Implémenter une infrastructure à clés publiques dans un environnement Windows Server 2003 Accueil > Articles > Réseaux
Auteurs  Alexandre VILLOING LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT  Tous les articles de cet auteur		3,3/5 Assez Bien 92220 228/753

3. Exemples de domaines d'application des certificats numériques

Les certificats numériques peuvent être utilisés dans de nombreux domaines

3.1 Sécuriser sa messagerie

Chaque jour, un nombre croissant d'e-mail transitent sur les réseaux du monde entier (réseaux d'entreprise, réseaux locaux, Internet etc). La messagerie a pris une telle importance dans les communications qu'elle se doit d'être sécurisée. Pour assurer sa sécurité, deux méthodes peuvent être mises en place :

Pour garantir votre identité à vos destinataires lorsque vous envoyez un e-mail, vous pouvez faire appel à un certificat de messagerie.

Exemple d'un certificat de messagerie

Ce certificat vous permet d'envoyer des e-mails avec votre compte de messagerie en y joignant votre signature numérique.Les messages signés numériquement apparaissent dans Microsoft Outlook avec une icône particulière et dispose d'une ligne supplémentaire dans l'entête :

Si vous souhaitez utiliser un certificat de messagerie destiné à Internet et que vous ne disposez pas d'une autorité de certification personnelle, vous pouvez gratuitement créer votre certificat en suivant l'article de Nicolas Milbrand disponible ici.

Pour crypter un message, l'opération est moins évidente, puisqu'il nous faut posséder la clé publique du destinataire. Il faut donc que le destinataire ai mit à votre disposition un certificat de messagerie et que vous le possédiez. Dans ce cas, crypter un message avec Microsoft Outlook se déroule de manière très semblable à apposer sa signature électronique sur un e-mail.

Il suffit de sélectionner l'icône « Crypter le message » dans la barre d'outils du message.

3.2 Protéger son accès VPN à l'aide de L2TP/IPSec

Pour établir un tunnel entre deux hôtes avec Windows Server 2003, il vous faut choisir soit PPTP (Point to Point Tuneling Protocol) soit L2TP (Layer 2 Tunnel Protocol). La méthode la plus sécurisée à utiliser dans le cas d'un tunnel VPN (Virtual Private Network) est d'opter pour le protocole L2TP complété par IPSec (IP Security).

IPSec supporte trois types d'authentification :

Nous allons étudier ici la mise en place d'une authentification par certificat numérique. Nous supposerons alors que le serveur et le client peuvent communiquer correctement à l'aide de L2TP/IPSec. Vous pouvez vérifier votre configuration en utilisant la méthode de clé pré-partagée qui est la plus simple à mettre en œuvre. Une fois cette étape accomplie, il est possible de mettre en place l'authentification par certificat numérique en réalisant les opérations ci-dessous sur le client et sur le serveur.

Installation des certificats sur le client et le sur serveur :

L'authentification par certificat nécessite l'installation d'un certificat IPSec sur les deux ordinateurs souhaitant communiquer. Pour cela, connectez-vous sur http://nom-de-la-CA/certsrv, demandez un certificat puis soumettez une demande de certificat avancée (« Demande de certificat avancée puis Créer ou soumettre une demande de requête »). Complétez les informations demandées, puis choisissez un « Certificat IPSec ». Les certificats IPSec doivent être stockés pour le compte de l'ordinateur et non pour le compte de l'utilisateur actif. Pour cela, il vous faut cocher la case « Stocker le certificat dans le magasin de l'ordinateur local ».
Lorsque votre demande de certificat est acceptée, installer le certificat (sur la page d'accueil du site Web de l'autorité de certification, choisissez « Afficher le statut d'une requête de certificat en attente » puis sélectionnez le « Certificat IPSec »).

