Guide d’accompagnement du réseau principal : Ordinateur et déploiement de certificats d’utilisateur

  • Article

 

S'applique à: Windows Server 2012

Le Windows Server® 2012 Guide réseau de base fournit des instructions pour planifier et déployer les composants requis pour un réseau pleinement fonctionnel et un nouveau domaine Active Directory® dans une nouvelle forêt.

Ce guide explique comment générer sur le réseau de base, en fournissant des instructions pour le déploiement des certificats d’utilisateur et d’ordinateur client avec les Services de certificats Active Directory (AD CS).

Ce guide contient les sections suivantes.

Conditions préalables à l’utilisation de ce guide

Il s’agit d’un guide d’accompagnement du Guide du réseau de base de Windows Server 2012. Pour déployer des certificats d’ordinateur et utilisateur avec ce guide, vous devez effectuer ce qui suit.

  1. Déploiement d’un réseau à l’aide du Guide du réseau principal, ou aient déjà les technologies fournies dans le Guide du réseau de base installé et fonctionne correctement sur votre réseau. Ces technologies incluent TCP/IP v4, DHCP, les services de domaine Active Directory (AD DS), DNS, NPS et le serveur web (IIS).

    Notes

    Le Windows Server 2012 Guide réseau de base est disponible dans le Windows Server 2012 bibliothèque technique (https://go.microsoft.com/fwlink/?LinkId=154884).

    Le Guide de réseau de base est également disponible au format Word dans Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).

  2. Si vous utilisez des certificats d’ordinateur ou utilisateur pour l’authentification d’accès réseau avec les méthodes d’authentification basée sur certificat, vous devez déployer des certificats de serveur aux serveurs NPS, les serveurs RRAS ou les deux à l’aide du Guide d’accompagnement du réseau principal : déploiement de certificats de serveur ; ou vous devez avoir déjà déployé une infrastructure à clé publique (PKI) et les certificats de serveur qui répondent à la configuration requise pour l’authentification d’accès du réseau.

    Notes

    Le Windows Server 2012 Guide d’accompagnement de réseau de base : déploiement de certificats de serveur est disponible dans le Windows Server 2012 bibliothèque technique (https://go.microsoft.com/fwlink/p/?LinkId=251948).

    Guide d’accompagnement de réseau de base : Déploiement de certificats de serveur est également disponible au format Word dans Microsoft TechNet Gallery (https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7).

À propos de ce guide

Ce guide fournit des instructions pour le déploiement des certificats d’utilisateur et d’ordinateur client pour les ordinateurs membres du domaine et les utilisateurs du domaine à l’aide des services AD CS.

Les certificats sont utilisés dans le cadre de l’authentification d’accès réseau : ils sécurisent l’authentification des utilisateurs et des ordinateurs, et évitent le recours à des méthodes d’authentification par mot de passe beaucoup moins sûres.

Lorsque vous déployez Extensible Authentication Protocol Transport Layer Security (EAP-TLS) ou EAP protégé par TLS (PEAP-TLS), les certificats sont requis pour l’authentification des serveurs et pour les ordinateurs clients ou utilisateurs, réseau lors de tentatives de connexion via des serveurs d’accès réseau tels que l’accès sans fil et les commutateurs compatibles X 802. 1 points, virtuel du réseau privé (VPN) serveurs et ordinateurs Windows Server 2012 et la passerelle des services Bureau à distance (passerelle Bureau à distance) ou Windows Server 2008 et la passerelle des Services Terminal Server (passerelle TS).

Notes

Tous ces serveurs d’accès réseau sont également appelées clients d’authentification Dial-In Service RADIUS (Remote User), car ils utilisent le protocole RADIUS pour envoyer des demandes de connexion et d’autres messages RADIUS aux serveurs RADIUS. Les serveurs RADIUS de traiter les demandes de connexion et effectuent l’authentification et l’autorisation. Le serveur et proxy RADIUS dans Windows Server 2012 est le serveur NPS (Network Policy Server).

Déploiement de certificats avec les services AD CS pour les méthodes d’authentification par certificat EAP et PEAP offre les avantages suivants :

  • Sécurité de l’authentification basée sur certificat, qui lie l’identité du serveur exécutant NPS, serveur RRAS, utilisateur ou ordinateur client à une clé privée

  • Une méthode économique et sécurisée pour la gestion des certificats, ce qui vous permet d’inscrire automatiquement, renouveler et révoquer des certificats pour les ordinateurs membres du domaine et les utilisateurs du domaine

  • Une méthode plus efficace pour la gestion des autorités de certification (CA)

  • La possibilité de déployer d’autres types de certificats qui sont utilisés à des fins d’authentification serveur, utilisateur ou ordinateur. Par exemple, vous pouvez déployer des certificats de fournissent aux utilisateurs la possibilité de signer numériquement le courrier électronique, ou vous pouvez émettre des certificats utilisés pour la signature du code logiciel.

Ce guide s’adresse aux administrateurs système et réseau ayant suivi les instructions fournies dans le Windows Server 2012 Guide réseau de base pour déployer un réseau, ou pour ceux ayant déjà déployé les technologies incluses dans le réseau de base, y compris les Services de domaine Active Directory (AD DS), nom de domaine (DNS), Configuration protocole DHCP (Dynamic Host), TCP/IP, serveur NPS (Network Policy Server) et le serveur Web (IIS).

Il est recommandé de consulter les guides de conception et de déploiement pour chacune des technologies utilisées dans ce scénario de déploiement. Ces guides peuvent vous aider à déterminer si ce scénario de déploiement fournit les services et la configuration dont vous avez besoin pour votre réseau d’entreprise.

Configuration requise pour le déploiement des certificats d’ordinateur et utilisateur

Voici la configuration requise pour le déploiement des certificats d’utilisateur et d’ordinateur client à l’aide de l’inscription automatique :

  • Les services AD DS est installé, comme d’autres technologies de réseau, selon les instructions fournies dans le Windows Server 2012 Guide réseau de base.

  • Pour effectuer l’inscription automatique des certificats d’utilisateur et d’ordinateur client, votre autorité de certification doit être en cours d’exécution le Windows Server 2008 ou Windows Server® 2008 R2 Enterprise ou Datacenter de système d’exploitation et doit être une autorité de certification émettrice ; ou l’autorité de certification doit être en cours d’exécution le Windows Server 2012 Standard, Enterprise ou Datacenter, système d’exploitation et doit être une autorité de certification émettrice. Bien que les services AD CS peut être déployé sur un serveur unique, plusieurs déploiements utilisent une infrastructure à clé publique à deux niveaux avec plusieurs serveurs configurés en tant qu’autorités de certification subordonnées.

  • Pour déployer EAP-TLS ou PEAP-TLS, vous devez inscrire des certificats de serveur pour les serveurs NPS et, si vous utilisez des serveurs RRAS en tant que serveurs de réseau privé virtuel (VPN), sur des ordinateurs exécutant Windows Server 2008, Windows Server® 2008 R2, ou Windows Server 2012 et le service Routage et accès distant (RRAS). Ce guide suppose que vous avez inscrit automatiquement les certificats de serveur conformément à la Windows Server 2012 Guide d’accompagnement de réseau de base : déploiement de certificats de serveur qui est disponible au format HTML dans le Windows Server 2012 bibliothèque technique (https://technet.microsoft.com/en-us/library/jj125379).

Notes

Si vous déployez un ou plusieurs serveurs RRAS en tant que serveurs VPN et que vous n’avez pas installé de serveur NPS, les stratégies réseau et les méthodes d’authentification inclus dans ces stratégies sont configurées individuellement par serveur RRAS, ce qui peut prendre du temps et peut créer des opportunités pour les erreurs de configuration. Lorsque vous installez NPS, vous pouvez configurer les serveurs RRAS en tant que clients RADIUS dans NPS et ensuite utiliser NPS pour gérer de manière centralisée toutes les stratégies et méthodes d’authentification utilisées par la stratégie.

  • Pour déployer PEAP ou EAP pour VPN, vous devez déployer le routage et accès distant configuré comme un serveur VPN. L’utilisation de NPS est facultative. Toutefois, si vous avez plusieurs serveurs VPN, à l’aide de NPS est recommandé pour faciliter l’administration et pour les services de gestion des comptes RADIUS NPS fournit.

  • Déploiement de passerelle TS dans PEAP ou EAP Windows Server 2008 ou passerelle Bureau à distance dans Windows Server 2012, vous devez déployer passerelle TS et NPS ou passerelle Bureau à distance et NPS, respectivement.

  • Pour déployer PEAP ou EAP pour 802. 1 X sécurisé avec ou sans fil, vous devez déployer NPS et matériel supplémentaire, tel que les commutateurs 802. 1 X ou points d’accès sans fil.

Ce que ce guide ne contient pas

Ce guide ne fournit pas d’informations sur les éléments suivants :

  • Comment déployer des certificats d’utilisateur et d’ordinateur client avec les cartes à puce.

  • Comment déployer des certificats de serveur avec l’inscription automatique.

  • Explique comment concevoir et déployer une infrastructure à clé publique (PKI) à l’aide des services AD CS. Il est recommandé que vous passez en revue la documentation de conception et de déploiement AD CS avant de déployer les technologies de ce guide. Pour plus d’informations, consultez des ressources supplémentaires.

  • Comment déployer les technologies d’accès réseau pour le serveur de certificats peuvent être utilisés. Il peut exister d’autres guides d’accompagnement disponibles qui fournissent des instructions pour le déploiement de ces solutions d’accès réseau. Vous pourriez également consulter la documentation NPS pour obtenir ces informations.

Vues d’ensemble des technologies

Voici des présentations des technologies pour l’ordinateur client et les certificats d’utilisateur, EAP, PEAP et les services AD CS.

AD CS

Les services AD CS dans Windows Server 2012 fournit des services personnalisables pour créer et gérer les certificats X.509 sont utilisés dans les systèmes de sécurité logiciels employant des technologies de clé publique. Organisations peuvent utiliser les services AD CS pour améliorer la sécurité en liant l’identité d’une personne, un périphérique ou un service à une clé publique correspondante. Les services AD CS comprend également des fonctionnalités qui vous permettent de gérer l’inscription de certificats et la révocation dans divers environnements évolutifs.

Certificats d’ordinateur et utilisateur de client

Lorsque vous déployez EAP-TLS ou PEAP-TLS, vous pouvez déployer des certificats d’ordinateur pour l’authentification de l’ordinateur client, les certificats d’utilisateur pour l’authentification utilisateur ou les deux.

Notes

EAP ne fournit pas de mécanismes qui effectuent l’authentification double : autrement dit, l’authentification de l’ordinateur utilisé pour accéder au réseau et l’utilisateur qui tente de se connecter. Pour cette raison, vous ne devez pas émettre des certificats d’ordinateur et utilisateur lorsque vous déployez PEAP et EAP avec les types d’authentification basée sur certificat.

Il existe deux méthodes de déploiement des certificats d’utilisateur et d’ordinateur client :

  • à l’aide de cartes à puce. Lorsque vous déployez des certificats à l’aide de cartes à puce, vous devez acheter du matériel supplémentaire pour les certificats d’identification d’utilisateur ou autres cartes que vos employés utilisent pour se connecter au réseau d’impression. En outre, les utilisateurs doivent être fournis avec des lecteurs de carte à puce, qui sont utilisés pour lire le certificat qui est imprimée sur la carte à puce lorsqu’ils se connectent.

    Important

    Ce guide ne fournit pas d’informations sur la façon de déployer des certificats d’utilisateur et d’ordinateur client avec les cartes à puce.

  • à l’aide de l’inscription automatique. Lorsque vous déployez des certificats à l’aide de l’inscription automatique, vous configurez l’autorité de certification pour inscrire automatiquement des certificats aux ordinateurs qui sont membres du groupe ordinateurs du domaine et les utilisateurs qui sont membres du groupe utilisateurs du domaine. Aucun matériel supplémentaire n’est nécessaire pour inscrire automatiquement les certificats, car les certificats sont stockés sur l’ordinateur qui se connecte au réseau. Lorsqu’un ordinateur reçoit un certificat d’ordinateur ou l’utilisateur à partir de l’autorité de certification, le certificat est stocké localement dans un magasin de données nommé le magasin de certificats.

Important

Vous devez inscrire des certificats uniquement pour les ordinateurs et les utilisateurs auxquels vous souhaitez accorder l’accès au réseau par les clients RADIUS. Vous n’avez pas à inscrire automatiquement les certificats à tous les membres des groupes utilisateurs du domaine et les ordinateurs du domaine. Au lieu de cela, vous pouvez émettre des certificats pour des sous-ensembles des groupes d’utilisateurs de domaine et les ordinateurs du domaine, comme à l’équipe de ventes ou du service comptabilité. Pour inscrire des certificats à d’autres groupes, créez les groupes et puis ajoutez des membres aux groupes dans Active Directory Users and Computers. Dans le composant logiciel enfichable modèles de certificats, supprimez les groupes utilisateurs du domaine ou des ordinateurs du domaine à partir de la liste de contrôle d’accès (ACL) sur les modèles de certificat (le modèle de l’utilisateur et le modèle d’authentification de station de travail, respectivement), puis ajoutez les groupes que vous avez créé pour le modèle.

Magasin de certificats

Sur les ordinateurs qui exécutent le système d’exploitation Windows, les certificats qui sont installés sur l’ordinateur sont conservés dans une zone de stockage appelée le magasin de certificats. Le magasin de certificats est accessible à l’aide du composant logiciel enfichable certificats Microsoft Management Console (MMC).

Ce magasin contient plusieurs dossiers, où sont stockés les certificats de types différents. Par exemple, le magasin de certificats contient un dossier autorités de Certification racine dans lequel les certificats de toutes les autorités de certification racines sont conservés.

Lorsque votre organisation déploie une infrastructure à clé publique et installe une autorité de certification approuvée privée à l’aide de services AD CS, l’autorité de certification envoie automatiquement son certificat pour tous les ordinateurs membres du domaine de l’organisation. Les ordinateurs membres du domaine client et serveur de stockent le certificat d’autorité de certification dans le dossier autorités de Certification racines de confiance de l’utilisateur actuel et les magasins de certificats ordinateur Local. Après cela, les ordinateurs membres du domaine approuvent les certificats émis par l’autorité de certification racine approuvée.

De même, lorsque vous inscrire automatiquement les certificats d’ordinateur pour les ordinateurs clients membres du domaine, le certificat est conservé dans le magasin de certificats personnel de l’ordinateur Local. Lorsque vous inscrivez automatiquement les certificats aux utilisateurs, le certificat de l’utilisateur est conservé dans le magasin de certificats personnel de l’utilisateur actuel.

Protocole EAP

Le protocole EAP (Extensible Authentication Protocol) étend le protocole PPP (Point-to-Point Protocol) en autorisant des méthodes d’authentification arbitraires qui utilisent des échanges d’informations d’identification et de données de longueurs arbitraires. EAP a été développé en réponse à la demande pour les méthodes d’authentification qui utilisent des périphériques de sécurité tels que les cartes à puce, les cartes à jeton et les calculatrices de chiffrement. EAP fournit une architecture standard pour prendre en charge d’autres méthodes d’authentification dans le protocole PPP.

Avec EAP, un mécanisme d’authentification arbitraire est utilisé pour vérifier l’identité du client et du serveur qui établissent une connexion d’accès réseau. Le schéma d’authentification à utiliser est négocié par le client d’accès et l’authentificateur (le serveur d’accès réseau ou le serveur RADIUS).

Pour réussir l’authentification se produise, le client d’accès réseau et l’authentificateur (par exemple, le serveur NPS) doivent prendre en charge le même type EAP.

Important

Les types EAP forts (telles que celles qui sont basées sur les certificats) offrent une meilleure protection contre les attaques en force brute, aux attaques par dictionnaire et déchiffrement des attaques que les protocoles d’authentification basée sur mot de passe (tels que CHAP ou MS-CHAP version 1).

EAP dans Windows Server 2012

Windows Server 2012 inclut une infrastructure EAP, deux types EAP et la possibilité de transmettre des messages EAP à un serveur RADIUS (EAP-RADIUS) tels que NPS.

Grâce au protocole EAP, prend en charge les schémas d’authentification supplémentaires, appelés types EAP. Les types EAP sont prises en charge par Windows Server 2012 sont :

  • Transport Layer Security (TLS). EAP-TLS requiert l’utilisation de certificats d’ordinateur ou de certificats utilisateur, en plus des certificats de serveur inscrits sur les ordinateurs exécutant le serveur NPS.

  • Microsoft Challenge Handshake Authentication Protocol, version 2 (MS-CHAP v2). Ce type EAP est un protocole d’authentification par mot de passe. Lorsqu’il est utilisé dans EAP comme méthode d’authentification EAP-MS-CHAP v2, les serveurs NPS et RRAS fournissent un certificat de serveur comme preuve d’identité aux ordinateurs clients, tandis que les utilisateurs prouvent leur identité avec un nom d’utilisateur et le mot de passe.

  • Tunneled Transport Layer Security (TTLS). EAP-TTLS est nouvelle dans Windows Server 2012 et n’est pas disponible dans les autres versions de Windows Server. EAP-TTLS est une méthode normalisée de tunneling EAP qui prend en charge l’authentification mutuelle. EAP-TTLS fournit un tunnel sécurisé pour l’authentification client utilisant les méthodes EAP et d’autres protocoles hérités. Vous pouvez également configurer EAP-TTLS sur les ordinateurs clients pour des solutions d’accès réseau dans lesquelles des serveurs RADIUS (Remote Authentication Dial In User Service) non-Microsoft prenant en charge EAP-TTLS sont utilisés pour l’authentification.

En outre, vous pouvez installer les autres modules non Microsoft EAP sur le serveur exécutant NPS ou routage et accès distant pour fournir d’autres types d’authentification EAP. Dans la plupart des cas, si vous installez des types EAP supplémentaires sur les serveurs, vous devez également installer les composants d’authentification client EAP correspondants sur les ordinateurs clients afin que le client et le serveur peuvent négocier avec succès une méthode d’authentification à utiliser pour les demandes de connexion.

