Implémentation de l'infrastructure de clés publiques

Article
02/21/2018

Dernière mise à jour le 08 juin 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Présentation
Feuille de planification des services de certificats
Mise en œuvre des serveurs
Préparation d'Active Directory pour l'infrastructure de clés publiques
Sécurisation de Windows Server 2003 pour les services de certificats
Autres tâches de configuration de Windows
Installation et configuration de l'autorité de certification racine
Installation et configuration de l'autorité de certification émettrice
Configuration après la mise en place
Configuration du client
Résumé

Dans ce module

Ce module vous guide pas à pas pour élaborer une infrastructure de clés publiques (PKI) reposant sur Microsoft® Windows® Server™ 2003 Certificate Services. Vous y trouverez notamment des informations sur l'installation et la configuration des autorités de certification (CA) elles-mêmes, la préparation du service d'annuaire Microsoft Active Directory® et de Microsoft IIS ( Internet Information Services ) et enfin la configuration de la stratégie de certificats du client. Les modules suivants de ce guide pourront s'appuyer sur l'infrastructure de certificats obtenue pour élaborer l'ensemble de la solution de protection du réseau local sans fil.

Ce module vise à vous aider à mettre en œuvre la conception PKI décrite dans le module « Conception de l'infrastructure PKI» du guide de planification. Il ne tente pas d'expliquer les concepts généraux de PKI, ni les particularités de mise en œuvre des services de certificats de Microsoft.

Haut de page

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

préparer Active Directory pour l'infrastructure de clés publiques ;
sécuriser les serveurs Windows pour les services de certificats ;
installer et configurer une autorité de certification racine ;
installer et configurer une autorité de certification émettrice ;
activer l'inscription automatique des clients.

Haut de page

S'applique à

Ce module s'applique aux produits et technologies suivants :

Microsoft Windows Server 2003 ;
Microsoft Certificate Services ;
Microsoft Active Directory ;
Microsoft Internet Information Services.

Haut de page

Comment utiliser ce module

Ce module vous guide pas à pas pour mettre en œuvre une infrastructure de clés publiques reposant sur Microsoft Windows Server 2003 Certificate Services.

Pour tirer le meilleur parti de ce module :

Lisez le module « Conception de l'infrastructure PKI» du guide de planification, afin de comprendre les concepts généraux d'une infrastructure de clés publiques.
Utilisez la « Feuille de planification des services de certificats » fournie avec : Microsoft Solution for Securing Wireless LANspour vérifier la liste des paramètres de configuration utilisés dans cette solution.

Haut de page

Présentation

La figure 1 présente de manière générale le processus de mise en œuvre de l'infrastructure de clés publiques, détaillé dans ce module.

Figure 1 Organigramme du processus d'élaboration de l'infrastructure de clés publiques

La liste suivante présente brièvement les principaux points abordés dans ce module. Après chaque étape d'installation ou de configuration importante, une étape de contrôle est prévue pour vérifier ce qui vient d'être fait avant de poursuivre.

Feuille de planification des services de certificats : dresse la liste des informations de configuration utilisées dans ce module pour installer et configurer les services de certificats. Elle comprend un tableau des informations à se procurer avant de commencer le processus de mise en œuvre décrit dans ce module.
Mise en œuvre des serveurs : décrit le processus de sélection et de configuration du matériel, l'installation de Windows Server 2003, ainsi que l'installation des composants facultatifs tels qu'IIS.
Préparation d'Active Directory pour votre infrastructure de clés publiques : aborde les conditions requises pour la forêt et le domaine Active Directory dans lesquels l'infrastructure de clés publiques doit être déployée, ainsi que les principaux préparatifs à effectuer. Ce point traite également de la création de groupes et d'utilisateurs de sécurité et de la définition des autorisations adéquates pour déléguer les tâches de gestion.
Sécurisation de Windows Server 2003 pour les services de certificats : traite de la mise en œuvre de la sécurité au niveau du système d'exploitation en utilisant des modèles de sécurité. Les modèles utilisés proviennent du Guide sur la sécurité de Windows Server 2003, disponible à l'adresse : http://go.microsoft.com/fwlink/?LinkId=14845.
Autres tâches de configuration de Windows : dresse une liste de tâches courantes pour mener à bien l'installation initiale des serveurs.
Installation et configuration de l'autorité de certification racine : aborde les étapes de préparation, d'installation du logiciel et de configuration des services de certificats, y compris la définition de rôles administratifs pour le serveur. La dernière étape consiste à publier le certificat de l'autorité de certification racine hors connexion et la liste de révocation des certificats au niveau d'Active Directory et du serveur Web.
Installation et configuration de l'autorité de certification émettrice : couvre les mêmes étapes que celles abordées pour l'autorité de certification racine, auxquelles s'ajoute l'obtention d'un certificat auprès de l'autorité de certification racine. L'étape de vérification finale permet de vérifier que vous pouvez enregistrer les certificats à partir de l'autorité de certification émettrice.
Configuration après mise en place : traite de la configuration des types de certificat par défaut provenant de l'autorité de certification émettrice, de la définition d'autorisations pour forêt à domaines multiples et de la réalisation d'une sauvegarde avant que les autorités de certification puissent être intégrées à l'environnement de production.
Configuration des clients : indique comment activer l'inscription automatique pour tous les utilisateurs et ordinateurs du domaine et comment configurer les stratégies d'approbation des certificats racine.

Haut de page

Feuille de planification des services de certificats

Les tableaux suivants dressent la liste de tous les paramètres de configuration de l'infrastructure de clés publiques utilisés dans cette solution. Aidez-vous de ces tableaux pour prendre des décisions de planification.

La plupart des paramètres de ces tableaux sont définis manuellement au cours des procédures décrites dans ce module. D'autres sont définis par un script exécuté dans le cadre d'une procédure ou sont référencés dans un script destiné à effectuer une autre tâche de configuration ou d'exploitation. Le cas échéant, le nom du script est inclus dans le tableau.

Remarque : les scripts utilisés dans le guide de mise en œuvre sont décrits plus en détail dans le fichier Readme.txt qui accompagne les scripts (disponibles dans Microsoft for Securing Wireless LANSà l'adresse http://www.microsoft.com/downloads/details.aspx?FamilyID=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en).

Éléments de configuration définis par l'utilisateur

Avant de commencer la procédure d'installation, vous devez vous assurer que vous avez réuni des informations ou pris des décisions concernant tous les éléments du tableau ci-dessous. Tout au long du module, les valeurs fictives affichées ici sont utilisées dans les exemples de commandes fournis. En lieu et place de ces valeurs (repérées en caractères italiques), utilisez les valeurs qui conviennent.

Tableau 1 : Éléments de configuration définis par l'utilisateur

Élément de configuration	Paramètre	Référence du script
Nom DNS ( Domain Name System ) du domaine racine de la forêt Active Directory	woodgrovebank.com
DN ( Distinguished Name ) de la racine de la forêt	DC=woodgrovebank,DC=com	Pkiparams.vbs
Nom NetBIOS ( Network Basic Input/Output System ) du domaine	WOODGROVEBANK
Nom NetBIOS du groupe de travail de l'autorité de certification racine	WGB-Root
Nom de serveur de l'autorité de certification racine	HQ-CA-01
Nom de serveur de l'autorité de certification émettrice	HQ-CA-02
Nom commun X.500 de l'autorité de certification racine	WoodGrove Bank Root CA
Nom commun X.500 de l'autorité de certification émettrice	WoodGrove Bank Issuing CA 1
Nom d'hôte complet du serveur Web utilisé pour publier les informations de révocation et de certificat de l'autorité de certification	www.woodgrovebank.com	Pkiparams.vbs

### Éléments de configuration préconisés par la solution Les paramètres indiqués dans ce tableau n'ont pas besoin d'être changés en fonction de l'installation, à moins que vous deviez utiliser un paramètre différent de la conception de la solution. Il est tout à fait possible de modifier les paramètres de conception mentionnés ici, mais ce faisant, vous vous éloignez de la solution validée. Assurez-vous de bien mesurer l'impact des modifications avant de changer les valeurs préconisées, tant dans les procédures de configuration, que dans les scripts fournis. **Tableau 2 : Éléments de configuration préconisés par la solution**

Élément de configuration	Paramètre	Référence du script
Groupes de sécurité du rôle d'administration
Conteneur de configuration des administrateurs des services de clés publiques	Enterprise PKI Admins	ca_setup.wsf
Autorisés à publier les listes de révocation de certificats et les certificats des CA dans le conteneur Configuration de l'entreprise	Enterprise PKI Publishers	ca_setup.wsf
Groupe d'administration chargé de la configuration et de la maintenance des autorités de certification, du contrôle de l'affectation de tous les autres rôles relatifs à la CA et du renouvellement du certificat de la CA	CA Admins	ca_setup.wsf
Groupe d'administration chargé de l'approbation de l'enregistrement des certificats et des demandes de révocation. Il s'agit du rôle de "CA Officer".	Certificate Managers	ca_setup.wsf
Groupe d'administration chargé de gérer l'audit et les journaux de sécurité sur la CA	CA Auditors	ca_setup.wsf
Groupe d'administration chargé de gérer les sauvegardes de la CA	CA Backup Operators	ca_setup.wsf
Configuration IIS
Nom du répertoire virtuel IIS utilisé pour publier des informations sur les listes de révocation et les certificats CA	pki	Pkiparams.vbs
Chemin physique de l'autorité de certification émettrice qui correspond au répertoire virtuel IIS	C:\CAWWWPub	Pkiparams.vbs
Paramètres CA usuels
Lecteur et chemin de stockage des fichiers de demande des services de certificats	C:\CAConfig	Pkiparams.vbs
Lecteur et chemin de stockage des journaux de la base de données des services de certificats	%windir%\System32\CertLog
Configuration de l'autorité de certification racine
Longueur de la clé de l'autorité de certification racine (cf. la note sous ce tableau)	4096
Période de validité du certificat de la CA racine	16	Pkiparams.vbs
Unités pour la valeur ci-dessus	Années	Pkiparams.vbs
Période de validité maximum pour les certificats délivrés par l'autorité de certification racine	8	Pkiparams.vbs
Unités pour la valeur ci-dessus	Années	Pkiparams.vbs
Intervalle de publication de la liste de révocation pour l'autorité de certification racine	6	Pkiparams.vbs
Unités pour la valeur ci-dessus	Mois	Pkiparams.vbs
Période de chevauchement de la liste de révocation (temps entre la publication de la nouvelle liste de révocation et l'expiration de l'ancienne)	10	Pkiparams.vbs
Unités pour la valeur ci-dessus	Jours	Pkiparams.vbs
Période de publication des CRL-Delta pour l'autorité de certification racine (0 = désactivation des CRL-Delta)	0	Pkiparams.vbs
Unités pour la valeur ci-dessus	Heures
Paramètres de l'autorité de certification émettrice
Lecteur et chemin de stockage de la base de données des services de certificats	D:\CertLog
Longueur de la clé de l'autorité de certification émettrice	2048
Période de validité du certificat de l'autorité de certification émettrice	8	Pkiparams.vbs
Unités pour la valeur ci-dessus	Années	Pkiparams.vbs
Période de validité maximum pour les certificats délivrés par l'autorité de certification émettrice	4	Pkiparams.vbs
Unités pour la valeur ci-dessus	Années	Pkiparams.vbs
Intervalle de publication de la liste de révocation pour l'autorité de certification émettrice	7	Pkiparams.vbs
Unités pour la valeur ci-dessus	Jours	Pkiparams.vbs
Période de chevauchement de la liste de révocation (temps entre la publication de la nouvelle liste de révocation et l'expiration de l'ancienne)	4	Pkiparams.vbs
Unités pour la valeur ci-dessus	Jours	Pkiparams.vbs
Période de publication des CRL-Delta pour l'autorité de certification émettrice (0 = désactivation des CRL-Delta)	1	Pkiparams.vbs
Unités pour la valeur ci-dessus	Jours	Pkiparams.vbs
Période de chevauchement des CRL-Delta (temps entre la publication de la nouvelle liste de révocation Delta et l'expiration de l'ancienne)	1	Pkiparams.vbs
Unités pour la valeur ci-dessus	Jours	Pkiparams.vbs
Divers
Chemin des scripts d'installation	C:\MSSScripts

Remarque : l'utilisation d'une longueur de clé de 4 096 bits peut poser des problèmes de compatibilité si les certificats doivent être émis en direction de certains périphériques ou utilisés par eux (certains routeurs, par exemple) ou par certains logiciels plus anciens provenant d'autres fournisseurs. En effet, ceux-ci ne peuvent pas traiter des clés dépassant une certaine taille. Avant de déployer l'infrastructure de clés publiques, testez vos applications en utilisant des certificats dont la clé de la CA racine atteint cette taille.

Haut de page

Mise en œuvre des serveurs

Cette section présente comment préparer le matériel du serveur et installer le système d'exploitation. Vous devez disposer de deux serveurs : un pour l'autorité de certification racine et un pour l'autorité de certification émettrice.

Important : Avant de commencer la mise en œuvre des autorités de certification, lisez la section « Gestion de la sécurité des autorités de certification » du module « Conception de l'infrastructure PKI» dans le guide de planification.

Sélection et configuration du matériel du serveur

Les sections suivantes précisent la configuration de serveur de base nécessaire aux deux rôles d'autorité de certification. Le module « Conception de l'infrastructure PKI» du guide de planification examine plus en détails certains des principaux critères de sélection du matériel.

Matériel du serveur de l'autorité de certification racine

Le tableau suivant indique la configuration de base en fonction des recommandations de Windows Server 2003. Ceci étant, n'achetez pas d'équipements supplémentaires si vous disposez de matériel correspondant aux critères précisés dans le Planning Guide mais qui a été retiré pour des raisons de performance.

Tableau 3 : Configuration matérielle conseillée pour le serveur de l'autorité de certification racine

Élément	Configuration requise
Processeur	Processeur unique cadencé à 733 MHz au minimum
Mémoire	256 Mo
Interfaces réseau	Aucune (ou désactivée)
Espace de stockage	- Contrôleur IDE ( Integrated Device Electronics ) ou SCSI ( Small Computer System Interface ) RAID ( Redundant Array of Independent Disks ) - 2 x 18 Go (SCSI) ou 2 x 20 Go (IDE) configuré en tant que volume RAID 1 (lecteur C). - Unité de stockage amovible (CD-RW ou bande pour sauvegarde) - Lecteur de disquette 1,44 Mo pour les transferts de données.

Matériel du serveur de l'autorité de certification émettrice

Bien que l'autorité de certification émettrice soit soumise à des critères de performances, ceux-ci sont relativement faibles dans la mesure où elle est peu sollicitée. Les critères sont les mêmes que pour la sélection du matériel de l'autorité de certification racine. Certaines différences subsistent au niveau du réseau et du stockage.

Tableau 4 : Configuration matérielle conseillée pour le serveur de l'autorité de certification émettrice

Élément	Configuration requise
Processeur	Processeur unique cadencé à 733 MHz au minimum
Mémoire	256 Mo
Interfaces réseau	2 cartes réseau (NIC) associées pour améliorer la fiabilité
Espace de stockage	- Contrôleur IDE ou SCSI RAID - 2 x 18 Go (SCSI) ou 2 x 20 Go (IDE) configurés en tant que volumes RAID 1 (lecteurs C et D) - Unité de stockage locale amovible (CD-RW ou bande de sauvegarde) en l'absence de dispositif de sauvegarde réseau - Lecteur de disquette 1,44 Mo pour les transferts de données.

Préparation du matériel

Conformez-vous aux indications du fournisseur pour configurer le matériel, ce qui peut supposer d'appliquer le dernier BIOS et les dernières mises à jour de microprogramme fournies.

À l'aide du logiciel de gestion du contrôleur de disque fourni avec le matériel, créez les volumes RAID 1 conformément aux indications du tableau précédent (un volume de disque pour l'autorité de certification racine, deux volumes pour l'autorité de certification émettrice).

Préparation du serveur de l'autorité de certification racine

La procédure de cette section décrit l'installation de Windows Server 2003 sur le serveur utilisé pour l'autorité de certification racine.

Installation de Microsoft Windows Server 2003, Standard Edition

La plupart des organisations disposent d'un processus d'installation de serveur automatisé, qui peut parfaitement être utilisé pour mettre en œuvre le serveur dès lors que les paramètres ci-dessous peuvent y être intégrés.

Cependant, lorsque la mise en œuvre dépend d'une connexion réseau, vous devez sérieusement envisager de procéder manuellement, tout au moins pour l'autorité de certification racine. La garantie de sécurité d'une autorité de certification hors connexion réside dans le fait qu'elle n'est pas, et n'a jamais été, connectée à un réseau, ce qui limite radicalement les risques d'implication dans une attaque externe (car l'agresseur a besoin d'accéder physiquement au serveur d'une manière ou d'une autre).

Pour installer Windows Server 2003
1. Démarrez le système avec le CD-ROM de Windows Server 2003, Standard Edition dans le lecteur de CD. (Vérifiez que le CD-ROM a été défini comme amorçable au niveau des paramètres BIOS du serveur.)
2. Créez une partition sur le premier volume, formatez-la en NTFS et choisissez d'installer Windows sur cette partition.
3. Sélectionnez les paramètres régionaux qui conviennent.
4. Tapez le nom et les informations concernant la société qui serviront pour l'enregistrement de Windows Server 2003.
5. Tapez un mot de passe sûr pour le compte administrateur local (combinaison de 10 caractères minimum comprenant des majuscules et des minuscules, des lettres, des chiffres et des caractères de ponctuation).
6. Lorsque vous y êtes invité, tapez le nom de l'ordinateur : HQ-CA-01 (remplacez cette valeur par le nom qui vous convient).
  
  Important : Même si l'autorité de certification reste hors connexion, son nom doit être unique dans l'organisation.
7. Lorsque vous y êtes invité, choisissez de vous joindre à un groupe de travail. Tapez son nom : WGB-Root (remplacez cette valeur par le nom qui vous convient).
8. Lorsque vous y êtes invité, n'installez pas de composants facultatifs. Le serveur redémarre à la fin du processus d'installation principal. Suivez ensuite la procédure ci-dessous :
9. Installez les derniers Service Packs Windows (au moment de la rédaction de ce document, la production de Windows Server 2003 commence tout juste ; par conséquent aucun Service Pack n'est disponible) et les éventuels correctifs de sécurité recommandés (utilisez un outil du type MBSA pour en connaître la liste). À ce stade, vous devez également installer tous les autres correctifs fonctionnels recommandés par Microsoft ou nécessaires en fonction des résultats de vos propres tests.
10. Activez cette copie de Windows. Cette opération doit s'effectuer hors connexion, afin que le serveur n'ait besoin à aucun moment de se connecter à un réseau.

Paramètres du réseau

L'autorité de certification racine n'est en aucun cas connectée au réseau. Désactivez les éventuelles interfaces avec le réseau par le biais de l'icône Connexions réseau du Panneau de configuration, afin d'empêcher l'autorité de certification racine d'être accessible depuis le réseau, au cas où les interfaces y seraient raccordées par inadvertance.

Vérification de l'installation

Vous devez vérifier que l'installation du système d'exploitation a été menée à bien et que les paramètres configurés correspondent à vos besoins.

Pour consulter la configuration du système en vigueur

Exécutez la commande :

systeminfo
Vérifiez les éléments suivants dans le résultat de la commande systeminfo. Dans un souci de concision, certains détails, représentés par « ... » (ellipses), ont été volontairement omis.

    Nom de l'hôte :          HQ-CA-01 Système d'exploitation : Microsoft® Windows® Server 2003, 
    Standard Edition ... Configuration du système d'exploitation : Serveur autonome  
    Propriétaire enregistré : VotreNomDePropriétaire 
    Organisation enregistrée : VotreOrganisationDePropriétaire ... 
    Répertoire Windows :  C:\WINDOWS Répertoire système : C:\WINDOWS\System32 
    Périphérique d'amorçage : \Device\DisqueDurVolume1 
    Option régionale du système : VosParamètresRégionaux 
    Paramètres régionaux d'entrée : VosParamètresRégionauxEntrée 
    Fuseau horaire :   VotreFuseauHoraire ... Domaine :    WGB-Root
    Serveur d'ouverture de session : \\HQ-CA-01 Correctif(s) :    X correctifs installé(s).                            
    [01]: Qxxxxxx ...                             [nn]: Qnnnnnn Carte(s) réseau : N/A

Si ces paramètres ne correspondent pas à ceux que vous souhaitez, vous devez reconfigurer le serveur par le biais du Panneau de configuration ou exécuter à nouveau l'installation.

