Qu’est-ce que le service de rôle de l’autorité de certification ?
Cet article fournit des informations sur le service de rôle Autorité de certification pour les services de certificats Active Directory lors du déploiement sur le système d’exploitation Windows Server.
Une autorité de certification est chargée d'attester l'identité des utilisateurs, des ordinateurs et des organisations. Elle authentifie une entité et se porte garante de cette identité en émettant un certificat signé numériquement. Elle gère, révoque et renouvelle également les certificats.
Une autorité de certification peut être :
- une organisation qui se porte garante de l’identité d’un utilisateur final.
- un serveur utilisé par l’organisation pour émettre et gérer les certificats.
En installant le service de rôle Autorité de certification d'AD CS (Active Directory Certificate Services), vous pouvez configurer votre serveur Windows pour qu'il fasse office d'autorité de certification.
Comprendre les types d’autorités de certification
Windows Server prend en charge quatre types d’autorité de certification différents :
- Autorité de certification racine d’entreprise.
- Entreprise subordonnée CA.
- Autorité de certification racine autonome.
- Autorité de certification subordonnée autonome.
Autorités de certification d’entreprise et autonomes
Lesautorités de certification d'entreprise sont intégrées aux services AD DS. Elles publient les certificats et les listes de révocation de certificats sur AD DS. Les autorités de certification d’entreprise utilisent les informations stockées dans AD DS, y compris les comptes d’utilisateur et les groupes de sécurité, pour approuver ou refuser les demandes de certificat. Les autorités de certification d'entreprise utilisent des modèles de certificats. Quand un certificat est émis, l'autorité de certification d'entreprise utilise les informations du modèle de certificat pour générer un certificat avec les attributs appropriés pour ce type de certificat.
Si vous voulez activer l'approbation automatique des certificats, ainsi que l'inscription automatique des certificats utilisateur, choisissez les autorités de certification d'entreprise pour émettre les certificats. Ces fonctionnalités sont disponibles uniquement lorsque l'infrastructure d'autorité de certification est intégrée à Active Directory. En outre, seules les autorités de certification d'entreprise peuvent émettre des certificats qui permettent la connexion par carte à puce, parce que cette procédure nécessite que les certificats de carte à puce soient mappés automatiquement aux comptes d'utilisateur d'Active Directory.
Les autorités de certification autonomes n’ont pas besoin d’AD DS et n’utilisent pas de modèles de certificats. Si vous utilisez les autorités de certification autonomes, toutes les informations sur le type de certificat demandé doivent être incluses dans la demande de certificat. Par défaut, toutes les demandes de certificats envoyées aux autorités de certification autonomes demeurent dans une file d'attente en attente jusqu'à ce qu'un administrateur d'autorité de certification les approuve. Il est possible de configurer des autorités de certification autonomes pour qu’elles émettent automatiquement des certificats sur demande, mais cette solution est moins sûre et n’est pas recommandée, car les demandes ne sont pas authentifiées.
Vous devez utiliser les autorités de certification autonomes pour émettre les certificats lorsque vous utilisez un service d’annuaire autre que ceux de Microsoft ou qu’AD DS n’est pas disponible. Vous pouvez utiliser à la fois les autorités de certification d’entreprise et les autorités de certification autonomes dans votre organisation.
Autorités de certification racine et subordonnées
Les autorités de certification d'entreprise et les autorités de certification autonomes peuvent être configurées comme autorités de certification racine ou comme autorités de certification secondaires. Les autorités de certification secondaires peuvent être par la suite configurées comme autorités de certification intermédiaires (aussi appelées autorités de certification de stratégie) ou autorités de certification émettrices
L’autorité de certification racine est l’autorité de certification qui se trouve au sommet d’une hiérarchie de certification, où toutes les chaînes de certificats se terminent. Lorsque le certificat d’autorité de certification racine est présent sur le client, l’autorité de certification racine est approuvée inconditionnellement. Que vous utilisiez les autorités de certification d'entreprise ou les autorités de certification autonomes, vous devez définir une autorité de certification racine.
Comme l’autorité de certification racine est l’autorité de certification la plus haute de la hiérarchie de certification, le champ Objet du certificat a la même valeur que le champ Émetteur. De même, comme la chaîne de certificats se termine quand elle atteint une autorité de certification auto-signée, toutes les autorités de certification auto-signées sont des autorités de certification racine. La décision de définir une autorité de certification comme autorité de certification racine approuvée peut être prise au niveau de l'entreprise ou localement par l'administrateur informatique.
Une autorité de certification racine fait office de fondation sur laquelle vous basez votre modèle d'approbation de l'autorité de certification. Elle garantit que la clé publique de l'objet correspond aux informations d'identité présentes dans le champ Objet des certificats qu'elle émet. Différentes autorités de certification vérifient aussi cette relation à l’aide de différentes normes ; par conséquent, il est important de comprendre les stratégies et les procédures de l’autorité de certification racine avant de choisir d’approuver cette autorité pour vérifier les clés publiques.
L'autorité de certification racine est la plus importante autorité de certification de votre hiérarchie. Si votre autorité de certification racine n'est pas fiable, aucune autorité de certification de la hiérarchie et aucun certificat émis à partir de cette autorité ne seront considérés comme fiables. Vous pouvez optimiser la sécurité de l'autorité de certification racine en la maintenant déconnectée du réseau et en utilisant les autorités de certification secondaires pour émettre les certificats d'autres autorités de certification secondaires ou d'utilisateurs finaux. Une autorité de certification racine déconnectée est également appelée autorité de certification racine hors connexion.
Les autorités de certification qui ne sont pas des autorités de certification racine sont considérées comme secondaires. La première autorité de certification secondaire d'une hiérarchie obtient son certificat d'autorité de certification à partir de l'autorité de certification racine. La première autorité de certification secondaire peut utiliser cette clé pour émettre les certificats qui vérifient l'intégrité d'une autre autorité de certification secondaire. Ces autorités de certification secondaires supérieures sont appelées autorités de certification intermédiaires. Une autorité de certification intermédiaire est subordonnée à une autorité de certification racine, mais fait office d'autorité de certification supérieure pour une ou plusieurs autorités de certification secondaires.
Une autorité de certification intermédiaire est souvent appelée autorité de certification de stratégie, car elle est généralement utilisée pour séparer les classes de certificats que les stratégies distinguent. Par exemple, la séparation de stratégie inclut le niveau d'assurance qu'une autorité de certification fournit ou l'emplacement géographique de l'autorité de certification pour distinguer différentes populations d'entités de fin. Une autorité de certification de stratégie peut être en ligne ou hors ligne.
Clés privées de l’autorité de certification
La clé privée fait partie de l'identité de l'autorité de certification et doit être protégée afin de demeurer fiable. De nombreuses organisations protègent les clés privés de l'autorité de certification à l'aide d'un module de sécurité matériel. Si aucun module de sécurité matériel n’est utilisé, la clé privée est stockée sur l’ordinateur de l’autorité de certification.
Les autorités de certification hors ligne doivent être stockées dans des emplacements sécurisés et non connectés au réseau. Comme les autorités de certification émettrices utilisent leurs clés privées lors de l'émission des certificats, la clé privée doit être accessible (en ligne) pendant que l'autorité de certification est en activité. Dans tous les cas, l'autorité de certification et sa clé privée sur l'autorité de certification doivent être physiquement protégées.
Modules de sécurité matériels
L’utilisation d’un module de sécurité matériel (HSM) peut renforcer la sécurité de l’autorité de certification et de l’infrastructure à clé privée (PKI).
Un module de sécurité matériel est un périphérique matériel dédié, géré séparément du système d'exploitation. Le module de sécurité matériel fournit un magasin matériel sécurisé pour les clés d’autorité de certification, en plus d’un processeur cryptographique dédié pour accélérer les opérations de signature et de chiffrement. Le système d'exploitation utilise le module de sécurité matériel via les interfaces CryptoAPI et le module de sécurité matériel fonctionne comme un périphérique de fournisseur de services de chiffrement.
Les modules de sécurité matériel sont généralement des cartes PCI, mais sont également disponibles comme périphériques basés sur le réseau, périphériques série et périphériques USB. Si une organisation prévoit d'implémenter deux autorités de certification ou plus, vous pouvez installer un module de sécurité matériel basé sur le réseau et le partager entre plusieurs autorités de certification.
Le module de sécurité matériel doit être installé avant de configurer une autorité de certification avec des clés qui seront stockés dans le module de sécurité matériel.