Exporter (0) Imprimer
Développer tout

Services de certificats Active Directory (AD CS) : prise en charge du protocole OSCP (Online Certificate Status Protocol)

Mis à jour: avril 2010

S'applique à: Windows Server 2008

La révocation de certificats est un composant nécessaire du processus de gestion des certificats délivrés par des autorités de certification. Le moyen le plus couramment utilisé pour communiquer l’état de certificats consiste à distribuer des listes de révocation de certificats. Dans les infrastructures à clé publique du système d’exploitation Windows Server® 2008, dans lesquelles l’utilisation de listes de révocation de certificats conventionnelles n’est pas une solution optimale, un répondeur en ligne basé sur le protocole OSCP (Online Certificate Status Protocol) peut être utilisé pour gérer et distribuer les informations d’état de révocation.

À quoi sert la prise en charge du protocole OSCP ?

Outre l’utilisation de listes de révocation de certificats, l’utilisation de répondeurs en ligne qui distribuent les réponses OCSP est une méthode couramment employée pour communiquer des informations sur la validité des certificats. Contrairement aux listes de révocation de certificats, qui sont distribuées régulièrement et qui contiennent des informations sur tous les certificats ayant été révoqués ou suspendus, un répondeur en ligne reçoit uniquement les demandes des clients souhaitant obtenir des informations sur l’état d’un certificat unique et y répond. La quantité de données récupérées par demande est invariable, quel que soit le nombre de certificats révoqués.

Dans de nombreux cas, les répondeurs en ligne permettent de traiter les demandes d’état de certificat plus efficacement que les listes de révocation de certificats. Par exemple :

  • Les clients qui se connectent au réseau à distance et qui n’ont pas besoin ou ne disposent pas des connexions à grande vitesse nécessaires pour télécharger des listes de révocation de certificats volumineuses.

  • Un réseau qui doit traiter des pics élevés dans l’activité liée à la vérification de révocation (par exemple, lorsqu’un nombre élevé d’utilisateurs se connectent ou envoient des messages électroniques signés simultanément).

  • Une organisation qui nécessite une méthode efficace pour distribuer les données de révocation des certificats délivrés par une autorité de certification non-Microsoft.

  • Une organisation qui souhaite ne fournir que les données de vérification de révocation nécessaires pour vérifier les demandes d’état de certificat individuelles plutôt que rendre disponibles les informations sur tous les certificats révoqués ou suspendus.

Qui cette fonctionnalité peut-elle intéresser ?

Cette fonctionnalité s’adresse aux organisations qui possèdent des infrastructures à clé publique avec une ou plusieurs autorités de certification Windows.

L’ajout d’un ou de plusieurs répondeurs en ligne peut considérablement accroître la souplesse et l’évolutivité de l’infrastructure à clé publique (PKI) d’une organisation ; cette fonctionnalité devrait donc intéresser les architectes, les planificateurs et les administrateurs d’infrastructures PKI.

Pour installer un répondeur en ligne, vous devez être un administrateur sur l’ordinateur où le répondeur en ligne sera installé.

Existe-t-il des considérations particulières ?

Les répondeurs en ligne dans Windows Server 2008 offrent les fonctionnalités suivantes :

  • Mise en cache du proxy Web. Le cache du proxy Web du répondeur en ligne constitue l’interface de service du répondeur en ligne. Il est implémenté en tant qu’extension ISAPI (Internet Server API) hébergée par les services Internet (IIS).

  • Prise en charge des demandes nonce et non-nonce. Les options de configuration pour les demandes nonce et non-nonce peuvent être utilisées pour empêcher les attaques par relecture des réponses du répondeur en ligne.

  • Intégration à l’installation de Windows. Un répondeur en ligne peut être configuré à l’aide du Gestionnaire de serveur.

  • Prise en charge avancée du chiffrement. Un répondeur en ligne peut être configuré de manière à utiliser les chiffrements à courbe elliptique (ECC) et SHA-256 pour les opérations de chiffrement.

  • Modèles de certificats de signature de réponse OCSP préconfigurés. L’utilisation d’un modèle de certificat de signature de réponse OCSP, disponible dans Windows Server 2008, permet de simplifier le déploiement d’un répondeur en ligne.

  • Intégration au protocole Kerberos. Les demandes et les réponses du répondeur en ligne peuvent être traitées avec l’authentification par mot de passe pour valider rapidement les certificats de serveur à l’ouverture de session.

Les répondeurs en ligne Microsoft® sont basés sur le document RFC (Request For Comments) 2560 pour OCSP et sont conformes à celui-ci. Pour cette raison, les réponses d’état de certificat provenant de répondeurs en ligne sont fréquemment appelées « réponses OCSP ». Pour plus d’informations sur le document RFC 2560, voir le site Web du comité IETF (Internet Engineering Task Force) à l’adresse http://go.microsoft.com/fwlink/?LinkId=67082 (éventuellement en anglais).