Préparation du serveur de l'autorité de certification émettrice

La procédure de cette section décrit l'installation de Windows Server 2003 sur le serveur utilisé pour l'autorité de certification émettrice.

Installation de Microsoft Windows Server 2003, Enterprise Edition

Suivez la procédure indiquée pour le serveur de l'autorité de certification racine, à l'exception des éléments ci-dessous.

Contrairement à l'autorité de certification racine, la mise en œuvre du serveur de l'autorité de certification émettrice peut être automatisée et passer par un réseau. Prenez néanmoins les précautions nécessaires pour vous assurer que l'autorité de certification n'est pas exposée à des risques (installez-la, par exemple, sur un réseau isolé sans possibilité de routage vers Internet ou le réseau principal de l'entreprise).

Pour installer Microsoft Windows Server 2003, Enterprise Edition
1. Suivez les étapes 1 à 5 de la procédure précédente (concernant le serveur de l'autorité de certification racine), excepté que vous utilisez Windows Server 2003 Enterprise Edition au lieu de l'édition Standard.
2. Lorsque vous y êtes invité, tapez le nom de l'ordinateur : HQ-CA-02 (remplacez cette valeur par le nom qui vous convient).
3. Lorsque vous y êtes invité, choisissez de vous joindre à un domaine. Indiquez le nom du domaine Active Directory auquel intégrer les serveurs : WOODGROVEBANK (remplacez cette valeur par le nom de domaine dans lequel vous installez l'autorité de certification). Lorsque vous y êtes invité, indiquez le justificatif d'identité de l'utilisateur autorisé à intégrer les ordinateurs au domaine.
  
  Remarque : dans le cas d'une forêt à plusieurs domaines, les serveurs de certificats sont généralement installés dans le domaine racine de la forêt. Bien que ce ne soit pas obligatoire, c'est l'option choisie dans cette solution.
4. N'installez pas de composants facultatifs. Après le redémarrage qui suit le processus d'installation principal :
5. Comme pour l'autorité de certification racine, installez les éventuels Service Packs et correctifs requis.
6. Créez une partition sur le second volume de disque dur, affectez-lui la lettre D et formatez-le avec NTFS.
7. Sur le lecteur D, créez un dossier nommé D:\CertLog.
8. Activez la copie de Windows Server 2003. Cette opération doit s'effectuer hors connexion afin de ne pas exposer le serveur à Internet d'une quelconque manière.

Paramètres du réseau

L'autorité de certification émettrice possède une seule interface réseau (bien que deux cartes réseau puissent être associées pour améliorer la fiabilité). Selon les besoin de votre organisation, divers paramètres IP ( Internet Protocol ) doivent être configurés pour l'interface réseau : une adresse IP fixe, la passerelle par défaut, les paramètres DNS, etc.

Pour des raisons de sécurité, vous devez également bloquer la connectivité, tant entrante que sortante, entre l'autorité de certification émettrice et Internet. Le fait de permettre l'accès sortant uniquement ne suffit pas à neutraliser les virus et autres logiciels malveillants. Ils peuvent télécharger du code à partir d'Internet ou pire, dérober les informations de la clé privée de votre CA et les transporter en dehors de l'organisation.

Vérification de l'installation

Vous devez vérifier que l'installation du système d'exploitation a été menée à bien et que les paramètres configurés correspondent à vos besoins.

Pour consulter la configuration du système en vigueur

Exécutez la commande :

systeminfo
Vérifiez les éléments suivants dans le résultat de la commande systeminfo (certains détails ont été omis dans un souci de concision) :

    Nom de l'hôte :    HQ-CA-02 
    Système d'exploitation : Microsoft® Windows® Server 2003, Enterprise Edition ... 
    Configuration du système d'exploitation : Serveur membre   
    Propriétaire enregistré :        VotreNomDePropriétaire 
    Organisation enregistrée :     VotreOrganisationDePropriétaire ... 
    Répertoire Windows :           C:\WINDOWS 
    Répertoire système :            C:\WINDOWS\System32 
    Périphérique d'amorçage :        \Device\DisqueDurVolume1 
    Option régionale du système :    VosParamètresRégionaux 
    Paramètres régionaux d'entrée :  VosParamètresRégionauxEntrée 
    Fuseau horaire :                 VotreFuseauHoraire ... 
    Domaine :                       woodgrovebank.com 
    Serveur d'ouverture de session : \\NomDuContrôleurDeDomaine 
    Correctif(s) :                   X corrections installées.                              
    [01]: Qxxxxxx ...                              [nn]: Qnnnnnn 
    Carte(s) réseau :            1 carte(s) réseau installée(s). 
    [01]:                        ModèleEtFournisseurDeCarteRéseau                              
    Nom de la connexion : Connexion au réseau local                              
    DHCP activé :    Non                              
    Adresse(s) IP                              [01]: 10.1.1.11

Si ces paramètres ne correspondent pas à ceux que vous souhaitez, vous devez reconfigurer le serveur par le biais du Panneau de configuration ou exécuter à nouveau l'installation.

Installation des scripts de configuration sur les serveurs

Un certain nombre de scripts de prise en charge et de fichiers de configuration sont fournis avec la solution pour vous aider à simplifier certains aspects de la configuration et de l'exploitation de la solution. Vous devez les installer sur chaque serveur. Certaines opérations décrites dans le Guide des Opérations nécessitent ces scripts ; par conséquent, ne les supprimez pas après la fin de l'installation de l'autorité de certification.

Pour installer les scripts d'installation sur chaque serveur
1. Créez un dossier appelé C:\MSSScripts.
2. Copiez les scripts à partir du support de distribution dans ce dossier.

Installation et configuration d'IIS

Cette section explique comment installer et configurer IIS sur l'autorité de certification émettrice. Il est recommandé de ne pas installer IIS sur l'autorité de certification racine.

Attention : Dans un souci de simplification de la procédure, le serveur de l'autorité de certification émettrice est utilisé pour héberger le serveur Web et les points de téléchargement de la liste de révocation et du certificat CA. Toutefois, il est recommandé d'utiliser un autre serveur Web dans votre environnement pour renforcer la sécurité de vos autorités de certification. La procédure expliquée ici s'applique également à l'installation d'IIS sur l'autorité de certification émettrice ou sur un autre serveur.

IIS sert à héberger les pages d'inscription du serveur de certificats et à fournir des points de téléchargement pour la liste de révocation et le certificat de la CA aux clients autres que Windows. Il est préférable du point de vue de la sécurité d'héberger les points de téléchargement Web pour la liste de révocation et le certificat de la CA sur un autre serveur que celui de l'autorité de certification. De nombreux utilisateurs des certificats (internes et externes) peuvent avoir besoin de récupérer des informations sur la chaîne de certificats ou les listes de révocation sans pour autant avoir accès à l'autorité de certification. Il est impossible d'envisager cette possibilité si les points de téléchargement sont hébergés sur le serveur de l'autorité de certification.

Installation d'IIS sur l'autorité de certification émettrice

IIS s'installe avec le gestionnaire de composants facultatifs de Windows (par le biais du Panneau de configuration, puis Ajouter/Supprimer des composants Windows ). Le tableau suivant récapitule les composants à installer. Le retrait reflète la relation entre les composants tels qu'ils apparaissent au niveau de l'Assistant du gestionnaire de composants facultatifs ( Activer l'accès COM+ réseau est un sous-composant de Microsoft Application Server, par exemple.) Les composants qui ne sont pas sélectionnés n'apparaissent pas dans le tableau.

Tableau 5 : Composants facultatifs à installer

Composant	État d'installation
Serveur d'application	Sélectionné
Activer l'accès COM+ réseau	Sélectionné
Services IIS	Sélectionné
Fichiers communs	Sélectionné
Gestionnaire des services IIS	Sélectionné
Service World Wide Web	Sélectionné

- **Pour installer IIS** 1. Exécutez la commande suivante : **sysocmgr /i:sysoc.inf /u:C:\\MSSScripts\\OC\_AddIIS.txt** Cette commande demande au gestionnaire de composants facultatifs d'utiliser les configurations de composants spécifiées dans le fichier d'installation automatique **C:\\MSSScripts** \\OC\_AddIIS.txt (ci-dessous) : ``` \[Components\]complusnetwork = On iis\_common = On iis\_asp = On iis\_inetmgr = On iis\_www = On ``` **Remarque :** cette configuration utilise les pages ASP ( *Active Server Pages* ) grâce à la ligne iis\_asp = on. Bien que cette option soit superflue pour la version de base, elle est nécessaire pour prendre en charge les pages Web d'inscription sur le serveur des services de certificats. Pensez à désactiver les pages ASP (supprimer la ligne iis\_asp = on avant d'exécuter sysocmgr.exe) si vous n'avez pas besoin des pages Web d'inscription. Vous pouvez toujours les activer ultérieurement en cas de besoin. 2. Exécutez à nouveau le gestionnaire de composants facultatifs et vérifiez que les composants installés correspondent à ceux indiqués dans le tableau précédent. Aucun autre sous-composant du **Serveur d'application** n'est requis et n'a donc besoin d'être sélectionné. **sysocmgr /i:sysoc.inf** ### Configuration d'IIS pour l'accès aux informations de l'Autorité (AIA) et la publication des points de distribution de la liste de révocation de certificats (CDP) (sur l'autorité de certification émettrice) Vous devez créer un répertoire virtuel sur IIS pour l'utiliser comme emplacement HTTP ( *HyperText Transfer Protocol* ) pour l'accès aux informations de l'Autorité et la publication de la liste de révocation. - **Pour créer un répertoire virtuel sur IIS** 1. Ouvrez une session sur le serveur IIS (de l'autorité de certification émettrice) en disposant de privilèges d'administrateur local. 2. Créez le dossier **C:\\CAWWWPub**, destiné à recevoir les certificats CA et les listes de révocation de certificats. 3. Définissez la sécurité applicable au dossier par l'intermédiaire de l'Explorateur Windows. Le tableau suivant indique les autorisations à octroyer. Les quatre premières doivent déjà exister. **Tableau 6 : Autorisations du répertoire virtuel**

Utilisateur/Groupe	Autorisation	Autoriser/Refuser
Administrateurs	Contrôle total	Autoriser
Système	Contrôle total	Autoriser
Créateurs propriétaires	Contrôle total (sous-dossiers et fichiers uniquement)	Autoriser
Utilisateurs	- Lecture - Affichage du contenu du dossier	Autoriser
IIS_WPG	- Lecture - Affichage du contenu du dossier	Autoriser
Compte Invité Internet	Écriture	Refuser

4. Au niveau d'IIS, créez un répertoire virtuel sous le site Web par défaut : - Nommez le répertoire virtuel ***pki*** - Spécifiez le chemin ***C:\\CAWWWPub***. 5. Désactivez l'option **Exécuter les scripts (tels que ASP)** au niveau des autorisations d'accès au répertoire virtuel. 6. Vérifiez que l'authentification anonyme est activée pour le répertoire virtuel. ### Choix d'un alias DNS pour le point de publication HTTP Vous devez créer un alias DNS générique (CNAME) qui corresponde au serveur IIS hébergeant CDP et AIA (www.woodgrovebank.com, par exemple). Cet alias DNS doit être utilisé lors de la configuration des chemins CDP et AIA des autorités de certification dans les sections suivantes. Il permet de changer facilement par la suite l'emplacement des informations des autorités de certification, sans avoir à réémettre le certificat de la CA. ### Vérification de l'installation d'IIS Vous devez vérifier le fonctionnement élémentaire d'IIS avant de continuer. En cas d'échec d'un des tests suivants, revenez en arrière et vérifiez à nouveau l'installation et la configuration d'IIS par rapport aux étapes précédentes de cette section. - **Pour vérifier le fonctionnement du répertoire virtuel d'IIS** 1. Ouvrez une session sur le serveur IIS (de l'autorité de certification émettrice) en tant que membre des administrateurs locaux, puis créez un fichier avec un éditeur de texte (Bloc-notes, par exemple). Tapez un texte facilement reconnaissable (son contenu n'a pas d'importance et aucune balise HTML n'est requise) : ``` Bonjour le monde ``` 2. Enregistrez le fichier sous le nom **test.htm** dans le dossier créé au cours de l'étape précédente pour les informations CDP et AIA : **C:\\CAWWWPub**. Enregistrez le même fichier sous le nom **Test.asp** dans le même dossier. 3. Ouvrez un navigateur et tapez l'URL ( *Uniform Resource Locator* ) suivante pour tenter de retrouver les pages : **http://*www.woodgrovebank.com*/pki/test.htm** **Remarque :** si vous n'avez pas encore défini cet alias dans DNS, vous pouvez l'entrer provisoirement dans le fichier hosts local (%systemroot%\\system32\\drivers\\etc\\hosts) à la place de l'adresse IP du serveur IIS. Vous pouvez également simplement utiliser le nom d'hôte du serveur IIS au lieu de l'alias. Sachez toutefois que vous devrez vérifier le bon fonctionnement de l'alias DNS ultérieurement. 4. Le texte « Bonjour le monde » doit être affiché dans le navigateur. - **Pour vérifier que les autorisations d'exécution ont été désactivées** 1. Ouvrez un navigateur et tapez l'URL suivante pour tenter de retrouver les pages : **http://*www.woodgrovebank.com*/pki/test.asp** 2. Le message d'erreur suivant (ou un autre message similaire) doit s'afficher dans le navigateur : **Impossible d'afficher la page** **Vous avez tenté d'exécuter un programme CGI, ISAPI ou un autre programme exécutable à partir d'un répertoire qui n'autorise pas l'exécution de programmes.** ainsi que le code d'erreur suivant : **Erreur HTTP 403.1 - Refusé : Execute access is denied.** **Internet Information Services (IIS)** Du fait que Microsoft Internet Explorer tente automatiquement d'authentifier l'utilisateur d'un site Web, il est difficile de déterminer la présence d'un accès anonyme. Un moyen d'y parvenir consiste à changer les paramètres de zone de sécurité d'Internet Explorer pour forcer l'utilisation d'une ouverture de session anonyme avant de recommencer les tests précédents. Une autre solution consiste à suivre la procédure ci-dessous, qui utilise telnet.exe pour forcer l'accès non authentifié. Cette procédure suppose que vous testiez le site Web à partir du serveur IIS lui-même. Le test ci-après ne fonctionne pas à travers un serveur proxy. - **Pour vérifier que l'accès anonyme est activé** 1. À l'invite de commande, exécutez la commande : **telnet** 2. Au niveau de l'invite telnet, entrez la commande suivante pour activer l'affichage local des caractères tapés : **set localecho** 3. Tapez ensuite la commande permettant de se connecter à IIS à l'aide de l'alias DNS que vous avez défini précédemment : **open*www.woodgrovebank.com*80** 4. Tapez le texte suivant (scrupuleusement à l'identique, y compris la casse) pour récupérer la page test.htm : **GET /pki/test.htm HTTP/1.0** Puis tapez deux fois **RETOUR**. **Remarque :** le curseur est revenu en haut de l'écran, ce qui signifie que le texte tapé remplace le texte existant à l'écran, ce qui donne un affichage légèrement confus. Vous pouvez sans risque l'ignorer. En cas d'erreur de frappe, appuyez sur **RETOUR**, puis tapez à nouveau la commande **open** (étape 3) pour vous reconnecter, et enfin réessayez la commande **GET**. 5. Le résultat suivant doit s'afficher : ``` Bonjour le monde Perte de la connexion à l'hôte. Appuyez sur une touche pour continuer... ``` 6. Tapez **quit** pour quitter telnet. 7. Si les trois étapes ont été menées à bien, supprimez les fichiers test.htm et test.asp du dossier du serveur Web. ### Installation et configuration de composants de système d'exploitation supplémentaires Cette section explique comment installer et configurer les autres composants requis sur les serveurs. Appliquez ces procédures aux serveurs de l'autorité de certification racine et de l'autorité de certification émettrice. ### Désinstallation du service Mettre les certificats racine à jour Vous devez désinstaller le service Mettre les certificats racine à jour. Il s'agit d'un composant facultatif installé par défaut. Il n'est pas souhaitable que la liste des racines approuvées de vos autorités de certification soit mise à jour automatiquement. Dans tous les cas, s'il ne peut pas accéder à Internet, le service ne fonctionne pas et consigne les erreurs de connexion dans le journal des événements. De toute évidence, l'autorité de certification hors connexion ne dispose pas d'accès, mais vous devez également bloquer la connectivité entrante et sortante entre Internet et l'autorité de certification émettrice. - **Pour désinstaller le service Mettre les certificats racine à jour** - Exécutez la commande suivante : **sysocmgr /i:sysoc.inf /u:C:\\MSSScripts\\OC\_RemoveRootUpdate.txt** Cette commande demande au gestionnaire de composants facultatifs d'utiliser les configurations de composants spécifiées dans le fichier d'installation automatique **C:\\MSSScript** s **\\OC\_ RemoveRootUpdate.txt**, comme indiqué ci-dessous : ``` \[Composants\]rootautoupdate = Off ``` ### Contrôle des Service Packs et des correctifs de sécurité À ce stade, vous devez vérifier à nouveau la liste des Service Packs et des correctifs installés (du fait que d'autres composants, comme IIS, ont pu être installés). Utilisez un outil tel que Microsoft Baseline Security Analyser (MBSA) pour procéder au contrôle, procurez-vous les correctifs requis et, après les tests qui s'imposent, installez-les sur le ou les serveurs. Pour savoir comment utiliser MBSA, reportez-vous au lien de la section « [Informations complémentaires](#xsltsection136121120120)» à la fin de ce module. **Remarque :** vous devez télécharger à part la liste XML des correctifs en vigueur, afin de pouvoir exécuter MBSA hors connexion. ### Installation de logiciels supplémentaires Cette section explique comment installer les éventuels logiciels supplémentaires requis pour les autorités de certification. ### CAPICOM CAPICOM 2.0 est requis sur l'autorité de certification racine et l'autorité de certification émettrice pour de nombreux scripts de gestion et d'installation fournis avec la solution. Vous trouverez des informations sur l'emplacement de la dernière version de CAPICOM dans la section « [Informations complémentaires](#xsltsection136121120120)» à la fin de ce module. Suivez les instructions fournies dans l'exécutable auto-extractible pour installer et enregistrer la bibliothèque DLL ( *Dynamic Link Library* ) de CAPICOM. ### Outils de support de Windows Server 2003 Bien que cela ne soit pas absolument nécessaire, il peut être utile d'installer les outils de support Windows 2003 sur le serveur de l'autorité de certification émettrice. Certains outils peuvent servir pour des opérations CA, d'autres peuvent servir au dépannage. Vous pouvez installer les outils de support à partir du CD-ROM d'installation de Windows (Suptools.msi dans Support\\Tools). [](#mainsection)[Haut de page](#mainsection) #### Préparation d'Active Directory pour l'infrastructure de clés publiques Cette section explique comment s'assurer qu'Active Directory est correctement préparé pour l'installation des services de certificats. ### Préparation du schéma Active Directory Il existe quelques conditions minimum requises au niveau de l'infrastructure de domaine Active Directory, selon que la solution est installée dans un environnement Windows 2000 Active Directory ou un environnement mis à niveau (ou directement installé) pour Windows Server 2003 Active Directory. ### Conditions requises pour toutes les versions d'Active Directory La solution nécessite un niveau fonctionnel Windows 2000 en mode natif (ou supérieur) pour le domaine dans lequel les serveurs des autorités de certification sont installés. Si tel n'est pas le cas, vous devez mettre à niveau le domaine en suivant les consignes de l'article Microsoft TechNet suivant : [http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag\_changedomlevel.asp.](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs%0A/entserver/sag_changedomlevel.asp) **Remarque :** le niveau fonctionnel du domaine d'Active Directory est toujours en mode mixte, même si vous avez installé un domaine Windows 2003 Active Directory natif. Vous devez le mettre à niveau avant de poursuivre. Par défaut, le niveau de fonctionnalité de la forêt Active Directory est Windows 2000 (ou supérieur). Vous n'avez pas besoin de le modifier. Pour plus d'informations sur ces concepts, reportez-vous à l'article TechNet suivant : [http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag\_levels.asp.](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_levels.asp) ### Installation dans un domaine Windows 2000 Si la solution est installée dans une forêt Active Directory Windows 2000, vous devez modifier le schéma d'annuaire avant l'installation des services de certificats Windows 2003. Vous devez également veiller à ce que le Service Pack 3 au moins de Windows 2000 soit appliqué à tous les contrôleurs de domaine. Cette condition est requise pour l'outil de mise à jour du schéma et afin que le contrôleur de domaine prenne en charge la signature LDAP ( *Lightweight Directory Access Protocol* ). Cette fonctionnalité, qui renforce la sécurité, est requise par les autorités de certification de Windows Server 2003 et par les clients Microsoft Windows XP utilisant l'inscription automatique des certificats. Nombre de fonctions des services de certificats Windows 2003 (comme l'inscription automatique des utilisateurs et les modèles modifiables) nécessitent que la version du schéma Active Directory soit Windows Server 2003, ce qui n'implique pas toutefois que tous les contrôleurs de domaine doivent exécuter Windows Server 2003. Simplement, les services de certificats de Windows Server 2003 ont besoin d'extensions de schéma particulières qui n'existent pas dans le schéma Active Directory de Windows 2000. Vous pouvez mettre à jour le schéma d'annuaire grâce à l'outil ADPrep.exe, qui se trouve dans le dossier i386 du support de distribution de Windows Server 2003. Pour utiliser Adprep, le Service Pack 3 (SP3) au moins doit avoir été appliqué aux contrôleurs de domaine de Windows 2000 (Adprep fonctionne avec le Service Pack 1 avec quelques correctifs supplémentaires, mais de toute façon le SP3 est nécessaire par ailleurs). N'utilisez pas cet outil avant d'avoir vérifié que le niveau de correctif de tous les contrôleurs de domaine est correct. **Avertissement :** Cette procédure modifie de manière irréversible votre schéma d'annuaire. Bien qu'elle ne présente pas de risque, lisez bien la documentation associée avant de commencer. Sur le contrôleur de domaine ayant le rôle de contrôleur de schéma, vous devez exécuter la commande suivante : **ADPrep /ForestPrep** Vous devez être membre des Administrateurs du schéma pour effectuer cette tâche ou demander à un administrateur bénéficiant des autorisations adéquates de l'effectuer à votre place. Pour en savoir davantage sur l'outil ADPrep, reportez-vous à la section « [Informations complémentaires](#xsltsection136121120120)» à la fin du module. ### Vérification de l'état de préparation d'Active Directory La procédure suivante permet de vérifier le niveau fonctionnel du domaine et la version du schéma. - **Pour vérifier le niveau fonctionnel du domaine** 1. Ouvrez Utilisateurs et ordinateurs Active Directory. 2. Affichez les propriétés de l'objet Domaine. 3. Dans l'onglet **Général**, une des deux propositions suivantes doit s'afficher pour le **Niveau fonctionnel du domaine** : - Windows 2000 natif - Windows Server 2003 - **Pour vérifier la version de schéma** 1. À partir de l'invite de commande, tapez les commandes suivantes (remplacez bien le DN par celui de votre racine de forêt dans la commande dsquery.exe) : **dsquery \* "cn=schema,cn=configuration,*DC=woodgrovebank,DC=com*" -scope base -attr objectversion** **Remarques :** cette commande occupe plusieurs lignes sur le papier. Tapez-la sur une seule ligne. Vous devez l'exécuter sur un serveur Windows 2003 Server. Par défaut, Dsquery.exe n'est pas disponible sur Windows XP ou Windows 2000. 2. Le résultat de la commande doit afficher une version de schéma de 30 (ou supérieure), comme indiqué ci-dessous : ``` objectversion30 ``` ### Groupes et utilisateurs d'Active Directory Cette section explique comment créer des groupes de sécurité et des comptes utilisateur Active Directory utilisables par les autorités de certification. ### Création de groupes d'administration pour l'autorité de certification et l'infrastructure de clés publiques Les rôles d'administration et les fonctions sont définis par l'intermédiaire de comptes utilisateur de domaine et de groupes de sécurité. **Remarque :** la solution définit de nombreux groupes de sécurité correspondant à des rôles administratifs distincts. Ainsi, vous maîtrisez la manière de déléguer les responsabilités relatives à l'administration de l'autorité de certification. Ceci étant, vous n'êtes pas *obligé* d'utiliser tout ou partie de ces rôles s'ils ne correspondent pas à votre modèle d'administration. À la limite, si un seul administrateur PKI s'occupe de tous les aspects du service, vous pouvez ajouter ce compte à tous les groupes de rôles de l'autorité de certification. En pratique, la plupart des organisations distinguent les rôles, mais peu d'entre elles utilisent toutes les possibilités de rôle des services de certificats de Windows. - **Pour créer des groupes d'administration de l'autorité de certification dans le domaine** 1. Ouvrez une session avec un membre du domaine possédant un compte dont les autorisations permettent de créer des objets de groupe et d'utilisateur dans le conteneur Utilisateurs. 2. Exécutez la commande suivante pour créer les groupes de gestion de l'autorité de certification pour le domaine : **Cscript //job:CertDomainGroups C:\\MSSScripts\\ca\_setup.wsf** Ce script crée les groupes de sécurité répertoriés dans le tableau suivant comme des groupes universels. Les groupes sont créés dans le conteneur Utilisateurs et doivent être déplacés dans une unité d'organisation plus appropriée. (Une illustration figure dans une autre section). **Tableau 7 : Noms de groupes et objectifs**

Nom de groupe	Objectif
Enterprise PKI Admins	Administrateurs du conteneur de configuration Public Key Services
Enterprise PKI Publishers	Autorisés à publier les listes de révocation de certificats et les certificats de la CA dans le conteneur Configuration de l'entreprise
CA Admins	Dotés de fonctions d'administration complètes de l'autorité de certification, y compris pour déterminer l'appartenance des autres rôles.
Certificate Managers	Gèrent l'émission et la révocation des certificats
CA Auditors	Gèrent les données d'audit relatives à l'autorité de certification
CA Backup Operators	Sont autorisés à sauvegarder et restaurer les données et les clés de l'autorité de certification

**Remarques :** si vous avez besoin de rôles distincts pour les administrateurs, les gestionnaires de certificats, les auditeurs et les opérateurs de sauvegarde de l'autorité de certification de l'entreprise, vous devez créer des groupes séparés pour chaque autorité de certification au lieu de créer des groupes valables pour tout le domaine, comme expliqué ici. Affectez-leur un nom du type *NomCACA Admins* ou un nom similaire. Ces groupes de domaine équivalent aux groupes locaux créés sur les autorités de certification hors connexion. Le groupe d'administrateurs locaux joue également un rôle important dans la gestion d'une autorité de certification. Comme de toute évidence, il existe par défaut sur les serveurs Windows, sa création n'est pas abordée ici. Dans le cas d'une forêt à plusieurs domaines, vous devez créer ces groupes dans le même domaine que les serveurs de certificats. Bien que ce ne soit pas obligatoire, c'est l'option qui a été retenue dans la suite de ce guide. (Les groupes créés étant universels, vous pouvez les utiliser pour administrer les autorités de certification installées dans tous les domaines de la forêt.) ### Création d'utilisateurs de test pour l'administration de l'autorité de certification et l'infrastructure de clés publiques À des fins de test et d'illustration, le script suivant crée des comptes génériques correspondant à chacun des rôles définis par les groupes précédents. Néanmoins, si les comptes à utiliser réellement existent déjà à ce stade, ou si vous êtes capable de les créer, ignorez cette étape et utilisez-les. - **Pour créer des comptes utilisateur de test pour l'administration de l'autorité de certification** 1. Ouvrez une session avec un membre du domaine possédant un compte dont les autorisations sont suffisantes pour créer des objets de groupe et d'utilisateur dans le conteneur Utilisateurs. 2. Créez des comptes utilisateur (de test) du domaine pour les personnes chargées d'administrer l'autorité de certification, en exécutant le script suivant : **Cscript //job:CertDomainTestAccts C:\\MSSScripts\\ca\_setup.wsf** Le script définit des mots de passe pseudo-aléatoires sur tous les comptes (plutôt que de laisser les mots de passe vides). Notez-les à partir du résultat du script, ou modifiez les mots de passe affectés automatiquement selon vos propres choix. **Attention :** L'utilisation de comptes génériques comme ceux-ci, dont les mots de passe sont partagés par les administrateurs, rend l'audit quasiment impossible. En dehors de l'environnement de test, vous devez toujours utiliser des comptes qui se rapportent à des individus uniques. Le script crée les comptes de domaine décrits dans le tableau suivant. Le script crée des utilisateurs dans le conteneur correspondant, et vous devez les déplacer dans une unité d'organisation plus appropriée. (Vous en trouverez une illustration dans une section suivante.) **Tableau 8 : Noms de comptes et objectifs**

Compte utilisateur	Objectif du compte
EntPKIAdmin	Administrateur du conteneur de configuration Public Key Services
EntPKIPub	Autorisé à publier les listes de révocation de certificats et les certificats CA au conteneur de configuration d'entreprise
CAAdmin	Doté de fonctions d'administration complètes de l'autorité de certification, y compris pour déterminer l'appartenance des autres rôles.
CertManager	Gère l'émission et la révocation des certificats
CAAuditor	Gère les données d'audit relatives à l'autorité de certification
CABackup	Autorisé à sauvegarder et restaurer les données et les clés de l'autorité de certification

**Remarque :** les comptes de test illustrent la configuration de rôle d'administration la plus complexe, où chaque rôle de l'autorité de certification correspond à une personne distincte (compte utilisateur). Toutefois, l'utilisation de comptes distincts pour chaque rôle offre peu d'avantages, à moins que ces rôles soient vraiment pris en charge par différentes personnes. Il est tout à fait possible de travailler avec des comptes répartis dans plusieurs groupes de rôles, ou même dans tous les groupes de rôles, si cela correspond mieux à votre structure administrative. ### Ajout d'utilisateurs dans les groupes d'administration de l'autorité de certification Vous devez ajouter les comptes du personnel d'administration de votre organisation concerné aux groupes d'administration de l'autorité de certification. Pour obtenir une description complète sur la correspondance de ces groupes avec les rôles administratifs de l'infrastructure de services de certificats, reportez-vous à la section « Rôles de gestion » du module « Conception de l'infrastructure PKI» du *guide de planification*. Pour une description plus approfondie des rôles administratifs des services de certificats de Windows Server 2003, reportez-vous à la rubrique « Administration basée sur les rôles » de l'aide en ligne ou à l'article TechNet suivant : [http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag\_CS\_Manage\_Role\_based\_admin\_topnode.asp.](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_cs_manage_role_based_admin_topnode.asp) **Remarque :** après avoir créé les comptes de test dans le domaine, vous devez les ajouter manuellement dans les groupes de sécurité correspondants. Par sécurité, ils ne sont pas ajoutés par défaut. La procédure d'installation explicitée dans la suite du document implique d'exécuter des actions en utilisant des comptes appartenant aux groupes Enterprise PKI Admins, Enterprise PKI Publishers et CA Admins. Ainsi, vous n'avez pas besoin d'utiliser inutilement les privilèges du groupe Administrateurs de l'entreprise ou Admins du domaine. **Remarque :** il est possible de mettre en œuvre une séparation stricte des rôles au niveau des services de certificats de Windows Server 2003. Autrement dit, tous les comptes auxquels sont affectés plusieurs rôles (soit directement, soit via l'appartenance aux groupes) sont exclus de tous les rôles administratifs pour l'autorité de certification. Néanmoins, cette possibilité n'est pas activée par défaut au niveau du produit ou de la solution, vous pouvez par conséquent affecter le même compte utilisateur à plusieurs rôles administratifs si votre organisation le permet. ### Création d'un modèle d'administration simplifié pour les autorités de certification de l'entreprise Les comptes de test et les groupes d'administration illustrent la configuration de rôle d'administration la plus complexe, où chaque rôle de l'autorité de certification correspond à une personne distincte (compte utilisateur). Toutefois, l'utilisation de comptes distincts pour chaque rôle offre peu d'avantages, à moins qu'en réalité ces rôles soient pris en charge par différentes personnes. Il est tout à fait possible de travailler avec des comptes répartis dans plusieurs groupes de rôles, ou même dans tous les groupes de rôles, si cela correspond mieux à votre structure administrative. La plupart des organisations utilisent trois rôles : l'administrateur d'autorité de certification, l'auditeur et l'opérateur de sauvegarde. Ils sont illustrés dans le tableau suivant (en utilisant un sous-ensemble des comptes de test créés précédemment à titre d'exemple). **Tableau 9 : Affectation des groupes au modèle d'administration simplifié**

Rôle d'administration simplifié	Appartenance au groupe
CAAdmin	- Enterprise PKI Admins - CA Admins - Certificate Managers - Administrateurs (administrateurs locaux de l'autorité de certification)
CAAuditor	- CA Auditors - Administrateurs (administrateurs locaux de l'autorité de certification)
CABackup	CA Backup Operators

Grâce à cet arrangement, le compte CA Admin est autorisé à effectuer toutes les tâches administratives des autorités de certification de l'entreprise (y compris l'approbation et la révocation des certificats) et dispose d'un contrôle administratif sur toutes les informations de configuration PKI dans Active Directory (toutes les autorisations correspondantes sont définies ultérieurement dans le document). ### Suggestion de structure d'UO du domaine pour la gestion de l'autorité de certification et le modèle de certificats Plusieurs types de groupe et de compte utilisateur sont associés à la gestion et l'exploitation d'une infrastructure de clés publiques. Pour faciliter la gestion des groupes et des utilisateurs, structurez-les en unités d'organisation (UO). Le tableau suivant propose une structure d'UO, en indiquant l'objectif de chaque UO (les éléments en retrait correspondent à des UO enfants de l'UO des services de certificats). Vous devez octroyer au groupe Enterprise PKI Admins l'autorisation de créer et de supprimer des groupes et des utilisateurs dans l'UO des services de certificats et dans tous les conteneurs enfants. **Tableau 10 : Exemple de structure d'UO**

Unité d'organisation	Objectif
Certificate Services
Certificate Services Administration	Contient les groupes d'administration chargés de gérer la configuration des autorités de certification et de l'infrastructure de clés publiques de l'entreprise.
Certificate Template Management	Contient les groupes chargés de gérer les modèles de certificats.
Certificate Template Enrollment	Contient les groupes auxquels sont octroyés les autorisations d'inscription et d'inscription automatique pour les modèles du même nom. Le contrôle de ces groupes peut alors être délégué au personnel approprié pour permettre un système d'inscription flexible sans toucher aux modèles eux-mêmes.
Certificate Services Test Users	Contient les comptes de test provisoires.

Pour en savoir plus sur l'utilisation de ces UO et les groupes qu'elles contiennent, reportez-vous aux sections concernées du module « Managing the Public Key Infrastructure » du document [*Microsoft Solution for Securing Wireless LANS: Operations Guide*](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en). - **Pour créer la hiérarchie d'administration de l'UO des services de certificats** 1. Ouvrez une session en tant qu'administrateur avec un niveau d'autorisation suffisant pour créer des unités d'organisation et accorder des autorisations pour ces UO. (En tant que créateur des nouvelles UO, vous pouvez toujours vous accorder l'autorisation de déléguer le contrôle de ces UO). 2. Créez la structure d'UO illustrée dans le tableau précédent à un emplacement du domaine approprié. (Par hypothèse, il s'agit du domaine racine de la forêt, mais ce n'est pas obligatoire.) 3. Accordez au groupe E **nterprise PKI Admins** l'autorisation de créer et supprimer des groupes dans l'UO des services de certificats et tous les conteneurs enfants. **Remarque :** cette structure d'UO n'est fournie qu'à titre d'exemple. Elle n'est pas obligatoire. ### Sécurité des services de clés publiques d'Active Directory Cette section décrit comment déléguer le contrôle du conteneur des services de clés publiques aux groupes de sécurité de l'administration PKI. ### Octroi d'autorisations au conteneur des services de clés publiques Les informations de configuration PKI valables pour toute la forêt résident dans le conteneur Configuration d'Active Directory. Les autorisations d'écriture pour ce conteneur et tous ses sous-conteneurs et objets sont, par défaut, limitées au groupe de sécurité des administrateurs d'entreprise. Pour autoriser le groupe Enterprise PKI Admins à installer les autorités de certification et à configurer les modèles de certificats, et autoriser le groupe Enterprise PKI Publishers à publier les listes de révocation des certificats et les certificats CA sans avoir besoin d'être membre du groupe de sécurité des administrateurs d'entreprise, vous devez modifier la sécurité au niveau du conteneur des services de clés publiques. **Remarque :** à moins d'être membre du groupe Administrateurs de l'entreprise, vous devez demander à un membre du groupe Administrateurs de l'entreprise d'Active Directory d'effectuer la première procédure. - **Pour accorder des autorisations au groupe Enterprise PKI Admins** 1. Ouvrez une session en tant que membre du groupe de sécurité **Administrateurs de l'entreprise**. 2. Dans le composant logiciel enfichable MMC ( *Microsoft Management Console* ) Sites et Services Active Directory, affichez le nœud **Services** (à partir du menu **Affichage** ). Naviguez jusqu'au sous-conteneur **Public Key Services** et affichez ses propriétés. 3. Dans l'onglet **Sécurité**, ajoutez le groupe de sécurité **Enterprise PKI Admins**, et accordez-lui le **Contrôle total**. 4. Dans la vue **Avancée**, modifiez, si besoin est, les autorisations du groupe de sorte que le **Contrôle total** s'applique à **cet objet et à tous les objets enfant**. 5. Sélectionnez le conteneur **Services** et affichez ses propriétés. 6. Dans l'onglet **Sécurité**, ajoutez le groupe de sécurité **Enterprise PKI Admins**, et accordez-lui le **Contrôle total**. 7. Dans la vue **Avancée**, modifiez, si besoin est, les autorisations du groupe de sorte que le **Contrôle total** s'applique à **cet objet** uniquement. - **Pour accorder des autorisations au groupe Enterprise PKI Publishers** 1. Ouvrez une session en tant que membre du groupe de sécurité **Enterprise PKI Admins** (ou Administrateurs de l'entreprise). 2. Dans le composant logiciel enfichable MMC Sites et Services Active Directory, affichez le nœud **Services**, puis les propriétés du conteneur **Public Key Services\\AIA**. 3. Dans l'onglet **Sécurité**, ajoutez le groupe de sécurité **Enterprise PKI Publishers**, et accordez-lui les autorisations suivantes : - Lire - Écrire - Créer tous les objets enfants - Supprimer tous les objets enfants 4. Dans la vue **Avancée**, modifiez, si besoin est, les autorisations du groupe de sorte qu'elles s'appliquent à **cet objet et à tous les objets enfant**. 5. Répétez les étapes 2 à 4 pour les conteneurs suivants : - Public Key Services\\CDP - Public Key Services\\Certification Authorities **Remarque :** lorsque les autorisations ont été accordées au groupe Enterprise PKI Admins, un membre de ce groupe peut à son tour accorder des autorisations au groupe Enterprise PKI Publishers. ### Octroi d'autorisations au groupe Cert Publishers Le groupe de sécurité Cert Publishers contient les comptes d'ordinateur de toutes les autorités de certification du domaine. Ce groupe sert à appliquer des autorisations aux objets d'ordinateur et d'utilisateur, ainsi qu'aux objets du conteneur CDP mentionné précédemment. Lors de l'installation d'une autorité de certification, son compte d'ordinateur doit être ajouté à ce groupe. Par défaut, seuls les groupes Admins du domaine, Administrateurs de l'entreprise et et le groupe prédéfini Administrateurs sont autorisés à modifier l'appartenance au groupe Cert Publishers. Pour autoriser les membres du groupe Enterprise PKI Admins à installer des autorités de certification d'entreprise, vous devez modifier les autorisations de ce groupe de sécurité. - **Pour accorder l'autorisation de modifier l'appartenance au groupe au groupe Cert Publishers** 1. Ouvrez une session en tant que membre de **Admins du domaine** (dans lequel l'autorité de certification émettrice est installée). 2. Ouvrez le composant MMC **Utilisateurs et ordinateurs Active Directory**. 3. À partir du menu **Affichage** du composant MMC, vérifiez que l'option **Fonctionnalités avancées** est activée. 4. Localisez le groupe **Cert Publishers** (par défaut dans le conteneur **Utilisateurs** ) et affichez les propriétés du groupe. 5. Dans l'onglet **Sécurité**, ajoutez le groupe **Enterprise PKI Admins** et cliquez sur le bouton **Avancé**. 6. Sélectionnez le groupe **Enterprise PKI Admins** dans la liste et cliquez sur le bouton **Modifier**. 7. Sélectionnez l'onglet **Propriétés** et vérifiez que **Cet objet uniquement** est sélectionné dans la zone **Appliquer à :**. 8. Faites défiler l'écran vers le bas et cliquez sur la case **Write Members** dans la colonne **Autoriser**. 9. Fermez toutes les boîtes de dialogue, en cliquant sur **OK** dans chacune d'elles pour enregistrer les modifications. 10. Vous devez redémarrer le serveur de l'autorité de certification émettrice avant d'installer le composant des services de certificats. Ainsi, le serveur peut intégrer la nouvelle définition de groupe à son jeton d'accès. ### Octroi d'autorisations de restauration au groupe Enterprise PKI Admins Pour pouvoir installer des autorités de certification, vous devez être autorisé à restaurer des fichiers et des répertoires dans le domaine d'installation concerné. Le processus d'installation des services de certificats a besoin de ce droit pour installer les modèles de certificats dans le domaine. En particulier, ce droit est requis pour autoriser les descripteurs de sécurité dans les modèles et les autres objets du répertoire à fusionner, et accorder aux objets PKI du domaine les autorisations adéquates. Par défaut, ce droit est accordé aux groupes de domaine intégrés : Administrateurs, Opérateurs de serveur et Opérateurs de sauvegarde. Du fait que vous allez utiliser un groupe délégué pour effectuer l'installation de l'autorité de certification, vous devez accorder ce droit au groupe Enterprise PKI Admins utilisé pour installer l'autorité de certification. - **Pour accorder l'autorisation de restauration au groupe Enterprise PKI Admins** 1. Ouvrez une session en tant que membre de **Admins du domaine** (dans lequel l'autorité de certification émettrice doit être installée). 2. Ouvrez le composant MMC **Utilisateurs et ordinateurs Active Directory**. 3. Sélectionnez l' **UO des contrôleurs de domaine** et affichez les propriétés de cette UO. 4. Dans l'onglet **Stratégie de groupe**, sélectionnez l'objet de stratégie de groupe **Stratégie contrôleurs de domaine par défaut** et cliquez sur **Modifier**. 5. Accédez au dossier Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales\\Attribution des droits utilisateur et double-cliquez sur l'élément **Restaurer des fichiers et des répertoires**. 6. Ajoutez le groupe **Enterprise PKI Admins** à la liste affichée. 7. Fermez la boîte de dialogue et le composant MMC de modification de l'objet de stratégie de groupe **Important :** Si vous avez d'autres objets de stratégie de groupe qui définissent les droits d'utilisation **Restaurer des fichiers et des répertoires** pour les contrôleurs de domaine, vous devez effectuer la procédure précédente sur l'objet de stratégie de groupe dont la priorité est la plus élevée au lieu de la **Stratégie contrôleurs de domaine par défaut**. Les droits d'utilisations ne sont pas cumulables. Seul le dernier objet de stratégie de groupe appliqué (autrement dit, celui dont la priorité est la plus élevée) doté de ces droits est effectif. ### Vérification Vous pouvez vérifier la création des groupes, des utilisateurs et des unités d'organisation par l'intermédiaire de Ordinateurs et utilisateurs Active Directory, puis en parcourant les utilisateurs et groupes concernés. Les utilisateurs doivent appartenir aux groupes appropriés (soit les utilisateurs de test ou les utilisateurs réels). Vous pouvez vérifier que les autorisations sont correctement appliquées au conteneur des services de clés publiques en effectuant les étapes suivantes. Vous devez avoir installé une copie des outils de support Windows Server 2003 sur le système sur lequel vous effectuez cette procédure. Elle n'a pas besoin d'être effectuée sur une autorité de certification. - **Pour vérifier les autorisations des services de clés publiques** 1. Ouvrez une session avec un serveur membre du domaine (tel que le serveur de l'autorité de certification) en tant que membre de Enterprise PKI Admins. 2. Exécutez mmc.exe et chargez le composant logiciel enfichable ADSI Edit. 3. Cliquez avec le bouton droit de la souris sur le dossier ADSI Edit, sélectionnez **Connect to…**, puis **Configuration** dans la liste déroulante **Select a Well Known Naming Context**. 4. Localisez le conteneur Public Key Services et cliquez dessus avec le bouton droit de la souris. Sélectionnez **Nouveau**, puis **Objet**. 5. Choisissez **Conteneur** dans la liste et affectez-lui un nom (par exemple, **Test** ). L'objet conteneur doit avoir été créé dans le conteneur des services de clés publiques. 6. Supprimez l'objet conteneur que vous venez de créer. 7. Vous ne devez pas pouvoir créer d'objet conteneur dans le conteneur Configuration (ailleurs que dans le conteneur Services). 8. Ouvrez une session en tant que membre du groupe **Enterprise PKI Publishers**. 9. Chargez le composant ADSI Edit et connectez-vous au conteneur de configuration. 10. Essayez de créer un objet conteneur dans le conteneur Public Key Services : vous devez échouer. 11. Créez un conteneur de test dans chaque sous-conteneur des autorités de certification, AIA et CDP. 12. Supprimez-les dès que vous avez vérifié qu'ils ont bien été créés. **Attention :** Faites bien attention à supprimer uniquement les objets de test que vous avez créés. Les droits du groupe Enterprise PKI Admins, notamment, sont suffisants pour supprimer tout le conteneur Public Key Services. **Remarque :** si vous décidez de ne pas installer les outils de support de Windows Server 2003, le composant ADSI Edit n'est pas disponible. Vous pouvez effectuer ces étapes de vérification à partir de la ligne de commande par l'intermédiaire des utilitaires dsadd.exe et dsrm.exe. Néanmoins, avec ces utilitaires, vous devez veiller à utiliser la syntaxe et les chemins d'accès adéquats. Testez minutieusement les commandes sur un système de test avant de les utiliser dans l'environnement de production Active Directory. [](#mainsection)[Haut de page](#mainsection) #### Sécurisation de Windows Server 2003 pour les services de certificats Cette section décrit comment appliquer des stratégies de sécurité et d'autres mesures de sécurité à Windows Server 2003 avant d'installer les services de certificats. Lisez également la section « Sécurité physique » du module « Conception de l'infrastructure PKI» dans le *guide de planification*. ### Mise en œuvre de la sécurité sur le serveur de l'autorité de certification racine Les sections suivantes expliquent comment configurer des groupes et des comptes utilisateur locaux et comment appliquer une stratégie de sécurité au serveur de l'autorité de certification. ### Création de comptes utilisateur et de groupes de sécurité locaux sur l'autorité de certification racine L'autorité de certification racine ne faisant pas partie d'un domaine, les rôles et les fonctions administratifs sont définis par l'intermédiaire de comptes utilisateur et de groupes de sécurité. - **Pour créer des comptes utilisateur et des groupes locaux sur le serveur de l'autorité de certification racine** 1. Sur l'autorité de certification racine, exécutez le script suivant pour créer des groupes de gestion locaux : **Cscript //job:CertLocalGroups C:\\MSSScripts\\ca\_setup.wsf** Le script crée les groupes locaux décrits dans le tableau suivant. **Tableau 11 : Noms de groupes et objectifs**

Nom de groupe	Objectif
CA Admins	Dotés de fonctions d'administration complètes de l'autorité de certification, y compris pour déterminer l'appartenance des autres rôles.
Certificate Managers	Gèrent l'émission et la révocation des certificats.
CA Auditors	Gèrent les données d'audit relatives à l'autorité de certification.
CA Backup Operators	Sont autorisés à sauvegarder et restaurer les données et les clés de l'autorité de certification.

2. Créez des comptes utilisateur locaux pour les personnes chargées d'administrer l'autorité de certification. À des fins de test et d'illustration, le script suivant crée des comptes locaux génériques correspondant à chacun des rôles définis par les groupes précédents. Ceci étant, ignorez cette étape si vous avez la possibilité de créer les véritables comptes à ce stade. Créez-les à la place. **Cscript //job:CertLocalTestAccts C:\\MSSScripts\\ca\_setup.wsf** Le script utilise CAPICOM pour générer des mots de passe pseudo-aléatoires sur tous les comptes (plutôt que de laisser les mots de passe vides). Notez-les à partir du résultat du script, ou modifiez-les à votre guise. **Remarque :** l'utilisation de comptes génériques, dont les mots de passe sont partagés par les administrateurs, rend l'audit quasiment impossible. Dans un environnement de production sous haute sécurité, vous devez toujours utiliser des comptes qui se rapportent à des individus uniques. Le script crée les comptes locaux décrits dans le tableau suivant. **Tableau 12 : Noms de comptes et objectifs**

Nom de compte	Objectif
CAAdmin	Doté de fonctions d'administration complètes de l'autorité de certification, y compris pour déterminer l'appartenance des autres rôles.
CertManager	Gère l'émission et la révocation des certificats.
CAAuditor	Gère les données d'audit relatives à l'autorité de certification.
CABackup	Est autorisé à sauvegarder et restaurer les données et les clés de l'autorité de certification.

Nom de compte	Appartenance au groupe
CAAdmin	CA Admin s
CertManager	Certificate Managers
CAAuditor	- CA Auditors - Administrateurs
CABackup	CA Backup Operators

**Remarque :** les membres du groupe CA Admins peuvent également appartenir au groupe local Administrateurs. Certaines tâches nécessitent des privilèges administratifs locaux pour être menées à bien, et vous pouvez souhaiter les combiner aux rôles de CA Admins. Ce faisant, néanmoins, vous rendez impossible la séparation des rôles (expliquée ultérieurement) entre l'administration du serveur et les tâches d'administration de l'autorité de certification. **Création d'un modèle d'administration simplifié pour l'autorité de certification racine** La plupart des organisations n'ont pas besoin d'une structure d'administration aussi complexe que celle abordée dans la procédure précédente. Certaines n'ont pas besoin de séparer les rôles. La plupart utilisent trois rôles : l'administrateur d'autorité de certification, l'auditeur et l'opérateur de sauvegarde. Ils sont illustrés dans le tableau suivant (en utilisant un sous-ensemble des comptes de test créés précédemment). **Tableau 14 : Affectation des groupes au modèle d'administration simplifié**

Rôle d'administration simplifié	Appartenance au groupe
CAAdmin	- CA Admins - Certificate Managers - Administrateurs
CA Auditor	- CA Auditors - Administrateurs
CABackup	- CA Backup Operators

**Vérification des groupes et des comptes** Vérifiez la création des groupes, des utilisateurs et l'appartenance aux groupes en contrôlant le nœud Utilisateurs et groupes du composant logiciel enfichable Gestion de l'ordinateur. ### Application des paramètres de sécurité système au serveur de l'autorité de certification racine Les serveurs de certificats sont sécurisés grâce au rôle Enterprise Client Certificate Services défini dans le *Guide sur la sécurité de Windows Server 2003*, et disponible à l'adresse : [http://go.microsoft.com/fwlink/?LinkId=14845](http://go.microsoft.com/fwlink/?linkid=14845). L'autorité de certification racine ne fait pas partie d'un domaine. Par conséquent, les procédures et les modèles de sécurité doivent être appliqués manuellement. Procurez-vous les modèles de sécurité suivants dans le *Guide sur la sécurité de Windows Server 2003* et copiez-les dans le dossier C:\\MSSScripts sur le serveur de l'autorité de certification racine : - Enterprise Client - Domain.inf - Enterprise Client - Member Server Baseline.inf - Enterprise Client - Certificate Services.inf Personnalisez les modèles de sécurité et appliquez-les au serveur en respectant la procédure suivante. - **Pour personnaliser les modèles de sécurité** 1. Ouvrez une session en tant que membre des administrateurs locaux et chargez Enterprise Client-Certificate Services.inf dans le composant MMC Modèles de sécurité. 2. Dans le dossier Stratégies locales\\Options de sécurité, modifiez les éléments suivants en conformité avec les normes de sécurité édictées par votre organisation : - Comptes : renommez le compte administrateur : *NouveauNomAdmin* - Comptes : renommez le compte d'invité : *NouveauNomInvité* - Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter : *TexteMentionLégale* - Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter : *TitreMentionLégale* **Remarque :** déterminez la valeur de ces éléments en fonction des stratégies en vigueur dans votre organisation. Bien qu'il soit recommandé de configurer ces valeurs, vous n'êtes pas tenu de le faire. 3. Dans le dossier Stratégies locales\\Attribution des droits utilisateurs, ajoutez le groupe local *CA Auditors*** aux droits utilisateurs **Manage Auditing and Security Log**. 4. Dans le dossier Stratégies locales\\Attribution des droits utilisateurs, ajoutez le groupe local ***CA Backup Operators*aux droits utilisateurs : - **Sauvegarder des fichiers et des répertoires** - **Restaurer des fichiers et des répertoires** 5. Dans le dossier Stratégies locales\\Attribution des droits utilisateurs, ajoutez les groupes locaux suivants aux droits utilisateurs **Permettre l'ouverture d'une session locale** : - Administrateurs - Opérateurs de sauvegarde - **CA Admins** - **Certificate Managers** - **CA Auditors** - **CA Backup Operators** 6. Affichez les propriétés des services suivants dans le dossier System Services et cliquez sur **Définir ce paramètre de stratégie dans le modèle**. Acceptez les autorisations par défaut et cliquez sur **OK**. Sélectionnez la valeur **Automatique** pour **Sélectionnez le mode de démarrage du service**. - Stockage amovible - Cliché instantané de volume - Microsoft Software Shadow Copy Provider **Remarque :** bien que ces services soient désactivés dans le modèle de sécurité de base du serveur membre, ils sont nécessaires pour exécuter NTBackup.exe. 7. Lorsque le modèle est sélectionné, enregistrez les modifications apportées (en cliquant sur **Enregistrer** dans le menu **Fichier** ), puis fermez le composant MMC. 8. Exécutez les commandes suivantes dans l'ordre spécifié pour appliquer les modèles de sécurité requis. Secedit peut signaler que des avertissements ont été générés (ils peuvent être ignorés sans problème, ce qui n'est pas le cas s'il s'agit d'erreurs) : **secedit /configure /db %temp%\\casec.db /cfg "C:\\MSSScripts\\Enterprise Client - Domain.inf" /overwrite /log "%temp%\\Enterprise Client - Domain.log"** **secedit /configure /db %temp%\\casec.db /cfg "C:\\MSSScripts\\Enterprise Client - Member Server Baseline.inf" /log "%temp%\\Enterprise Client - Member Server Baseline.log"** **secedit /configure /db %temp%\\casec.db /cfg "C:\\MSSScripts\\Enterprise Client - Certificate Services.inf" /log "%temp%\\Enterprise Client - Certificate Services.log"** (Bien que ces commandes occupent plusieurs lignes sur le papier, tapez-les sur une seule ligne.) **Remarque :** le *Guide sur la sécurité de Windows Server 2003* aborde plus en détails les paramètres de sécurité. **Vérification des paramètres de sécurité** Pour vérifier que les paramètres de sécurité sont correctement appliqués, suivez les étapes de la procédure ci-dessous. - **Pour vérifier les paramètres de sécurité de l'autorité de certification racine** 1. Consultez les journaux de scedit générés dans la section précédente et vérifiez qu'aucune erreur majeure ne s'y trouve. (Il est normal que des avertissements et des erreurs mineures apparaissent ; ils ne doivent pas faire échouer l'application du modèle de sécurité). 2. Redémarrez le serveur et vérifiez que tous les services escomptés démarrent sans que des erreurs soient consignées dans le journal système. 3. Essayez d'ouvrir une session avec un des comptes de test (ou un des véritables comptes) créés. Le texte de la mention légale doit apparaître et vous devez être en mesure d'ouvrir une session. ### Mise en œuvre de la sécurité sur le serveur de l'autorité de certification émettrice Les sections suivantes expliquent comment appliquer une stratégie de sécurité au serveur de l'autorité de certification. ### Application des paramètres de sécurité système au serveur de l'autorité de certification émettrice Les serveurs de certificats sont sécurisés grâce au rôle des services de certificats défini dans le *Guide sur la sécurité de Windows Server 2003*. L'autorité de certification émettrice faisant partie d'un domaine, les paramètres de la stratégie de sécurité sont appliqués par l'intermédiaire d'une stratégie de groupe basée sur le domaine. Vous devez créer une structure d'UO appropriée, destinée à contenir les objets d'ordinateur du serveur de l'autorité de certification et une structure d'objets de stratégie de groupe (GPO) pour appliquer les paramètres de sécurité. Vous devez créer trois objets de stratégie de groupe : - Enterprise Client - Member Server Baseline - Enterprise Client - Certificate Services - Enterprise Client - Certificate Services IIS (uniquement si IIS est installé sur l'autorité de certification) **Remarque :** le *Guide sur la sécurité de Windows Server 2003* contient également la liste des paramètres recommandés pour la stratégie de domaine (stratégies de verrouillage des comptes et mots de passe). Tous les ordinateurs du domaine héritent de ces paramètres. Si vous ne souhaitez pas modifier la stratégie au niveau du domaine tout en utilisant les paramètres recommandés pour l'autorité de certification émettrice, vous devez également créer un quatrième objet de stratégie de groupe lié à l'UO de l'autorité de certification : Enterprise Client - Certificate Services Account Policies Suivez la procédure ci-dessous pour importer le modèle de stratégie du domaine dans ce GPO. La procédure suivante indique comment créer les UO et les GPO de votre organisation. Les noms d'UO et de GPO ne sont fournis qu'à titre indicatif. Adaptez la procédure en fonction de vos propres normes en matière de GPO et d'UO de domaine. - **Pour créer les UO et GPO du serveur de l'autorité de certification** 1. Procurez-vous les modèles de sécurité suivants dans le *Guide sur la sécurité de Windows Server 2003* : - Enterprise Client - Domain - Enterprise Client - Member Server Baseline - Enterprise Client - Certificate Services - Enterprise Client - IIS Server (uniquement si IIS est installé sur l'autorité de certification) 2. Ouvrez une session en tant que membre du groupe des Administrateurs de domaine ou en tant qu'utilisateur habilité à créer les UO mentionnées ci-dessous. Vous devez également être membre des Propriétaires créateurs de la stratégie de groupe. 3. Ouvrez le composant MMC Utilisateurs et ordinateurs Active Directory. 4. Créez la structure d'UO suivante : **woodgrovebank.com (domaine)** - **Serveurs membres** - **CA** 5. Affichez les propriétés du conteneur de domaine et, dans l'onglet **Stratégie de groupe**, cliquez sur **Nouveau** pour créer un nouveau GPO et appelez-le **Stratégie de domaine**. 6. Affichez le GPO et accédez au dossier Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité. Cliquez avec le bouton droit de la souris sur le dossier Paramètres de sécurité, puis sélectionnez **Importer**. Localisez le fichier Enterprise Client-Domain.inf et sélectionnez-le en tant que modèle à importer. 7. Fermez le GPO. 8. Répétez les trois étapes précédentes pour chaque combinaison d'UO, de GPO et de modèles de sécurité répertoriée dans le tableau suivant. **Tableau 15 : Mise en correspondance des GPO avec les modèles de sécurité et les UO**

UO	GPO	Modèle de sécurité
Member Servers	Enterprise Client - Member Server Baseline	Enterprise Client - Member Server Baseline.inf
CA	Enterprise Client - Certificate Services	Enterprise Client - Certificate Services.inf
CA	(Facultatif - cf. la remarque précédente) Enterprise Client - Certificate Services Account Policies	Enterprise Client - Domain.inf
CA	(Facultatif - si IIS existe sur l'autorité de certification) Enterprise Client - Certificate Services IIS	Enterprise Client - IIS Server.inf

**Remarque :** si vous avez choisi d'installer IIS sur l'autorité de certification émettrice (option par défaut pour cette solution), vous devez créer un GPO IIS spécialement pour les autorités de certification. Bien qu'il puisse également exister un GPO IIS pour les serveurs intranet IIS, il est fortement recommandé de créer un autre GPO spécialement pour les autorités de certification. Ainsi, les modifications apportées au GPO IIS n'influent pas sur la sécurité des autorités de certification. Lorsque vous avez créé les GPO et importé les modèles, vous devez personnaliser les paramètres des GPO et les appliquer aux ordinateurs des services de certificats, en suivant la procédure ci-dessous. - **Pour personnaliser et appliquer les GPO des services de certificats** 1. À partir d'Utilisateurs et ordinateurs Active Directory, modifiez le GPO Enterprise Client - Certificate Services. Dans le dossier Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies locales\\Options de sécurité, modifiez les éléments suivants en conformité avec les normes de sécurité de votre organisation : - Comptes : renommez le compte administrateur : *NouveauNomAdmin* - Comptes : renommez le compte d'invité : *NouveauNomInvité* - Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter : *TexteMentionLégale* - Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter : *TitreMentionLégale* 2. Dans le dossier Stratégies locales\\Attribution des droits utilisateurs, ajoutez le groupe de domaine *CA Auditors*** aux droits utilisateurs **Manage Auditing and Security Log**. 3. Dans le dossier Stratégies locales\\Attribution des droits utilisateurs, ajoutez le groupe *CA Backup Operators*aux droits utilisateurs : - Sauvegarder des fichiers et des répertoires - Restaurer des fichiers et des répertoires 4. Dans le dossier Stratégies locales\\Attribution des droits utilisateurs, ajoutez les groupes locaux et de domaine suivants aux droits utilisateurs **Permettre l'ouverture d'une session locale** : - (local) **Administrateurs** - (local) **Backup Operators** - (domaine) **Enterprise PKI Admins** - (domaine) **Enterprise PKI Publishers** - (domaine) **CA Admins** - (domaine) **Certificate Managers** - (domaine) **CA Auditors** - (domaine) **CA Backup Operators** 5. Dans **Système de fichiers**, ajoutez le dossier D:\\CertLog. Vérifiez que les autorisations sont conformes à celles du tableau suivant. **Tableau 16 : Autorisations des dossiers de la base de données de l'autorité de certification**

Utilisateur/Groupe	Autorisation	Autoriser/Refuser
Administrateurs	Contrôle total	Autoriser
Système	Contrôle total	Autoriser
Opérateurs de sauvegarde	Contrôle total	Autoriser
CRÉATEUR PROPRIÉTAIRE	Contrôle total	Autoriser

6. Dans le même dossier, ajoutez les entrées d'audit du tableau suivant au groupe Everyone (cliquez sur le bouton **Avancé** de la boîte de dialogue **Sécurité**, puis sur l'onglet **Audit** ). Tapez **Everyone** lorsque vous êtes invité à entrer un nom d'utilisateur ou de groupe. L'ajout du groupe Everyone provoque l'affichage de la boîte de dialogue détaillée **Audit de l'entrée pour** D:\\CertLog. Vérifiez que le choix **Ce dossier, les sous-dossiers et les fichiers** est sélectionné dans le champ **Appliquer à**. Vérifiez tous les éléments du tableau contenant l'indication Oui. **Tableau 17 : Audit des dossiers de la base de données de l'autorité de certification**

Autorisation	Réussite	Échec
Contrôle total		Oui
Parcours du dossier/exécuter le fichier		Oui
Liste du dossier/lecture de données		Oui
Attributs de lecture		Oui
Lecture des attributs étendus		Oui
Création de fichier/écriture de données	Oui	Oui
Création de dossier/ajout de données	Oui	Oui
Attributs d'écriture	Oui	Oui
Écriture d'attributs étendus	Oui	Oui
Suppression de sous-dossiers et fichiers	Oui	Oui
Supprimer	Oui	Oui
Autorisations de lecture		Oui
Modification des autorisations	Oui	Oui
Appropriation	Oui	Oui

7. Affichez les propriétés des services suivants dans le dossier System Services et cliquez sur **Définir ce paramètre de stratégie dans le modèle**. Acceptez les autorisations par défaut et cliquez sur **OK**. Sélectionnez la valeur **Automatique** pour **Sélectionnez le mode de démarrage du service**. - Stockage amovible - Cliché instantané des volumes - Microsoft Software Shadow Copy Provider - Planificateur de tâches **Remarque :** ces services sont désactivés dans le modèle de sécurité de base du serveur membre, mais les deux premiers sont nécessaires pour pouvoir exécuter NTBackup.exe. De plus, le Planificateur de tâches est requis par certains scripts. 8. Déplacez le compte d'ordinateur de l'autorité de certification émettrice dans l'UO des services de certificats. 9. Au niveau de l'autorité de certification émettrice, exécutez la commande suivante pour appliquer les paramètres GPO à l'ordinateur : **gpupdate** **Remarque :** le *Guide sur la sécurité de Windows Server 2003* aborde plus en détails les paramètres de sécurité. **Vérification des paramètres de sécurité** Pour vérifier que les paramètres de sécurité sont correctement appliqués, suivez les étapes de la procédure ci-dessous. - **Pour vérifier les paramètres de sécurité de l'autorité de certification racine** 1. Dans le journal des événements d'applications, cherchez les événements provenant de SceCli. Vous devriez trouver un événement ID 1704 à la suite de la commande **gpupdate**. Le texte de l'événement doit apparaître sous la forme suivante : **La stratégie de sécurité dans les objets Stratégie de groupe a été appliquée correctement.** 2. Redémarrez le serveur et vérifiez que tous les services escomptés démarrent sans que des erreurs soient consignées dans le journal système. 3. Essayez d'ouvrir une session avec un des comptes de test (ou un des véritables comptes) créés. Le texte de la mention légale doit apparaître et vous devez pouvoir ouvrir une session. ### Configuration de la sécurité des services Terminal Server sur l'autorité de certification émettrice Vous devez désactiver les services Terminal Server sur l'autorité de certification émettrice car ils offrent aux intrus une possibilité supplémentaire d'attaque de l'autorité de certification et réduisent considérablement l'impact des mesures de sécurité physiques prises pour protéger le serveur. S'ils doivent absolument rester actifs (à des fins d'administration à distance), configurez les paramètres répertoriés dans le tableau suivant. **Remarque :** l'état des services Terminal Server sur l'autorité de certification racine n'a pas d'importance car celle-ci n'est pas raccordée au réseau. Ces paramètres doivent être configurés dans le GPO Certificate Services Security ou un autre GPO concernant les autorités de certification en ligne. **Tableau 18 : Paramètres à configurer dans Configuration ordinateur\\Modèles d'administration\\Composants Windows\\Services Terminal Server**

Chemin	Domaine	Paramètre
	Refuser la déconnexion d'un administrateur qui a ouvert une session sur la console	Activé
	Ne pas autoriser les administrateurs locaux à personnaliser les autorisations	Activé
	Définir des règles de contrôle à distance des sessions utilisateurs des services Terminal Server	Aucun contrôle à distance autorisé
Redirection de données client/serveur	Autoriser la redirection du fuseau horaire	Désactivé
	Ne pas autoriser la redirection du presse-papiers	Activé
	Autoriser la redirection audio	Désactivé
	Ne pas autoriser la redirection de port COM	Activé
	Ne pas autoriser la redirection des imprimantes du client	Activé
	Ne pas autoriser la redirection de port LPT	Activé
	Ne pas autoriser la redirection de lecteur	Activé
	Ne pas définir l'imprimante par défaut du client comme imprimante par défaut de la session	Activé
Cryptage et sécurité	Toujours demander au client le mot de passe à la connexion	Activé
	Définir le niveau de cryptage de la connexion avec le client	Élevé
Cryptage et sécurité/Sécurité RPC	Sécuriser le serveur (nécessite la sécurité)	Activé
Sessions	Définir le délai de déconnexion des sessions	10 minutes
	Autoriser la reconnexion à partir du client d'origine uniquement	Activé

Tous les comptes de domaine et les groupes de sécurité qui ont besoin d'un accès Terminal Server avec l'autorité de certification doivent être ajoutés au groupe local Utilisateurs du Bureau à distance (à moins qu'ils ne fassent déjà partie du groupe des administrateurs locaux). [](#mainsection)[Haut de page](#mainsection) #### Autres tâches de configuration de Windows En fonction de l'infrastructure et des normes en vigueur au sein de votre organisation, d'autres tâches de configuration seront probablement nécessaires pour les autorités de certification racine et émettrice, notamment : - activation de sauvegardes ou installation d'agents de sauvegarde ; - configuration des options SNMP ( *Simple Network Management Protocol* ) ou WMI ( *Windows Management Instrumentation* ) ; - installation d'agents de gestion tels que des composants clients MOM ( *Microsoft Operations Manager* ) ou Microsoft SMS ( *Systems Management Server* ) ; - installation d'un logiciel antivirus ; - installation d'agents de détection des intrusions. Vous devez contrôler ces éléments lors de leur installation, conformément aux instructions fournies. [](#mainsection)[Haut de page](#mainsection) ### Installation et configuration de l'autorité de certification racine Cette section explique comment installer et configurer les services de certificats sur l'autorité de certification racine. ### Préparation du fichier CApolicy.inf pour l'autorité de certification racine Le fichier CApolicy.inf doit être créé avant de définir une autorité de certification racine Windows 2003. Il précise les caractéristiques du certificat CA auto-signé, comme les longueurs de clé, la période de validité du certificat, les emplacements de publication CRL et AIA, les stratégies de certificats et une déclaration CPS ( *Certificate Practice Statement* ), si vous en avez défini une. **Remarque :** pour plus de détails sur la déclaration CPS et savoir s'il convient d'en créer une, reportez-vous à la section « Création d'une déclaration CPS (Certificate Practice Statement) » du module « [Conception de l'infrastructure PKI](http://www.microsoft.com/france/core/404.aspx)» dans le *guide de planification*. Une déclaration CPS est un document juridique, et non technique ; par conséquent, vérifiez que vous avez besoin d'un tel document avant de configurer votre autorité de certification. Les informations CRL et AIA ne sont pas nécessaires pour un certificat CA racine proprement dit ; c'est pourquoi les paramètres *CRLDistributionPoint* et *AuthorityInformationAccess* sont définis comme **Vide** dans le fichier CApolicy.inf. - **Pour créer le fichier CAPolicy.inf** 1. Entrez le texte suivant dans un éditeur de texte, tel que le Bloc-notes : ``` \[Version\]Signature= "$Windows NT$" \[Certsrv\_Server\] RenewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=16 \[CRLDistributionPoint\] Empty=true \[AuthorityInformationAccess\] Empty=true ``` **Remarque :** la configuration d'une longueur de clé de 4 096 bits peut poser des problèmes de compatibilité si les certificats doivent être émis en direction de certains périphériques, ou utilisés par eux, (cas de certains routeurs, par exemple) ou par certains logiciels plus anciens provenant d'autres fournisseurs. En effet, ceux-ci ne peuvent pas traiter des clés dépassant une certaine taille. 2. Si une déclaration CPS est définie pour cette autorité de certification, intégrez les valeurs suivantes dans votre fichier CApolicy.inf (vous devez remplacer tous les éléments en italique par vos propres valeurs) : ``` \[CAPolicy\]Policies=WoodGrove Bank Root CA CPS \[WoodGrove Bank Root CA CPS\] OID=votre.Org.OID URL = "http://www.woodgrovebank.com/YourCPSPage.htm" URL = "ftp://www.woodgrovebank.com/YourCPSPage.txt" Notice = "WoodGrove Bank Root CA Certificate Practices Statement" ``` **Remarque :** la longueur du texte de la notice ne peut excéder 200 caractères. Si vous utilisez ce champ, limitez-vous à une brève description de la déclaration CPS, ne mettez pas l'intégralité du contenu de la CPS. 3. Enregistrez le fichier sous *dirwin* \\CApolicy.inf (remplacez *dirwin* par le chemin de dossier absolu dans lequel Windows est installé, tel que C:\\Windows). Vous devez être un administrateur local ou être autorisé à écrire dans le dossier Windows pour mener à bien cette étape. ### Installation des composants logiciels des services de certificats Les composants logiciels de l'autorité de certification s'installent par l'intermédiaire de l'Assistant Composants de Windows. Notez que le CD-ROM d'installation de Windows Server 2003 ou le chemin réseau correspondant est requis pour procéder à l'installation. - **Pour installer les services de certificats** 1. Ouvrez une session en tant que membre des administrateurs locaux et exécutez le gestionnaire de composants facultatifs (ou, à partir du Panneau de configuration, cliquez sur **Ajout/Suppression de programmes/Composants Windows)** : sysocmgr /i:sysoc.inf 2. Sélectionnez le composant des services de certificats (cliquez sur **Oui** pour ignorer la boîte de message d'avertissement sur le changement de nom). 3. Sélectionnez **Autorité de certification racine autonome** comme type de CA et vérifiez que vous avez coché la case **Utiliser les paramètres personnalisés**. 4. Dans la boîte de dialogue **Paire de clés publique et privée**, conservez les valeurs par défaut des paramètres (sauf la longueur de clé, qui doit être fixée à 4 096). Le **Type de fournisseur de services cryptographiques** doit être **Microsoft Strong Cryptographic Provider**. 5. Indiquez les informations d'identification de l'autorité de certification, de la manière suivante : - Nom commun de l'autorité de certification : *WoodGrove Bank Root CA* - Suffixe du nom distinctif : DC=woodgrovebank,DC=com (le nom racine de la forêt Active Directory de l'organisation) - Période de validité : **8*ans*** **Remarque :** si une autorité de certification a déjà été installée sur cet ordinateur, une boîte d'avertissement vous demande confirmation d'écraser la clé privée de l'installation antérieure. Avant de poursuivre, assurez-vous au préalable que vous n'aurez plus besoin de la clé. En cas de doute, annulez la procédure d'installation et sauvegardez les informations relatives à la clé existante, soit par une sauvegarde système, soit par une sauvegarde du certificat CA existant et de la clé privée (reportez-vous aux procédures correspondantes de la section, « Managing the Public Key Infrastructure » du document [Microsoft Solution for Securing Wireless LANS: Operations Guide](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en)). Le fournisseur de services de cryptographie génère la paire de clés, qui est enregistrée dans la base de clés de l'ordinateur local. 6. Conservez les valeurs par défaut pour les emplacements de la base de données de certificats, les journaux de la base de données et le dossier de configuration. **Remarque :** en cours d'installation, un avertissement vous avisant qu'il n'est pas possible de créer un dossier partagé, peut s'afficher, du fait que toutes les interfaces réseau ont été désactivées au préalable. Vous pouvez sans problème ignorer l'avertissement et poursuivre. Vous devez placer la base de données de certificats et le journal associé sur des lecteurs NTFS locaux. Le gestionnaire de composants facultatifs installe alors les composants des services de certificats. Pour ce faire, vous avez besoin du CD-ROM d'installation de Windows Server 2003. 7. Cliquez sur **OK** pour ignorer le message concernant IIS et poursuivez l'installation. ### Vérification de l'installation de l'autorité de certification racine Suivez la procédure ci-dessous pour vérifier que l'installation des services de certificats a été correctement menée : - **Pour vérifier l'installation de l'autorité de certification racine** 1. Ouvrez la console de gestion de l'autorité de certification. Vérifiez que les services de certificats ont démarré et que vous êtes en mesure d'afficher les propriétés de l'autorité de certification. 2. Dans l'onglet **Général**, sélectionnez **Certificat n 0** dans la liste des certificats de l'autorité de certification, puis cliquez sur **Afficher le certificat**. 3. Dans l'onglet **Détails** du certificat de l'autorité de certification, vérifiez que les valeurs affichées correspondent à celles décrites dans le tableau. **Tableau 19 : Extensions et propriétés de certificat de l'autorité de certification racine**

Attribut du certificat	Valeur requise
Champs Émetteur et Objet	Doivent être identiques et correspondre au nom commun complet de l'autorité de certification, plus le suffixe DN fourni pendant l'installation.
Pas avant - Pas après	16 ans
Longueur de la clé publique	RSA (4096 bits)
Utilisation de la clé	Signature numérique, Signature du certificat, Signature de la liste de révocation de certificats hors connexion, Signature de la liste de révocation de certificats (86)
Contraintes de base (critique)	Type d'objet=CA Contrainte de longueur de chemin d'accès=Aucune

    La présence du type d'objet Contraintes de base est très importante. Cette valeur distingue un certificat de l'autorité de certification d'un certificat d'entité finale. En outre, aucune extension CDP ou AIA ne doit apparaître.

    Si les valeurs obtenues sont différentes de celles escomptées, recommencez l'installation des services de certificats.

    **Remarque :** si vous essayez d'exécuter à nouveau l'installation des services de certificats, vous obtenez l'avertissement concernant l'existence de la clé privée. Si vous êtes sûr de ne pas avoir délivré de certificats avec cette clé, vous pouvez ignorer l'avertissement en toute sécurité et générer une nouvelle clé. Par contre, si l'autorité de certification a déjà délivré des certificats (autrement qu'à des fins de test), ne réinstallez pas les services de certificats avant d'avoir sauvegardé la clé et le certificat existants (vous trouverez la procédure correspondante dans la section « Managing the Public Key Infrastructure » du document [*Microsoft Solution for Securing Wireless LANS: Operations Guide* ).](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&%20displaylang=en)

4.  Pour plus d'informations ou lors de la résolution d'incidents, vous pouvez également consulter l'historique d'installation des services de certificats : *%systemroot%\\certocm.log*.

Configuration des propriétés de l'autorité de certification racine

Certains paramètres de la configuration de l'autorité de certification sont spécifiques à l'environnement. Les valeurs de ces paramètres sont précisées dans la section « Feuille de planification des services de certificats » abordée précédemment dans ce module. Cette procédure configure les propriétés de l'autorité de certification répertoriées dans le tableau suivant.

Tableau 20 : Propriétés de l'autorité de certification à configurer

Propriété de l'autorité de certification	Description
URL des points de distribution de la liste de révocation de certificats	Emplacements HTTP, LDAP et FILE à partir desquels une liste de révocation courante peut être obtenue. L'emplacement FILE correspond à un dossier local ; il est utilisé par l'autorité de certification uniquement pour stocker les listes de révocation de certificats qu'elle délivre. Seuls les emplacements LDAP et HTTP sont inclus dans les certificats délivrés. L'URL HTTP est listée par ordre avant LDAP, de sorte que les clients qui utilisent les certificats de l'autorité de certification racine ne dépendent pas d'Active Directory.
URL AIA	Emplacements à partir desquels obtenir des certificats de l'autorité de certification. Comme pour les points de distribution, FILE correspond à l'emplacement dans lequel publier le certificat de l'autorité de certification, et l'URL HTTP est prioritaire par rapport à l'URL LDAP.
Période de validité	Période de validité maximum pour les certificats délivrés (elle diffère de la période de validité du certificat CA lui-même, qui est définie dans le fichier CAPolicy.inf ou par l'autorité de certification parente).
Intervalle pour la liste de révocation de certificats	Fréquence de publication de la liste de révocation de certificats.
Période de chevauchement des listes de révocation	Temps pendant lequel se chevauchent la nouvelle liste de révocation publiée et l'ancienne qui n'a pas encore expiré.
Période CRL-Delta	Fréquence de publication des CRL-Delta (sur l'autorité de certification racine, les CRL-Delta sont désactivés).
Audit de l'autorité de certification	Paramètres d'audit de l'autorité de certification (par défaut, l'audit complet est activé)

- **Pour configurer les propriétés de l'autorité de certification racine** 1. Ouvrez une session sur le serveur de l'autorité de certification en tant que membre du groupe des administrateurs locaux. 2. Personnalisez le script suivant (C:\\MSSScripts\\pkiparams.vbs) pour y inclure le DN de la racine de la forêt Active Directory (modifiez la valeur du paramètre **AD\_ROOT\_DN** ) et l'URL HTTP (modifiez la valeur du paramètre **HTTP\_PKI\_VROOT** pour faire correspondre le chemin HTTP au répertoire IIS virtuel que vous avez défini précédemment) qui pointe vers le serveur Web de publication des accès aux informations de l'autorité et des points de distribution des certificats. **Remarque :** seule une partie du fichier est reproduite ici. Ne modifiez pas ou ne supprimez pas d'autres éléments du fichier à moins de mesurer pleinement l'impact de ces actions. ``` '**************************************************************************' CONSTANTES POUVANT ÊTRE DÉFINIES PAR L'UTILISATEUR ' ' Ces valeurs DOIVENT être définies pour refléter les valeurs ' réelles utilisées par l'organisation. '************************************************************************** ' Il s'agit de l'URL de publication des certificats CA/des CRL. CONST CA_HTTP_PKI_VROOT = " http://www.woodgrovebank.com/pki" ' À paramétrer uniquement si des clients autres qu'Active directory ' doivent interroger l'URL LDAP pour rechercher les CRL. En général, HTTP convient. Si vous spécifiez ' un DC FQDN particulier, TOUS les clients utilisent ce DC pour l'interrogation. ' Les clients AD laissés vides utilisent le serveur LDAP par défaut (DC local). CONST CA_LDAP_SERVER = "" ' À configurer sur le DN du domaine racine de la forêt Active Directory ' Sert à définir les chemins CDP et AIA de la CA racine, afin que les clients ' puissent obtenir d'Active Directory des informations sur le certificat CA et la CRL. CONST AD_ROOT_DN = "DC=woodgrovebank,DC=com" ``` 3. Exécutez ensuite le script suivant : **Cscript //job:RootCAConfig C:\\MSSScripts\\ca\_setup.wsf** ### Configuration des rôles d'administration Afin de pouvoir utiliser les rôles d'administration (auditeur, gestionnaire de certificat, etc.) avec l'autorité de certification, vous devez faire correspondre les groupes de sécurité créés précédemment à ces rôles. **Remarque :** cette solution se base sur les groupes créés précédemment pour définir plusieurs rôles distincts. Ainsi, vous pouvez plus facilement déléguer des responsabilités liées à la gestion de l'autorité de certification. Si vous n'avez pas besoin d'un tel niveau de délégation, envisagez d'utiliser le modèle de groupe d'administration simplifié abordé précédemment dans le module. Vous bénéficierez ainsi d'un plus petit nombre de comptes pour effectuer les fonctions d'administration liées à l'autorité de certification. - **Pour configurer les rôles d'administration sur l'autorité de certification racine** 1. Depuis la console de gestion de l'autorité de certification, cliquez sur **Propriétés** pour modifier les propriétés de l'autorité de certification. 2. Cliquez sur l'onglet **Sécurité** et ajoutez les groupes de sécurité locaux répertoriés dans le tableau suivant. Spécifiez les autorisations mentionnées pour chaque groupe. **Tableau 21 : Autorisations relatives à l'autorité de certification à ajouter**

Nom de groupe	Autorisation	Autoriser/Refuser
CA Admins	Gérer l'autorité de certification	Autoriser
Certificate Managers	Émettre et gérer des certificats	Autoriser

**Remarque** : pour complètement séparer les rôles, vous devez retirer au groupe des administrateurs locaux l'autorisation Gérer l'autorité de certification. Ainsi, la séparation des rôles est complète. 3. D'autres rôles de sécurité ont déjà été définis pour cette autorité de certification par l'intermédiaire de la stratégie de sécurité appliquée précédemment au serveur : - Le groupe CA Auditors dispose des droits utilisateurs Gérer la sécurité et Gérer les journaux d'audit. - Le groupe CA Backup Operators dispose des droits nécessaires pour sauvegarder et restaurer l'autorité de certification. ### Transfert sur disque du certificat de l'autorité de certification racine et de la liste de révocation Vous devez copier le certificat de l'autorité de certification racine et la liste de révocation de certificats afin qu'ils puissent être publiés sur le serveur Active Directory et sur le serveur de publication de la liste de révocation et du certificat IIS. - **Pour copier sur disque le certificat de l'autorité de certification racine et la liste de révocation de certificats** 1. Ouvrez une session avec l'autorité de certification racine en tant que membre du groupe CA Admins local, puis insérez le disque à utiliser pour le transfert dans le lecteur. 2. Exécutez le script suivant pour copier le certificat de l'autorité de certification sur disque : **Cscript //job:GetCACerts C:\\MSSScripts\\CA\_Operations.wsf** 3. Exécutez le script suivant pour copier la liste de révocation de certificats de l'autorité de certification sur disque : **Cscript //job:GetCRLs C:\\MSSScripts\\CA\_Operations.wsf** 4. Nommez le disque ***Transfer-\[HQ-CA-01\]***, notez la date et conservez-le pour plus tard. **Remarque :** le disque ne contenant pas d'informations confidentielles (sur la clé privée de l'autorité de certification, notamment), aucune précaution de manipulation particulière n'est nécessaire. ### Publication des informations de l'autorité de certification racine Avant de pouvoir installer l'autorité de certification émettrice, vous devez publier le certificat de l'autorité de certification racine dans le magasin racine approuvé d'Active Directory, puis publier la liste de révocation de l'autorité de certification racine dans le conteneur CDP d'Active Directory. Ainsi, tous les membres du domaine (y compris l'autorité de certification émettrice) importent le certificat de l'autorité de certification racine dans leur propre magasin racine et peuvent vérifier l'état de révocation de tous les certificats délivrés par l'autorité de certification racine. Dans ce cas, l'autorité de certification émettrice doit vérifier l'état de révocation de son propre certificat avant le démarrage des services de certificats. **Remarque :** la procédure suivante peut être exécutée à partir d'un membre quelconque du domaine, bien que certutil.exe doive être présent sur ce système, ainsi que les bibliothèques de support certadm.dll et certcli.dll. Certutil.exe (et les DLL requises) est installé en même temps que Windows Server 2003. Pour ce faire, vous pouvez, par exemple, utiliser le serveur de l'autorité de certification émettrice non configurée. - **Pour publier le certificat de l'autorité de certification racine et la liste de révocation de certificats dans Active Directory** 1. Ouvrez une session avec un ordinateur membre du domaine en tant que membre du groupe ***Enterprise PKI Admins*et insérez le disque utilisé précédemment pour stocker le certificat de l'autorité de certification racine et la liste de révocation (nommé **Transfer-\[HQ-CA-01\]** ). 2. Exécutez le script suivant pour publier le certificat de l'autorité de certification dans Active Directory : **Cscript //job:PublishCertstoAD C:\\MSSScripts\\CA\_Operations.wsf** 3. Exécutez le script suivant pour publier la ou les listes de révocation de certificats de l'autorité de certification dans Active Directory : **Cscript //job:PublishCRLstoAD C:\\MSSScripts\\CA\_Operations.wsf** ### Publication de la liste de révocation de certificats et du certificat de l'autorité de certification racine sur le serveur Web Cette étape est nécessaire car des versions HTTP des URL AIA et CDP ont été spécifiées dans les extensions des certificats de l'autorité de certification. Lorsque ces extensions existent, elles doivent être respectées en publiant les listes de révocation de certificats et les certificats dans les emplacements définis. **Remarque :** cette procédure est la même, que le serveur Web de publication des informations AIA et CDP se trouve sur l'autorité de certification émettrice ou sur un autre serveur. Elle part du principe que le répertoire virtuel correspond à celui défini dans la procédure précédente pour configurer IIS : C:\\CAWWWPub. Si le chemin est différent, vous devez modifier la valeur de WWW\_LOCAL\_PUB\_PATH dans le fichier C:\\MSSScripts\\PKIParams.vbs. - **Pour publier le certificat de l'autorité de certification racine et la liste de révocation de certificats sur l'URL Web** 1. Ouvrez une session sur le serveur Web en tant qu'administrateur local ou avec un compte dont les autorisations permettent d'écrire dans le dossier C:\\CAWWWPub. 2. Vérifiez que le disque (nommé **Transfer-\[HQ-CA-01\]** ) contenant les certificats de l'autorité de certification et les listes de révocation se trouve dans le lecteur. 3. Exécutez le script suivant pour publier le certificat de l'autorité de certification dans le dossier du serveur Web : **Cscript //job:PublishRootCertstoIIS** **C:\\MSSScripts\\CA\_Operations.wsf** (La commande occupe deux lignes sur le papier. Tapez-la sur une seule ligne.) 4. Exécutez le script suivant pour publier la liste de révocation de certificats de l'autorité de certification dans le dossier du serveur Web : **Cscript //job:PublishRootCRLstoIIS** **C:\\MSSScripts\\CA\_Operations.wsf** (La commande occupe deux lignes sur le papier. Tapez-la sur une seule ligne.) ### Vérification de la publication des informations de l'autorité de certification racine Vous devez vérifier que les informations de l'autorité de certification racine ont bien été publiées. Pour ce faire, vous devez ouvrir une session avec un ordinateur membre du domaine connecté au réseau et en utilisant un compte de domaine valable. **Remarque :** avant de vérifier que les informations de l'autorité de certification racine ont été publiées, il se peut que vous deviez attendre que la réplication d'Active Directory ait eu lieu et utiliser GPUPDATE pour forcer le téléchargement du certificat de l'autorité de certification racine. - **Pour vérifier la publication des informations de l'autorité de certification racine** 1. Exécutez la commande suivante pour vérifier que le certificat de l'autorité de certification a été publié dans le magasin racine approuvé : **certutil -viewstore -enterprise Root** 2. Un certificat doit s'afficher. Vérifiez que les valeurs **Émetteur** et **Objet** correspondent à celles définies pour le nom de l'autorité de certification racine et que la date indiquée pour **Valide à partir du** est la date du jour. 3. Pour vérifier que la liste de révocation de l'autorité de certification racine a été publiée dans le répertoire, exécutez la commande suivante, en remplaçant les éléments en italique par les valeurs utilisées dans votre propre installation (Nom CA commun, Nom d'hôte CA abrégé et DN de la racine de la forêt Active Directory) : **certutil -store -enterprise "ldap:///cn=WoodGrove Bank Root CA,cn=HQ-CA-01,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=woodgrovebank,DC=com?certificateRevocationList?base?objectClass=crlDistributionPoint"** 4. Le résultat doit s'afficher sous la forme suivante. Vérifiez que la valeur de l' **Émetteur** correspond au nom configuré pour l'autorité de certification racine : ``` ================ CRL 0 ================ Émetteur : CN=WoodGrove Bank Root CA,DC=woodgrovebank,DC=com Version de l'autorité de certification : V1.0 Numéro de la liste de révocation de certificats : CRL Number=1 Hachage de la liste de révocation de certificats(sha1) : 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe CertUtil : -store command completed successfully. ``` 5. Pour vérifier que le certificat de l'autorité de certification a bien été publié sur le serveur Web, indiquez l'URL suivante dans un navigateur, en remplaçant les éléments en italique par les valeurs de votre propre environnement : **http://*www.woodgrovebank.com*/pki/*HQ-CA-01\_WoodGrove Bank Root CA*.crt** **Remarque :** il se peut que vous deviez indiquer le nom DNS complet du serveur de l'autorité de certification dans le nom du fichier du certificat. 6. Vous êtes invité à ouvrir ou enregistrer le fichier. Ouvrez-le et vérifiez que la liste de révocation de l'autorité de certification racine est affichée. 7. Pour vérifier que la liste de révocation de certificats de l'autorité de certification racine a bien été publiée sur le serveur Web, indiquez l'URL suivante dans un navigateur, en remplaçant les éléments en italique par les valeurs de votre propre environnement : **http://*www.woodgrovebank.com*/pki/*WoodGrove Bank Root CA*.crl** 8. Vous êtes invité à ouvrir ou enregistrer le fichier. Ouvrez-le et vérifiez que la liste de révocation de l'autorité de certification racine est affichée. **Remarque :** si vous avez renouvelé le certificat de l'autorité de certification ou délivré plusieurs listes de révocation de certificats, les numéros de version affichés au niveau du résultat de ces commandes peuvent varier. [](#mainsection)[Haut de page](#mainsection) #### Installation et configuration de l'autorité de certification émettrice Cette section explique comment installer et configurer les services de certificats sur l'autorité de certification émettrice. Au cours de l'installation, un ensemble d'interactions complexes s'opèrent entre cette autorité de certification, l'autorité de certification racine, Active Directory et le serveur Web. Elles sont présentées dans le schéma suivant. Il peut être utile de vous y référer au fur et à mesure que vous progressez dans cette section. ![](images/Dd491912.SGFG16102(fr-fr,TechNet.10).jpg) *Figure 2* *Interactions entre les autorités de certification, Active Directory et le serveur Web pendant l'installation de l'autorité de certification émettrice* Le schéma montre les principales interactions qui s'opèrent entre les différents systèmes au cours de l'installation de l'autorité de certification émettrice. Les phases sont les suivantes : 1. Publication du certificat de l'autorité de certification racine et de la liste de révocation de certificats dans Active Directory. 2. Publication de la liste de révocation de certificats et du certificat de l'autorité de certification racine sur le serveur Web. 3. Installation du logiciel des services de certificats, ce qui génère une demande de certificat, que vous devez transmettre à l'autorité de certification racine sur disque. Vous émettez le certificat au niveau de l'autorité de certification racine. 4. Installation du certificat de l'autorité de certification émettrice. 5. Publication de la liste de révocation de certificats et du certificat de l'autorité de certification émettrice sur le serveur Web. **Remarque :** les étapes 1 et 2 ont été abordées précédemment, à la section « Publication des informations de l'autorité de certification racine ». L'étape repérée par X sur le schéma s'inscrit dans le processus de configuration des valeurs AIA et CRL sur l'autorité de certification émettrice pendant l'étape « Configuration des propriétés de l'autorité de certification émettrice ». Les autres étapes sont abordées dans cette section. ### Préparation du fichier CApolicy.inf pour l'autorité de certification émettrice À proprement parler, le fichier CAPolicy.inf n'est pas indispensable pour l'autorité de certification émettrice. Néanmoins, vous en aurez besoin, le cas échéant, pour changer la taille de clé utilisée par l'autorité de certification. Vous devez créer le fichier CApolicy.inf avant d'installer l'autorité de certification émettrice (bien que vous puissiez en ajouter un ultérieurement et renouveler le certificat de l'autorité de certification). Ce fichier contient certaines des caractéristiques du certificat de l'autorité de certification, comme la longueur de clé et la déclaration CPS (si elle existe). - **Pour créer le fichier CAPolicy.inf** 1. Entrez le texte suivant dans un éditeur de texte, tel que le Bloc-notes. ``` \[Version\]Signature= "$Windows NT$" \[Certsrv\_Server\] RenewalKeyLength=2048 ``` 2. Si une déclaration CPS est définie pour cette autorité de certification, intégrez les valeurs suivantes dans votre fichier CApolicy.inf (vous devez remplacer tous les éléments en italique par vos propres valeurs) : ``` \[CAPolicy\]Stratégies=WoodGrove Bank Issuing CA 1 CPS \[WoodGrove Bank Issuing CA 1 CPS\] OID=votre.Org.OID URL = "http://www.woodgrovebank.com/YourCPSPage.htm" URL = "ftp://www.woodgrovebank.com/YourCPSPage.txt" Notice = "WoodGrove Bank Issuing CA 1 Certificate Practices Statement" ``` **Remarques :** La longueur du texte de la notice ne peut excéder 200 caractères. si vous utilisez ce champ, limitez-vous à une brève description de la déclaration CPS, ne mettez pas l'intégralité du contenu de la CPS. Pour plus de détails sur la déclaration CPS et le fait de savoir s'il convient d'en créer une, reportez-vous à la section « Création d'une déclaration CPS (Certificate Practice Statement) » du module « [Conception de l'infrastructure PKI](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en)» dans le *guide de planification*. Une déclaration CPS est un document juridique, et non technique ; par conséquent, vérifiez que vous avez besoin d'un tel document avant de configurer votre autorité de certification. 3. Enregistrez le fichier sous *%dirwin%* \\CApolicy.inf (ou remplacez *%dirwin%* par le chemin de dossier absolu dans lequel Windows est installé, tel que C:\\Windows). Vous devez être un administrateur local ou être autorisé à écrire dans le dossier Windows pour mener à bien cette étape. ### Installation des composants logiciels des services de certificats Les composants logiciels de l'autorité de certification s'installent par l'intermédiaire de l'Assistant Composants de Windows. Notez que le CD-ROM d'installation de Windows Server 2003 peut être demandé en cours d'installation. - **Pour installer les services de certificats** 1. Ouvrez une session avec le serveur en tant que membre du groupe Administrateurs de l'entreprise du domaine et exécutez le gestionnaire de composants facultatifs (ou, à partir du Panneau de configuration, cliquez sur **Ajout/Suppression de programmes** / **Composants Windows** ) : sysocmgr /i:sysoc.inf **Remarque :** au lieu d'utiliser un compte Administrateurs de l'entreprise, vous pouvez utiliser un compte appartenant à la fois au groupe Enterprise PKI Admins et au groupe Admins du domaine pour le domaine auquel appartient l'autorité de certification. 2. Sélectionnez le composant des services de certificats (cliquez sur **OK** pour ignorer la boîte de message d'avertissement sur le changement de nom). 3. Sélectionnez **Autorité de certification secondaire d'entreprise** comme type de CA et vérifiez que vous avez coché la case **Utiliser les paramètres personnalisés**. 4. Dans la boîte de dialogue **Paire de clés publique et privée**, conservez les valeurs par défaut des paramètres (sauf la longueur de clé, qui doit être fixée à 2 *048*. Le type de fournisseur de services cryptographiques doit être **Microsoft Strong Cryptographic Provider**. 5. Indiquez les informations d'identification de l'autorité de certification de la manière suivante : - Nom commun de l'autorité de certification - *WoodGrove Bank Issuing CA 1* - Suffixe du nom distinctif - *DC=woodgrovebank,DC=com* (le nom racine de la forêt Active Directory de l'organisation) - Période de validité - Déterminée par l'autorité de certification parente **Remarque :** si une autorité de certification a déjà été installée sur cet ordinateur, une boîte d'avertissement vous demande confirmation d'écraser la clé privée de l'installation antérieure. Avant de poursuivre, assurez-vous au préalable que vous n'aurez plus besoin de la clé. En cas de doute, annulez la procédure d'installation et sauvegardez les informations relatives à la clé existante, soit par une sauvegarde système, soit par une sauvegarde du certificat CA existant et de la clé privée (reportez-vous aux procédures correspondantes de la section, « Managing the Public Key Infrastructure » du document [*Microsoft Solution for Securing Wireless LANS: Operations Guide*](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en)). 6. Le fournisseur de services de cryptographie génère la paire de clés et l'enregistre dans la base de clés de l'ordinateur local. 7. Indiquez les emplacements de la base de données de certificats, des journaux de la base de données et du dossier de configuration, de la manière suivante : - Base de données de certificats : D **:\\CertLog** - Journal de la base de données de certificats : % **dirwin%\\System32\\CertLog** - Dossier partagé : **désactivé** Si possible, conservez toujours la base de données et les journaux de l'autorité de certification sur des volumes distincts, pour des questions de performances et de fiabilité. (Si la base de données est endommagée pour quelque raison que ce soit, vous pouvez utiliser la dernière sauvegarde et les journaux pour restaurer l'autorité de certification dans l'état où elle se trouvait au moment de la défaillance.) La base de données de certificats et les journaux associés doivent être conservés sur des disques locaux en format NTFS. 8. Copiez le fichier de demande de certificat sur le disque. La demande de certificat est générée et stockée dans le chemin Dossier partagé. Copiez le fichier *HQ-CA-02.woodgrovebank.com* \_ *WoodGrove Bank Issuing CA 1.req* sur le disque et nommez le disque **Transfer-\[HQ-CA-02\]**. 9. Cliquez sur **OK** pour ignorer le message concernant IIS et poursuivez l'installation. L'Assistant d'installation affiche un message précisant que vous devez obtenir le certificat auprès de l'autorité de certification parente avant de continuer. **Remarques :** Vers la fin de l'installation, vous serez prévenu que l'autorité de certification ne peut pas être ajoutée au **groupe d'accès compatible avec les versions antérieures à Windows 2000**. Ceci n'a d'incidence que si vous avez besoin d'utiliser la fonction Restriction des gestionnaires de certificats des services de certificats. Si tel est le cas, demandez à votre administrateur de domaine d'ajouter le compte d'ordinateur de l'autorité de certification à ce groupe. Les services de certificats ne démarrent pas tant que la demande de certificat n'est pas traitée par l'autorité de certification racine et que le certificat n'est pas renvoyé et installé sur l'autorité de certification. ### Soumission de la demande de certificat à l'autorité de certification racine Ensuite, vous devez transmettre la demande de certificat de l'autorité de certification émettrice à l'autorité de certification racine pour qu'elle soit signée et qu'un certificat soit émis en direction de l'autorité de certification émettrice. - **Pour soumettre la demande de certificat à l'autorité de certification racine** 1. Ouvrez une session avec l'autorité de certification racine en tant que membre du groupe Certificate Managers. 2. À partir de la console de gestion de l'autorité de certification, dans le menu **Tâches**, sélectionnez **Soumettre une nouvelle demande**, puis soumettez la demande transférée à partir de l'autorité de certification émettrice (sur le disque **Transfer-\[HQ-CA-02\]** ). **Remarque :** si vous recommencez l'installation de l'autorité de certification alors que vous avez déjà essayé et échoué, ne réutilisez pas le fichier de demande de l'installation précédente, car il est associé aux informations de la clé précédente et non à l'autorité de certification en cours d'installation. 3. L'autorité de certification racine nécessite que toutes les demandes soient manuellement approuvées. Localisez la demande dans le conteneur Demandes en attente, vérifiez que le champ **Nom commun** contient le nom de l'autorité de certification émettrice, puis approuvez la demande en cliquant dessus avec le bouton droit de la souris et enfin en cliquant sur **Délivrer**. 4. Localisez le certificat nouvellement délivré dans le conteneur Certificats délivrés et ouvrez-le. 5. Vérifiez que les informations du certificat sont correctes, puis exportez le certificat dans un fichier en cliquant sur **Copier dans un fichier** et enregistrez-le sous forme de fichier PKCS\#7 (sélectionnez l'option pour inclure tous les certificats de la chaîne possibles) sur le disque nommé **Transfer-\[HQ-CA-02\]** (pour le retransférer à l'autorité de certification émettrice). ### Installation du certificat de l'autorité de certification émettrice Cette section vise à s'assurer que les informations de l'autorité de certification racine publiées précédemment dans Active Directory peuvent être téléchargées dans l'autorité de certification émettrice. Ensuite, le certificat de l'autorité de certification émettrice proprement dit peut être installé dans l'autorité de certification. ### Actualisation des informations de certificat sur l'autorité de certification émettrice Le certificat de l'autorité de certification racine a été préalablement publié dans le magasin racine approuvé d'Active Directory. Vous devez maintenant vérifier que l'autorité de certification émettrice a téléchargé ces informations et a placé le certificat dans son propre magasin racine. - **Pour actualiser les informations de confiance du certificat au niveau de l'autorité de certification émettrice** 1. Ouvrez une session avec l'autorité de certification en tant qu'administrateur local. 2. Exécutez la commande suivante : **certutil -pulse** Cette commande oblige l'autorité de certification à télécharger les nouvelles informations racine approuvées à partir du répertoire et à placer le certificat de l'autorité de certification racine dans son propre magasin racine local approuvé. **Remarque :** cette procédure n'est pas absolument nécessaire car la dernière étape d'installation du certificat dans l'autorité de certification place automatiquement le certificat de l'autorité de certification racine dans son propre magasin racine local approuvé. Néanmoins, cette étape permet de vérifier que la procédure de publication vers Active Directory a été correctement menée, ce qui est important puisque c'est par ce biais que tous les clients du domaine reçoivent leurs informations approuvées concernant les autorités de certification racine et émettrice. - **Pour vérifier que le téléchargement de l'approbation de l'autorité de certification racine s'est correctement déroulé à partir d'Active Directory** 1. Exécutez mmc.exe et ajoutez le composant logiciel enfichable **Certificats**. 2. Sélectionnez **Computer Account** comme magasin de certificats à gérer. 3. Vérifiez que le certificat de l'autorité de certification racine figure dans le dossier Trusted Root Certificate Authorities (les certificats sont classés par nom d'objet d'autorité de certification (forme conviviale) : l'élément CN). ### Installation du certificat La réponse signée de l'autorité de certification racine peut désormais être installée sur l'autorité de certification émettrice. Pour réussir à publier le certificat de l'autorité de certification dans le magasin Active Directory NTAuth (qui identifie l'autorité de certification comme une autorité de certification d'entreprise), vous devez installer le certificat de l'autorité de certification en utilisant un compte appartenant *à la fois* au groupe Enterprise PKI Admins et au groupe des administrateurs locaux. Le premier groupe est autorisé à publier le certificat dans le répertoire et le second à installer le certificat sur l'autorité de certification. Si vous utilisez le modèle d'administration simplifié conseillé précédemment, le rôle CAAdmin appartient à ces groupes. - **Pour installer le certificat de l'autorité de certification émettrice** 1. Ouvrez une session avec l'autorité de certification émettrice en utilisant un compte appartenant à la fois au groupe Enterprise PKI Admins et au groupe des administrateurs locaux. 2. Insérez le disque ( **Transfer-\[HQ-CA-02\]** ) contenant la sauvegarde du certificat délivré par l'autorité de certification racine. 3. À partir de la console de gestion de l'autorité de certification, dans le menu **Tâches**, sélectionnez **Installer le certificat** et installez le certificat de l'autorité de certification racine à partir du disque. L'autorité de certification doit alors démarrer. ### Vérification de l'installation de l'autorité de certification émettrice Suivez la procédure ci-dessous pour vérifier que l'installation des services de certificats a été correctement menée : - **Pour vérifier l'installation de l'autorité de certification émettrice** 1. Ouvrez la console de gestion de l'autorité de certification. Vérifiez que les services de certificats ont démarré et que vous êtes en mesure d'afficher les propriétés de l'autorité de certification. 2. Dans l'onglet **Général**, sélectionnez **Certificat n 0** dans la liste des certificats de l'autorité de certification, puis cliquez sur **Afficher le certificat**. 3. Dans l'onglet **Détails** du certificat de l'autorité de certification, vérifiez que les valeurs affichées correspondent à celles décrites dans le tableau. **Tableau 22 : Extensions et propriétés de certificat de l'autorité de certification émettrice**

Attribut du certificat	Valeur requise
Émetteur	Nom commun de l'autorité de certification racine (plus le suffixe DN).
Objet	Nom commun de l'autorité de certification émettrice (plus le suffixe DN).
Pas avant - Pas après	8 ans
Longueur de la clé publique	2 048 bits
Utilisation de la clé	Signature numérique, Signature du certificat, Signature de la liste de révocation de certificats hors connexion, Signature de la liste de révocation de certificats (86).
Contraintes de base (critique)	Type d'objet=CA Contrainte de longueur de chemin d'accès=None
Points de distribution de la liste de révocation de certificats	2 entrées - URL HTTP et LDAP
Accès aux informations de l'autorité	2 entrées - URL HTTP et LDAP

La présence du type d'objet Contraintes de base est très importante. Cette valeur distingue un certificat de l'autorité de certification d'un certificat d'entité finale. En outre, une autre extension est mentionnée, **Identificateur de clé de l'autorité**, qui n'apparaissait pas dans le certificat de l'autorité de certification racine. Cette valeur doit correspondre à l' **Identificateur de la clé du sujet** du certificat de l'autorité de certification racine. Si les valeurs obtenues sont différentes de celles escomptées, recommencez l'installation des services de certificats. **Remarque :** si vous essayez d'exécuter à nouveau l'installation des services de certificats, vous obtenez l'avertissement signalant l'existence de la clé privée. Si vous êtes sûr de ne pas avoir délivré de certificats avec cette clé, vous pouvez ignorer l'avertissement en toute sécurité et générer une nouvelle clé. Par contre, si l'autorité de certification a déjà délivré des certificats (autrement qu'à des fins de test), ne réinstallez pas les services de certificats avant d'avoir sauvegardé la clé et le certificat existants (vous trouverez la procédure correspondante dans la section « Managing the Public Key Infrastructure » du document [Microsoft Solution for Securing Wireless LANS: Operations Guide](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en)). 4. Dans l'onglet **Chemin d'accès de certification**, vous pouvez vérifier que le certificat est bien associé à l'autorité de certification racine. 5. Pour plus d'informations ou lors de la résolution d'incidents d'installation, vous pouvez consulter l'historique d'installation des services de certificats : *%systemroot%\\certocm.log*. ### Configuration des propriétés de l'autorité de certification émettrice Certains paramètres de la configuration de l'autorité de certification sont spécifiques à l'environnement. Les valeurs de ces paramètres sont précisées dans la section « Feuille de planification des services de certificats » abordée précédemment dans ce module. Cette procédure permet de configurer les propriétés de l'autorité de certification répertoriées dans le tableau suivant. **Tableau 23 : Propriétés de l'autorité de certification à configurer**

Propriété de l'autorité de certification	Description
URL des points de distribution de la liste de révocation de certificats	Emplacements HTTP, LDAP et FILE à partir desquels il est possible d'obtenir une liste de révocation de certificats à jour. L'emplacement FILE est un dossier local, utilisé par l'autorité de certification uniquement pour stocker les listes de révocation de certificats qu'elle délivre. Seuls les emplacements LDAP et HTTP sont inclus dans les certificats délivrés. L'URL LDAP est listée dans l'ordre avant HTTP, de sorte que les contrôleurs de domaine locaux constituent pour la plupart des clients une cible privilégiée pour le téléchargement de listes de révocation.
URL AIA	Emplacements à partir desquels les certificats de l'autorité de certification peuvent être obtenus. Comme pour les points de distribution, l'emplacement FILE sert uniquement à publier le certificat de l'autorité de certification, et l'URL LDAP est prioritaire par rapport à l'URL HTTP.
Période de validité	Période de validité maximum pour les certificats délivrés (elle diffère de la période de validité du certificat CA lui-même, qui est définie dans le fichier CAPolicy.inf ou par l'autorité de certification parente).
Intervalle pour la liste de révocation de certificats	Fréquence de publication de la liste de révocation de certificats.
Période de chevauchement des listes de révocation	Temps pendant lequel se chevauchent la nouvelle liste de révocation publiée et l'ancienne qui n'a pas encore expiré.
Période CRL-Delta	Fréquence de publication de la liste de révocation de certificats Delta.
Période de chevauchement CRL-Delta	Temps pendant lequel se chevauchent la nouvelle liste de révocation publiée et l'ancienne qui n'a pas encore expiré.
Audit de l'autorité de certification	Paramètres d'audit de l'autorité de certification (par défaut, l'audit complet est activé).

- **Pour configurer les propriétés de l'autorité de certification émettrice** 1. Ouvrez une session sur le serveur de l'autorité de certification en tant que membre du groupe des administrateurs locaux. 2. Lors de l'installation de l'autorité de certification racine, vous devez avoir personnalisé le script **C:\\MSSScripts** \\pkiparams.vbs en fonction des paramètres spécifiques à votre organisation. Vous devez répercuter ces modifications dans la copie du fichier C **:\\MSSScript** s\\pkiparams.vbs installée sur l'autorité de certification émettrice. 3. Exécutez ensuite le script suivant : **Cscript //job:IssCAConfig C:\\MSSScripts\\ca\_setup.wsf** ### Configuration des rôles d'administration Afin de pouvoir utiliser les rôles d'administration (auditeur, gestionnaire de certificat, etc.) avec l'autorité de certification, vous devez faire correspondre les groupes de sécurité à ces rôles. **Remarque :** cette solution se base sur les groupes créés précédemment pour définir plusieurs rôles distincts. Ainsi, vous pouvez plus facilement déléguer des responsabilités liées à la gestion de l'autorité de certification. Si vous n'avez pas besoin d'un tel niveau de délégation, envisagez d'utiliser le modèle de groupe d'administration simplifié abordé précédemment dans le module. Vous bénéficierez ainsi d'un plus petit nombre de comptes pour effectuer les fonctions d'administration liées à l'autorité de certification. - **Pour configurer les rôles d'administration sur l'autorité de certification émettrice** 1. Depuis la console de gestion de l'autorité de certification, cliquez sur **Propriétés** pour modifier les propriétés de l'autorité de certification. 2. Sélectionnez l'onglet **Sécurité** et ajoutez les groupes de sécurité de domaine répertoriés dans le tableau suivant. Spécifiez les autorisations mentionnées pour chaque groupe. **Tableau 24 : Autorisations relatives à l'autorité de certification à ajouter**

Nom de groupe	Autorisation	Autoriser/Refuser
CA Admins	Gérer l'autorité de certification	Autoriser
Certificate Managers	Émettre et gérer des certificats	Autoriser

**Remarque :** pour complètement séparer les rôles, vous devez retirer au groupe des administrateurs locaux l'autorisation Gérer l'autorité de certification. Ainsi, la séparation des rôles est complète. 3. D'autres rôles de sécurité de l'autorité de certification nécessitent une configuration supplémentaire (bien qu'ils aient été en partie définis par le biais de la stratégie de sécurité appliquée précédemment au serveur) : - Le groupe CA Auditors bénéficie des droits utilisateurs Gérer la sécurité et Gérer les journaux d'audit. Ajoutez-le au groupe des administrateurs locaux. - Le groupe CA Backup Operators bénéficie de droits de sauvegarde et de restauration vis-à-vis de l'autorité de certification. Il ne nécessite aucune configuration supplémentaire. ### Publication des informations de l'autorité de certification émettrice L'autorité de certification émettrice publie automatiquement les certificats et listes de révocation dans Active Directory. Par contre, leur publication dans les chemins d'accès aux informations de l'autorité (AIA) et des points de distribution (CDP) HTTP n'est pas automatique. Pour ce faire, vous devez définir une tâche planifiée. ### Publication des listes de révocation de certificats et du certificat de l'autorité de certification émettrice sur le serveur Web Les listes de révocation de certificats et les certificats de l'autorité de certification émettrice doivent être publiés respectivement dans les emplacements CDP et AIA HTTP. Il est possible techniquement de configurer l'autorité de certification pour effectuer directement la publication dans le dossier du serveur Web. En fait, l'hébergement du serveur Web sur l'autorité de certification émettrice facilite cette opération. Toutefois, pour des raisons de sécurité et de connectivité du réseau, ce n'est pas toujours possible. La méthode présentée ici utilise une technique de copie de fichiers simple, qui peut être étendue à la plupart des configurations. **Remarque :** cette méthode ne convient pas pour publier directement les informations sur un serveur Web accessible via Internet, car elle repose sur l'utilisation du partage de fichiers SMB ( *Server Message Block* ). Pour effectuer la publication sur un serveur Internet, utilisez la technique suivante permettant de publier dans un emplacement intermédiaire, puis, par le biais de votre méthode habituelle, publiez le contenu en toute sécurité sur le serveur Web. Tenez compte du fait que le délai supplémentaire causé par cette nouvelle étape peut influer sur le caractère récent de vos listes de révocation de certificats. Le certificat de l'autorité de certification étant très rarement mis à jour, vous pouvez le publier manuellement dans les accès aux informations de l'autorité chaque fois que le certificat est renouvelé. - **Pour publier le certificat de l'autorité de certification émettrice** 1. Ouvrez une session avec l'autorité de certification émettrice en utilisant un compte autorisé à écrire dans le dossier du serveur Web publié. 2. Si le serveur Web se trouve sur un serveur distant, vérifiez que le dossier de ce serveur est en partage. Enregistrez le chemin UNC ( *Universal Naming Convention* ) du dossier partagé. 3. Si le serveur Web se trouve sur le même serveur que l'autorité de certification, enregistrez le chemin local du dossier. 4. Modifiez le paramètre WWW\_REMOTE\_PUB\_PATH du script C:\\MSSScripts\\PKIParams.vbs pour qu'il corresponde au chemin de destination du dossier du serveur Web (il s'agit par défaut du chemin local C:\\CAWWWPub). 5. Exécutez la commande suivante pour publier le certificat de l'autorité de certification dans le dossier du serveur Web : **Cscript //job:PublishIssCertsToIISC:\\MSSScripts\\CA\_Operations.wsf** (La commande occupe deux lignes sur le papier. Tapez-la sur une seule ligne.) Les listes de révocation de certificats étant délivrées par l'autorité de certification émettrice beaucoup plus fréquemment (tous les jours ou toutes les heures dans le cas des listes de révocation Delta), il est nécessaire d'automatiser la méthode de réplication des listes sur le serveur Web. - **Pour automatiser la publication des listes de révocation de certificats** 1. Ouvrez une session avec l'autorité de certification émettrice en utilisant un compte membre du groupe des administrateurs locaux. 2. Vérifiez que le dossier du serveur Web est accessible (en partage ou en local) à partir de ce serveur. 3. Si le serveur Web est distant, octroyez à l'autorité de certification émettrice l'accès en écriture au dossier du système de fichiers (en cliquant sur **Modify access** ) et au partage (en cliquant sur **Change access** ). Si le serveur Web est membre de la forêt, vous pouvez autoriser l'accès par l'intermédiaire du groupe Cert Publishers. Ainsi, toutes les autorités de certification d'entreprise bénéficient des autorisations requises pour publier les certificats et les listes de révocation dans ce dossier. Il n'est pas utile de modifier les autorisations du serveur Web (reportez-vous à la section abordée précédemment sur la configuration d'IIS pour la publication des points de distribution et des accès aux informations de l'autorité). 4. Créez une tâche planifiée pour copier les listes de révocation en exécutant la commande suivante : **schtasks /create /tn "Publish CRLs" /tr "cscript.exe** **//job:PublishIssCRLsToIIS C:\\MSSScripts\\CA\_Operations.wsf"** **/sc Hourly /ru "System"** (La commande occupe trois lignes sur le papier, mais tapez-la sur une seule ligne.) **Remarque :** la commande crée une tâche planifiée toutes les heures pour publier les listes de révocation de l'autorité de certification sur le serveur Web, ce qui est compatible avec un programme de publication quotidien (ou deux fois par jour) des listes de révocation Delta. Si le calendrier des listes de révocation est plus rapproché, vous devez exécuter la tâche planifiée plus fréquemment pour compenser. Une bonne méthode consiste à établir un horaire de tâche équivalent à 5 à 10 % de l'horaire de la liste de révocation Delta. ### Vérification de la publication des informations de l'autorité de certification émettrice Vous devez vérifier que les informations de l'autorité de certification émettrice ont bien été publiées. Pour ce faire, vous devez ouvrir une session avec un ordinateur membre du domaine connecté au réseau en utilisant un compte de domaine valable. - **Pour vérifier la publication des informations de l'autorité de certification émettrice** 1. Exécutez la commande suivante pour vérifier que le certificat de l'autorité de certification a été publié dans le magasin intermédiaire de l'autorité de certification : **certutil -viewstore -enterprise CA** 2. Deux certificats doivent être affichés : un pour l'autorité de certification racine et un pour l'autorité de certification émettrice. Double-cliquez sur le certificat de l'autorité de certification émettrice et vérifiez que le nom de l' **Objet** correspond à celui défini pour l'autorité de certification émettrice et que la date indiquée dans **Valide à partir du** correspond à la date du jour. 3. Pour vérifier que le certificat de l'autorité de certification a été publié dans le magasin NTAuth (endroit où sont publiées toutes les informations des autorités de certification d'entreprise), exécutez la commande suivante : **certutil -viewstore -enterprise NTAuth** Le même certificat doit être affiché pour l'autorité de certification émettrice. 4. Pour vérifier que la liste de révocation de l'autorité de certification émettrice a été publiée dans le répertoire, exécutez la commande suivante, en remplaçant les éléments en italique par les valeurs utilisées dans votre propre installation (Nom CA commun, Nom d'hôte CA abrégé et DN de la racine de la forêt Active Directory) : **certutil -store -enterprise "ldap:///cn=WoodGrove Bank Issuing CA 1,"** **cn=HQ-CA-02,cn=CDP,CN=Public Key Services,** **CN=Services,CN=Configuration,DC=woodgrovebank,DC=com?** **certificateRevocationList?base?objectClass= cRlDistributionPoint** (La commande occupe trois lignes sur le papier, mais tapez-la sur une seule ligne.) 5. Le résultat doit s'afficher sous la forme suivante. Vérifiez que la valeur de l' **Émetteur** correspond au nom configuré pour l'autorité de certification émettrice : **================ CRL 0 ================** **Émetteur : CN= WoodGrove Bank Issuing CA,DC=woodgrovebank,DC=com** **Version de l'autorité de certification : V1.0** **Numéro de la liste de révocation de certificats : CRL Number=1** **Hachage de la liste de révocation de certificats(sha1) : 73 03 a1 c7 5f a3 c3 f9 8a 09 d0 3c b5 09 00 9c b5 a3 de fe** **CertUtil : -store command completed successfully.** 6. Pour vérifier que le certificat de l'autorité de certification a bien été publié sur le serveur Web, indiquez l'URL suivante dans un navigateur, en remplaçant les éléments en italique par les valeurs de votre propre environnement : **http://*www.woodgrovebank.com*/pki/*HQ-CA-02\_WoodGrove Bank Issuing CA 1*.crt** 7. Vous êtes invité à ouvrir ou enregistrer le fichier. Ouvrez-le et vérifiez que la liste de révocation de l'autorité de certification émettrice est affichée. 8. Pour vérifier que la liste de révocation de certificats de l'autorité de certification émettrice a bien été publiée sur le serveur Web, indiquez l'URL suivante dans un navigateur, en remplaçant les éléments en italique par les valeurs de votre propre environnement : **http://*www.woodgrovebank.com*/pki/*WoodGrove Bank Issuing CA 1*.crl** 9. Vous êtes invité à ouvrir ou enregistrer le fichier. Ouvrez-le et vérifiez que la liste de révocation de l'autorité de certification racine est affichée. **Remarque :** si vous avez renouvelé le certificat de l'autorité de certification ou émis plusieurs listes de révocation de certificats, les numéros de version affichés au niveau du résultat de ces commandes peuvent varier. ### Vérification de l'inscription des certificats Vous devez vérifier que vous pouvez inscrire les certificats provenant de l'autorité de certification émettrice. - **Pour vérifier l'inscription des certificats** 1. Ouvrez une session avec un ordinateur situé dans le même domaine que l'autorité de certification émettrice. Utilisez un compte de domaine. 2. Ouvrez le composant MMC pour l'utilisateur en cours (vous devez l'ajouter à un MMC vide par l'intermédiaire de **Ajouter/Supprimer un composant logiciel enfichable** ). 3. Cliquez avec le bouton droit de la souris sur le dossier personnel et sélectionnez **Demander un nouveau certificat** dans le sous-menu **Toutes les tâches**. 4. En principe, vous êtes invité à effectuer un choix parmi une liste de types de certificats. Optez pour le type **Utilisateur**. Ne cochez pas la case **Options avancées**. 5. Affectez au certificat un nom convivial, facilement identifiable, tel que **Vérification CA émettrice**. 6. Cliquez sur **Terminer** pour inscrire le certificat. 7. Localisez le sous-dossier Certificats du Dossier personnel Normalement, **Vérification CA émettrice** doit être affiché (vous devrez peut-être d'abord actualiser le magasin : cliquez avec le bouton droit de la souris sur l'objet racine **Certificats - Utilisateur actuel** dans le volet gauche du composant MMC, puis cliquez sur **Actualiser** ). En cas d'échec, remontez le cours des étapes effectuées dans ce module et rectifiez les éventuels problèmes identifiés. Si le problème persiste, consultez la section de dépannage du module « Managing the Public Key Infrastructure » disponible dans le document [*Microsoft Solution for Securing Wireless LANS: Operations Guide*](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en)). [](#mainsection)[Haut de page](#mainsection) #### Configuration après la mise en place Lorsque vous avez mis en place les autorités de certification racine et émettrice de votre organisation, il reste quelques tâches de configuration à accomplir. Cette section explique comment les mener à bien. ### Configuration des modèles de certificats La plupart des tâches sont associées à la configuration des types de certificat que peuvent délivrer les autorités de certification, à savoir qui contrôle l'émission et enfin à qui ou à quoi sont destinés les certificats. ### Retrait des modèles indésirables de l'autorité de certification émettrice Jusqu'à ce que des types de certificat particuliers soient requis, il est préférable de les retirer de la configuration de l'autorité de certification, afin qu'ils ne risquent pas d'être délivrés par erreur. Les modèles peuvent toujours être rajoutés ultérieurement. - **Pour retirer les modèles indésirables de l'autorité de certification émettrice** 1. Ouvrez une session en tant que membre du groupe CA Admins du domaine. 2. À partir de la console de gestion de l'autorité de certification, sélectionnez le conteneur Modèles de certificats. 3. Retirez les types de modèle suivants : - Agent de récupération EFS - EFS basique - Serveur Web - Ordinateur - Utilisateur - Autorité de certification subordonnée - Administrateur **Remarque :** tous les modèles de certificats sont retirés de l'autorité de certification émettrice, excepté Contrôleur de domaine, Authentification du contrôleur de domaine et Réplication de la messagerie de l'annuaire. Les certificats Contrôleur de domaine sont utilisés par les contrôleurs de domaine de Windows 2000, alors que les certificats Authentification du contrôleur de domaine et Réplication de la messagerie sont utilisés à la fois par les contrôleurs de domaine de Windows Server 2003 et ceux de Windows 2000. Les deux sont nécessaires pour prendre en charge l'ouverture de session par carte à puce. Seul le dernier type est nécessaire pour prendre en charge la protection LDAP. Le certificat Réplication de la messagerie de l'annuaire sert pour la réplication Active Directory SMTP ( *Simple Mail Transfer Protocol* ). Tous les modèles supprimés peuvent être rajoutés ultérieurement en cas de besoin. Entre-temps, il est conseillé de permettre l'émission des types de certificat que vous avez délibérément choisis. ### Création et gestion des modèles de certificats En dehors des groupes de gestion de l'infrastructure de clés publiques d'entreprise et d'autorité de certification, les modèles de certificats d'entreprise peuvent être gérés et utilisés plus efficacement en créant des groupes pour contrôler les utilisateurs autorisés à modifier les propriétés de chaque modèle et ceux autorisés à inscrire les certificats de ce type. **Remarque :** les groupes d'administration des modèles sont particulièrement intéressants lorsqu'il existe une possibilité de déléguer le contrôle des modèles à plusieurs administrateurs. Si votre organisation informatique est trop importante, cette possibilité peut s'avérer inutile. Dans ce cas, seuls les membres du groupe intégré Administrateurs de l'entreprise et du groupe Enterprise PKI Admins (créé dans le cadre de cette solution) peuvent gérer les modèles de certificats. Pour savoir comment créer et mettre à jour les groupes d'administration des modèles de certificats, reportez-vous aux procédures d'exploitation documentées dans la section « Managing the Public Key Infrastructure » du document [*Microsoft Solution for Securing Wireless LANS: Operations Guide*](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en). Pour savoir comment créer les modèles de certificats particuliers à cette solution, reportez-vous à la section « Configuring and Deploying Wireless Authentication Certificates » du module « Implementing Wireless LAN Security Using 802.1X » de ce guide. Pour des instructions générales sur la création et la modification des modèles de certificats, reportez-vous à la section de la documentation du produit appelée « Managing Certificate Templates » à l'adresse : [http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag\_CS\_procs\_temps.asp.](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_cs_procs_temps.asp) ### Gestion de l'inscription des certificats Les groupes d'inscription des modèles facilitent la gestion de ceux autorisés à s'inscrire ou inscrits automatiquement pour un type de certificat particulier, simplement en ajoutant des utilisateurs ou des ordinateurs à un groupe de sécurité et/ou en les retirant. Le personnel administratif peut également être autorisé à contrôler l'appartenance aux groupes, sans pour autant pouvoir directement modifier les propriétés des modèles de certificats. Pour savoir comment créer et mettre à jour les groupes d'inscription aux modèles de certificats, reportez-vous à « Managing the Public Key Infrastructure », dans le document : [*Microsoft Solution for Securing Wireless LANS: Operations Guide*](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en). ### Définition d'autorisations pour le déploiement sur plusieurs domaines Si vous déployez cette solution dans une forêt à plusieurs domaines, et si vous prévoyez de délivrer des certificats à des utilisateurs et des ordinateurs répartis dans différents domaines, vous devez changer les autorisations par défaut pour autoriser les autorités de certification à publier correctement des certificats à Active Directory. Lorsque vous définissez les autorisations d'inscription des utilisateurs aux autorités de certification et aux modèles de certificats, vous devez expressément inclure les utilisateurs et les ordinateurs de tous les domaines. - **Pour autoriser la publication de certificats vers les utilisateurs et les ordinateurs d'autres domaines** 1. Ouvrez une session avec un contrôleur du domaine pour lequel activer la publication de certificats. Vous devez être membre des administrateurs du domaine ou membre d'un groupe dont les droits sont suffisants pour modifier les autorisations de l'objet du domaine. 2. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory et cliquez avec le bouton droit de la souris sur le nœud du domaine. 3. Après que vous ayez cliqué sur **Déléguer le contrôle**, l'Assistant de délégation démarre. 4. Dans l'Assistant, cliquez sur **Suivant** et ajoutez le groupe Cert Publishers à partir du domaine dans lequel vous avez installé l'autorité de certification émettrice. Puis cliquez sur **Suivant**. 5. Sélectionnez **Créer une tâche personnalisée à déléguer** et cliquez sur **Suivant**. 6. Sélectionnez **Seulement les objets suivants dans le dossier**. 7. Sélectionnez les **objets utilisateur** avant de cliquer sur **Suivant**. 8. Sélectionnez l'option **Spécifique aux propriétés**. 9. Sélectionnez les options **Read userCertificate** et **Write userCertificate**. 10. Cliquez sur **Suivant**, puis sur **Terminer**. 11. Reprenez les étapes 3 à 10, mais à l'étape 7, sélectionnez **objets ordinateur** au lieu d' **objets utilisateur**. Cette opération permet de s'assurer que les autorités de certification de l'entreprise sont autorisées à publier des certificats à destination d'utilisateurs d'autres domaines. ### Sauvegarde des clés et des serveurs des autorités de certification Maintenant que les autorités de certification racine et émettrice ont été mises en place, vous devez les sauvegarder sans attendre afin de protéger leurs clés et bases de données de certificats contre une panne du serveur ou la corruption de données. Pour ce faire, suivez les procédures documentées dans la section « Managing the Public Key Infrastructure » disponible dans le document [*Microsoft Solution for Securing Wireless LANS: Operations Guide*](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en): - configuration de la sauvegarde de l'autorité de certification émettrice ; - configuration et exécution de la sauvegarde de l'autorité de certification racine ; - sauvegarde des clés des autorités de certification et des certificats (à effectuer séparément sur chaque autorité de certification). [](#mainsection)[Haut de page](#mainsection) #### Configuration du client Cette section décrit certaines tâches de configuration du client applicables. Elles sont assez peu nombreuses car la plupart des tâches concernant le client sont spécifiques à l'application qui utilise les services de certificats, comme le réseau local sans fil (WLAN) ou le réseau privé virtuel (VPN), et non communes à toutes les applications de certificats. ### Inscription automatique aux certificats des utilisateurs et des ordinateurs À l'aide des procédures décrites précédemment, vous pouvez utiliser des groupes de sécurité et des autorisations de modèles pour contrôler l'inscription automatique à un niveau très détaillé. Toutefois, la fonction d'inscription automatique est désactivée par défaut au niveau des clients. Pour l'activer, vous devez configurer le paramètre correspondant dans la stratégie de groupe. Si vous utilisez des groupes de sécurité pour contrôler l'inscription automatique, vous pouvez l'activer pour tous les utilisateurs du domaine. **Attention :** Cette procédure active l'inscription automatique pour *tous* les ordinateurs et les utilisateurs du domaine. Vérifiez que vous avez retiré les modèles par défaut de l'autorité de certification émettrice avant de commencer la procédure pour empêcher l'inscription de tous les utilisateurs et ordinateurs du domaine d'être inscrits aux certificats Utilisateur et ordinateur par défaut. Cette procédure suppose que vous contrôliez l'inscription automatique à l'aide des groupes de sécurité, comme indiqué dans la section « Managing the Public Key Infrastructure », disponible dans le document [*Microsoft Solution for Securing Wireless LANS: Operations Guide*](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en)). - **Pour activer l'inscription automatique de tous les utilisateurs et ordinateurs du domaine** 1. Ouvrez une session en utilisant un compte autorisé à créer des GPO (un membre des Propriétaires créateurs de la stratégie de groupe) et à les relier au domaine. En outre, demandez à un administrateur de domaine de créer et de relier pour vous le GPO, puis de vous accorder des autorisations de lecture et d'écriture pour ce GPO. 2. Dans Utilisateurs et ordinateurs Active Directory, sélectionnez l'objet de domaine, cliquez dessus avec le bouton droit de la souris, puis cliquez sur **Propriétés**. 3. Dans l'onglet **Stratégie de groupe**, cliquez sur **Nouveau**, puis tapez le nom du GPO, *Stratégies PKI du domaine*, par exemple. 4. Cliquez sur **Modifier** pour afficher le GPO et accédez à Stratégies de clé publique sous Configuration ordinateur\\Paramètres Windows\\Paramètres de sécurité. 5. Dans le volet des informations, double-cliquez sur **Paramètres d'inscription automatique**. 6. Vérifiez que les éléments suivants sont sélectionnés : - **Inscrire les certificats automatiquement** - **Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués** - **Mettre à jour les certificats qui utilisent les modèles de certificats** 7. Répétez les étapes 5 et 6 pour les Paramètres d'inscription automatique situés dans Configuration utilisateur\\Paramètres Windows\\Paramètres de sécurité\\Stratégies de clé publique. 8. Fermez le GPO. 9. Vérifiez que la priorité du GPO est supérieure à celle du GPO de la stratégie de domaine par défaut. **Remarques :** dans le cas d'une forêt Active Directory à plusieurs domaines, effectuez cette procédure pour chaque domaine de la forêt pour lequel activer l'inscription automatique au certificat. Pour ne pas activer l'inscription automatique pour tous les utilisateurs ou tous les ordinateurs du domaine, créez des GPO reliés aux UO contenant les utilisateurs et/ou ordinateurs pour lesquels activer l'inscription automatique. Si vous n'utilisez pas de profils itinérants, un utilisateur doit s'inscrire à un certificat sur tous les ordinateurs auxquels ils se connecte. Pour éviter que les administrateurs et les opérateurs qui se connectent aux serveurs soient automatiquement inscrits aux certificats de l'utilisateur, vous pouvez créer un GPO qui s'applique à ces serveurs (en le reliant à l'UO des serveurs, par exemple). Dans ce GPO, désactivez l'inscription automatique des utilisateurs en sélectionnant **Ne pas inscrire les certificats automatiquement**. Dans le même GPO, optez pour le processus en boucle GPO en activant le paramètre **Configuration ordinateur\\Modèles administratifs\\Système\\Stratégie de groupe\\Stratégie de groupe utilisateur** et en sélectionnant l'option **Remplacer**. L'activation de l'inscription automatique est également abordée en détails dans les documents répertoriés dans la section « [Informations complémentaires](#xsltsection136121120120)» à la fin de ce module. Seuls les clients Windows XP et les versions supérieures sont compatibles avec l'inscription automatique des certificats des utilisateurs et des certificats des ordinateurs. Les clients Windows 2000 ne sont compatibles qu'avec l'inscription automatique des certificats des utilisateurs. Si vous déployez cette solution au sein d'un environnement Windows 2000 Active Directory, modifiez les GPO à partir d'un ordinateur sur Windows Server 2003 ou Windows XP Édition Professionnel doté des outils d'administration de Windows Server 2003. (Windows XP nécessite un Service Pack et un niveau de correction particuliers avant de pouvoir prendre en charge les outils d'administration de Windows Server 2003.) ### Configuration des stratégies de domaine de l'autorité de certification racine Cette section explique comment gérer les autorités de certifications racine commerciales auxquelles les clients de votre organisation font confiance et comment accorder à chaque utilisateur la possibilité de changer l'autorité de certification racine à laquelle il fait confiance. ### Gestion des approbations tierces Par défaut, les clients Windows sont configurés pour faire confiance à un grand nombre d'autorités de certification racine commerciales (connues en anglais sous l'appellation de « baked-in-roots »). La procédure permettant d'empêcher vos utilisateurs de faire confiance automatiquement à ces autorités de certification racine d'autres fournisseurs se trouve à la rubrique « To prevent users from trusting third-party root certification authorities with a Group Policy » de l'aide en ligne. Reportez-vous également au lien de la section « [Informations complémentaires](#xsltsection136121120120)» à la fin de ce module. **Remarque :** la désactivation de racines provenant d'autres fournisseurs pouvant perturber les applications du client, pesez bien le pour et le contre avant d'entamer cette procédure. Par exemple, les connexions clientes avec la plupart des sites Web publics sécurisés peuvent aboutir à une erreur d'approbation. Vous pouvez contourner certains des problèmes liés à la suppression de toutes les approbations tierces de diverses manières : - Vous pouvez réintégrer une par une les racines en les ajoutant au paramètre de l'autorité de certification racine de confiance dans la stratégie de groupe. - Vous pouvez ajouter les certificats racine aux listes de certificats de confiance et les déployer à l'aide du paramètre d'approbation de l'entreprise de la stratégie de groupe. Cette méthode permet également de contrôler les utilisations pour lesquelles les certificats délivrés par les racines sont approuvés. - Finalement, vous pouvez aboutir à une certification croisée (ou créer une relation de confiance de type subordination qualifiée) des autres autorités de certification. Vous bénéficiez d'un contrôle accru sur les utilisations et les paramètres de certificats autorisés à être approuvés dans votre organisation. La meilleure façon de déployer dans votre organisation des racines approuvées d'autres fournisseurs consiste à passer par des listes de certificats de confiance ou une subordination qualifiée. Vous trouverez plus d'informations sur cet aspect dans le module « [Conception de l'infrastructure PKI](http://www.microsoft.com/france/core/404.aspx)» du *guide de planification*. ### Gestion du contrôle de l'utilisateur par rapport aux racines de confiance Vous pouvez également recourir à la stratégie de groupe pour empêcher les utilisateurs de faire confiance à de nouvelles autorités de certification racine, ce qui revêt toute son importance lorsque vous avez créé vos propres listes de certificats de confiance ou approbations de subordination qualifiée, afin de contrôler l'utilisation des certificats d'autres fournisseurs dans votre organisation. Vous trouverez la procédure permettant d'utiliser la stratégie de groupe pour gérer le contrôle de l'utilisateur sur les racines de confiance à la rubrique « To prevent users from selecting new root certification authorities with a Group Policy » de l'aide en ligne, ou en vous reportant au lien de la section « [Informations complémentaires](#xsltsection136121120120)» à la fin de ce module. [](#mainsection)[Haut de page](#mainsection) #### Résumé À ce stade, vous devez avoir accompli les tâches suivantes : - installation et configuration d'une autorité de certification racine hors connexion ; - installation et configuration d'une autorité de certification émettrice en ligne ; - installation et configuration d'un serveur Web pour publier les listes de révocation de certificats et les certificats de l'autorité de certification ; - configuration des groupes administratifs et des utilisateurs pour gérer les autorités de certification et les informations de configuration de l'infrastructure de clés publiques Active Directory ; - configuration d'Active Directory et de la stratégie de groupe pour prendre en charge l'infrastructure de clés publiques. Vous pouvez désormais configurer des applications pour utiliser l'infrastructure de clés publiques. Cet aspect sera abordé dans les modules « Implémentation de l'infrastructure RADIUS pour la sécurité de réseau local sans fil» et « Implémentation de la sécurité d'un réseau local sans fil à l'aide de 802.1x» de ce guide. Lisez également les parties concernées de la section « Managing the Public Key Infrastructure », disponible dans le document [*Microsoft Solution for Securing Wireless LANS: Operations Guide*](http://www.microsoft.com/downloads/details.aspx?familyid=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en). Elle contient des informations essentielles pour savoir comment faire fonctionner votre infrastructure de clés publiques d'une manière fiable et sûre. ### Informations complémentaires Vous trouverez des informations complémentaires dans les documents suivants. **Informations générales sur l'infrastructure de clés publiques et les services de certificats de Windows** - Pour bénéficier d'une introduction complète aux concepts de l'infrastructure de clés publiques et aux fonctions des services de certificats de Windows 2000, reportez-vous à « An Introduction to the Windows 2000 Public-Key Infrastructure » à l'adresse

Implémentation de l'infrastructure de clés publiques

Sur cette page

Dans ce module

Objectifs

S'applique à

Comment utiliser ce module

Présentation

Feuille de planification des services de certificats

Éléments de configuration définis par l'utilisateur

Mise en œuvre des serveurs

Sélection et configuration du matériel du serveur

Matériel du serveur de l'autorité de certification racine

Matériel du serveur de l'autorité de certification émettrice

Préparation du matériel

Préparation du serveur de l'autorité de certification racine

Installation de Microsoft Windows Server 2003, Standard Edition

Paramètres du réseau

Vérification de l'installation

Préparation du serveur de l'autorité de certification émettrice

Installation de Microsoft Windows Server 2003, Enterprise Edition

Paramètres du réseau

Vérification de l'installation

Installation des scripts de configuration sur les serveurs

Installation et configuration d'IIS

Installation d'IIS sur l'autorité de certification émettrice

Configuration des propriétés de l'autorité de certification racine

Ressources supplémentaires