Philippe BERAUD Consultant Architecte Microsoft France [email protected].

Philippe BERAUDConsultant ArchitecteMicrosoft [email protected]

g

g

Offrir un panorama des évolutions des services Offrir un panorama des évolutions des services de certificats X.509 dans de certificats X.509 dans Windows Server Windows Server “Longhorn” “Longhorn” et Windows Vista et Windows Vista

g Credential Roaming

Enrôlement avancé

Auto-enrôlement

Windows Smart Card Framework

Windows Vista - Services de gestion

Autorité de certification

Rôles Service Windows Server “Longhorn” - Services de gestionRôles Service Windows Server “Longhorn” - Services de gestion

Services d’enrôlement périphériques

réseau

Services d’enrôlement

Web

Services de révocation en

ligne

Proxy Web Services de

révocation en ligne

Services de cryptographieServices de cryptographie

g

g


Enrôlement avancé

Auto-enrôlement




Rôles Serveur Windows Server “Longhorn” - Services de gestionRôles Serveur Windows Server “Longhorn” - Services de gestion


réseau


Web


ligne



Credential RoamingServices de cryptographie

Nouveau Framework Crypto (par rapport à Crypto API)Nouveau Framework Crypto (par rapport à Crypto API)Simplification du développement de fournisseurs de Simplification du développement de fournisseurs de cryptographiquescryptographiques

Capacité en mode noyau et utilisateur d’utiliser ses propres Capacité en mode noyau et utilisateur d’utiliser ses propres implémentations (y compris algorithmes propriétaires)implémentations (y compris algorithmes propriétaires)

Implémentation de façon native des algorithmes ECC (ECDSA, Implémentation de façon native des algorithmes ECC (ECDSA, ECDH), SHA2 (Suite-B)ECDH), SHA2 (Suite-B)

CNG satisfait les exigences Critères Communs et FIPS CNG satisfait les exigences Critères Communs et FIPS pour l’isolation forte et l’auditpour l’isolation forte et l’audit

CNG devient l’API cryptographique recommandéeCNG devient l’API cryptographique recommandéeCryptographic Next Generation Software Development Kit for Cryptographic Next Generation Software Development Kit for Windows VistaWindows Vista

http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyId=1EF399E9-B018-49DB-A98B-FamilyId=1EF399E9-B018-49DB-A98B-0CED7CB8FF6F&displaylang=en0CED7CB8FF6F&displaylang=en

Complément du Complément du Software Development Kit for Windows Vista Software Development Kit for Windows Vista and .NET Framework 3.0 Runtime Componentsand .NET Framework 3.0 Runtime Components

http://www.microsoft.com/downloads/details.aspx?familyid=7614FE22-http://www.microsoft.com/downloads/details.aspx?familyid=7614FE22-8A64-4DFB-AA0C-DB53035F40A0&displaylang=en8A64-4DFB-AA0C-DB53035F40A0&displaylang=en

g

g


Enrôlement avancé

Auto-enrôlement






réseau


Web


ligne




MMC CertificatesMMC CertificatesNouvelle UI Nouvelle UI

Request New certificateRequest New certificateFacilité d’utilisationFacilité d’utilisation

SupportabilitéSupportabilité

Fonctionnalités additionnellesFonctionnalités additionnellesCreate Custom RequestCreate Custom Request

Enroll On Behalf ofEnroll On Behalf of

SysTraySysTrayNotification d’expirationNotification d’expiration

Retrait des contrôles ActiveX Retrait des contrôles ActiveX XenrollXenroll et et ScrdenrlScrdenrlCf. « Cf. « How to use Certificate Services Web enrollment pages How to use Certificate Services Web enrollment pages together with Windows Vistatogether with Windows Vista » » (922706) (922706)

Introduction d’une nouvelle API Introduction d’une nouvelle API Certificate Certificate Enrollment Enrollment ((CertEnrollCertEnroll))

http://msdn2.microsoft.com/en-us/library/aa374863.aspxhttp://msdn2.microsoft.com/en-us/library/aa374863.aspx

Hiérarchie de classes COM reconçues pour les opérations PKIHiérarchie de classes COM reconçues pour les opérations PKIEnsemble d’interfaces pour créer/gérerEnsemble d’interfaces pour créer/gérer

L’enrôlements vis-à-vis d’AC Microsoft (les interfaces et protocoles L’enrôlements vis-à-vis d’AC Microsoft (les interfaces et protocoles Serveur restent identiques)Serveur restent identiques)

Les requêtes de certificat Les requêtes de certificat (PKCS#10, PKCS#7, and CMC)(PKCS#10, PKCS#7, and CMC)

Support de Crypto Next Generation (CNG) pour les Support de Crypto Next Generation (CNG) pour les certificatscertificats ECC ECC

Les clés publique/privéeLes clés publique/privée

Les propriétés/attributs/extensions de certificatsLes propriétés/attributs/extensions de certificats

Un sous-ensemble des fonctionnalités peut être scripté dans Un sous-ensemble des fonctionnalités peut être scripté dans le cadre de pages Web d’enrôlementle cadre de pages Web d’enrôlement

Appréhension plus aisée pour les développeursAppréhension plus aisée pour les développeurs

g

g


Enrôlement avancé

Auto-enrôlement






réseau


Web


ligne




Ré-architecture pour réduire la surface d’attaque et Ré-architecture pour réduire la surface d’attaque et améliorer globalement les performances du améliorer globalement les performances du systèmessystèmes

