Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe
Chapitre 4 : Création de l'autorité de certification réseau
Dernière mise à jour le 03 avril 2004
Afficher toutes les rubriques d'aide consacrées à la sécurité .gif "site en anglais")
Sur cette page
Présentation
Conditions requises pour suivre ce chapitre
Préparation de l'implémentation
Vérification de l'état de préparation de l'environnement
Installation des services de certificats
Configuration de l'autorité de certification
Résumé
Références
Présentation
Ce chapitre vous guide tout au long de l'installation et de la configuration des services de certificat de Microsoft® Windows Server™ 2003. Les services de certificat sont un composant facultatif de Windows Server 2003. Ils ne sont pas installés par défaut.
Une installation de services de certificat est appelée Autorité de certification (CA). La solution de Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe ne requiert qu'une seule autorité de certification. Celle-ci servira à envoyer des certificats aux serveurs IAS (Internet Authentication Service), comme indiqué dans les chapitres suivants.
Ce chapitre a pour objectif de vous fournir une autorité de certification très simple, tout particulièrement adaptée à cette utilisation. Contrairement à la plupart des autorités de certification, elle servira à émettre un seul type de certificat : les certificats de serveur destinés aux serveurs IAS utilisés dans la solution. C'est pourquoi elle a été conçue de manière à être extrêmement facile à installer, à configurer et à gérer. Il est important de noter que si votre organisation envisage à l'avenir d'utiliser des certificats à d'autres fins, par exemple avec IPSec ou VPN, Microsoft recommande de mettre en place une infrastructure de clés publiques (PKI) plus robuste dans votre environnement. Pour plus de détails, reportez-vous aux documents de planification décrits au chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ».
Ce chapitre contient uniquement les instructions d'implémentation de l'autorité de certification. Il ne décrit aucun des concepts généraux de l'infrastructure de clés publiques et ne fournit aucune information quant à l'implémentation des services de certificats Microsoft autres que ceux qui sont nécessaires à l'installation. Il ne couvre pas non plus l'utilisation de l'autorité de certification pour émettre des types de certificats autres que les certificats d'authentification de serveur destinés au service d'authentification Internet (IAS).
Ce chapitre part du principe que votre organisation ne possède aucune infrastructure de clés publiques. Si elle en possède une, vous devez pouvoir utiliser cette dernière pour émettre les certificats destinés aux serveurs IAS plutôt que d'installer l'autorité de certification décrite dans ce chapitre. Toutefois, la procédure à suivre pour utiliser l'infrastructure PKI à cette fin ou pour installer l'autorité de certification au sein d'une infrastructure PKI existante sort du cadre de cette solution.
Plutôt que d'installer votre propre autorité de certification, vous pouvez obtenir des certificats auprès d'une autorité de certification commerciale, par exemple VeriSign ou Thawte. Pour connaître les avantages et les inconvénients que représente l'installation de sa propre autorité de certification par rapport à l'achat de certificats à un fournisseur externe, reportez-vous à la section « Obtention de certificats pour les serveurs IAS » du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ». Ce chapitre ne contient aucune information relative à l'obtention et à l'utilisation de certificats issus d'une autorité de certification commerciale. Il fournit néanmoins, à la fin, une référence à un document Microsoft qui décrit le processus.
Conditions requises pour suivre ce chapitre
Outre les prérequis énumérés au chapitre 3, « Préparation de votre environnement », vous devez vous familiariser avec les concepts de services de certificats et d'infrastructure PKI (bien qu'il soit inutile d'avoir des connaissances approfondies dans ce domaine).
Avant de commencer à appliquer les instructions de ce chapitre, lisez et appliquez les conseils du chapitre 3, « Préparation de votre environnement ». Vous devez également prendre connaissance des informations de conception et de planification fournies au chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil » et bien comprendre l'architecture et la conception de la solution.
Préparation de l'implémentation
Autorisations requises
Pour réaliser les procédures décrites dans ce chapitre, vous devez ouvrir une session avec un compte appartenant à l'un des groupes ci-dessous :
le groupe Admins du domaine correspondant au domaine dans lequel vous installez l'autorité de certification ;
le groupe Administrateurs de l'entreprise de la forêt de service d'annuaire Microsoft Active Directory® ;
par défaut, le compte Administrateur intégré du domaine racine de la forêt (le premier domaine créé dans la forêt) est membre de ces deux groupes, mais vous pouvez utiliser n'importe quel compte présentant les mêmes appartenances.
