Considérations relatives à la conception d’une infrastructure à clé publique à l’aide des services de certificats Active Directory
Vous devez prendre en compte plusieurs éléments quand vous planifiez le déploiement d’une infrastructure à clé publique à l’aide des services de certificats Active Directory. Vous trouverez ici ce dont vous avez besoin pour planifier l’installation et la configuration de votre environnement PKI.
À un niveau élevé, vous devez :
- planifier une infrastructure à clé publique (PKI) appropriée pour votre organisation ;
- installer et configurer un module de sécurité matériel (HSM) selon les instructions du fournisseur du module, si vous prévoyez d’en utiliser un ;
- créer un fichier
CAPolicy.infadéquat, si vous voulez modifier les paramètres d’installation par défaut. - Choisir les options de chiffrement
- Déterminer le nom de l’autorité de certification
- Déterminer la période de validité
- Sélectionner la base de données d’autorité de certification
- Paramètres d’accès aux informations de l’autorité et de point de distribution de la liste de révocation de certificats
Planifier une infrastructure à clé publique
Pour garantir que votre organisation tire pleinement parti de votre installation AD CS (Active Directory Certificate Services), vous devez planifier le déploiement de l'infrastructure à clé publique de façon appropriée. Vous devez déterminer le nombre d’autorités de certification dont vous avez besoin, ainsi que leur configuration, avant de procéder à la moindre installation d’autorité de certification. Par exemple, avez-vous besoin d’une autorité de certification racine d’entreprise ou autonome ? Comment les demandes d’approbation de certificat seront-elles traitées ? Comment allez-vous gérer la révocation de certificat ? La création d’une conception d’infrastructure à clé publique appropriée peut nécessiter du temps, mais ce point est essentiel à la réussite de l’infrastructure.
Utiliser un module de sécurité matériel
Un module de sécurité matériel est un périphérique matériel dédié, géré séparément du système d'exploitation. Ces modules fournissent un magasin matériel sécurisé pour les clés d'autorité de certification, en plus d'un processeur cryptographique dédié pour accélérer les opérations de signature et de chiffrement. Le système d'exploitation utilise le module de sécurité matériel via les interfaces CryptoAPI et le module de sécurité matériel fonctionne comme un périphérique de fournisseur de services de chiffrement.
Les modules de sécurité matériel sont généralement des cartes PCI, mais sont également disponibles comme périphériques basés sur le réseau, périphériques série et périphériques USB. Si une organisation prévoit d'implémenter deux autorités de certification ou plus, vous pouvez installer un module de sécurité matériel basé sur le réseau et le partager entre plusieurs autorités de certification.
Pour configurer une autorité de certification à l’aide d’un module de sécurité matériel (HSM), vous devez l’installer avant de configurer une autorité de certification avec des clés qui doivent être stockées dans le module HSM.
Fichier CAPolicy.inf
Le fichier CAPolicy.inf n’est pas obligatoire pour installer AD CS, mais il peut servir à personnaliser les paramètres de l’autorité de certification. Le fichier CAPolicy.inf contient différents paramètres utilisés lors de l’installation d’une autorité de certification ou du renouvellement du certificat d’autorité de certification. Le fichier CAPolicy.inf doit être créé et stocké dans le répertoire %systemroot% (généralement C:\Windows) pour pouvoir être utilisé.
Les paramètres que vous incluez dans le fichier CAPolicy.inf dépendent largement du type de déploiement que vous voulez créer. Par exemple, une autorité de certification racine peut avoir un fichier CAPolicy.inf qui se présente comme suit :
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
LoadDefaultTemplates=0
Sélectionner les options de chiffrement
La sélection des options de chiffrement d'une autorité de certification peut avoir d'importantes implications en matière de sécurité, de performances et de compatibilité pour cette autorité de certification. Même si les options de chiffrement par défaut conviennent à la plupart des autorités de certification, la possibilité d’implémenter des options personnalisées peut être utile pour les administrateurs et les développeurs d’applications ayant une plus grande maîtrise du chiffrement et un tel besoin de souplesse. Les options de chiffrement peuvent être implémentées à l'aide des fournisseurs de services de chiffrement ou des fournisseurs de stockage de clés.
Les fournisseurs de services de chiffrement sont des composants matériels et logiciels des systèmes d'exploitation Windows qui fournissent des fonctions de chiffrement génériques. Les fournisseurs de services de chiffrement peuvent être créés pour fournir divers algorithmes de chiffrement et de signature.
Lorsque vous sélectionnez le fournisseur, l’algorithme de hachage et la longueur de clé, vous devez soigneusement considérer les options de chiffrement prises en charge par les applications et les périphériques que vous prévoyez d’utiliser. Bien qu’il soit recommandé de sélectionner les options de sécurité les plus élevées, ces dernières ne sont pas prises en charge par toutes les applications et par tous les appareils.
L’option Autoriser l’interaction de l’administrateur lorsque l’autorité de certification accède à la clé privée est généralement utilisée avec des modules de sécurité matériels (HSM). Cette option permet au fournisseur de services de chiffrement de demander à l’utilisateur une authentification supplémentaire quand l’autorité de certification accède à la clé privée. Par exemple, exiger que l’administrateur entre un mot de passe avant chaque opération de chiffrement.
Les fournisseurs de chiffrement intégrés prennent en charge des longueurs de clés et des algorithmes de hachage spécifiques comme décrit dans le tableau suivant.
| Fournisseur de chiffrement | Longueurs de clé | Algorithme de hachage |
|---|---|---|
| Microsoft Base Cryptographic Provider v1.0 | - 512 - 1 024 - 2 048 - 4 096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft Base DSS Cryptographic Provider | - 512 - 1 024 |
SHA1 |
| Microsoft Base Smart Card Crypto Provider | - 1 024 - 2 048 - 4 096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft Enhanced Cryptographic Provider v1.0 | - 512 - 1 024 - 2 048 - 4 096 |
- SHA1 - MD2 - MD4 - MD5 |
| Microsoft Strong Cryptographic Provider | - 512 - 1 024 - 2 048 - 4 096 |
- SHA1 - MD2 - MD4 - MD5 |
| RSA#Microsoft Software Key Storage Provider | - 512 - 1 024 - 2 048 - 4 096 |
- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5 |
| DSA#Microsoft Software Key Storage Provider | - 512 - 1 024 - 2 048 |
SHA1 |
| ECDSA_P256#Microsoft Software Key Storage Provider | 256 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P384#Microsoft Software Key Storage Provider | 384 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P521#Microsoft Software Key Storage Provider | 521 | - SHA1 - SHA256 - SHA384 - SHA512 |
| RSA#Microsoft Smart Card Key Storage Provider | - 1 024 - 2 048 - 4 096 |
- SHA1 - SHA256 - SHA384 - SHA512 - MD2 - MD4 - MD5 |
| ECDSA_P256#Microsoft Smart Card Key Storage Provider | 256 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P384#Microsoft Smart Card Key Storage Provider | 384 | - SHA1 - SHA256 - SHA384 - SHA512 |
| ECDSA_P521#Microsoft Smart Card Key Storage Provider | 521 | - SHA1 - SHA256 - SHA384 - SHA512 |
Déterminer le nom de l’autorité de certification
Avant de configurer les autorités de certification de votre organisation, vous devez définir une convention d'affectation de noms pour les autorités de certification.
Vous pouvez créer un nom en utilisant n'importe quel caractère Unicode, mais il se peut que vous souhaitiez utiliser le jeu de caractères ANSI si l'interopérabilité est un problème. Par exemple, certains types de routeurs ne peuvent pas utiliser le service NDES pour s’inscrire aux certificats si le nom de l’autorité de certification contient des caractères spéciaux tels que le trait de soulignement.
Si vous utilisez des caractères autres que les caractères latins, comme les caractères cyrilliques, arabes ou chinois), le nom de votre autorité de certification doit contenir moins de 64 caractères. Si vous utilisez uniquement des caractères autres que les caractères latins, le nom de votre autorité de certification ne peut pas dépasser 37 caractères de long.
Dans Active Directory Domain Services (AD DS), le nom que vous spécifiez quand vous configurez un serveur comme autorité de certification devient le nom commun de l’autorité de certification. Ce nom commun est reproduit dans chaque certificat émis par l’autorité de certification. Pour cette raison, il est important que vous n’utilisiez pas le nom de domaine complet comme nom commun de l’autorité de certification. Ainsi, les utilisateurs malveillants qui obtiennent une copie d’un certificat ne peuvent pas identifier et utiliser le nom de domaine complet de l’autorité de certification pour créer une faille de sécurité potentielle.
Le nom de l’autorité de certification ne doit pas être identique au nom de l’ordinateur (nom NetBIOS ou DNS). De même, vous ne pouvez pas modifier le nom du serveur après l’installation des services de certificats Active Directory (AD CS) sans rendre non valides tous les certificats émis par l’autorité de certification.
Pour modifier le nom du serveur après l'installation d'AD CS, vous devez désinstaller l'autorité de certification, modifier le nom du serveur, réinstaller l'autorité de certification à l'aide des mêmes clés et modifier le Registre afin d'utiliser la base de données et les clés de l'autorité de certification existantes. Vous n’avez pas à réinstaller une autorité de certification si vous renommez un domaine ; cependant, vous devez reconfigurer l’autorité de certification pour prendre en charge la modification du nom.
Déterminer la période de validité
Le chiffrement basé sur les certificats utilise le chiffrement à clé publique pour protéger les données et les signer. Au fil du temps, les personnes malveillantes pourraient obtenir les données protégées par la clé publique et tenter d'en déduire la clé privée. Avec assez de temps et de ressources, cette clé privée pourrait être en danger et toutes les données protégées pourraient alors ne plus l'être. De même, les noms garantis par un certificat peuvent avoir besoin d’être modifiés au fil du temps. Comme un certificat lie un nom et une clé publique, en cas de modification de l’un des deux, le certificat doit être renouvelé.
Chaque certificat possède une période de validité. À la fin de la période de validité, le certificat n'est plus considéré comme une information d'identification acceptable ou utilisable.
Les autorités de certification ne peuvent pas émettre de certificats valides au-delà de leur propre période de validité. Une meilleure pratique consiste à renouveler le certificat de l'autorité de certification quand il est parvenu à la moitié de sa période de validité. Lors de l’installation d’une autorité de certification, vous devez planifier cette date et vous assurer qu’elle est enregistrée comme tâche future.
Sélectionner la base de données d’autorité de certification
La base de données de l’autorité de certification est un fichier du disque dur. En dehors de ce fichier, d'autres fichiers font office de journaux de transactions et reçoivent toutes les modifications apportées à la base de données avant qu'elles ne soient effectuées. Étant donné que ces fichiers sont accessibles de manière fréquente et simultanée, vous pouvez conserver la base de données et les journaux des transactions sur des volumes distincts.
L'emplacement de la base de données des certificats et celui des fichiers journaux sont conservés aux endroits suivants du Registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
Le Registre contient les valeurs suivantes :
DBDirectoryDBLogDirectoryDBSystemDirectoryDBTempDirectory
Paramètres d’accès aux informations de l’autorité et de point de distribution de la liste de révocation de certificats
Après l’installation d’une autorité de certification racine ou secondaire, vous devez configurer les extensions de l’accès aux informations de l’autorité (AIA) et du point de distribution CRL (CDP) avant que l’autorité de certification n’émette un certificat. L'extension de l'accès aux informations de l'autorité indique où trouver les certificats à jour de l'autorité de certification. L'extension du point de distribution CRL indique où trouver les listes de révocation de certificats à jour signées par l'autorité de certification. Ces extensions s'appliquent à tous les certificats émis par cette autorité de certification.
La configuration de ces extensions garantit que ces informations sont incluses dans chaque certificat que l’autorité de certification émet afin qu’elles soient accessibles à tous les clients. L’utilisation de ces extensions réduit le nombre de défaillances consécutives à des chaînes de certificats non vérifiées ou à des révocations de certificats, ce qui peut entraîner l’échec des connexions VPN, ainsi que celui des connexions de cartes à puce, ou la non-vérification de signatures électroniques.
En tant qu'administrateur de l'autorité de certification, vous pouvez ajouter, supprimer ou modifier les points de distribution CRL et les emplacements d'émission de certificats CDP et AIA. La modification de l'URL d'un point de distribution de la liste de révocation de certificats n'affecte que les certificats nouvellement émis. Les certificats précédemment émis continuent à faire référence à l’emplacement original, raison pour laquelle vous devez définir ces emplacements avant que votre autorité de certification ne distribue les certificats.
Prenez en compte les instructions suivantes lorsque vous configurez les URL d'extension CDP :
- Évitez de publier les listes de révocation de certificats delta sur les autorités de certification racine hors ligne. Comme vous ne pouvez pas révoquer beaucoup de certificats sur une autorité de certification racine hors ligne, une liste de révocation de certificats delta n’est probablement pas nécessaire.
- Ajustez les emplacements URL
LDAP://ethttps://sous l’onglet Extensions de l’onglet Extension de propriétés de l’autorité de certification selon vos besoins. - Publiez une liste de révocation de certificats sur un emplacement HTTP Internet ou extranet de telle sorte que les utilisateurs et les applications en dehors de l'organisation puissent effectuer la validation de certificats. Vous pouvez publier les URL LDAP et HTTP des emplacements CDP afin de permettre aux clients d'extraire les données avec les protocoles HTTP et LDAP.
- N'oubliez pas que les clients Windows extraient toujours la liste des URL selon un ordre séquentiel jusqu'à ce qu'une liste de révocation de certificats valide soit extraite.
- Utilisez les emplacements CDP HTTP pour fournir des emplacements CRL accessibles aux clients qui exécutent des systèmes d'exploitation autres que Windows.
Étapes suivantes
Pour en savoir plus sur le déploiement d’AD CS, consultez l’article Implémenter et gérer les services de certificats Active Directory.