Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs



Documents pareils
HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

EJBCA Le futur de la PKI

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Les infrastructures de clés publiques (PKI, IGC, ICP)

Du 03 au 07 Février 2014 Tunis (Tunisie)

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Cadre de Référence de la Sécurité des Systèmes d Information

Politique de Certification

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Autorité de Certification OTU

NORMES TECHNIQUES POUR UNE INTEROPERABILITE DES CARTES D IDENTITE ELECTRONIQUES

Politique de certification et procédures de l autorité de certification CNRS

La sécurité des Réseaux Partie 7 PKI

Politique de Certification - AC SG TS 2 ETOILES Signature

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Certificats et infrastructures de gestion de clés

La citadelle électronique séminaire du 14 mars 2002

EJBCA PKI Open Source

POLITIQUE DE CERTIFICATION DE L'AC KEYNECTIS SSL RGS * (authentification serveur) Date : 12/08/2011

La sécurité dans les grilles

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Public Key Infrastructure (PKI)

Signature électronique. Romain Kolb 31/10/2008

28/06/2013, : MPKIG034,

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Mise en place d un serveur HTTPS sous Windows 2000

Les certificats numériques

ScTools Outil de personnalisation de carte

Sécurité WebSphere MQ V 5.3

Documentation utilisateur "OK-MARCHE" Historique des modifications. 3.0 Mise à jour complète suite à version OK-MARCHE V2.2. de marchés publics

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

Zimbra Collaboration 8.X

CERTEUROPE ADVANCED V4 Politique de Certification V1.0 Diffusion publique

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

VOTRE SOLUTION OPTIMALE D AUTHENTIFICATION

Sécurisation des accès au CRM avec un certificat client générique

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Architectures PKI. Sébastien VARRETTE

Protocole industriels de sécurité. S. Natkin Décembre 2000

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Chapitre 1 Windows Server

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Introduction à Sign&go Guide d architecture

Découvrez notre solution Alternative Citrix / TSE

CAHIER DES CHARGES D IMPLANTATION

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE

Livre blanc. Signatures numériques à partir du cloud fondements et utilisation

nexus Timestamp Server

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

DSI - Pôle Infrastructures

LEGALBOX SA. - Politique de Certification -

Administration de systèmes

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Royaume du Maroc. Simpl-TVA. E-service de télédéclaration et de télépaiement de la TVA. 20 juin juin 2006

Hébergement de sites Web

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

7 avril 2009 Le chiffrement des équipements nomades : les clefs du succès

Solutions Microsoft Identity and Access

Cours 14. Crypto. 2004, Marc-André Léger

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

POLITIQUE DE CERTIFICATION DE L AC : Crédit Agricole Cards and Payments

POLITIQUE DE CERTIFICATION AC RACINE JUSTICE

Fiche technique rue de Londres Paris Tél. : Mail : contact@omnikles.com

Service de certificat

Tour d horizon des différents SSO disponibles

Tutorial Authentification Forte Technologie des identités numériques

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

Chapitre 2 Rôles et fonctionnalités

Middleware eid v2.6 pour Windows

La haute disponibilité de la CHAINE DE

Sécurisation des architectures traditionnelles et des SOA

Samson BISARO Christian MAILLARD

LAB : Schéma. Compagnie C / /24 NETASQ

Guide d installation JMap 5.0

Single Sign-On open source avec CAS (Central Authentication Service)

Livre blanc. Sécuriser les échanges

GER helpdesk permet de traiter et d optimiser la gestion de vos interventions au sein de chaque bureaux.

Didier Perrot Olivier Perroquin In-Webo Technologies

Solution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG. EHRHARD Eric - Gestionnaire Parc Informatique

Version 2.2. Version 3.02

La renaissance de la PKI L état de l art en 2006

Sécurité des réseaux sans fil

IBM Tivoli Monitoring, version 6.1

MSP Center Plus. Vue du Produit

Certificats Numériques Personnels RGS et/ou ETSI

Transcription:

HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés soit par le coût d'acquisition des logiciels, soit par leur coût d'intégration, soit par les bouleversements qu'engendre sur le SI le déploiement de la PKI. HASHLOGIC bouleverse tous les préjugés en proposant une solution simple, performante et économique. Enregistrement Validation Emission Distribution Mandataire Site web RA Site web RA déléguée Database Archivages Point de contrôle - Piste d audit HSM ou Kit Crypto Séquestre Certificat chiffrement Processus de fabrication Perso. SmartCard Annuaire LDAP OCSP CRLs Mail distribution SmartCard Distribution Codes mobiles ActivX Applet La plate-forme HASHLOGIC est fondée principalement sur des composants Open Source pour supporter l'intégration de nouveaux composants. Respect des standards : x509v3, CRL, OCSP, SCEP mais aussi les standards RSA : PKCS#7, PKCS#10, PKCS#11, PKCS#12. Portabilité : La technologie Java utilisée pour développer le logiciel garantit sa portabilité sur tout OS supportant une JVM : Windows, Linux, Solaris, AIX, HP-UX. Environnement spécifique : Le logiciel peut fonctionner avec tout type d'annuaire d'entreprise : Ldap, Active Directory, etc., ainsi qu'avec tout type de serveur mail. En bref L infrastructure logicielle et matérielle offre les moyens techniques permettant d assurer l ensemble des tâches relatives à la gestion du cycle de vie des certificats : Enregistrement des demandes de certificats à travers une autorité d enregistrement principale ou déléguée Génération des bi-clés par l utilisateur ou en back office (HSM ou software) Génération des certificats lors des demandes de certification Séquestre des certificats de chiffrements Distribution des clés et des certificats sous forme logicielle ou support matériel (carte à puce, token, ) des certificats dans un Annuaire public Enregistrement des demandes révocations des Listes de Certificats Révoqués (LCR) Répondeur OCSP Journalisation des évènements Archivage Copyright HASHLOGIC 2005-2007. Reproduction et diffusion interdites sans accord écrit préalable 1 / 5

Un modèle organisationnel souple et évolutif Le modèle organisationnel permet de distinguer les différents rôles : Gabarit(s) 1 PC 1 Gabarit(s) Autorités de Certification 2 PC 2 demandeur du certificat, Administrateur Mandataire, Autorités d Enregistrements Opérateur, Administrateur, de manière à rester ouvert à toutes les configurations potentielles des clients. RA 1 RA 2 1-1 1-n 2-1 2-n RA 1 1-1 1-1 1-n DRA 1-1 1-n 2-1 DRA 1-2 2-n Autorités de certification () L Administrateur dispose des moyens techniques pour créer des Autorités de Certifications () et des sous autorités de certification, RA 3 3-1 3-n RA 2 RA 3 2-1 2-n 3-1 3-n 3-1 DRA 1-3 3-n Gestionnaire Principal ou Auxiliaire définir les gabarits de certificats et créer des Autorités d Enregistrement (RA). Autorités d enregistrement (RA) Une Autorité d Enregistrement est créée par l administrateur du serveur, qui lui attribue un label et des règles de gestions (moyens mise en œuvre pour enregistrer et valider les demandes de certificats, mode de distribution des certificats, etc). L autorité d enregistrement est indépendante de l autorité de certification. Elle est gérée par un ou plusieurs Opérateurs d Enregistrement (). L opérateur () a les droits pour une politique donnée de créer, renouveler ou révoquer des certificats, et créer des Autorités d Enregistrement déléguées. Autorités d enregistrement Déléguées (DRA) L Autorité d Enregistrement déléguée est créée par le gestionnaire principal de l Autorité d Enregistrement à laquelle elle se rattache. Elle est régie par les mêmes règles que son autorité. Une Autorité d Enregistrement Déléguée assure ellemême l enregistrement de ses utilisateurs finaux. Chaque RA déléguée a un ou plusieurs Gestionnaires principaux et un ou plusieurs Gestionnaires Auxiliaires. Ils ont les droits pour une politique donnée de créer ou révoquer des certificats. Copyright HASHLOGIC 2005-2007. Reproduction et diffusion interdites sans accord écrit préalable

Obtention d un certificat Le processus de création des certificats est une étape critique et essentielle dans la PKI. Les seules personnes habilitées à délivrer des certificats sont les. Pré-enregistrement La demande de certificat s effectue en ligne sur le site web RA à l aide d un navigateur standard par l utilisateur ou par un Mandataire. La demande consiste à renseigner un formulaire web pour pré enregistrer la demande de Un contrôle strict par authentification du certificat du RA, est soumis à cette demande. Validation L est informé par mail des demandes de certificat en instance de validation. L Opérateur utilise sa carte à puce pour accéder à la console d administration à l aide de son navigateur via un canal sécurisé en SSL v3. L Opérateur est chargé de contrôler la validité des données. Si les données sont correctes, l Opérateur valide la demande et enclenche la fabrication d un En revanche, s il considère que les données ne sont pas valides, il refuse la demande de Le demandeur est alors informé par mail dans lequel la cause du rejet est indiqué. Demande de certificat par un (bi-clé généré par le ) Enregistrement de la demande de certificat 1. Génération du bi-clé, d une requête PKCS10, et enregistrement de la 2. Vérification que tous les champs du formulaire sont bien renseignés. demande de certificat à l aide d un formulaire dédié. 3. Enregistrement des données en base. Le statut de la demande est 5. Notification à lutilisateur que la enregistrée. demande a bien été enregistrée. 4. Notification d une nouvelle demande aux opérateurs d enregistrement (Email). Validation de la demande Acceptation Refus 6. Connexion au site web et validation de la demande de 7. Mise à jour du statut 7. Mise à jour du statut devient «validée». devient «refusée». 9. Notification à l opérateur que la demande a été transmise à l Autorité de Certification. 8. Transfert de la demande à l Autorité de Certification et de la requête PKCS10. 8. Notification à l agent que la demande a été refusée. Emission et publication d un certificat 10. Création du certificat à partir de la requête PKCS10. 11. Transfert du certificat à l Autorité d Enregistrement. 12. du certificat dans l annuaire public. Distribution du certificat 14. Délivrance du certificat à l utilisateur (installation automatique du certificat dans la carte à puce). 13. Notification à l utilisateur que le certificat à été émis et est à sa disposition. Copyright HASHLOGIC 2005-2007. Reproduction et diffusion interdites sans accord écrit préalable 3 / 5

Révocation d un certificat Le processus de révocation s établit en plusieurs étapes : demande de révocation par le détenteur du certificat ou une autre personne (Mandataire) enregistrement de la demande de révocation révocation effective par l Autorité de certification publication dans la liste de révocation Demande de révocation Le détenteur de certificat peut demander la révocation de son certificat auprès de l Autorité responsable de son enregistrement pendant les heures ouvrées. Toute demande de révocation est soumise à la vérification de l identité du demandeur et doit mentionner la cause de révocation. Il dispose également d un service de révocation accessible 24h/24 via une interface web. Cette interface permet de demander la révocation d un certificat après que le détenteur s est authentifié à l aide de la «pass-phrase». Enregistrement de la demande Les responsables ayant autorité pour prendre en compte et valider une demande de révocation sont les opérateurs pour l Autorité d Enregistrement et les Gestionnaires Principaux ou Auxiliaires pour les Autorités d Enregistrement Déléguées. L identification de la demande peut se faire : En face-à-face à l aide d une carte d identité ou tout document pouvant identifier de manière sûre le demandeur. Par téléphone, le responsable identifie le demandeur par un questionnaire A l aide d une «pass-phrase», celle-ci étant propre à chaque propriétaire d un Le traitement de la révocation est un processus automatique. Aussi, la demande est enregistrée de manière quasi-immédiate. Demande de révocation par un 1. Enregistrement de la demande de révocation à l aide d un formulaire dédié. 5. Notification à l utilisateur que la demande a bien été enregistrée. 6. Connexion au site web et validation de la demande de révocation. 9. Notification au mandataire que la demande a été transmise à l Autorité de Certification. 10. Référencement dans la liste de révocation 11. de la liste de révocation. 12. Signification au mandataire que le certificat a bien été révoqué. Demande de révocation 2. Vérification que toutes les champs du formulaire sont bien renseignés. 3. Enregistrement des données en base. Le statut de la demande est enregistrée. 4. Notification d une nouvelle demande aux opérateurs d enregistrement (Email). Validation de la demande Acceptation 7. Mise à jour du statut devient «validée». 8. Transfert de la demande à l Autorité de Certification. Révocation et publication d un certificat Refus 7. Mise à jour du statut devient «refusée». 8. Notification à l agent que la demande a été refusée. Révocation effective L Autorité de Certification est l unique entité autorisée à révoquer définitivement un Elle traite les demandes de révocations à l aide de procédures automatiques afin que soit publié le certificat dans la liste de révocation. La révocation sera effective lors de la prochaine publication de la CRL. La CRL est publiée automatiquement à une fréquence paramétrée au niveau du module logiciel, dans une plage pouvant prendre toutes les valeurs possibles exprimées en minutes. En cas d extrême urgence, il est possible de forcer manuellement la publication d une CRL. Copyright HASHLOGIC 2005-2007. Reproduction et diffusion interdites sans accord écrit préalable 4 / 5

Recouvrement Le produit permet de faire le séquestre des clés de chiffrement des utilisateurs. Mise sous séquestre d un certificat de chiffrement Lorsque les bi-clés et certificats sont produits de façon centralisée sur le serveur, un module de séquestre permet de conserver de manière sécurisée les bi-clés et certificats produits. Pour ce faire, un fichier au format PKCS12 contenant le bi-clé et le certificat est créé et chiffré à l aide d un certificat de séquestre. Extraction d un certificat de chiffrement Pour extraire un bi-clé et un certificat de chiffrement sous séquestre, le Gestionnaire habilité doit disposer du certificat de séquestre (certificat généré lors de l'activation de la Politique de Sécurité). Le bi-clé et le certificat sont alors regroupés dans un fichier au format PKCS12 stocké sur le poste du Gestionnaire. La publication permet de rendre disponibles les certificats de clés publiques émis, à l ensemble des utilisateurs de ces certificats. Mode de publication L accès aux certificats de clés publiques s effectue via un annuaire de type X.500 à l aide du protocole LDAP. Sur le serveur Web, une procédure automatique et périodique, vérifie la mise à jour de la CRL et la rend disponible et accessible par un lien URL en http. Procédure de publication La publication d un certificat est subordonnée au respect de la procédure de traitement des demandes. Les certificats sont publiés dès leur émission. Purge des annuaires Un mécanisme de purge automatique peut être activé permettant de supprimer tous les certificats périmés de la base de données et de l annuaire notamment les certificats révoqués dont la date est périmée. Logs Le produit dispose d un système de logs permettant un suivi précis de toutes les opérations effectuées. Toutes les opérations de traitement des demandes de certificats à chaque étape du processus sont enregistrées et tracées. Librairie APIs L utilisation des webservices est réservée à des applications (serveur) déclarées sur le PKI Server. Caractéristiques de Web Secure Server Système d exploitation Windows 2000, 2003, XP, Linux, JRE 1.4.1 de SUN. Serveur d application JBoss, WebMethods Integration Server 6.1+, WebLogic Stockage des données compatible JDBC, LDAP, Active Directory Module de sécurité (HSM) Tout matériel disposant d une interface PKCS 11 Kit cryptographique IAIK JCE toolkit (Common Criteria EAL 3+) Algorithmes cryptographiques RSA, TDES, AES, SHA 1, MD5, etc. Protocoles de sécurité SSL V3, Codages ASN 1, PEM, DER Espace disque L espace disque nécessaire au Serveur est de 300 Mo. Horodatage L horodatage des fichiers et des preuves repose sur l horloge système du serveur. Synchronisation temporelle L horloge système du serveur doit être régulièrement surveillée pour corriger toute dérive. (Synchronisé temporellement à l aide du protocole NTP). Administration Le Serveur dispose d une console d administration accessible par un navigateur en https. Supervision Redirection des alarmes, des logs à destination des exploitants vers l outil de supervision lorsque l accès à la base de données est impossible. Contraintes de disponibilité Cluster pour gérer le "load balancing" ou pour s'intégrer avec tout autre load balancer Librairie Web services Le Web Key Server propose des web services notamment pour la création des comptes utilisateurs, le chargement de certificats ou la génération de certificats par les utilisateurs, Le Server PKI propose un ensemble de webservices accessibles par les applications web ou non web pour l intégration des services PKI. Copyright HASHLOGIC 2005-2007. Reproduction et diffusion interdites sans accord écrit préalable 5 / 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back