Guide d’accompagnement du réseau de base : déploiement de certificats de serveur

  • Article

 

S'applique à: Windows Server 2012

Le Guide du réseau de base Windows Server 2012 fournit des instructions sur la planification et le déploiement des composants centraux requis pour un réseau pleinement fonctionnel et un nouveau domaine Active Directory® dans une nouvelle forêt.

Ce guide explique comment générer sur le réseau de base, en fournissant des instructions pour le déploiement de certificats de serveur pour les ordinateurs qui exécutent le serveur NPS (Network Policy Server), routage et accès distant (RRAS) ou les deux.

Conseil

Ce guide est disponible au format Word dans Microsoft TechNet Gallery à https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7.

Ce guide contient les sections suivantes.

Conditions préalables à l’utilisation de ce guide

Il s’agit d’un guide d’accompagnement du Guide du réseau de base de Windows Server 2012. Pour déployer des certificats de serveur avec ce guide, vous devez effectuer ce qui suit.

  • Déploiement d’un réseau à l’aide du Guide du réseau principal, ou aient déjà les technologies fournies dans le Guide du réseau de base installé et fonctionne correctement sur votre réseau. Ces technologies incluent TCP/IP v4, DHCP, les services de domaine Active Directory (AD DS), DNS, NPS et le serveur web (IIS).

    Notes

    Le Windows Server 2012 Guide réseau de base est disponible dans le Windows Server 2012 bibliothèque technique (https://go.microsoft.com/fwlink/?LinkId=154884).

    Le Guide de réseau de base est également disponible au format Word dans Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).

À propos de ce guide

Ce guide fournit des instructions pour le déploiement de certificats de serveur aux serveurs NPS, RRAS, ou les deux, à l’aide des services AD CS dans Windows Server 2012.

Des certificats de serveur sont requis lorsque vous déployez des méthodes d’authentification basées sur des certificats avec le protocole EAP (Extensible Authentication Protocol) et le protocole PEAP (Protected EAP) pour l’authentification d’accès au réseau.

Déploiement de certificats de serveur avec les Services de certificats Active Directory (AD CS) pour les méthodes d’authentification par certificat EAP et PEAP offre les avantages suivants :

  • Liaison de l’identité du serveur exécutant NPS ou le serveur RRAS à une clé privée

  • Une méthode rentable et sûre pour inscrire automatiquement des certificats sur des serveurs NPS et RRAS de membre de domaine

  • Une méthode plus efficace pour la gestion des certificats et des autorités de certification (CA)

  • Sécurité fournie par l’authentification basée sur des certificats

  • Possibilité d’étendre l’utilisation de certificats à d’autres usages

Ce guide s’adresse aux administrateurs système et réseau ayant suivi les instructions fournies dans le Guide du réseau de base de Windows Server 2012 pour déployer un réseau de base, ou à ceux qui ont déjà déployé les technologies incluses dans ce guide, y compris les services de domaine Active Directory (AD DS), Domain Name Service (DNS), Dynamic Host Configuration Protocol (DHCP), TCP/IP, le serveur web (IIS) et le serveur NPS (Network Policy Server).

Important

Ce guide, qui fournit des instructions pour le déploiement de certificats de serveur à l’aide d’une autorité de certification racine d’entreprise en ligne (CA), est conçu pour les petites organisations qui disposent de ressources informatiques limitées. Pour des raisons de sécurité - si votre organisation possède les ressources informatiques - il est recommandé que vous déployez une autorité de certification racine d’entreprise en mode hors connexion dans une infrastructure à clé publique (PKI) à deux niveaux. Pour plus d’informations, voir Ressources supplémentaires.

Il est recommandé de consulter les guides de conception et de déploiement pour chacune des technologies utilisées dans ce scénario de déploiement. Ces guides peuvent vous aider à déterminer si ce scénario de déploiement fournit les services et la configuration dont vous avez besoin pour le réseau de votre organisation.

Configuration requise pour le déploiement de certificats de serveur

Voici la configuration requise pour l’utilisation de certificats :

  • Pour déployer des certificats de serveur à l’aide de l’inscription automatique, les services AD CS requiert la Windows Server 2012 des systèmes d’exploitation Standard, Enterprise ou Datacenter. Les services AD DS doit être installés avant les services AD CS est installé. Bien que les services AD CS peut être déployé sur un serveur unique, plusieurs déploiements impliquant plusieurs serveurs configurés comme autorités de certification.

  • Pour fournir aux ordinateurs avec un accès à l’accès d’informations d’autorité (AIA) et la liste de révocation de certificats (CRL) qui est généré par votre autorité de certification, vous devez disposer d’un serveur Web qui est correctement configuré selon les instructions fournies dans ce guide.