Quelles nouvelles fonctionnalités le répondeur en ligne offre-t-il ?

Deux ensembles majeurs de nouvelles fonctionnalités peuvent être dérivés du service de répondeur en ligne :

  • Répondeurs en ligne. Fonctionnalité de répondeur en ligne de base fournie par un ordinateur unique sur lequel le service de répondeur en ligne a été installé.

  • Groupes de répondeurs. Plusieurs ordinateurs liés hébergeant des répondeurs en lignes et traitant les demandes d’état de certificat.

Répondeur en ligne

Un répondeur en ligne est un ordinateur sur lequel le service de répondeur en ligne s’exécute. Un ordinateur hébergeant une autorité de certification peut également être configuré comme répondeur en ligne, mais il est recommandé de conserver les autorités de certification et les répondeurs en ligne sur des ordinateurs distincts. Un répondeur en ligne unique peut fournir des informations d’état de révocation pour les certificats délivrés par une seule ou plusieurs autorités de certification. Les informations de révocation d’autorité de certification peuvent être distribuées à l’aide de plusieurs répondeurs en ligne.

Pourquoi cette fonctionnalité est-elle importante ?

Les applications qui dépendent des certificats X.509, telles que les extensions S/MIME (Secure/Multipurpose Internet Mail Extensions), le protocole SSL (Secure Sockets Layer), le système de fichiers EFS (Encrypting File System) et les cartes à puce, doivent valider l’état des certificats chaque fois qu’ils sont utilisés pour effectuer des opérations d’authentification, de signature ou de chiffrement. Le contrôle de l’état et de la révocation des certificats permet de vérifier la validité des certificats en fonction des critères suivants :

  • Durée. Les certificats sont délivrés pour une durée fixe et sont considérés comme étant valides tant que la date d’expiration du certificat n’est pas passée et que le certificat n’a pas été révoqué avant cette date.

  • État de révocation. Les certificats peuvent être révoqués avant leur date d’expiration pour de nombreuses raisons, parmi lesquelles une clé compromise ou une suspension de clé.

Les listes de révocation de certificats contiennent les numéros de série de tous les certificats délivrés par une autorité de certification qui ont été révoqués. Pour vérifier l’état de révocation d’un certificat, un client doit télécharger une liste de révocation de certificats contenant des informations sur tous les certificats qui ont été révoqués par l’autorité de certification.

Au fil du temps, les listes de révocation de certificats peuvent accroître considérablement en volume, ce qui peut nécessiter des ressources réseau et un espace de stockage importants pour l’autorité de certification et la partie de confiance. Il vous faudra donc peut-être trouver un compromis entre, d’un côté, la fréquence de distribution des listes de révocation de certificats à jour et, de l’autre, le temps et la bande réseau nécessaires pour les distribuer. Si les listes de révocation de certificats sont publiées moins fréquemment, les clients disposeront d’informations de révocation moins précises.

De nombreuses tentatives ont été faites pour résoudre le problème de la taille des listes de révocation de certificats, parmi lesquelles les listes partitionnées, les listes différentielles et les listes indirectes. Toutes ces approches n’ont fait qu’accroître la complexité et les coûts du système sans aboutir à une solution.

Qu’est-ce qui fonctionne différemment ?

Lorsque vous utilisez des répondeurs en ligne, ce sont eux qui reçoivent toutes les données de révocation de certificats, et non les clients de confiance. Une partie de confiance envoie une demande d’état à propos d’un certificat individuel à un répondeur en ligne. Ce dernier retourne une réponse définitive et signée numériquement qui indique l’état du certificat spécifié dans la demande. La quantité de données récupérées par demande est invariable, quel que soit le nombre de certificats révoqués figurant dans la base de données de certificats sur l’autorité de certification.

Comment se préparer à cette modification ?

Vous pouvez installer des répondeurs en ligne sur des ordinateurs exécutant Windows Server 2008, de préférence après l’installation des autorités de certification et avant l’émission de certificats clients. Les données de révocation de certificats sont dérivées d’une liste de révocation de certificats publiée qui peut provenir d’une autorité de certification sur un ordinateur exécutant Windows Server 2008, d’une autorité de certification sur un ordinateur exécutant Windows Server 2003 ou d’une autorité de certification non-Microsoft.

Avant de configurer une autorité de certification pour qu’elle prenne en charge le service de répondeur en ligne, votre environnement doit satisfaire aux exigences suivantes :

  • Les services Internet (IIS) doivent être installés sur l’ordinateur pour que le répondeur en ligne puisse être installé. La configuration des services Internet (IIS) adaptée au répondeur en ligne est installée automatiquement lorsque vous installez un répondeur en ligne.

  • Un modèle de certificat de signature de réponse OCSP doit être configuré sur l’autorité de certification et l’inscription automatique doit être utilisée pour délivrer un certificat de signature de réponse OCSP à l’ordinateur sur lequel le répondeur en ligne sera installé.

  • L’URL du répondeur en ligne doit être comprise dans l’extension d’accès aux informations de l’autorité (AIA) des certificats délivrés par l’autorité de certification. Cette URL est utilisée par le client du répondeur en ligne pour valider l’état des certificats.

Une fois qu’un répondeur en ligne a été installé, vous devez aussi créer une configuration de révocation pour chaque autorité de certification et chaque certificat d’autorité de certification traités par un répondeur en ligne.

Une configuration de révocation comprend tous les paramètres nécessaires pour répondre aux demandes d’état de certificats délivrés à l’aide d’une clé d’autorité de certification spécifique. Parmi ces paramètres de configuration figurent :

  • Un certificat d’autorité de certification. Ce certificat peut figurer sur un contrôleur de domaine, dans le magasin de certificats local, ou être importé à partir d’un fichier.

  • Un certificat de signature du répondeur en ligne. Ce certificat peut être sélectionné automatiquement pour vous ou sélectionné manuellement (ce qui implique une étape d’importation distincte une fois la configuration de révocation ajoutée) ou vous pouvez utiliser le certificat de l’autorité de certification sélectionnée.

  • Un fournisseur de révocation qui fournit les données de révocation utilisées par cette configuration. Ces informations sont entrées sous la forme d’une ou plusieurs URL auxquelles des listes de révocation de certificats de base et différentielles valides peuvent être obtenues.

ImportantImportant
Avant de commencer à ajouter une nouvelle configuration de révocation, vérifiez que vous disposez des informations répertoriées dans cette liste.

Groupes de répondeurs

Vous pouvez lier plusieurs répondeurs en ligne dans un groupe de répondeurs en ligne. Les répondeurs en ligne appartenant à un groupe sont appelés « membres du groupe ». L’un des membres du groupe doit être désigné comme contrôleur de groupe. Bien que chaque répondeur en ligne dans un groupe puisse être configuré et géré indépendamment, en cas de conflit, les informations de configuration du contrôleur de groupe sont prioritaires par rapport aux options de configuration définies pour les autres membres du groupe.

Pourquoi cette fonctionnalité est-elle importante ?

Vous pouvez créer un groupe de répondeurs en ligne et ajouter des répondeurs en ligne supplémentaires au groupe pour diverses raisons, notamment la tolérance de panne au cas où un répondeur en ligne particulier ne serait plus disponible, des considérations géographiques ou liées à la conception de votre réseau ou encore par souci d’évolutivité.

Par exemple, des succursales distantes peuvent ne pas bénéficier de connexions constantes avec le siège social où réside une autorité de certification. Par conséquent, il n’est pas toujours possible de contacter l’autorité de certification ou un répondeur en ligne distant pour traiter une demande d’état de révocation.

Qu’est-ce qui fonctionne différemment ?

Les membres d’un groupe de répondeurs en lignes pouvant être distants et sujets à des conditions de réseau non optimales, chaque membre du groupe peut être contrôlé et géré indépendamment.

Comment se préparer à cette modification ?

La configuration d’un groupe de répondeurs en lignes implique une planification avancée basée sur les informations suivantes :

  • Le nombre et l’emplacement des autorités de certification traitées par le groupe.

  • Le nombre de clients qui demanderont des certificats aux autorités de certification et leur emplacement.

  • La connectivité réseau entre les clients, les autorités de certification et les répondeurs en ligne potentiels.

  • Le volume d’inscriptions de certificats, de révocations de certificats et de demandes d’état de certificat que gère l’infrastructure PKI de l’organisation.

  • Le besoin de redondance au cas où des répondeurs en ligne particuliers ne seraient plus disponibles.

Une fois le groupe de répondeurs en ligne planifié, sa configuration implique plusieurs procédures à coordonner.

Quels sont les paramètres de la stratégie de groupe qui ont été ajoutés pour prendre en charge le protocole OSCP ?