Conception basée sur les jobs WMIConception basée sur les jobs WMI

Amélioration des conditions d’usage pour les Amélioration des conditions d’usage pour les scénarios hors-lignescénarios hors-ligne

Notifications d’expirationNotifications d’expiration

« Nœud dur » dans les solutions basées sur de la « Nœud dur » dans les solutions basées sur de la PKIPKILes certificats et les clés privées sont liés à une machine et Les certificats et les clés privées sont liés à une machine et ne sont pas itinérantsne sont pas itinérants

Pour un même usage (S/MIME par exemple), les utilisateurs Pour un même usage (S/MIME par exemple), les utilisateurs peuvent posséder différents jeux de certificats et de clés peuvent posséder différents jeux de certificats et de clés privées sur chaque machineprivées sur chaque machine

Surcoût de gestion de la CASurcoût de gestion de la CA

Options possiblesOptions possiblesCartes à puceCartes à puce

Nombre limité de crédentielsNombre limité de crédentiels

Profils utilisateur itinérantProfils utilisateur itinérantDifficile à gérer et à administrerDifficile à gérer et à administrer

Les services Credential Roaming Les services Credential Roaming permettent de permettent de délivrer les crédentiels à la machine courante de délivrer les crédentiels à la machine courante de l’utilisateur via la réplication Active Directory et les l’utilisateur via la réplication Active Directory et les stratégies de groupesstratégies de groupes

Ceci facilite l’usage de fonctions comme Ceci facilite l’usage de fonctions comme La messagerie sécuriséeLa messagerie sécurisée

L’authentification client L’authentification client

Ainsi qu’une expérience améliorée pour les déploiements Ainsi qu’une expérience améliorée pour les déploiements Cartes à puceCartes à puce

Mise en œuvre Mise en œuvre Cf. « Cf. « Configure credential roamingConfigure credential roaming » »

http://technet2.microsoft.com/WindowsServer/en/Library/http://technet2.microsoft.com/WindowsServer/en/Library/2205530f-fa9a-4f2c-a0f0-5bea36dc57471033.mspx?mfr=true2205530f-fa9a-4f2c-a0f0-5bea36dc57471033.mspx?mfr=true

Introduit initialement dans le SP1 de Windows Server Introduit initialement dans le SP1 de Windows Server 20032003

CF. « CF. « Description of the Credential Roaming service update Description of the Credential Roaming service update for Windows Server 2003 and for Windows XPfor Windows Server 2003 and for Windows XP » (907247) » (907247)

Composants ServeurComposants ServeurWindows 2000 Server SP3+Windows 2000 Server SP3+

Windows Server 2003 SP1/R2 – RecommandéWindows Server 2003 SP1/R2 – Recommandé

Windows Server “Longhorn” – RecommandéWindows Server “Longhorn” – Recommandé

Composants ClientComposants ClientWindows XP SP2+Windows XP SP2+

Windows Server 2003 SP1Windows Server 2003 SP1

Windows Vista/Windows Server “Longhorn” Windows Vista/Windows Server “Longhorn”

g

g

Cf. Cf. « « Enterprise Smart Card Deployment in the Microsoft Enterprise Smart Card Deployment in the Microsoft Windows Smart Card Framework Windows Smart Card Framework »»

http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyID=fa7ec97c-11be-4e53-a0c4-FamilyID=fa7ec97c-11be-4e53-a0c4-04719b6a7ab6&DisplayLang=en04719b6a7ab6&DisplayLang=en


Enrôlement avancé

Auto-enrôlement






réseau


Web


ligne




Principales caractéristiquesPrincipales caractéristiquesOffrent une protection forte pour les clés privées des Offrent une protection forte pour les clés privées des certificatscertificats

Permettent de réaliser des opérations cryptographiquesPermettent de réaliser des opérations cryptographiques

Offrent une réponse aux besoins d'authentification forte, de Offrent une réponse aux besoins d'authentification forte, de preuve d'identité renforcéepreuve d'identité renforcée

Authentification à 2 facteursAuthentification à 2 facteurs

Permettent de disposer d’un badge d’entreprise uniquePermettent de disposer d’un badge d’entreprise uniqueRapprochement des mondes physique et numériqueRapprochement des mondes physique et numérique

Constituent une plateforme d’accueil pour d’autres Constituent une plateforme d’accueil pour d’autres applications de l’entrepriseapplications de l’entreprise

Ex. Ex. Gemalto .NET CardGemalto .NET Card

Facilité de gestion du cycle de vie avec CLMFacilité de gestion du cycle de vie avec CLMPersonnalisation des cartes, enrôlement, délivrance, Personnalisation des cartes, enrôlement, délivrance, renouvellement de certificats, émission de cartes renouvellement de certificats, émission de cartes temporaires, renouvellement des cartes, gestion des PIN, temporaires, renouvellement des cartes, gestion des PIN, etc.etc.

