Windows Mobile pour vous inscrire en vue de recevoir un certificat à partir d'un serveur de l'entreprise.

Utilisation d'ActiveSync afin de s'inscrire pour recevoir un certificat depuis un serveur de l'entreprise

  1. Une fois votre périphérique connecté à votre ordinateur, dans ActiveSync ou le Gestionnaire pour appareils Windows Mobile, cliquez sur Outils, Outils avancés, puis Obtenir les certificats de l'appareil.

  2. Dans la liste déroulante Affichage, sélectionnez Types de certificats d'Active Directory, puis cliquez sur Inscription.

  3. Sous Obtenir les certificats de l’appareil, cliquez sur Oui pour continuer.

  4. Votre périphérique Windows Mobile 6.0 vous invite à confirmer le processus d’installation. Cliquez sur Continuer sur le périphérique.

  5. Il se peut qu'une deuxième invite s'affiche sur le périphérique. Si tel est le cas, sélectionnez Installer.

  6. Après avoir vu la boîte de dialogue de réussite à la fin du processus d’inscription, cliquez sur OK sur votre ordinateur, puis sur Fermer.

Conclusion

Vous pouvez implémenter diverses fonctionnalités de sécurité pour Exchange ActiveSync, notamment l'authentification basée sur des certificats. Il est recommandé de configurer Exchange ActiveSync pour l'authentification de base avec le protocole SSL ou l'authentification basée sur des certificats. Pour plus d'informations sur les options d'authentification et de chiffrement, consultez les rubriques suivantes :