|
C'est elle qui va se charger de
délivrer les certificats sous Windows 2000. Une autorité de certification
permet de déterminer les autorités qui seront incluses dans la hiérarchie de certification
et de déterminer si elles reposeront ou non sur les services d'Active
Directory.
La hiérarchisation des autorités
de certification (CA) va permettre de faire certifier des CA par d'autres CA.
Comme dit plus haut, cette structure hiérarchique s'appelle le chaînage. Les
utilisateurs seront donc garantis de l'identité du CA qui leurs fournis leurs
certificats. L'autorité au dessus du chaînage est appelée autorité racine et
les autorités inférieures sont appelées autorités secondaires, inférieures, émettrices
ou subordonnées (délivrant des certificats). Avant d'installer les services
de certificats, il faut décider de quel type d'autorité l'entreprise a
besoin:
- Autorité commerciale;
- Autorité privée;
Une autorité commerciale est utilisée
lorsque l'entreprise ne souhaite pas elle même gérer la délivrance, le suivit
et la révocation de ses certificats. Dans ce cas, elle fait appel à une
entreprise tierce qui va effectuer les tâches précédentes à votre place
moyennant finance. Les autorités les plus connues sont VeriSign, Thawte,
Securenet, GlobalSign..., la plus part des navigateurs possèdes des
certificats émanant de ses différentes autorités. Ce type d'autorité de
certificats convient parfaitement aux sites commerciaux où ils sont généralement
utilisés.
Une autorité de certification
privée est utile lorsque l'entreprise préfère gérer elle même ses
certificats. Elle convient à une
entreprise qui souhaite sécuriser son réseau ou communiquer via extranet avec
des entreprises partenaires.
Si vous avez choisi d'installer
les services de certificats, vous aurez à choisir quel sera le rôle de votre
autorité de certification. vous aurez à choisir entre:
- Autorité de certification
d'entreprise;
- Autorité de certification
autonome;
L'autorité de certification d'entreprise
exige la présence d'Active dirctory sur lequel elle se base pour fonctionner.
Elle va permettre de délivrer des certificats pour le courrier électronique
sécurisé via S/MINE, pour l'authentification auprès des serveurs Web en
utilisant SSL ou TLS, pour les signatures numériques, mais aussi pour
l'ouverture de session à l'aide des cartes à puces. Elle va utiliser un
modèle de certificats. Tout utilisateur demandant un certificat devra
posséder un compte dans la base d'Active directory. Les CA sont
automatiquement ajoutés au magasin de certificats des CA racine de confiance
pour tous les utilisateurs et ordinateurs du domaine; la CA publie les
certificats ainsi qu'une liste de révocation de certificat dans la base Active
directory, si l'ordinateur sur lequel est installé la CA fait parti du groupe
Éditeurs de certificats.
L'autorité de certificat autonome
permet de générer les certificats pour des utilisateurs n'appartenant pas à
la forêt Windows 2000 de l'entreprise.
Elle est intéressante pour la génération de certificats destinés au courrier
électronique sécurisé via S/MINE, pour l'authentification auprès des serveurs
Web en utilisant SSL ou TLS, pour les signatures numériques. Toute demande de
certificat pour un utilisateur reste en file d'attente jusqu'à ce qu'un
administrateur valide l'identité du demandeur. Il est impossible d'utiliser
ce type CA pour permettre l'ouverture de session à l'aide des cartes à puces
et d'utiliser les modèles de certificats.
A l'aide du panneau de
configuration, double click sur Ajout/Suppression de programmes, cliquer sur
Ajout/suppression de composant Windows, dans la liste des composants cocher
la case correspondant à Services de certificats, puis choisir oui, et cliquer
sur suivant.
Puis viens le choix d'installer deux
autorités de certification d'entreprise et deux CA autonomes. C'est ici que
l'on peut donc choisir de créer notre CA racine pour mettre en place notre
chaînage ou ajouter une nouvelle CA secondaire au chaînage. On décide aussi à
ce niveau si l'on va s'appuyer du service d'annuaire Active directory ou si
l'on souhaite ne pas le faire. il sera
préférable de cocher Options avancé pour gérer le fournisseur des services de
cryptographie, l'algorithme de hachage, la longueur des clés de cryptages.
Les fournisseurs de services
cryptographiques (CSP) sont chargés de gérer les clés de cryptage et de les utiliser
pour diverses opérations cryptographiques. D'autres fournisseurs de services
cryptographiques peuvent apparaître dans la liste si le hight encryption pack
est installé. Les fournisseurs de services cryptographiques Gemplus GemSAFE
Cards CSP et Schlumberger Cryptographic Service Provider permettent de
prendre en charge l'authentification par carte à puce. Cliquer ensuite sur le
bouton suivant après avoir fait votre choix.
Il va maintenant s'agir de remplir
les informations d'identification de l'autorité de certification et cliquer
sur suivant. Dans le cas de l'installation d'une CA racine, il va falloir
définir la durée de vie pour les certificats délivrés. Dans le cas de
l'installation d'une CA secondaire, la durée sera alors fixées par la CA
racine.
Puis nous allons indiquer
l'emplacement du stockage de la base de donnée des certificats et du journal
(par défaut: %systemroot%\system32\CertLog).
Si le service IIS est
installé sur le serveur et est démarré, le système va renvoyer un message
indiquant l'arrêt du service IIS.Au cours de l'installation, le système peut
vous demander le cd-rom Windows 2000.
Le système poursuit l'installation
en configurant les services IIS et Windows 2000 achève l'installation du
service de CA.
Une nouvelle console autorité de
certificat est désormais disponible dans les outils d'administration du menu
démarré.
|
Présentation de l'infrastructure à clé publique de Windows 2000
Pour afficher ou poster un commentaire, cliquez sur ce lien : 