Installation du certificat de l'autorité de certification sur le client et sur le serveur :

Si vous utilisez cette autorité de certification pour la première fois, il vous faut installer le certificat de l'autorité de certification, gage de votre confiance envers cette autorité. Pour cela, toujours sur la page d'accueil, choisissez « Télécharger un certificat d'autorité de certification », puis « télécharger un certificat de l'Autorité de certification ». Fermez l'interface Web. Dans la MMC Certificat , développez « Certificats (ordinateur local) » puis effectuez un clique droit sur « Autorité de certification racines de confiance » pour sélectionner « Importer » dans « Toutes les tâches ». Cliquez sur Suivant puis sur Parcourir. Rechercher le certificat précédemment enregistré puis cliquez à nouveau sur Suivant. Vous devez stocker le certificat dans le magasin « Autorités de certification racines de confiance », sélectionné par défaut. Cliquez sur Suivant puis Terminer.
Vous avez maintenant confiance en cette autorité de certification.

Vous pouvez maintenant vous connecter et vous authentifier à l'aide de votre client sur votre serveur VPN. Assurez-vous que le protocole L2TP soit bien sélectionné : pour le client Windows, afficher les propriétés de la connexion VPN , sélectionnez l'onglet « Gestion de réseau » puis sélectionnez VPN L2TP IPSec dans le Type de réseau VPN.

3.3 Crypter ses fichiers avec EFS

Le système de fichier encrypté (Encrypting File System, EFS) est supporté par Windows 2000, XP et Server 2003. Il permet aux utilisateurs de protéger l'accès à leurs données par des utilisateurs non autorisés de manière totalement transparente.

Crypter un fichier avec EFS :

Crypter un fichier avec EFS sur Windows XP ou Server 2003 est relativement simple. Il suffit d'afficher les propriétés du fichier à crypter (clique droit sur le fichier puis choisir « Propriétés »). Sélectionnez le bouton « Avancé » puis cochez la case « Crypter le contenu pour sécuriser les données  ». Le fichier ainsi crypté apparait en vert dans l'explorateur Windows.

Principe de fonctionnement de EFS :

Pour crypter un fichier, EFS va tout d'abord crypter symétriquement les données puis ajouter la clé cryptage, appelée FEK pour File Encryption Key. Pour améliorer la sécurité, EFS va ensuite ajouter la FEK au fichier et crypter celle là en utilisant le cryptage asymétrique. La clé symétrique ainsi cryptée est stockée dans un champ nommé DDF pour Data Decryption Field. Il est aussi possible de spécifier un agent de récupération ce qui permet de récupérer les données même en cas de perte du certificat de l'utilisateur.

Utiliser de préférence EFS dans une PKI :

Le certificat de l'utilisateur et la privée lui étant liée est stocké dans le profil local de l'utilisateur. Ainsi, en cas de panne du système, si aucune sauvegarde du certificat et de la clé privée n'est disponible, l'utilisateur ne pourra donc plus décrypter ses données, même si un agent de récupération a été créé puisque lui non plus n'aura plus accès à son certificat et sa clé privée stockés localement.

Pour résoudre ce problème en cas de défaillance, il est possible d'utiliser une PKI qui sera chargée de gérer les certificats et qui plus est bénéficie d'une sauvegarde régulière. Un autre avantage d'utiliser une PKI, est qu'en cas d'utilisation de profil distant dans un domaine Active Directory, les utilisateurs pourront décrypter leurs fichiers depuis n'importe quelles machines du domaine.

Introduction

1. Les certificats numériques
      1.1 Présentation
      1.2 Pourquoi utiliser un certificat numérique

2. Implémenter une infrastructure à clés publiques
      2.1 Installation d'une PKI sous Windows Server 2003
      2.2 Administrer une infrastructure à clés publiques

3. Exemples de domaines d'application des certificats numériques
      3.1 Sécuriser sa messagerie
      3.2 Protéger son accès VPN à l'aide de L2TP/IPSec
      3.3 Crypter ses fichiers avec EFS

Conclusion

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft