Acronymes et abréviations Acronymes / Abbréviations Signification AD CS Active Directory Certificate Services CA Certification Authority CRL Certificate Revocation List CDP Certificate Distribution Points AIA Authority Information Access Public Key Infrastructure TLS Transport Layer Security RootCA CA racine SSL Secure Sockets Layer SubCA CA subordonnée Architecture cible 1
Description de l infrastructure Pour des raisons de sécurité l infrastructure sera basée sur le déploiement d une hiérarchie à deux niveaux composée deux serveurs: Une autorité de certification racine en mode hors ligne rootca offline:v02 Une autorité de certification subordonnée de production et connectée au réseau subca online:v01.inee.ad Schéma de la Topologie finale La topologie finale de la est la suivante: FIGURE 1 : SCHÉMA DE LA TOPOLOGIE Pré-requis d installation 2
Système d exploitation Les pré-requis nécessaires à l installation du rôle Services de certificats Active Directory sontles suivants : Windows 2008 R2 Standard pour la CA hors-ligne Windows 2008 R2 Entreprise pour la CA de production Privilèges du compte Les privilèges nécessaires à l installation du rôle Services de certificats Active Directory sontles suivants: Disposer d un compte «adm_pki» Administrateur d entreprise crée dans l ad en sur la machine hôte Se connecter avec le compte adm_pki 3
Procédures d installation 1.1. Installation de la CA Racine hors ligne L installation d une CA Racine autonome ne nécessite pas de connexion avec Active Directory. Le serveur ne doit donc pas être intégré à un domaine et doit être membre d un groupe de travail. Cette CA sera hors ligne tout au long de la procédure d installation. 1.1.1. Création du fichier CAPolicy.inf Ouvrir Notepad.exe Saisir le texte suivant dans le nouveau document CAPolicy.inf file for the Root CA [] Signature= "$Windows NT$" [Certsrv_Server] [1] Defines the key length of the CA certificate RenewalKeyLength=4096 [2] Defines the duration that the CA certificate is valid when it is renewed 4
RenewalValidityPeriod=Years RenewalValidityPeriodUnits=15 [3] Defines the CRL period and CRL delta period CRLPeriod = Years CRLPeriodUnits = 1 CRLDeltaPeriod = Years CRLDeltaPeriodUnits = 1 [4] Defines whether to load the default templates or not. LoadDefaultTemplates=0 [CRLDistributionPoint] [5] No CRL distribution point is defined for the CA certificate This is because a root certificate must not have a CRL distribution point because there is no parent CA that would be able to maintain the CRL. An empty section means that there is no CRL distribution point defined empty=true is only required for Windows 2003 servers. 2008 assumes 5
Empty=true by default Empty=true [AuthorityInformationAccess] [6] There is no path to a parent CA certificate because a self signed root has no parent CA. An empty section means that there is no AIA distribution point defined empty=true is only required for Windows 2003 servers. 2008 assumes Empty=true by default Empty=true NOT APPLIED [BasicConstraintsExtension] [7] The PathLength defines how many subordinate CA's are allowed as subordinates of this CA. A CA in a 2-tier CA hierarchy will have up to 1 subordinate CA levels PathLength = 1 Critical = True Enregistrer le fichier sous le nom CAPolicy.inf dans le dossier %windir% 6
1.1.2. Installation du rôle AD CS Se connecter sur le serveur V02 (hors ligne) Cliquez sur Démarrer Outils d administration Gestionnaire de serveur Cliquez sur Rôles Ajouter des rôles Cochez l option Services de certificats Active Directory Sélectionner «active Directory Certficate Services» puis cliquer sur «next» Laisser la sélection par défaut et cliquer sur «Next» Laisser la sélection par défaut et cliquer sur «Next» 7
Cliquer sur «next» Laisser la sélection par défaut «create a new private key» et cliquer sur «Next» Parametrer «key character lenght» à 4096 8
Saisir le nom commun de la CA (RootCA) Mettre le nombre de la période de validité à 15 ans Faire «Next» et «confirmation» Cliquer sur «finish» pour terminer 9
Cliquer sur «start», «administrative tools», «certification Authority» pour afficher cette fenêtre Clique droit sur «INEE-RacineCA» puis cliquer sur «propriétés» 1.1.3. Vérification du certificat Ouvrir la console Autorité de certification Affichez les propriétés de l autorité de certification 10
Dans l onglet général, Cliquer sur «view certificate» 11
Dans l onglet Détails, vérifiez que les informations CDP et AIA ne sont pas présentes, la taille de la clé, la durée de validité du certificat 12
1.1.4. Récupération du certificat Racine et de la CRL Ouvrir le dossier %windir%\system32\certsrv\certenroll Affichez les propriétés du fichier.crl et bien vérifier la durée de validité: 1 an Copiez les fichiers.crt et.crl sur un support amovible (clé USB) 1.1.1. Publication du certificat Racine et de la CRL dans Active Directory 13
Depuis un contrôleur de domaine du domaine inee.ad, ouvrez une invite de commande et insérez le support amovible contenant les fichiers.crt et.crl (précisez le nom des fichiers) Se déplacer sur le support amovible Saisir les commandes suivantes: o Certutil f dspublish CAName.crt certutil -f -dspublish INEE-RacineCA.crl INEE-RacineCA Copiez les chemins LDAP affichés par les commandes ci-dessus dans un fichier texte ldap:///cn=inee-racineca,cn=aia,cn=public Key Services,CN=Services,CN=Configuration,DC=inee,DC=ad?cACertificate ldap:///cn=inee-racineca,cn=inee-racineca,cn=cdp,cn=public Key Services,CN=Services,CN=Configuration,DC=inee,DC=ad? certificaterevocationlist Copiez le fichier texte sur le support amovible 14
Configuration des Extensions CDP de la CA Racine hors-ligne Ouvrir la console Autorité de certification Affichez les propriétés de l autorité de certification Dans l onglet Extension, vérifiez que la liste déroulante Sélectionner l extension affiche bien Points de distribution de liste de révocation de certificats (CDP) Cliquez sur Ajouter Ouvrir le fichier texte contenant les URL LDAP sur le support amovible 15
Copier l URL suivante: ldap:///cn=inee-racineca,cn=ineeracineca,cn=cdp,cn=public Key Services,CN=Services,CN=Configuration,DC=inee,DC=ad? certificaterevocationlist Collez l URL dans la fenêtre d ajout d extensions, puis cliquez sur Ajouter 16
Configurez les options comme suit sur l entrée précédemment ajoutée: Cliquer sur «OK» 17
Désactivez les options par défaut des extensions CDP par défaut, sauf pour la première entrée! Cliquer sur «ok» 18
1.1.5. Configuration des Extensions AIA de la CA Racine hors-ligne Ouvrir la console Autorité de certification Affichez les propriétés de l autorité de certification Dans l onglet Extension, vérifiez que la liste déroulante Sélectionner l extension affiche bien Accès aux informations de l Autorité (AIA) Cliquez sur Ajouter Ouvrir le fichier texte contenant les URL LDAP sur le support amovible Copier l URL suivante: ldap:///cn=inee-racineca,cn=aia,cn=public Key Services,CN=Services,CN=Configuration,DC=inee,DC=ad? cacertificate Collez l URL dans la fenêtre d ajout d extensions, puis cliquez sur Ajouter Cochez l option Inclure dans l extension AIA des certificats émis 19
Désactivez les options par défaut sur les extensions AIA par défaut. 1.1.6. Configuration de la période de validité du certificat des SubCA Note: Afin que le certificat de la CA de production puisse être valide 12 ans il faut modifier les paramètres de la RootCA comme suit. Lancer une ligne de commande à partir du serveur 20
Saisir les commandes suivantes: o Certutil f setreg CA\ValidityPeriodUnits 12 Si vous n avez pas le droit comme sur la figure précédente, attribuer ce droit afin de pourvoir continuer les manipulations Refaire les commandes o Certutil f setreg CA\ValidityPeriodUnits 12 o Net stop certsvc o Net start certsvc 21
1.2. Installation de la CA Subordonnée en ligne La CA en charge d émettre des certificats doit être membre du domaine pour pouvoir être configurée en Autorité de certification d entreprise. La CA émettrice doit être en ligne pour pouvoir répondre aux demandes des clients. 1.2.1. Création du fichier CAPolicy.inf Se connecter sur le serveur V01.inee.ad (online) Se connecter avec le compte adm_pki!!! (admin entreprise) Ouvrir Notepad.exe et saisir le texte suivant CApolicy.inf file for the Issuing CA [] Signature= "$Windows NT$" [Certsrv_Server] [1] Defines the key length of the CA certificate RenewalKeyLength=2048 [2] Defines the duration that the CA certificate is valid when it is renewed 22
RenewalValidityPeriod=Years RenewalValidityPeriodUnits=12 [3] Defines the CRL expiration CRLPeriod=Weeks CRLPeriodUnits=1 [4] Defines the Delta CRL CRLDeltaPeriod=Days CRLDeltaPeriodUnits=1 [BasicConstraintsExtension] [5] The PathLength defines how many subordinate CA's are allowed as subordinates of this CA. A CA in a 2-tier CA hierarchy will have up to 1 subordinate CA levels PathLength = 0 Critical = True 23
[6] You can optionally define not to load the default templates. I usually don't enable this feature, but disable the ones that I'm not going to use manually, after installation LoadDefaultTemplates=0 Enregistrez le fichier sous le nom CAPolicy.inf dans le dossier %windir% 1.2.2. Installation du rôle AD CS Se connecter sur le serveur V01.inee.ad Ouvrir Start administration Tools server Cliquez sur Rôles Ajouter des rôles Cochez l option Active Directory certificates Services de Cochez l option «Certificate Authority Web Enrollment» cliquer sur «next» 24
Le message suivant s affiche, cliquer sur Ajouter les services de rôle requis Vérifiez que l option Entreprise est cochée par défaut Cochez l option «subordinate CA» 25
Cochez l option «create a new private key» Laisser les options par défaut soit 2048 pour «key caracter length» Fixez la taille de la clé à 2048 bits Saisir le nom commun de la CA (inee-prodca) 26
Sauvegardez la requête dans un fichier sur le média amovible Gardez les options par défaut pour l installation du rôle IIS 27
1.2.3. Pré-requis post-installation Comme il est précisé à la fin de l assistant d installation du rôle AD CS, certaines étapes post installation sont nécessaires pour le bon fonctionnement de la dans le cadre d une forêt possédant plusieurs domaines. Cliquer sur «finish» pour terminer 28
Dans le domaine inee.ad ajoutez le compte d ordinateur V01.inee.ad dans les groupes suivants: o Editeurs de certificats o Accès compatible pré-windows 2000 29
Les groupes utilisateurs amenés à administrer l infrastructure de devront eux aussi être membre du groupe Editeurs de certificats dans les domaines inee.ad 30
Cliquer sur «add» pour ajouter «adm_pki» 31
Configuration de la CA Emettrice 1.3. Emission du certificat à partir de la CA Racine hors ligne Déplacez le media amovible contenant le fichier.req sur la CA Racine hors ligne Ouvrir la console Autorité de certification dans les outils d administration Cliquez droit sur «INEE-RacineCA, puis sur «All tasks» puis sur Submit a new request Sélectionner le fichier sur le lecteur amovible 32
Cliquez sur «Pending Request», une demande de certificat est en attente Affichez le menu contextuel de la demande de certificat en attente puis cliquez sur «All tasks» puis sur «Issue» Le certificat est maintenant dans le conteneur Issued Certificates 33
Afficher le menu contextuel du certificat puis cliquer sur Ouvrir Afficher l onglet Détails et cliquer sur Copy to file Cliquer sur «next» 34
Dans l assistant d exportation de certificat configurez le format d exportation comme suit: Enregistrez le certificat sur le media amovible o Importation du certificat de la CA Subordonnée 35
Déplacez le media sur la CA Subordonnée de production Cliquer sur «OK» Ouvrir la console certification Autority dans les outils d administration Démarrez le service de l autorité de certification Cliquez droit sur «inee-prodca», puis sur «All tasks» puis sur «Start Service» 36
Le message suivant s affiche, cliquez sur yes pour continuer Sélectionnez le certificat sur le média amovible Le message suivant s affiche, cliquer sur OK pour continuer 37
Dans le cas où le message d erreur suivant survient: Dans une ligne de commande saisir la commande suivante: certutil setreg CA\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE On relance le service 38
Déploiement des certificats 1.4. Désactivation de l auto enrollment sur les modèles par défaut Ouvrir la console certification Autority dans les outils d administration cliquer sur Gérer Clique droit sur «Certificate Templates» et cliquer sur «Manage» Affichez le menu contextuel sur le conteneur Modèles de certificats puis Clique droit sur «OCSP Response SIGNING» et cliquer sur «propriétés» Pour chaque modèle Windows Server 2008, vérifiez que pour chaque compte utilisateur dans l onglet Sécurité, l option Inscription automatique soit bien désactivée 39
40
Ici pour le «Domain Admins» Ici pour le «Entreprise Admins» 41
1.5. Mise en place du certificat pour le portail Web d AD CS Ouvrir Démarrer Outils d administration Gestionnaire des services Internet (IIS) Sélectionnez le nœud serveur Sélectionner «server Certificates» Cliquer sur «open feature» Dans l onglet Actions sélectionner «Create Domain Certificate» Renseignez les différents champs comme suit: o Nom commun: V01.inee.ad o Organisation: INEE o Unité d organisation: ADMIN o Ville: Paris o Département: Ile de France Pays: FR Cliquer sur «next» 42
Cliquer sur «OK» Cliquer sur «Select» puis sur «ok» 43
Pour «friendly Name» renommer «INEE-ProdCA-https et cliquer sur «finish» 44
Une fois le certificat émis, sélectionnez le nœud Serveur Sites Default Web Site Puis dans le panneau Actions choisir «bindings» 45
Cliquer sur «Add» Renseignez les informations comme suit: Type: https IP Adress: All Unassigned Port: 443 Certificat SSL: inee-prodca-https Et cliquer sur «ok» 46
Pour appliquez les modifications (dans une ligne de commande) en exécutant la commande suivante: iisreset. 47