PEAP

PEAP utilise TLS pour créer un canal chiffré entre un client PEAP, comme un ordinateur sans fil et un authentificateur PEAP, tel qu’un serveur exécutant NPS ou tout autre serveur RADIUS.

PEAP ne spécifie pas une méthode d’authentification, mais il fournit une sécurité supplémentaire pour les autres protocoles d’authentification EAP (telles que EAP-MSCHAP v2) qui peuvent fonctionner par le biais du canal chiffré TLS fourni par le protocole PEAP. PEAP est utilisé comme méthode d’authentification pour les clients qui sont connectent au réseau de votre organisation via les types de serveurs d’accès réseau suivants :

  • Points d’accès sans fil 802. 1 X

  • Commutateurs d’authentification 802. 1 X

  • Ordinateurs exécutant Windows Server 2012 ou Windows Server 2008 R2 et RRAS sont configuré en tant que serveurs VPN

  • Ordinateurs exécutant Windows Server 2012 ou Windows Server 2008 R2 et passerelle Bureau à distance

Fonctionnalités de PEAP

Pour améliorer les protocoles EAP et la sécurité du réseau, le protocole PEAP fournit :

  • Un canal TLS protège la négociation de méthode EAP qui se produit entre le client et le serveur. Ce canal TLS permet d’empêcher une personne malveillante d’injecter des paquets entre le client et le serveur d’accès réseau pour provoquer la négociation d’un type EAP moins sécurisé. Le canal TLS chiffré permet également d’empêcher les refus de service contre le serveur NPS.

  • Prise en charge de la fragmentation et le réassemblage des messages, ce qui permet l’utilisation de types EAP qui ne fournissent pas cette fonctionnalité.

  • Clients avec la capacité d’authentifier le serveur NPS ou tout autre serveur RADIUS. Étant donné que le serveur authentifie également le client, l’authentification mutuelle se produit.

  • Protection contre le déploiement d’un point d’accès sans fil non autorisés pour le moment lorsque le client EAP authentifie le certificat fourni par le serveur NPS. En outre, le secret principal TLS créé par l’authentificateur PEAP et le client n’est pas partagé avec le point d’accès. Pour cette raison, le point d’accès ne peut pas déchiffrer les messages qui sont protégées par le protocole PEAP.

  • La reconnexion rapide PEAP, ce qui réduit le délai entre la demande d’authentification d’un client et la réponse par le serveur NPS ou tout autre serveur RADIUS. La reconnexion rapide permet également aux clients sans fil pour vous déplacer entre les points d’accès qui sont configurés en tant que clients RADIUS sur le même serveur RADIUS sans les demandes d’authentification répétées. Cela réduit les besoins en ressources pour le client et le serveur, et réduit le nombre de fois que les utilisateurs sont invités pour les informations d’identification.

Présentation du déploiement de EAP-TLS et PEAP-TLS

Voici les étapes générales pour le déploiement d’EAP-TLS ou PEAP-TLS :

  • Déployer des serveurs d’accès réseau (clients RADIUS) EAP et RADIUS conforme.

  • Inscription automatique des certificats de serveur aux serveurs NPS et, le cas échéant, les serveurs de routage et accès distant VPN.

  • Inscription automatique certificats d’ordinateur, les certificats d’utilisateur, ou les deux, pour les ordinateurs membres du domaine et les utilisateurs, respectivement, ou à d’autres groupes que vous avez créé.

  • Configurer les serveurs d’accès réseau en tant que clients RADIUS dans NPS.

  • Configurer l’authentification EAP dans la stratégie de réseau NPS ou RRAS.

  • Assurez-vous que les ordinateurs clients prennent en charge EAP. Par défaut, Windows® 8, Windows® 7, et Windows Vista® prennent en charge EAP.

Stratégie de groupe

La stratégie de groupe dans Windows Server 2012 est une infrastructure utilisée pour fournir et appliquer une ou plusieurs configurations voulues ou des paramètres de stratégie à un ensemble d’utilisateurs et d’ordinateurs ciblés au sein d’un environnement Active Directory. Cette infrastructure consiste en un moteur de stratégie de groupe et de plusieurs extensions côté client (CSE) qui est responsable de lire les paramètres de stratégie sur les ordinateurs clients cibles. Stratégie de groupe est utilisée dans ce scénario d’inscrire et de distribuer des certificats aux utilisateurs, les ordinateurs ou les deux.