Remarque : si vous n'installez pas l'autorité de certification dans le domaine racine de la forêt, et qu'il s'agit d'une forêt Windows 2000 Active Directory (ou ayant été mise à niveau à partir de Windows 2000 Active Directory), le compte que vous utiliserez pour l'installation devra également appartenir au domaine racine de la forêt.
Outils nécessaires
Vous aurez besoin des outils ci-dessous pour réaliser les procédures décrites dans ce chapitre.
Tableau 4.1 : Outils requis pour créer et installer une autorité de certification
Outil |
Description |
Source |
|---|---|---|
Outils MSS pour sécuriser un réseau local sans fil |
Ensemble des scripts et des outils fournis avec cette solution. |
Instructions d'installation du chapitre 3 |
Console de gestion des stratégies de groupes (GPMC) |
Outil de gestion avancée pour importer et exporter les objets de stratégie de groupe (GPO). |
Instructions d'installation du chapitre 3. |
CAPICOM |
Bibliothèque système qui permet de créer les scripts des opérations de certificat et de sécurité. |
Instructions d'installation du chapitre 3. |
DSACLs.exe |
Outil de ligne de commande qui permet de fixer les autorisations des objets Active Directory. |
Étapes d'installation décrites au chapitre 3. |
Utilisateurs et ordinateurs Active Directory |
Outil MMC (Microsoft Management Console) utilisé pour gérer les utilisateurs, les groupes et les ordinateurs Active Directory, ainsi que d'autres objets Active Directory. |
Installé avec Windows Server 2003. |
Outil d'administration de l'autorité de certification |
Outil MMC servant à gérer l'autorité de certification. |
Installé avec les services de certificats de Windows Server 2003. |
Paramètres de l'autorité de certification
Le tableau suivant répertorie les paramètres utilisés pour installer et configurer l'autorité de certification dans cette solution. Tous ces paramètres sont définis dans le fichier de script PKIparams.vbs, où ils peuvent être modifiés si nécessaire.
Tableau 4.2 : Paramètres d'autorité de certification utilisés dans cette solution
Paramètre de configuration de l'autorité de certification |
Paramètre |
|---|---|
Lecteur et chemin des fichiers de demande des services de certificats |
C:\CAConfig |
Longueur de la clé de l'autorité de certification |
2048 bits |
Période de validité du certificat de l'autorité de certification |
25 ans |
Période de validité maximale pour les certificats délivrés par l'autorité de certification |
2 ans |
Intervalle de publication de la liste de révocation pour l'autorité de certification |
7 jours |
Période de chevauchement de la liste de révocation (temps entre la publication de la nouvelle liste de révocation et l'expiration de l'ancienne) |
4 jours |
Période de chevauchement CRL-Delta désactivée |
0 |
Modèles de certificat disponibles dans l'autorité de certification |
Ordinateur (Machine) |
Remarque : la période de validité de l'autorité de certification est fixée sur une valeur élevée pour éviter les contraintes administratives liées à la nécessité de renouveler périodiquement le certificat de l'autorité de certification. Contrairement aux certificats émis pour des ordinateurs et des utilisateurs, les certificats d'autorité de certification ne peuvent pas être renouvelés périodiquement ; si le certificat de l'autorité de certification n'est pas renouvelé avant sa date d'expiration, tous les certificats émis par l'autorité de certification cesseront de fonctionner.
Important : les paramètres répertoriés dans le tableau ci-dessus ont été utilisés lors de la phase de test de la solution réalisée en interne ; ils sont donc réputés fonctionner tels que documentés. Vous pouvez modifier la plupart de ces valeurs, mais il est conseillé de ne modifier un paramètre que si vous comprenez parfaitement son rôle et mesurez les implications d'une telle modification.
Vérification de l'état de préparation de l'environnement
Avant d'installer les services de certificats sur votre serveur, vous devez vous assurer que le domaine peut être contacté et que les outils requis ont été installés.