Cf. session TechDays « Cf. session TechDays « Introduction à CLM Beta 2Introduction à CLM Beta 2 » »

Windows 2000 SP4, Windows XP SP2, Windows 2003 Server SP1Windows 2000 SP4, Windows XP SP2, Windows 2003 Server SP1

Cf. « Cf. « Microsoft Base Smart Card Cryptographic Service Provider Microsoft Base Smart Card Cryptographic Service Provider Package: x86Package: x86 » (909520)» (909520)

http://www.microsoft.com/downloads/details.aspx?FamilyID=e8095fd5-http://www.microsoft.com/downloads/details.aspx?FamilyID=e8095fd5-c7e5-4bee-9577-2ea6b45b41c6&DisplayLang=enc7e5-4bee-9577-2ea6b45b41c6&DisplayLang=en

Applications utilisant de la cryptographie

CAPI 1WinSCard API (WinSCard.dll)

Smart Card Service (SCardSrv.exe) - Gestionnaire de ressources

CSP Carte à puce #3

Applicationsnon crypto

Support de Support de Crypto Next Generation Crypto Next Generation (CNG)(CNG)Introduction du Introduction du Microsoft Smart Card Key Storage ProviderMicrosoft Smart Card Key Storage Provider

Enrôlement de certificat ECC sur une carte à puceEnrôlement de certificat ECC sur une carte à puceRequiert une IGC ECCRequiert une IGC ECC

Signature ECDSA avec un certificat ECC sur une carte à puceSignature ECDSA avec un certificat ECC sur une carte à puce

Echanges de clé avec ECDH avec des clés drivées sur une carte Echanges de clé avec ECDH avec des clés drivées sur une carte à puceà puce

Authentification client avec TLSAuthentification client avec TLS

Support sur la carte des fonctions de dérivation (KDF) en Support sur la carte des fonctions de dérivation (KDF) en conformité avec FIPS 140-2conformité avec FIPS 140-2

Stratégie localeStratégie localeHKLM\SYSTEM\CurrentControlSet\Control\Cryptography\HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Providers\Microsoft Smart Card Key Storage ProviderProviders\Microsoft Smart Card Key Storage Provider

Idem Base CSPIdem Base CSPHKLM\SOFTWARE\Microsoft\Cryptography\Defaufts\Provider\Microsoft HKLM\SOFTWARE\Microsoft\Cryptography\Defaufts\Provider\Microsoft Base Smart Card Crypto ProviderBase Smart Card Crypto Provider

Applications utilisant de la cryptographie

Smart Card Service (Svchost.exe) - Gestionnaire de ressources

CSPCarte à puce

Applicationsnon crypto

MS Smart Card Base

CSP(BaseCSP.dll)

MS Smart Card Base

KSP(SCKSP.dll)

WinSCard API (WinSCard.dll)

CAPI 1 CNG

Mini-piloteCarte

(RSA/ECC)

Mini-piloteCarte (ECC)

Mini-piloteCarte (RSA)

Développement logiciel simplifiéDéveloppement logiciel simplifiéLes opérations cryptographiques communes sont gérées par Les opérations cryptographiques communes sont gérées par la plateforme (Base CSP/Base KSP)la plateforme (Base CSP/Base KSP)

API à destination des encarteursAPI à destination des encarteurshttp://www.microsoft.com/whdc/device/input/smartcard/sc-http://www.microsoft.com/whdc/device/input/smartcard/sc-minidriver.mspxminidriver.mspx

CardMod.hCardMod.h dans le dans le Cryptographic Next Generation (CNG) Cryptographic Next Generation (CNG) Software Development Kit (SDK) for Windows VistaSoftware Development Kit (SDK) for Windows Vista

Expérience utilisateur amélioréeExpérience utilisateur amélioréeDiffusion des mini pilotes Carte à puces via Windows UpdateDiffusion des mini pilotes Carte à puces via Windows Update

Programme de certification « Programme de certification « Logo ReadyLogo Ready » géré par le Microsoft » géré par le Microsoft Smart Card Competency Center (SCCC) Smart Card Competency Center (SCCC) à Dublinà Dublin

Kit de certification mini pilote Carte à puceKit de certification mini pilote Carte à puce

Remplacent GINA (avec Remplacent GINA (avec WinlogonWinlogon et et LogonUILogonUI))

Sont invoqués par LogonUI (ou Sont invoqués par LogonUI (ou CredUI)CredUI)

Utilisés pour collecter et sérialiser les Utilisés pour collecter et sérialiser les crédentielscrédentiels

Décrivent les champs de l’interface Décrivent les champs de l’interface utilisateur pour la présentation et la utilisateur pour la présentation et la saisie des crédentielssaisie des crédentiels

Permettent la saisie des crédentiels Permettent la saisie des crédentiels pour Logon ou validation, mais aussi pour Logon ou validation, mais aussi pour le changement/déblocage des pour le changement/déblocage des crédentiels (code PIN)crédentiels (code PIN)

Effectuent la sérialisation des Effectuent la sérialisation des crédentiels pour soumission au LSAcrédentiels pour soumission au LSA

Plusieurs Credential Providers peuvent Plusieurs Credential Providers peuvent être opérationnels en même tempsêtre opérationnels en même temps

Smartcard Credential ProviderSmartcard Credential Provider, , PasswordProviderPasswordProvider, etc., etc.

WinSCard API

Interfaces Credential Provider

1. Insertion de la 1. Insertion de la cartecarte

2. Demande 2. Demande des des crédentielscrédentiels

10. 10. LSALogonUserLSALogonUser

5. 5. Clic sur le titre, entrée du Clic sur le titre, entrée du PIN, validationPIN, validation

4. 4. AffichageAffichage UIUI

9. Crédentiels9. Crédentiels

6. Validation6. Validation

WinlogonWinlogon LSALSA

LogonUILogonUI

7. 7. Obtention des Obtention des crédentiels pour crédentiels pour l’ouverture de sessionl’ouverture de session

33. Obtention de l’information . Obtention de l’information sur les crédentielssur les crédentiels

8. 8. Appel API Appel API WinSCardWinSCard

Credential Provider

Cartes à puce

Credential Provider

personnalisé

Credential Provider

Mot de passe

Stratégies machine exclusivementStratégies machine exclusivementComputer Configuration\Administrative Templates\Windows Computer Configuration\Administrative Templates\Windows Components\SmartCardComponents\SmartCard

HKLM\SOFTWARE\Policies\Microsoft\Windows\HKLM\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProviderSmartCardCredentialProvider

HKLM\SOFTWARE\Policies\Microsoft\Windows\CertPropHKLM\SOFTWARE\Policies\Microsoft\Windows\CertProp

Déblocage intégré des cartes Déblocage intégré des cartes à puce pour le Smartcard à puce pour le Smartcard Credential ProviderCredential Provider

Propagation des certificats de la carte et des certificats Propagation des certificats de la carte et des certificats racineracine

Via le Via le Certificate Propagation Service (CertPropSvc)Certificate Propagation Service (CertPropSvc)

Nettoyage possible des certificats racineNettoyage possible des certificats racine

Support de multiples certificats sur la même carte pour le Support de multiples certificats sur la même carte pour le logonlogon

+ EKU + EKU Smart Card LogonSmart Card Logon (1.3.6.1.4.1.311.20.2.2) optionnel (1.3.6.1.4.1.311.20.2.2) optionnel

+ subjectAltName (SAN)+ subjectAltName (SAN) = UPN optionnel = UPN optionnel Champ optionnel lors du logon pour AltSecID Champ optionnel lors du logon pour AltSecID

Amélioration sensible de la flexibilitéAmélioration sensible de la flexibilitéCf. Cf. « « Guidelines for Enabling Smart Card Logon with Third-Party Guidelines for Enabling Smart Card Logon with Third-Party CertificationCertification » ( » (281245281245))

g

g

Cf. Cf. « « Active Directory Certificate Server Enhancements (aka Active Directory Certificate Server Enhancements (aka Windows PKI) in Windows Server “Longhorn”Windows PKI) in Windows Server “Longhorn” » »

http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?familyid=9bf17231-d832-4ff9-8fb8-0539ba21ab95&displaylang=enfamilyid=9bf17231-d832-4ff9-8fb8-0539ba21ab95&displaylang=en


Enrôlement avancé

Auto-enrôlement






réseau


Web


ligne




Service natif de Windows Server 2003 permettant la mise en Service natif de Windows Server 2003 permettant la mise en œuvre d’une Autorité de Certification (AC) œuvre d’une Autorité de Certification (AC)

http://www.microsoft.com/windowsserver2003/technologies/http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspxpki/default.mspx

Cf. « Cf. « Best Practices for Implementing a Microsoft Windows Server Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure2003 Public Key Infrastructure » »

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspxtechnologies/security/ws3pkibp.mspx

Cf. « Cf. « Windows Server 2003 PKI Operations Guide Windows Server 2003 PKI Operations Guide »»http://technet2.microsoft.com/WindowsServer/en/Library/e1d5a892-10e1-http://technet2.microsoft.com/WindowsServer/en/Library/e1d5a892-10e1-417c-be13-99d7147989a91033.mspx417c-be13-99d7147989a91033.mspx

Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 PKCS#1,7,8,10,12

Aucun coût additionnel de licence ou par certificat émisAucun coût additionnel de licence ou par certificat émis

Support de Support de Crypto Next Generation (Crypto Next Generation (CNG)CNG)En termes de configuration, permettre la configuration de En termes de configuration, permettre la configuration de l’ensemble des éléments directement associésl’ensemble des éléments directement associés à la crypto à la crypto

Support de Suite-BSupport de Suite-BAlgorithmes Algorithmes ECC (ECDH, ECDSA), ECC (ECDH, ECDSA), courbes courbes P-256, P-384 P-521 P-256, P-384 P-521

CondensésCondensés SHA-2 (256, 384, 512) SHA-2 (256, 384, 512)

Emission de certificatsEmission de certificatsCertificats de l’AC (signature, échange de clé) Certificats de l’AC (signature, échange de clé)

Certificat Serveur, Client, Protocole (SSL et Certificat Serveur, Client, Protocole (SSL et IPSecIPSec))

Gabarits de certificatGabarits de certificat

Requête de certificat manuelleRequête de certificat manuelle

Algorithme de chiffrement pour la séquestre des clés Algorithme de chiffrement pour la séquestre des clés

En termes de flexibilité, permettre aux entreprises d’insérer En termes de flexibilité, permettre aux entreprises d’insérer si besoin leurs propres algorithmessi besoin leurs propres algorithmes

Consiste en 4 Rôles ServicesConsiste en 4 Rôles ServicesCertification AuthorityCertification Authority

Certification Authority Web Enrollment (CAWE)Certification Authority Web Enrollment (CAWE)

Online Certificate Status Protocol (OCSP)Online Certificate Status Protocol (OCSP)Nouveau service conforme à la RFC 2560Nouveau service conforme à la RFC 2560

Microsoft Simple Certificate Enrollment Protocol (MSCEP)Microsoft Simple Certificate Enrollment Protocol (MSCEP)Intégration en natif du Intégration en natif du Simple Certificate Enrollment Protocol Simple Certificate Enrollment Protocol (SCEP)(SCEP)

Add-on pour Certificate Services de Windows Server 2003 R2Add-on pour Certificate Services de Windows Server 2003 R2

Cf. http://www.microsoft.com/downloads/details.aspx?Cf. http://www.microsoft.com/downloads/details.aspx?familyid=9f306763-d036-41d8-8860-familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en1636411b2d01&displaylang=en

Installation des rôles en mode sans attente ou interactif via Installation des rôles en mode sans attente ou interactif via Add Roles Wizard Add Roles Wizard du Server Managerdu Server Manager

Le Le Roles Management Tool Roles Management Tool (RMT) gère les dépendances internes (RMT) gère les dépendances internes et installe les composants manquantset installe les composants manquants

Définition de valeurs par défaut pour l’ensemble des étapesDéfinition de valeurs par défaut pour l’ensemble des étapes

Amélioration de l’ergonomie et des capacités de diagnosticAmélioration de l’ergonomie et des capacités de diagnostic

AutonomeAutonomeIntervention humaine pour émission (par défaut)Intervention humaine pour émission (par défaut)

Vérification identité du demandeur manuelle ou Out-Of-BandVérification identité du demandeur manuelle ou Out-Of-Band

EntrepriseEntrepriseIntégration Active DirectoryIntégration Active Directory

Support des gabarits de certificats (versions 1, 2 et 3)Support des gabarits de certificats (versions 1, 2 et 3)

Emission des certificats sans intervention humaine (par défaut, Emission des certificats sans intervention humaine (par défaut, sinon configurable par gabarit)sinon configurable par gabarit)

Vérification identité du demandeur par authentification ADVérification identité du demandeur par authentification AD

Établissement de la confiance en l’AC racine par la publication Établissement de la confiance en l’AC racine par la publication de son certificat dans AD systématiquede son certificat dans AD systématique

Publication des certificats utilisateurs et CRLs dans AD Publication des certificats utilisateurs et CRLs dans AD systématiquesystématique

Auto-tout (enrôlement/renouvellement/remplacement), agent Auto-tout (enrôlement/renouvellement/remplacement), agent d’enrôlement (restreint), gestionnaire de certificats (restreint), d’enrôlement (restreint), gestionnaire de certificats (restreint), séquestre de clés, etc.séquestre de clés, etc.

Support des clusters à deux nœudsSupport des clusters à deux nœuds Configuration Active/PassiveConfiguration Active/Passive

AC RacineAC Racine Ex. AC Autonome racine hors ligneEx. AC Autonome racine hors ligne

Son certificat n’a ni d’AIA, ni de CDPSon certificat n’a ni d’AIA, ni de CDPPar défaut, plus besoin d’un fichier CAPolicy.infPar défaut, plus besoin d’un fichier CAPolicy.inf

Les certificats qu’elle émet ont une AIA et une CDPLes certificats qu’elle émet ont une AIA et une CDP

Son certificat et ses CRLs sont publiés manuellementSon certificat et ses CRLs sont publiés manuellement

AC SubordonnéeAC SubordonnéeEx. AC Autonome intermédiaire hors ligneEx. AC Autonome intermédiaire hors ligne

Son certificat, émis pas la racine, comprend une AIA et CDPSon certificat, émis pas la racine, comprend une AIA et CDP

Reste identique à l’AC racine, à l’exception de l’absence de Reste identique à l’AC racine, à l’exception de l’absence de publication de son certificatpublication de son certificat

Ex. AC Entreprise émettrice en ligneEx. AC Entreprise émettrice en ligneSon certificat, émis pas l’AC intermédiaire, comprend une AIA et Son certificat, émis pas l’AC intermédiaire, comprend une AIA et CDPCDP

Les certificats qu’elle émet ont une AIA et une CDPLes certificats qu’elle émet ont une AIA et une CDP

Son certificat et ses CRL sont publiés automatiquementSon certificat et ses CRL sont publiés automatiquement

Créer sa propre hiérarchie indépendanteCréer sa propre hiérarchie indépendante

Se rattacher à une hiérarchie existanteSe rattacher à une hiérarchie existanteSupport de la certification croisée et de la subornation Support de la certification croisée et de la subornation qualifiéequalifiée

Cf. « Cf. « Planning and Implementing Cross-Certification and Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003Qualified Subordination Using Windows Server 2003 » »

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03qswp.mspxtechnologies/security/ws03qswp.mspx

Permet l’introduction des algorithmes Suite-B au sein d’un Permet l’introduction des algorithmes Suite-B au sein d’un environnement existantenvironnement existant

Certificat EntitéSignature SHA-1Chiffrement RSA

Certificat EntitéSignature ECDSA

Chiffr. ECDSA

AC 11 Emettrice

Signature SHA-1

AC 1 Racine

Signature SHA-1

AC 21 Emettrice

Signature ECDSA

Certification croisée

AC 2 Racine

Signature ECDSA

Lors de l’installation à l’aide d’un fichier CAPolicy.infLors de l’installation à l’aide d’un fichier CAPolicy.infSitué sous %SYSTEMROOT%Situé sous %SYSTEMROOT%

Même format que sous Windows Server 2003Même format que sous Windows Server 2003Cf. « Cf. « Installing and configuring a certification authorityInstalling and configuring a certification authority » »

http://technet2.microsoft.com/WindowsServer/en/library/d6eab6a4-http://technet2.microsoft.com/WindowsServer/en/library/d6eab6a4-a680-40b0-9fde-4978be14ebf41033.mspx?mfr=truea680-40b0-9fde-4978be14ebf41033.mspx?mfr=true

Plus besoin d’un fichier CAPolicy.inf pour définir correctement le Plus besoin d’un fichier CAPolicy.inf pour définir correctement le certificat Racine (absence d’extensions AIA et CDP)certificat Racine (absence d’extensions AIA et CDP)

Chargement différé des gabarits pas défautChargement différé des gabarits pas défautLoadDefaultTemplates=0LoadDefaultTemplates=0 soussous [ [Certsrv_ServerCertsrv_Server]]

Utilisation de signatures discrètes pour les certificats de l’AC et Utilisation de signatures discrètes pour les certificats de l’AC et des requêtes de certificat de l’ACdes requêtes de certificat de l’AC

Support du format de signature PKCS#1 V2.1Support du format de signature PKCS#1 V2.1

http://www.rsasecurity.com/rsalabs/node.asp?id=2125http://www.rsasecurity.com/rsalabs/node.asp?id=2125

DiscreteSignatureAlgorithm=1DiscreteSignatureAlgorithm=1 soussous [ [Certsrv_ServerCertsrv_Server]]

Post-installation (CDP, AIA, publication, etc.)Post-installation (CDP, AIA, publication, etc.)

Server Manager/Manage Role Server Manager/Manage Role MMC Certification Authority MMC Certification Authority

certutil –setreg|getregcertutil –setreg|getreg

Server Manager|Server Manager|Manage Role Manage Role (CompMgmtLauncher(CompMgmtLauncher.exe).exe)

Avec Avec MMC Certification MMC Certification Authority Authority (certsrv.msc)(certsrv.msc)

MMC Certificate MMC Certificate Templates Templates (certtmpl.msc) (certtmpl.msc)

MMC Event Viewer MMC Event Viewer (eventvwr.msc) pour (eventvwr.msc) pour CAPI2CAPI2

Enterprise PKIEnterprise PKI

MMC Reliability and MMC Reliability and Performances Monitor Performances Monitor (perfmon.msc)(perfmon.msc)

Pour rappelPour rappelPermet la mise en application d’une politique de certificationPermet la mise en application d’une politique de certification

En plus du profil du certificat (attributs de base, extensions, En plus du profil du certificat (attributs de base, extensions, etc.), les gabarits permettent de spécifieretc.), les gabarits permettent de spécifier

La taille de la clé, et si elle peut être exportable ou non, si elle La taille de la clé, et si elle peut être exportable ou non, si elle doit être séquestréedoit être séquestrée

Si le certificat doit être émis sans intervention humaine, ou Si le certificat doit être émis sans intervention humaine, ou après approbation d’un gestionnaire de certificataprès approbation d’un gestionnaire de certificat

Si le certificat doit être publié dans AD (Si le certificat doit être publié dans AD (userCertificateuserCertificate) ou non) ou non

Si le renouvellement nécessite un certificat valideSi le renouvellement nécessite un certificat valide

Si le gabarit vient en remplacement d’une ou plusieurs gabarits Si le gabarit vient en remplacement d’une ou plusieurs gabarits obsolètesobsolètes

Si le certificat est soumis à une gestion automatique de son Si le certificat est soumis à une gestion automatique de son cycle de vie par la fonction d’auto-enrôlementcycle de vie par la fonction d’auto-enrôlement

Etc.Etc.

Support des gabarits versions 1 et 2Support des gabarits versions 1 et 2Cf. Cf. « « Implementing and Administering Certificate Templates Implementing and Administering Certificate Templates in Windows Server 2003in Windows Server 2003 » »

http://www.microsoft.com/technet/prodtechnol/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspxwindowsserver2003/technologies/security/ws03crtm.mspx

Nécessite une installation de type EntrepriseNécessite une installation de type EntrepriseContainer AD Container AD Certificate TemplatesCertificate Templates

Ressource globale d’entrepriseRessource globale d’entreprise

ACLsACLs sur les gabarits sur les gabarits

Quelles populations ont droit à quel(s) certificat(s)Quelles populations ont droit à quel(s) certificat(s)

L’AC vérifie l’autorisation de demandeur sur le gabarit référencé L’AC vérifie l’autorisation de demandeur sur le gabarit référencé dans la requêtedans la requête

Container AD Container AD Enrollment ServicesEnrollment ServicesListe des gabarits servis pour chaque AC d’entrepriseListe des gabarits servis pour chaque AC d’entreprise

Introduction d’une version 3Introduction d’une version 3Prise en compte des nouvelles fonctionnalités pour les Prise en compte des nouvelles fonctionnalités pour les clients Windows Vista seulementclients Windows Vista seulement

Non disponible dans CAWENon disponible dans CAWE

Version 3Version 3Onglet Onglet Request HandlingRequest Handling

Support d’AES 256 pour le chiffrement Support d’AES 256 pour le chiffrement des clés privées lors du transfert à l’AC des clés privées lors du transfert à l’AC pour séquestrepour séquestre

Ajout, pour des gabarits machine, d’une Ajout, pour des gabarits machine, d’une permissions Read sur la clé privée pour permissions Read sur la clé privée pour Network ServiceNetwork Service