Plusieurs paramètres de stratégie de groupe ont été ajoutés pour améliorer la gestion du protocole OSCP et l’utilisation des données des listes de révocation de certificats. Par exemple, les listes de révocation de certificats sont associées à une date d’expiration. Si une liste arrive à expiration avant la publication d’une mise à niveau, ou avant qu’elle ne devienne accessible, la validation de la chaîne de certificats peut échouer même si un répondeur en ligne est présent. Cela est dû au fait que le répondeur en ligne dépendrait de données en provenance d’une liste de révocation de certificats expirée. Dans les cas de figure où les conditions réseau peuvent retarder la publication et la réception des listes de révocation de certificats, les administrateurs peuvent utiliser ces paramètres de stratégie de groupe pour prolonger le délai d’expiration d’une liste de révocation de certificats ou d’une réponse OCSP existante.

Vous pouvez utiliser l’onglet Révocation dans Paramètres de validation du chemin d’accès du certificat (Configuration ordinateur, Paramètres Windows, Paramètres de sécurité et Stratégies de clé publique) pour prolonger la durée de vie des listes de révocation de certificats et des réponses OCSP. Pour configurer ces options, procédez comme suit :

  • Cliquez sur Définir ces paramètres de stratégie.

  • Cliquez sur Autoriser une validité des listes de révocation de certificats et des réponses OCSP supérieure à leur durée de vie.

  • Sélectionnez Durée de l’extension de la période de validité et entrez la durée désirée (en heures).

Une option séparée sous l’onglet Révocation vous permet de remplacer les réponses OCSP par les informations contenues dans les listes de révocation de certificats. Ainsi, vous pouvez toujours vérifier la validité d’un certificat que vous avez révoqué en l’ajoutant à une liste de révocation de certificat locale si un client possède une liste de révocation de certificats où ne figure pas l’état de révocation du certificat. Bien que cette option ne soit pas recommandée, elle peut être utile dans certaines situations où les modifications de révocation apportées par un administrateur local ne sont pas finales tant qu’un administrateur d’autorité de certification n’a pas vérifié la modification.

Ces deux paramètres se trouvent à l’emplacement suivant : Configuration ordinateur, Paramètres Windows, Paramètres de sécurité et Stratégies de clé publique.

ImportantImportant
Des informations d’identification d’administration sont nécessaires pour modifier les paramètres de la stratégie de groupe.

Comment se préparer au déploiement de cette fonction ?

Les répondeurs en ligne étant conçus pour traiter des demandes individuelles d’état de certificat, un groupe de répondeurs en ligne nécessite souvent plusieurs répondeurs en ligne géographiquement dispersés pour équilibrer la charge. Chaque réponse d’état étant signée, chaque répondeur en ligne doit être installé sur un serveur approuvé.

Les répondeurs en ligne Windows Server 2008 peuvent être installés dans les configurations de groupe suivantes :

  • Répondeur en ligne unique pour plusieurs autorités de certification. Le répondeur en ligne nécessite une clé et un certificat de signature pour chaque autorité de certification prise en charge. Un certificat de signature de l’autorité de certification émettrice doit être délivré à un répondeur en ligne. Un répondeur en ligne ne peut pas fournir l’état d’un certificat se trouvant au-dessus de l’autorité de certification ayant délivré le certificat de signature dans la chaîne.

  • Plusieurs répondeurs en ligne pour une seule autorité de certification. Chaque répondeur en ligne possède une clé et un certificat de signature en provenance de l’autorité de certification prise en charge. Cela est possible grâce au clustering. La logique de clustering se charge de diriger le client pour qu’il adresse ses demandes à un répondeur en ligne spécifique.

  • Plusieurs répondeurs en ligne pour plusieurs autorités de certification. Chaque répondeur en ligne possède une clé et un certificat de signature en provenance de chaque autorité de certification prise en charge.

Vous pouvez préparer le déploiement des répondeurs en ligne en procédant comme suit :

  • Évaluez les avantages potentiels que vous pouvez tirer en complétant les listes de révocation de certificats par des répondeurs en ligne pour gérer le contrôle de la révocation dans votre organisation.

  • Identifiez les emplacements potentiels dans lesquels les répondeurs en ligne peuvent s’avérer avantageux.

  • En fonction du nombre d’autorités de certification et d’emplacements que vous prenez en charge, du volume des demandes de validation de certificat que vous anticipez et des conditions réseau entre vos autorités de certification et vos emplacements, identifiez dans la liste précédente la configuration d’installation la mieux adaptée à votre organisation.

  • Identifiez les emplacements de chaque répondeur en ligne et la façon dont ils devront être gérés.

  • Testez le répondeur en ligne et la configuration de l’infrastructure à clé publique dans un environnement de test pour valider la conception de l’infrastructure à clé publique et identifier les options de configuration pour chaque configuration de répondeur en ligne et de révocation.

  • Installez et configurez chaque répondeur en ligne.

Références supplémentaires

Pour obtenir des informations sur les autres fonctionnalités des services de certificats Active Directory, voir Rôle Services de certificats Active Directory.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft