Solution de déploiement de certificats à grande échelle. En savoir plus...



Documents pareils
HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Du 03 au 07 Février 2014 Tunis (Tunisie)

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

EJBCA Le futur de la PKI

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

ScTools Outil de personnalisation de carte

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

La sécurité dans les grilles

Version 2.2. Version 3.02

La mémorisation des mots de passe dans les navigateurs web modernes

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Les infrastructures de clés publiques (PKI, IGC, ICP)

La sécurité des Réseaux Partie 7 PKI

Service de lettre électronique sécurisée de bpost. Spécificités techniques

Fiche technique rue de Londres Paris Tél. : Mail : contact@omnikles.com

La citadelle électronique séminaire du 14 mars 2002

L identité numérique. Risques, protection

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

iphone et ipad en entreprise Scénarios de déploiement

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Déploiement de l iphone et de l ipad Gestion des appareils mobiles (MDM)

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Livre blanc. Sécuriser les échanges

Déploiement d iphone et d ipad Gestion des appareils mobiles (MDM)

Sécurisation des accès au CRM avec un certificat client générique

Signature électronique. Romain Kolb 31/10/2008

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Protocole industriels de sécurité. S. Natkin Décembre 2000

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Les certificats numériques

1 Présentation de la solution client/serveur Mobilegov Digital DNA ID BOX

LA CARTE D IDENTITE ELECTRONIQUE (eid)

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

Sécurité WebSphere MQ V 5.3

ENVOLE 1.5. Calendrier Envole

Cours 14. Crypto. 2004, Marc-André Léger

Politique de certification et procédures de l autorité de certification CNRS

Documentation utilisateur "OK-MARCHE" Historique des modifications. 3.0 Mise à jour complète suite à version OK-MARCHE V2.2. de marchés publics

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

CERTIFICATS ELECTRONIQUES SUR CLE USB

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

Comment utiliser mon compte alumni?

Vous pouvez désormais consulter les textes signés par la DILA, le rechargement du code Applet se fera automatiquement.

Politique de Certification

Guide d'installation Application PVe sur poste fixe

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Middleware eid v2.6 pour Windows

MANUEL D INSTALLATION DES PRE REQUIS TECHNIQUES SALLE DES MARCHES V.7

Fiche produit. Important: Disponible en mode SaaS et en mode dédié

Groupe Eyrolles, 2004 ISBN :

Guide d installation et d utilisation

LAB : Schéma. Compagnie C / /24 NETASQ

Tour d horizon des différents SSO disponibles

Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150

Introduction aux services de domaine Active Directory

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

Didier Perrot Olivier Perroquin In-Webo Technologies

La seule plateforme d authentification dont COVER vous aurez jamais besoin.

LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE

La renaissance de la PKI L état de l art en 2006

Competence Management System (Système de Gestion de Compétences)

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Garantir la sécurité de vos solutions de BI mobile

LEGALBOX SA. - Politique de Certification -

Recommandations pour la protection des données et le chiffrement

Guide de mise en œuvre d une authentification forte avec une Carte de Professionnel de Santé (CPS) dans une application Web

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

JRES 2005 : La mémorisation des mots de passe dans les navigateurs web modernes

Solutions de gestion de la sécurité Livre blanc

Certificats et infrastructures de gestion de clés

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

CERTIFICATS ELECTRONIQUES SUR CLE USB

1. Présentation de WPA et 802.1X

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Tutorial Authentification Forte Technologie des identités numériques

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

PKI PKI IGC IGC. Sécurité des RO. Partie 4. Certificats : pourquoi?

Mettre en place un accès sécurisé à travers Internet

Vulnérabilités et sécurisation des applications Web

Meilleures pratiques de l authentification:

Installation et utilisation d'un certificat

Sessions en ligne - QuestionPoint

Date : juin 2009 AIDE SUR LES CERTIFICATS. Comment sauvegarder et installer son certificat

Guide d administration de Microsoft Exchange ActiveSync

Transcription:

Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce + lecteur) et sans stocker les certificats sur les postes des utilisateurs. En savoir plus... [ Des atouts remarquables ] [ Un protocole de sécurité solide ] [ Des outils accessibles par les utilisateurs ] [ Une Administration centralisée ] [ Les caractéristiques ] A quoi sert le web key server? offre aux utilisateurs reliés à Internet un coffre-fort de certificats individuel permettant de centraliser la gestion des certificats et clés numériques pour des utilisations dans des fonctions d'authentification, de signature et de chiffrement. Pourquoi choisir web key server? est une réponse efficace à la problématique des certificats logiciels qui peuvent être perdus, volés, effacés accidentellement, copiés, dupliqués ou mêmes compromis. est également une solution alternative à l utilisation de supports externes tels que les Tokens ou les cartes à puce compte tenu du coût de la technologie et de la structure organisationnelle nécessaire pour supporter un déploiement à grande échelle. Qui a besoin du web key server? Toutes sociétés souhaitant mettre en place des systèmes d authentification forte par certificat, de chiffrement et de signature électronique pour répondre aux probmématiques de dématérialisation, d ouverture des systèmes d information, de sécurisation des messageries électroniques, En un coup d œil... Simple et facile à déployer à grande échelle! Aucune installation de progiciels n est requise ni même de plug-in au niveau des applications. Création d un compte utilisateur en ligne à partir d un formulaire web Compatible avec tous les logiciels qui respectent les interfaces standardisées PKCS#11 et CSP de Microsoft : les navigateurs et serveurs web, les logiciels de messagerie et VPN, Interopérabilité avec les ACs respectant la norme X509v3 et utilisant une procédure d enregistrement avec interface web. Enrôlement simplifié grâce à l initialisation préalable des comptes utilisateur avec plusieurs certificats sans compromettre les clés privées. Import de certificats au format PKCS#12 dans le coffre-fort Tous les mécanismes cryptographiques sont dérivés d un seul secret (code confidentiel). Aucune clé secrète n est stockée sur le poste de l utilisateur Identification et authentification de l utilisateur Espace de stockage étanche et sécurisé Tous les informations échangées entre le coffre-fort électronique et les postes «client» sont chiffrées. Fabrication des clés privées sur le poste client et stockage sécurisé dans le web key server. Sauvegarde sécurisée des codes confidentiels Administration centralisée

Des atouts remarquables... Simple et facile à déployer à grande échelle Aucune installation de progiciels n est requise ni même de plug-in au niveau des applications. Une simple installation du Provider Hashlogic (dll WKS-C) permet aux utilisateurs d avoir accès à leur coffre-fort de certificats. L utilisateur a juste à sélectionner le certificat parmi les certificats rattachés à son compte pour satisfaire une fonction d authentification, de signature ou de chiffrement. Ainsi, une même personne peut posséder plusieurs certificats accessibles depuis n importe quel ordinateur relié à Internet. Plus de contraintes à posséder plusieurs certificats Le web key server offre un espace de stockage paramétrable pour une gestion de plusieurs certificats par utilisateur. Les certificats sont classés par catégorie : signature, chiffrement, authentification, administratif. Respect des normes et standards L utilisation des interfaces PKCS#11 et CSP de Microsoft permet de garantir une compatibilité avec tous les logiciels qui respectent ces interfaces. Les Postes «Client» sont banalisés et standardisés. Le WKS a été qualifié avec un grand nombre de PKI du marché (Idealix, Thawte, VeriSign,...) Toutes celles qui respectent les interfaces PKCS#11 et CSP, la norme X509 v3 et utilisent une procédure d enregistrement avec interface web. Les sockets http/https sont utilisées pour satisfaire aux règles de sécurité sur les firewall ou proxy. Simplicité lors de la phase d enrôlement Le web key server apporte une solution sure et pratique permettant de simplifier la distribution des certificats lors de la phase d enrôlement. En effet, l Autorité de certification peut avant la phase d enrôlement créer un compte utilisateur et le charger avec plusieurs certificats sans compromettre les clés privées. Ainsi, la phase de distribution des certificats est simplifiée et se résume à communiquer un login et un code d activation à usage unique qui servira à l activation du compte par l utilisateur. Séquestre des certificats de chiffrement Sous le contrôle des Gestionnaires, activation possible de la mise sous séquestre automatique des certificats de chiffrement. Création d un compte utilisateur en ligne à partir d un formulaire web La création d un compte peut se faire à l initiative de l utilisateur ou sous le contrôle d un Gestionnaire. Quelque soit le modèle organisationnel, le web key server offre une procédure accessible à l aide d un navigateur. Demande en ligne d un code confidentiel oublié Sous réserve que le niveau de sécurité défini par le Gestionnaire l autorise, l utilisateur peut à l aide de son code PUK obtenir son code confidentiel en ligne. Référencement des Autorités de certification habilitées Le Gestionnaire défini la liste des Autorités de certificats habilités. Ainsi, un utilisateur pourra faire une demande de certificat uniquement auprès d une AC reconnue ou importer dans son coffre un certificat appartenant à une des ACs référencées. Mise à jour automatique de la disponibilité et de la validité des certificats En fonction de la politique défini par le Gestionnaire, le web key server verrouille ou déverrouille l usage d un certificat expiré ou révoqué. Ainsi, le Gestionnaire a la possibilité d interdire l usage d un certificat expiré ou révoqué. Synchronisation automatique des certificats Dès que l utilisateur active son compte à l aide de son login, le web key server synchronise les certificats contenus dans le coffre-fort de l utilisateur avec le magasin Microsoft. Cette synchronisation porte seulement sur les certificats et non sur les clés privés associées. La suppression d un certificat dans le coffre est automatiquement répercutée sur le poste client. L utilisateur peut désactiver son compte. Dans ce cas, tous les certificats présents dans le magasin Microsoft sont effacés. Configuration automatique des certificats dans les produits de messagerie Le web key server permet de configurer simplement les certificats de signature et de chiffrement dans les logiciels de messagerie Microsoft. Import de certificats dans le coffre-fort électronique Les utilisateurs qui possèdent déjà des certificats peuvent les importer dans leur coffre-fort. Le chargement s effectue à partir d un fichier au format PKCS#12. Le protocole de sécurité prend en charge la sécurisation, le transfert et le stockage des clés numériques et du certificat. Externalisation possible La solution peut être externalisée sans compromettre la sécurité du système puisque aucune information secrète n est présente sur le serveur.

Identification et authentification de l utilisateur L utilisateur est préalablement identifié et authentifié avant d autoriser l accès au coffre-fort de certificats. L utilisateur dispose de trois essais pour saisir correctement son code confidentiel. Au bout de trois tentatives consécutives et infructueuses, le compte utilisateur se bloque interdisant toutes demandes d accès. Le déblocage du compte s effectue soit par l utilisateur à l aide de son code PUK soit par l intervention d un gestionnaire. Espace de stockage étanche et sécurisé L utilisation des fonctionnalités du coffre-fort électronique nécessite la création d un compte utilisateur et l allocation d un espace de stockage étanche et sécurisé pour la gestion de plusieurs certificats (authentification, signature ou chiffrement). Sécurisation des échanges Toutes les informations échangées entre le coffre-fort électronique et les postes «Client» sont chiffrées. Génération des codes confidentielles Lors de l activation d un compte par son utilisateur à l aide du code d activation à usage unique et du login, le code confidentiel et le code PUK (Public Unlock Key) sont générés aléatoirement sur le poste de l utilisateur. L utilisateur doit mémoriser le code confidentiel et garder précieusement le code PUK. Génération d un bi-clé Les clés privées d un utilisateur sont générées puis chiffrées sur son ordinateur, puis conservées chiffrées sur un serveur, rendant toute compromission impossible même par les administrateurs du système. Téléchargement d un coffre-fort de certificats L ensemble des certificats et clés privées chiffrées présent dans le coffre-fort de l utilisateur sont téléchargées pour la durée d une session sur son ordinateur et effacées dès que l utilisateur se déconnecte. Utilisation d une clé privée Lorsque l utilisateur a besoin d un bi-clé et de son certificat pour signer un document ou s authentifier, les clés sont déchiffrées juste le temps des calculs cryptographiques, soit quelques microsecondes, puis sont détruites. Aucune clé secrète n est stockée sur le poste de l utilisateur Aucune clé secrète n est conservée en mémoire de manière résidente sur le poste de l utilisateur et aucune clé chiffrée présente sur le serveur ne peut être déchiffrée. Sauvegarde sécurisée des codes confidentiels Les codes confidentiels sont générés sur le poste client lors de l activation du compte utilisateur. Ils sont utilisés pour protéger les clés privées. Les codes confidentiels peuvent être sauvegardés en toute sécurité et selon trois méthodes suivant le niveau de responsabilité accordé à l utilisateur : Sous le contrôle exclusif de l utilisateur (code oublié code perdu) Sous le contrôle exclusif du/des Gestionnaire(s) Sous le contrôle conjoint du/des gestionnaires et de l utilisateur. Un protocole de sécurité solide...

Des outils accessibles pour les utilisateurs... Le est une solution logicielle d infrastructure, complémentaire aux infrastructures PKI, pour le déploiement à grande échelle des certificats et clés numériques afin de démocratiser l usage des certificats dans les fonctions : Authentification forte par certificat Signature électronique Chiffrement / déchiffrement Autorités de certification Autorités d horodatage TSP https OCSP http / https https https Poste Client Frontal Web Gestionnaires L utilisateur accède à son compte à l aide de son navigateur pour : La consultation du contenu de son coffre-fort La consultation du journal d activités L import d un certificat au format PKCS#12 La demande de son code confidentiel oublié Le déblocage de son compte Le changement du code confidentiel La suppression d un certificat

Une administration centralisée... L accès à la console d administration est réservé aux gestionnaires qui ont été déclarés sur le serveur. Ainsi, les gestionnaires à l aide de leur navigateur et via un canal sécurisé (https) disposent d un outil simple et convivial pour une administration centralisée. Autorités de certification Autorités d horodatage TSP https OCSP http / https https https Poste Client Frontal Web Gestionnaires Administration des Gestionnaires L accès à la console d administration est réservé aux gestionnaires qui ont été déclarés sur le serveur. WKS est administré par plusieurs catégories de Gestionnaires : «Administrateur» : création suppression des autres gestionnaires et attribution du profil. «PKI» : Administration des Autorités de Certification, certificats et coffres-forts. «Coffre» : Chaque coffre-fort est administré par ses propres Gestionnaires pour le suivi d activité. Un coffre fort est administré par quatres catégories de gestionnaires : Gestionnaire «coffre» Gestionnaire «codepin» et Gestionnaire «codepuk «Gestionnaire «sequestre» «SAV» : ils sont autorisés à accéder à la console d administration uniquement en mode de consultation des comptes utilisateurs, des pistes d audit et des logs. Rôle des Gestionnaires «coffre» Configuration des règles de gestion : politique de sauvegarde du code confidentiel politique de gestion des certificats : verrouillage déverrouillage des certificats révoqués ou expirés dans le coffre politique de séquestre des certificats de chiffrement, Activation désactivation du journal d activités La consultation des comptes utilisateurs La gestion applicative du cycle de vie des comptes utilisateur et pour chacun d eux, gestion applicative du cycle de vie des certificats associés L attribution des ACs habilitées. La détection des comptes en sommeil La purge des comptes supprimés Le déblocage d un compte utilisateur, La consultation du journal d activités associé à un compte. Consultation des pistes d audit, Rôle des Gestionnaires «codepin» et «codepuk» En fonction de la politique de sécurité mise en place, extraction du code confidentiel rattaché à un compte. Rôle des Gestionnaires «Séquestre» En fonction de la politique de sécurité mise en place, consultation et extraction des certificat de chiffrement mis sous séquestre.

Les caractéristiques... Le est une solution logicielle d infrastructure, complémentaire aux infrastructures PKI, pour le déploiement à grande échelle des certificats et clés numériques. Autorités de certification Autorités d horodatage TSP https OCSP http / https https https Gestionnaires Poste Client Frontal Web Caractéristiques de web key server Système d exploitation : Windows 2000, XP, Linux Red Hat + JRE 1.4.1 de SUN. Serveur d application : webmethods Integration Server 6.1 ou BEA weblogic server disponible prochainement. Stockage des données : compatible JDBC et LDAP Module de sécurité (HSM) : Tout matériel disposant d une interface PKCS 11 Algorithmes cryptographiques : RSA, TDES, AES, SHA 1, MD5, etc. Protocoles de sécurité : PKCS 7, PKCS 12, SMIME V2, CMS, XML DSIG, SSL V3, OCSP, TSP Codages : ASN 1, PEM, DER WKS Administration WKS Coffre Fort De Certificats WKS Séquestre Webmethods Integration Server 6.1 SUN JRE 1.4.1 Kit cryptographique IAIK Windows ou Red Hat Caractéristiques du Poste Client Système d exploitation : Toutes plateformes Windows 98, Me, 2000, XP Interfaces : PKCS#11 et CSP de Microsoft Navigateurs compatibles : Internet Explorer 5+, Netscape 4.7+, Mozilla1.5+ Logiciels de messageries : OutLook, OutLook Express, Messenger, Netscape, Tous progiciels compatibles avec les interfaces PKCS#11 et CSP Microsoft. Certificats X.509v3 (RFC 3279, RFC 3280) Compatible avec toutes les PKI utilisant les interfaces PKCS#11 et CSP. Requêtes de certificats : Formats PKCS #10 Stockage de certificats : Format DER Logiciels Microsoft Internet Explorer, Outlook, Autres logiciels Netscape, Mozilla, Applets Java Sign Applet, Auth Applet, Wrapper PKCS11 WKS-C_CSP Windows WKS-C_PKCS11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back