  • Pour déployer PEAP ou EAP pour les réseaux privés virtuels (VPN), vous devez déployer RRAS configuré comme un serveur VPN. L’utilisation de NPS est facultative. Toutefois, si vous avez plusieurs serveurs VPN, à l’aide de NPS est recommandé pour faciliter l’administration et pour les services de gestion des comptes RADIUS NPS fournit.

  • Pour déployer PEAP ou EAP de passerelle Bureau à distance (passerelle Bureau à distance), vous devez déployer la passerelle Bureau à distance et le serveur NPS.

    Notes

    Dans les versions précédentes de Windows Server, les Services Bureau à distance était appelé Services Terminal Server.

  • Pour déployer PEAP ou EAP pour 802. 1 X sécurisé avec ou sans fil, vous devez déployer NPS et le matériel supplémentaire, tels que les commutateurs 802. 1 X et des points d’accès sans fil.

  • Pour déployer des méthodes d’authentification par certificat qui nécessitent des certificats pour l’authentification utilisateur et ordinateur en plus des certificats pour l’authentification de serveur, telles que EAP et PEAP-TLS, Transport Layer Security (EAP-TLS), vous devez également déployer les certificats d’utilisateur ou ordinateur via l’inscription automatique ou à l’aide de cartes à puce.

Ce que ce guide ne contient pas

Ce guide ne fournit pas d’instructions complètes pour concevoir et déployer une infrastructure à clé publique (PKI) à l’aide des services AD CS. Il est recommandé de consulter la documentation de services AD CS et PKI conception avant de déployer les technologies de ce guide. Pour plus d’informations, consultez la Ressources supplémentaires section plus loin dans ce document.

Ce guide ne fournit pas d’instructions sur l’installation du serveur Web (IIS) ou les technologies de serveur de stratégie réseau sur les ordinateurs serveur ; Ces instructions sont fournies dans le Guide de réseau de base.

Ce guide ne fournit pas également des instructions détaillées pour déployer les technologies d’accès réseau pour lesquels les certificats de serveur peuvent être utilisés.

Vues d’ensemble des technologies

Voici des présentations des technologies pour EAP et PEAP AD CS.

Protocole EAP

Le protocole EAP (Extensible Authentication Protocol) étend le protocole PPP (Point-to-Point Protocol) en autorisant des méthodes d’authentification arbitraires qui utilisent des échanges d’informations d’identification et de données de longueurs arbitraires. EAP a été développé en réponse à une demande croissante de méthodes d’authentification qui utilisent des périphériques de sécurité tels que les cartes à puce, les cartes à jeton et les calculatrices de chiffrement. EAP fournit une architecture standard pour prendre en charge d’autres méthodes d’authentification dans le protocole PPP.

Avec EAP, un mécanisme d’authentification arbitraire est utilisé pour vérifier l’identité du client et du serveur qui établissent une connexion d’accès réseau. Le schéma d’authentification à utiliser est négocié par le client d’accès et l’authentificateur - le serveur d’accès réseau ou le serveur d’authentification Dial-In Service RADIUS (Remote User).

Avec l’authentification EAP, le client d’accès réseau et l’authentificateur (par exemple, le serveur NPS) doivent prendre en charge le même type EAP pour réussir l’authentification doit avoir lieu.

Important

Les types EAP forts, telles que celles qui sont basées sur les certificats, offrent une meilleure sécurité contre les attaques en force brute, aux attaques par dictionnaire et deviner le mot de passe que les protocoles d’authentification basée sur mot de passe, tels que CHAP ou MS-CHAP version 1.

EAP dans Windows Server 2012

Windows Server 2012 inclut une infrastructure EAP, types EAP et la possibilité de transmettre des messages EAP à un serveur RADIUS (EAP-RADIUS) tels que NPS.

Grâce au protocole EAP, prend en charge les schémas d’authentification supplémentaires, appelés types EAP. Les types EAP sont prises en charge par Windows Server 2012 sont :

  • Transport Layer Security (TLS). EAP-TLS requiert l’utilisation de certificats d’ordinateur ou de certificats utilisateur, en plus des certificats de serveur inscrits sur les ordinateurs exécutant le serveur NPS.

  • Microsoft Challenge Handshake Authentication Protocol, version 2 (MS-CHAP v2). Ce type EAP est un protocole d’authentification par mot de passe. Lorsqu’il est utilisé dans EAP comme méthode d’authentification EAP-MS-CHAP v2, les serveurs NPS et RRAS fournissent un certificat de serveur comme preuve d’identité aux ordinateurs clients, tandis que les utilisateurs prouvent leur identité avec un nom d’utilisateur et le mot de passe.

  • Tunneled Transport Layer Security (TTLS). EAP-TTLS est nouvelle dans Windows Server 2012 et n’est pas disponible dans les autres versions de Windows Server. EAP-TTLS est une méthode normalisée de tunneling EAP qui prend en charge l’authentification mutuelle. EAP-TTLS fournit un tunnel sécurisé pour l’authentification client utilisant les méthodes EAP et d’autres protocoles hérités. Vous pouvez également configurer EAP-TTLS sur les ordinateurs clients pour des solutions d’accès réseau dans lesquelles des serveurs RADIUS (Remote Authentication Dial In User Service) non-Microsoft prenant en charge EAP-TTLS sont utilisés pour l’authentification.

En outre, vous pouvez installer les autres modules non Microsoft EAP sur le serveur exécutant NPS ou routage et accès distant pour fournir d’autres types d’authentification EAP. Dans la plupart des cas, si vous installez des types EAP supplémentaires sur les serveurs, vous devez également installer les composants d’authentification client EAP correspondants sur les ordinateurs clients afin que le client et le serveur peuvent négocier avec succès une méthode d’authentification à utiliser pour les demandes de connexion.

PEAP

PEAP utilise TLS pour créer un canal chiffré entre un client PEAP, comme un ordinateur sans fil et un authentificateur PEAP, tel qu’un serveur exécutant NPS ou tout autre serveur RADIUS.

PEAP ne spécifie pas une méthode d’authentification, mais il fournit une sécurité supplémentaire pour les autres protocoles d’authentification EAP (telles que EAP-MSCHAP v2) qui peuvent fonctionner par le biais du canal chiffré TLS fourni par le protocole PEAP. PEAP est utilisé comme méthode d’authentification pour les clients qui sont connectent au réseau de votre organisation via les types de serveurs d’accès réseau suivants :

  • Points d’accès sans fil 802. 1 X

  • Commutateurs d’authentification 802. 1 X

  • Ordinateurs exécutant Windows Server 2012 ou Windows Server 2008 R2 et RRAS sont configuré en tant que serveurs VPN

  • Ordinateurs exécutant Windows Server 2012 ou Windows Server 2008 R2 et passerelle Bureau à distance

Fonctionnalités de PEAP

Pour améliorer les protocoles EAP et la sécurité du réseau, le protocole PEAP fournit :

  • Un canal TLS protège la négociation de méthode EAP qui se produit entre le client et le serveur. Ce canal TLS permet d’empêcher une personne malveillante d’injecter des paquets entre le client et le serveur d’accès réseau pour provoquer la négociation d’un type EAP moins sécurisé. Le canal TLS chiffré permet également d’empêcher les refus de service contre le serveur NPS.

  • Prise en charge de la fragmentation et le réassemblage des messages, ce qui permet l’utilisation de types EAP qui ne fournissent pas cette fonctionnalité.

  • Clients avec la capacité d’authentifier le serveur NPS ou tout autre serveur RADIUS. Étant donné que le serveur authentifie également le client, l’authentification mutuelle se produit.

  • Protection contre le déploiement d’un point d’accès sans fil non autorisés pour le moment lorsque le client EAP authentifie le certificat fourni par le serveur NPS. En outre, le secret principal TLS créé par l’authentificateur PEAP et le client n’est pas partagé avec le point d’accès. Pour cette raison, le point d’accès ne peut pas déchiffrer les messages qui sont protégées par le protocole PEAP.

  • La reconnexion rapide PEAP, ce qui réduit le délai entre la demande d’authentification d’un client et la réponse par le serveur NPS ou tout autre serveur RADIUS. La reconnexion rapide permet également aux clients sans fil pour vous déplacer entre les points d’accès qui sont configurés en tant que clients RADIUS sur le même serveur RADIUS sans les demandes d’authentification répétées. Cela réduit les besoins en ressources pour le client et le serveur, et réduit le nombre de fois que les utilisateurs sont invités pour les informations d’identification.

Services de certificats Active Directory

Les services AD CS dans Windows Server 2012 fournit des services personnalisables pour créer et gérer les certificats X.509 sont utilisés dans les systèmes de sécurité logiciels employant des technologies de clé publique. Organisations peuvent utiliser les services AD CS pour améliorer la sécurité en liant l’identité d’une personne, un périphérique ou un service à une clé publique correspondante. Les services AD CS comprend également des fonctionnalités qui vous permettent de gérer l’inscription de certificats et la révocation dans divers environnements évolutifs.