Pour vérifier le serveur avant de procéder à l'installation de l'autorité de certification
Connectez-vous au serveur sur lequel vous allez installer l'autorité de certification (ainsi que la première instance du serveur IAS (à l'aide d'un compte possédant les autorisations administratives appropriées).
Cliquez sur le raccourci MSS WLAN Tools pour lancer une invite de commandes, puis tapez :
MSSsetup CheckCAenvironment
Le nom du domaine dans lequel vous installez l'autorité de certification apparaît dans un format de nom distinct (ND) (par exemple, dc=Treyresearch, dc=net), ce qui équivaut au format DNS (DNS) (Treyresearch.net).
Si le nom de domaine est correct, cliquez sur OK. S'il ne l'est pas, cliquez sur Cancel, connectez-vous au domaine approprié, puis répétez les étapes 1 et 2.
Le script vérifie les éléments suivants :
Le contrôleur de domaine Active Directory peut être contacté.
CAPICOM est installé.
GPMC est installé.
DSACLs.exe est installé et accessible.
Si le script détecte une erreur, celle-ci apparaît dans la fenêtre de console du script. Vous devez rechercher et corriger l'erreur avant de poursuivre.
Installation des services de certificats
Cette section décrit l'installation des services de certificats en vue de créer une autorité de certification. L'autorité de certification est installée en tant que CA racine d'entreprise.
Installation des composants logiciels des services de certificats
Vous devez utiliser le script fourni pour installer les composants logiciels de l'autorité de certification. Ce script utilise le gestionnaire d'installation des composants facultatifs de Windows pour installer l'autorité de certification ; il crée tous les fichiers de configuration requis au cours de son exécution. Pour effectuer l'installation, utilisez le CD d'installation de Windows Server 2003 (ou le chemin réseau d'une source d'installation Windows).
Attention : si une autorité de certification a déjà été installée ou que vous essayez de réinstaller l'autorité de certification, vous devez commencer par supprimer l'installation précédente. Avant de supprimer l'autorité de certification, vérifiez qu'elle n'est pas utilisée par d'autres applications.
Utilisez la commande Ajouter ou supprimer des composants Windows de l'applet Ajout/Suppression de programmes du Panneau de configuration pour supprimer les services de certificats.
Pour installer les services de certificats
Utilisez le raccourci MSS WLANTools pour lancer une invite de commandes.
À l'invite, tapez ce qui suit pour installer les composants logiciels des services de certificats.
MSSsetup InstallCA, puis appuyez sur ENTRÉE.
Lorsque vous y êtes invité, entrez le nom de l'autorité de certification.
Choisissez un nom évocateur et unique au sein de l'organisation (par exemple, Trey Research Network CA).
Pour confirmer le nom, cliquez sur OK.
Pour modifier le nom, cliquez sur No.
Pour arrêter l'installation, cliquez sur Cancel.
Le script crée les fichiers de paramètres nécessaires à l'installation. Une fois qu'il a terminé, il vous demande si vous souhaitez poursuivre l'installation.
Cliquez sur OK pour poursuivre ou sur Cancel pour arrêter l'installation.
Remarque : si vous choisissez d'arrêter l'installation ici, le fichier de configuration – CAPolicy.inf – et le fichier de paramètres des composants facultatifs – OC_CertSrv.txt – resteront respectivement dans le dossier Windows et le dossier de travail actuel. Vous pourrez modifier ces fichiers et les utiliser dans une installation personnalisée si vous ne souhaitez pas appliquer les paramètres par défaut de la solution.
Après l'affichage du message qui vous confirme que l'installation est terminée, cliquez sur OK.
Vérification de l'installation de l'autorité de certification
Suivez la procédure ci-dessous pour vérifier que l'installation des services de certificats a été correctement menée.
Pour vérifier l'installation de l'autorité de certification
Utilisez le raccourci MSS WLAN Tools pour lancer une invite de commandes.
À l'invite de commandes, tapez :
MSSsetup VerifyCAInstall, puis appuyez sur ENTRÉE.
L'afficheur de certificats affiche le certificat CA.
Cliquez sur l'onglet Général du certificat et vérifiez que les valeurs affichées correspondent à celles décrites dans le tableau ci-dessous.
Tableau 4.3 : Propriétés du certificat de l'autorité de certification
Attribut du certificat
Valeur requise
Délivré à
Nom de l'autorité de certification tel que fourni lors de l'installation.
Délivré par
Nom de l'autorité de certification tel que fourni lors de l'installation.
Valide du...au...
L'intervalle indiqué ici doit être de 25 ans.
Cliquez sur l'onglet Chemin d'accès de certification et vérifiez qu'un seul certificat apparaît dans le champ du chemin d'accès de certification. L'état du certificat doit indiquer Ce certificat est valide.
Cliquez sur OK pour fermer l'afficheur de certificats.
Si les valeurs obtenues sont différentes de celles escomptées, recommencez l'installation des services de certificats.
Remarque : si vous devez relancer l'installation de l'autorité de certification, commencez par supprimer les services de certificats installés comme expliqué plus haut.
Configuration de l'autorité de certification
Une fois l'autorité de certification installée, vous devez exécuter quelques scripts supplémentaires pour configurer certains paramètres de l'autorité de certification.
Configuration des propriétés de l'autorité de certification
Cette procédure applique à l'autorité de certification certains paramètres qui régissent son comportement. Un certain nombre de ces paramètres sont fixés au moment de l'installation de l'autorité de certification, tandis que d'autres doivent être configurés une fois l'installation terminée. Les valeurs de ces paramètres sont précisées dans la section « Paramètres de l'autorité de certification » abordée précédemment dans ce chapitre. Le script utilisé dans cette procédure configure les propriétés de l'autorité de certification comme indiqué dans le tableau suivant.
Tableau 4.4 : Propriétés de configuration de l'autorité de certification
Propriété de l'autorité de certification |
Description |
|---|---|
URL des points de distribution de la liste de révocation de certificats (CDP) |
Emplacements à partir desquels une liste de révocation de certificats (CRL) courante peut être obtenue. Cette solution utilise uniquement une URL LDAP (Lightweight Directory Access Protocol). Elle contient le chemin LDAP de la liste de révocation publiée dans Active Directory. |
URL d'accès aux informations de l'autorité (AIA) |
Emplacement à partir duquel un certificat d'autorité de certification peut être obtenu. Comme pour les points de distribution de la liste de certificats, cette solution utilise uniquement l'URL LDAP pointant vers Active Directory. |
Période de validité |
Période de validité maximale pour les certificats délivrés (elle diffère de la période de validité du certificat CA lui-même, qui est fixée au cours de l'installation). |
Intervalle pour la liste de révocation de certificats |
Fréquence de publication de la liste de révocation de certificats. |
Période de chevauchement des listes de révocation |
Temps pendant lequel se chevauchent la nouvelle liste de révocation publiée et l'ancienne liste qui n'a pas encore expiré. |
Période CRL-Delta |
Fréquence de publication des CRL-Delta (sur cette autorité de certification, les CRL-Delta sont désactivés). |
Audit de l'autorité de certification |
Paramètres d'audit de l'autorité de certification (par défaut, tous les paramètres d'audit sont activés). |
Remarque : la plupart de ces paramètres affectent la configuration de la liste de révocation de l'autorité de certification. Une liste de révocation est une liste de certificats ayant été émis par l'autorité de certification, mais que l'administrateur a ensuite annulés (ou révoqués). Bien qu'il soit peu probable que vous deviez révoquer un quelconque certificat dans le cadre de cette solution, nombre d'applications exigent de pouvoir accéder à une liste de révocation à jour afin de vérifier le statut de révocation d'un certificat (même si la liste de révocation est vide). Si l'application ne trouve aucune liste de révocation, elle risque de rejeter le certificat.
Pour configurer les propriétés de l'autorité de certification
Utilisez le raccourci MSS WLAN Tools pour lancer une invite de commandes.
À l'invite, tapez ce qui suit pour configurer les composants de l'autorité de certification :
MSSsetup ConfigureCA, puis appuyez sur ENTRÉE.
Pendant la configuration, le script s'interrompt pendant 20 secondes pour attendre l'exécution d'une tâche sur l'autorité de certification. Il est inutile de répondre aux messages contextuels qui s'affichent pour annoncer cette mise en pause.
Cliquez sur OK pour ignorer le message.
Si le script signale une erreur, recherchez-en la cause en examinant le fichier journal (%systemroot%\debug\MSSWLAN-Setup.log). Une fois le problème corrigé, relancez le script de configuration.
Remarque : vous pouvez relancer le script de configuration autant de fois que nécessaire.
Importation de l'objet de stratégie de groupe de demande automatique de certificats
Cette procédure importe l'objet de stratégie de groupe d'inscription automatique de certificat IAS, lequel est préconfiguré pour permettre l'émission automatique de certificats pour les serveurs IAS du domaine. Il repose sur une fonctionnalité appelée Service de demande automatique de certificat (ACRS).
Le service ACRS ne doit pas être confondu avec l'inscription automatique de Windows Server 2003, Entreprise Edition, même si les deux remplissent des fonctions similaires. Il s'agit d'un service plus limité que l'inscription automatique, qui a été utilisé pour la première fois dans Windows 2000. Il permet uniquement l'inscription de certificats d'ordinateur (et non d'utilisateur) et ne fonctionne qu'avec les modèles de certificat de version 1. Le service ACRS convient toutefois à cette solution qui ne fait qu'un usage limité des certificats. Il permet d'installer l'autorité de certification sur l'édition Standard Edition de Windows Server 2003 (moins onéreuse).
Important : si la forêt Active Directory contient plusieurs domaines, vous devez répéter cette procédure pour chacun des domaines sur lequel vous installez un serveur IAS.
Le script utilisé dans la procédure ci-dessous importe un objet de stratégie de groupe préconfiguré avec une stratégie d'inscription automatique des certificats. L'objet de stratégie de groupe configure le type de certificat prédéfini « Ordinateur » comme étant le type à inscrire. Le script applique ensuite les autorisations de sécurité à l'objet de stratégie de groupe de sorte que seuls les membres du groupe Serveurs RAS et IAS soient affectés (par défaut, les objets de stratégie de groupe sont appliqués à tous les utilisateurs et ordinateurs authentifiés).
Remarque : dans certains contextes, le modèle de certificat d'ordinateur peut être désigné par le terme modèle de l'ordinateur. « Machine » est le nom interne du modèle, tandis que « Ordinateur » est son nom complet.
Pour installer l'objet de stratégie de groupe d'inscription automatique de certificat dans votre domaine
Utilisez le raccourci MSS WLAN Tools pour lancer une invite de commandes.
À l'invite, tapez la commande suivante pour importer l'objet de stratégie de groupe d'inscription automatique de certificat IAS dans le domaine :
MSSsetup ImportAutoenrollGPO, puis appuyez sur ENTRÉE.
Vous devez ensuite lier cet objet de stratégie de groupe au domaine pour que les paramètres de l'objet de stratégie de groupe soient appliqués aux serveurs IAS. Cette procédure est laissée sous forme manuelle pour vous permettre de contrôler le processus de liaison de l'objet de stratégie de groupe. Le fait d'automatiser cette étape ferait courir le risque d'écraser les paramètres de liaison d'objet de stratégie de groupe déjà définis dans le domaine.
Pour appliquer l'objet de stratégie de groupe de demande automatique de certificats
Cliquez sur Démarrer, puis sur Tous les programmes, cliquez sur Outils d'administration, puis sur Gestion de stratégie de groupe pour lancer la console de gestion des stratégies de groupe.
Dans le volet gauche de la console de gestion des stratégies de groupe, accédez à l'objet Domaine correspondant à votre domaine.
L'objet Domaine est situé sous le conteneur de niveau supérieur Domaines et porte le même nom que le nom DNS du domaine.
Cliquez avec le bouton droit de la souris sur l'objet Domaine, puis sélectionnez Lier un objet de stratégie de groupe existant....
Dans la liste des objets de stratégie de groupe, sélectionnez Stratégie d'inscription automatique de certificat IAS.
Cliquez sur OK pour revenir à la fenêtre principale de la console de gestion des stratégies de groupe.