Plus besoin d’ajuster manuellement à Plus besoin d’ajuster manuellement à postériori le magasin de certificats machinepostériori le magasin de certificats machine

Filtrage de la liste des algorithmes Filtrage de la liste des algorithmes asymétriques en fonction du but du asymétriques en fonction du but du certificatcertificat

Onglet Onglet CryptographyCryptography

Version 3Version 3Nouvel onglet Nouvel onglet CryptographyCryptography

Support des algorithmes asymétriques Support des algorithmes asymétriques implémentés par un KSP CNGimplémentés par un KSP CNG

Par défaut : DSA, ECDH_P256, ECDH_P384, Par défaut : DSA, ECDH_P256, ECDH_P384, ECDH_P521, ECDSA_P384, ECDSA_P521 et ECDH_P521, ECDSA_P384, ECDSA_P521 et RSARSA

Support des algorithmes de condensé Support des algorithmes de condensé implémentés par un KSP CNGimplémentés par un KSP CNG

Par défaut : MD2, MD4, MD5, SHA-1, SHA-Par défaut : MD2, MD4, MD5, SHA-1, SHA-256, SHA-384 et SHA-512256, SHA-384 et SHA-512

Support de l’exigence d’une signature Support de l’exigence d’une signature discrète pour les requêtes de certificatsdiscrète pour les requêtes de certificats

Pour l’auto-enrôlement et les requêtes via Pour l’auto-enrôlement et les requêtes via la MMC la MMC CertificatesCertificates

Ne s’applique pas aux requêtes créées avec Ne s’applique pas aux requêtes créées avec Certreq.exeCertreq.exe

Filtrage de la liste des fournisseurs en Filtrage de la liste des fournisseurs en fonction de la taille de clé minimumfonction de la taille de clé minimum

Permet de limiter les permissions dont disposent les Permet de limiter les permissions dont disposent les agents d’enrôlement pour l’enrôlement pour le agents d’enrôlement pour l’enrôlement pour le compte d’autres vis-à-vis de tel ou tel gabaritcompte d’autres vis-à-vis de tel ou tel gabarit

Un agent d’enrôlement doit disposer d’un certificat agent Un agent d’enrôlement doit disposer d’un certificat agent d’enrôlementd’enrôlement

Extension politique applicative « Extension politique applicative « Certificate Request AgentCertificate Request Agent » » (OID=1.3.6.1.4.1.311.20.2.1)(OID=1.3.6.1.4.1.311.20.2.1)

Permet de contrôler la granularité de la gestion des Permet de contrôler la granularité de la gestion des certificats (approbation/révocation)certificats (approbation/révocation)

Suppose de définir des groupes de sécurité et de leur Suppose de définir des groupes de sécurité et de leur conférer des permissions pour émettre et gérer des conférer des permissions pour émettre et gérer des certificatscertificats

Restrictions des gabarits, et des populations par gabarit Restrictions des gabarits, et des populations par gabarit

Support de l’extension IDP CRLSupport de l’extension IDP CRLDétermination du périmètre d’une LRCDétermination du périmètre d’une LRC

Ajoutée pour les clients non Windows et pointe vers les même Ajoutée pour les clients non Windows et pointe vers les même URL que l’extension CDP (HTTP et LDAP)URL que l’extension CDP (HTTP et LDAP)

Géré par les clients Windows avec MS05-11Géré par les clients Windows avec MS05-11

Compteurs de performancesCompteurs de performancesNouveaux groupes de compteursNouveaux groupes de compteurs

Certification AuthorityCertification Authority

Certification Authority Connections Certification Authority Connections

Enterprise PKIEnterprise PKIValider le statut de multiples ACValider le statut de multiples ACss

Précédemment inclus dans Précédemment inclus dans le Windows Server 2003 Service le Windows Server 2003 Service Pack 1 Administration Tools PackPack 1 Administration Tools Pack

http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyID=E487F885-F0C7-436A-A392-FamilyID=E487F885-F0C7-436A-A392-25793A25BAD7&displaylang=en25793A25BAD7&displaylang=en

Intègre désormais Intègre désormais les URLs OCSPles URLs OCSP

Diagnostics CAPI2Diagnostics CAPI2MMC Event ViewerMMC Event Viewer

Applications and Services Logs\Microsoft\Windows\CAPI2\Applications and Services Logs\Microsoft\Windows\CAPI2\OperationalOperational

Wevutil.exe sl Microsoft-Windows-CAPI2/Operational /e:trueWevutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true

MOM 2005 Management PackMOM 2005 Management PackDirectement opérationnel avec un paramétrage prédéfini Directement opérationnel avec un paramétrage prédéfini (modifiable)(modifiable)

Exécution des scripts MOM pour vérifier 4 domainesExécution des scripts MOM pour vérifier 4 domaines1.1. Interfaces RPC et DCOM de l’ACInterfaces RPC et DCOM de l’AC

2.2. Statut des certificats de l’ACStatut des certificats de l’AC

3.3. Statut de la CRL de l’ACStatut de la CRL de l’AC

4.4. Statut des certificats KRA de l’ACStatut des certificats KRA de l’AC

Collecte des évènements significatifsCollecte des évènements significatifsDocumentation des évènements Documentation des évènements

Comment confirmer un état ou un dysfonctionnement ?Comment confirmer un état ou un dysfonctionnement ?

Comment résoudre un dysfonctionnement lié à un évènement ?Comment résoudre un dysfonctionnement lié à un évènement ?

Collecte des compteurs de performancesCollecte des compteurs de performancesDéfinition des seuils d’alerte et d’erreur pour certains compteursDéfinition des seuils d’alerte et d’erreur pour certains compteurs

Documentation pour les seuils lorsqu’ils sont atteintsDocumentation pour les seuils lorsqu’ils sont atteints

g

g


Enrôlement avancé

Auto-enrôlement






réseau


WebServices

de révocation en ligne

Proxy Web

Services de



La révocation basée sur les LRC et delta LRC n’est La révocation basée sur les LRC et delta LRC n’est pas adaptées à l’ensemble des scénariospas adaptées à l’ensemble des scénarios

LRCs de taille importante, connexion RPC, contrôle de LRCs de taille importante, connexion RPC, contrôle de révocation au moment du bootrévocation au moment du boot

Nouveau service OCSP Responder dans Windows Nouveau service OCSP Responder dans Windows Server “Longhorn”Server “Longhorn”

Nouveau client OCSP dans Windows VistaNouveau client OCSP dans Windows Vista

Intégration OCSP stapling dans les protocoles Intégration OCSP stapling dans les protocoles Kerberos et SSLKerberos et SSL

Conforme avec la RFC 2560Conforme avec la RFC 2560

Axes de conceptionAxes de conceptionPerformances, évolutivité (Performances, évolutivité (scale-outscale-out) et exploitabilité) et exploitabilité

Principales fonctionnalités de l’OCSP ResponderPrincipales fonctionnalités de l’OCSP ResponderSupport du cache (Support du cache (in-memoryin-memory Extension ISAPI) Extension ISAPI)

En complément du cache de 120 secs d’HTTP.SYS IISEn complément du cache de 120 secs d’HTTP.SYS IIS

Support des requêtes NONCE et No-NONCESupport des requêtes NONCE et No-NONCE

Support de multiples ACsSupport de multiples ACs

Support des auditsSupport des audits

Fonctionnalités additionnelles Fonctionnalités additionnelles Compteurs de performances spécifiquesCompteurs de performances spécifiques

MOM 2005 Management PackMOM 2005 Management Pack

Gabarit de certificat Gabarit de certificat OCSP Signing OCSP Signing pour faciliter le pour faciliter le déploiementdéploiement

Support de bout-en-bout des principaux scénarios Support de bout-en-bout des principaux scénarios d’utilisation d’une d’utilisation d’une ICGICG

Ouverture de session par carte à puce, authentification Ouverture de session par carte à puce, authentification cliente SSL/TLS par certificat, messagerie sécurisée cliente SSL/TLS par certificat, messagerie sécurisée (S/MIME), signature électronique (qualifiée), accès distant (S/MIME), signature électronique (qualifiée), accès distant via VPN (EAP-TLS), sécurisation accès Wifi (EAP-TLS), etc.via VPN (EAP-TLS), sécurisation accès Wifi (EAP-TLS), etc.

Avec une agilité cryptographique (CNG) et une prise en Avec une agilité cryptographique (CNG) et une prise en compte facilitée des cartes à puce (mini-pilote)compte facilitée des cartes à puce (mini-pilote)

Nouvelles UI et API Nouvelles UI et API d’enrôlementd’enrôlement

Amélioration du déploiement et de la capacité de Amélioration du déploiement et de la capacité de gestion d’AD gestion d’AD Certificate ServicesCertificate Services

Support de l’ensemble des mécanismes de Support de l’ensemble des mécanismes de révocationrévocation

Windows VistaWindows Vistahttp://www.microsoft.com/windows/products/http://www.microsoft.com/windows/products/windowsvista/default.mspxwindowsvista/default.mspx

Windows Server Windows Server “Longhorn”“Longhorn”http://www.microsoft.com/windowsserver/longhorn/http://www.microsoft.com/windowsserver/longhorn/default.mspxdefault.mspx

Public Key Infrastructure for Windows Server 2003Public Key Infrastructure for Windows Server 2003http://www.microsoft.com/windowsserver2003/http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspxtechnologies/pki/default.mspx

Microsoft Certificate Lifecycle Manager (CLM) Microsoft Certificate Lifecycle Manager (CLM) Beta Beta 22

http://www.microsoft.com/technet/clm/default.mspxhttp://www.microsoft.com/technet/clm/default.mspx

S’informer S’informer - Un portail d’informations, des - Un portail d’informations, des événements, une newsletter bimensuelle événements, une newsletter bimensuelle personnaliséepersonnalisée

Se former - Se former - Des webcasts, des articles techniques, des Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos téléchargements, des forums pour échanger avec vos pairspairs

Bénéficier de services - Bénéficier de services - Des cursus de formations et Des cursus de formations et de certifications, des offres de support techniquede certifications, des offres de support technique

Visual Studio 2005 +Visual Studio 2005 +

Abonnement Abonnement MSDN MSDN Premium Premium

Abonnement Abonnement TechNet TechNet Plus :Plus :

Versions d’éval + 2 incidents Versions d’éval + 2 incidents supportsupport

Philippe BERAUD Consultant Architecte Microsoft France [email protected].

Documents

Transcript of Philippe BERAUD Consultant Architecte Microsoft France [email protected].