|
Demande Explicite par l'intermédiaire d'une MMC:
Pour
demander un certificat manuellement à l'aide de la console MMC, il suffit de
récréer exactement la même console que nous venons de créer et de cliquer
droit sur le dossier Personnel et de choisir dans Toutes les
tâches la tâches Demander un nouveau Certificat. Cela a pour effet
de lancer l'assistant Demande de Certificat et par conséquent il faut
cliquer sur Suivant pour choisir
le type de modèle de Certificat. La case à cocher option avancée
permet de sélectionner les fournisseurs de services cryptographiques et
l'Autorité de Certification. Puis l'Assistant invite
l'utilisateur à rentrer un Nom une description pour le nouveau
certificat et l'assistant affiche un récapitulatif des choix de
l'utilisateur, il ne reste plus qu'à cliquer sur Terminer.
Un
message confirme la réussite de la demande et propose d'afficher le
Certificat si tout se passe correctement.
Absence d'une CA d'entreprise,
demande auprès d'une autorité de certificat autonome:
Ce
type de demande se fait à partir d'une page Web et bien que les étapes sont
sensiblement les mêmes que celle décrite plus haut, il existe quelques
différences. Ici, on ne va pas choisir le type de modèle de Certificats, mais
plutôt son utilisation (authentification client, IPSec, Signature de
code....). On va aussi ici s'adresser à une société tierce qui fournira les
certificats demandés, d'où l'utilisation d'Internet. Une fois le bouton
soumettre cliquer, il va falloir attendre parce qu'une autorité de certification
autonome ne fournit pas automatiquement les certificats. En effet, il faut
que l'administrateur de l'autorité de certification autonome accepte la
demande après vérification de l'identité de l'utilisateur, pour que ce
dernier puisse recevoir le certificat par téléchargement. pour ce faire,
l'administrateur va à partir de la MMC Autorité de certification faire
un clic droit sur le dossier Demande en attentes et à partir de l'option
Toutes les Tâches faire apparaître le menu contextuel qui permettra de
Délivrer ou Refuser la demande. C'est ensuite à l'utilisateur
de télécharger et d’installer le certificat à l'aide du Vérifier un
certificat maintenant dans la page d'accueil du service de certificat.
La demande de certificats se
base sur les modèles de certificats comme vue précédemment. Il est
possible de voir les modèles présents par défaut dans le dossier
stratégie de la console Autorité de certification.
Il est possible d'ajouter un
nouveau modèle, pour cela clic droit sur Paramètre des stratégies,
puis Nouveau - Certificats à délivrer, il ne reste plus qu'à ajouter
les modèles nécessaires.
|
Il faut
savoir que chaque modèle est vu comme un objet Active directory ce
qui signifie que ces derniers possèdent des listes de contrôles d'accès.
Ainsi, si le modèle ajouté sera utilisé par l'Administrateur, aucune action
supplémentaire n'est nécessaire. Par contre, si les modèles sont ajoutés
afin que les utilisateurs puissent effectuer des demandes de certificats
manuellement, il faut alors autoriser les utilisateurs à effectuer
cette demande. Pour cela, il faut lancer la console Site et services Active
Directory. Dans le menu affichage, il faut sélectionner Afficher le nœuds
des services.
|
|
Pour modifier les
autorisations sur les modèles, développer Services -> Public Key
services -> Certificates Templates puis effectuer un clic droit sur le
modèle souhaité. cliquer ensuite sur Propriétés et accéder à l'onglet
sécurité. Il faut sélectionner la permission Enroler pour que le
groupe d'utilisateur désigné puisse effectuer une requête de certificat sur
ce modèle. Cela se traduit par le fait que lors de la demande de certificat
auprès de l'autorité de certification, les utilisateurs ayant la permissions "Enroler"
auront en sélectionnant Demande avancer dans l'assistant de demande
de certificat, ce modèle de certificat parmi les modèles qui seront
affichés dans la liste déroutante Modèle de certificat. (voir demande
de certificat).
Un administrateur
peut à tout moment révoquer un certificat fournis à un utilisateur.
Ainsi, si un utilisateur perd sa carte à puce, il est possible de révoquer le
certificat associé à cette dernière. Une liste de révocation est publiée
et mise à jour toutes les semaines dans la base Active
Directory (CA Entreprise) ou dans
le dossier %systemroot%\System32\certsrv\certenroll (pour les CA
autonomes). Il est possible de la publier à tout moment, mais il faut garder
à l'esprit que la liste de révocation dans le cache locale des utilisateurs
ne se mettra pas à jour automatiquement. Il faut que les utilisateurs la
mettent à jour manuellement en se connectant au à la page Web des
certificats. Ils la mettront de toute façons à jour lorsque la liste de
révocation aura expiré au bout d'une semaine par défaut.
Pour révoquer un
certificat, il suffit à partir de la MMC Autorité de certification,
dans le dossier certificat délivré faire un clic droit sur le
certificat à révoquer, et à partir de l'option Toutes les tâches,
sélectionner la seule tâche disponible : Révoquer un certificat.
Pour publier la liste de
révocation, il suffit de suivre la même procédure que précédemment sur le
dossier Certificats Révoqués. La seule tâche disponible est publiée.
Pour modifier l'intervalle
publication de la liste de révocation, il faut afficher les propriétés
du dossier Certificats révoqués dans la MMC Autorité de
certification.
|
Présentation de l'infrastructure à clé publique de Windows 2000
Pour afficher ou poster un commentaire, cliquez sur ce lien : 