Dans le volet droit, cliquez sur l'onglet Objets de stratégie de groupe liés, puis sélectionnez l'objet de stratégie de groupe Stratégie d'inscription automatique de certificat IAS.
Fermez la console de gestion des stratégies de groupe.
Les paramètres de demande automatique de certificats ne seront appliqués aux serveurs qu'une fois ajoutés en tant que membres du groupe Serveurs RAS et IAS. Cette étape fait l'objet d'une procédure au chapitre suivant.
Important : si votre domaine est en mode mixte et que vous installez IAS sur des serveurs membres (plutôt que sur des contrôleurs de domaine), le groupe local Serveurs RAS et IAS ne sera pas visible sur les serveurs membres. L'objet de stratégie de groupe ACRS ne pourra pas être appliqué à ces serveurs, ce qui signifie que l'inscription de certificat s'arrêtera pour ces serveurs. Pour éviter cela, créez un groupe global de domaine, ajoutez-lui les comptes du serveur membre IAS, et ajoutez le groupe à la liste de contrôle d'accès de l'objet Stratégie de groupe, en lui accordant les autorisations Appliquer et Lire.
Vérification de la configuration de l'autorité de certification
La procédure suivante permet de confirmer que l'autorité de certification est correctement configurée. Le script vérifie que :
La période de validité de l'autorité de certification est correcte (pour les certificats émis).
La période de publication de la liste de révocation est correcte.
Le modèle de certificat Ordinateur est affecté à l'autorité de certification.
L'objet de stratégie de groupe de demande automatique de certificat (inscription automatique) a bien été importé dans le domaine.
Ces valeurs sont comparées aux paramètres stockés dans le fichier PKIParams.vbs. Le script ne cherche pas à comparer des valeurs absolues ; il vérifie simplement que les paramètres ont été correctement configurés sur l'autorité de certification.
Pour vérifier la configuration de l'autorité de certification
Utilisez le raccourci MSS WLAN Tools pour lancer une invite de commandes.
À l'invite, tapez ce qui suit pour configurer les composants de l'autorité de certification :
MSSsetup VerifyCAConfig, puis appuyez sur ENTRÉE.
Si le script signale des erreurs, retracez les étapes de ce chapitre et corrigez les problèmes indiqués.
Résumé
Ce chapitre vous a guidé tout au long du processus d'installation d'une autorité de certification destinée à émettre des certificats de serveur à des serveurs IAS. L'autorité de certification a été configurée de manière à ne nécessiter quasiment aucune maintenance ; elle devrait donc ne demander qu'une gestion minimale dans le futur. Toutefois, les informations de fonctionnement et de support dont vous pourriez avoir besoin sont fournies au chapitre 8, « Gestion de la solution de réseau local sans fil sécurisée ».
Vous êtes maintenant prêt à installer les serveurs IAS. Cette opération est expliquée dans le chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ».
Références
Cette section fournit les références d'importants compléments d'informations et d'autres informations générales liées au contenu de ce chapitre.
Pour une présentation des concepts de l'infrastructure de clés publiques et des fonctions des services de certificats de Windows 2000, reportez-vous à « An Introduction to the Windows 2000 Public-Key Infrastructure » disponible à l'adresse :
https://www.microsoft.com/technet/prodtechnol/windows2000serv/
evaluate/featfunc/pkiintro.mspxPour une présentation des concepts de l'infrastructure de clés publiques et des fonctions des services de certificats de Windows 2000, reportez-vous à « An Introduction to the Windows 2000 Public-Key Infrastructure » disponible à l'adresse :
https://www.microsoft.com/windowsxp/pro/techinfo/planning/pkiwinxp/default.asp
.Pour obtenir une documentation générale qui présente les principaux concepts et tâches administratives, reportez-vous à la section « Services de certificats » de la documentation de Windows Server 2003 disponible à l'adresse :
https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/standard/SE_PKI.mspxPour obtenir des conseils sur la manière d'obtenir des certificats auprès d'une autorité de certification commerciale et de les utiliser, reportez-vous à l'article « Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2 Wireless Authentication » disponible à l'adresse :
Télécharger la solution complète
Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe