ScTools Outil de personnalisation de carte

Outil de personnalisation de carte Manuel d installation et de configuration Version 1.0.2 http://www.auditiel.fr/docs/installation.pdf Référence : 1.3.6.1.4.1.28572.1.2.2.1.2

1 SOMMAIRE 1Sommaire... 2 2Introduction...3 2.1Pré requis...3 2.2Versions du document...3 2.3Glossaire...3 3Installation...4 3.1Composants nécessaires...4 3.2Système d exploitation...4 3.3Procédure d installation... 4 3.4Fichiers copiés...5 3.5Registres modifiés...5 3.6Désinstallation de...8 4Configuration... 9 4.1MMC de consultation des cartes...9 4.2Extension de la console «Utilisateurs et Ordinateurs AD»...9 5Mise en œuvre...10 5.1MMC de consultation des cartes...10 5.2Extension de la console «Utilisateurs et Ordinateurs AD»...11 6Consultation des cartes à puce... 12 6.1Présentation générale... 12 6.2Choix Information...12 6.3Choix Lecteurs présents et actifs... 12 6.4Choix Cartes supportées...16 7Extension de personnalisation...17 7.1Présentation générale... 17 7.2Fonctionnement...17 7.3Evénements... 25 8Annuaire LDAP... 26 8.1Installation des annuaires... 26 8.2Annuaire de configuration... 26 8.3Annuaire de la base cartes...27 9Configuration de EJBCA... 30 9.1Profil d entité finale... 30 9.2Modèles de certificats... 31 Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 2/31

2 INTRODUCTION 2.1 Pré requis Ce document s adresse aux personnes désirant installer la mmc de consultation des cartes ainsi que l extension de personnalisation des cartes. Ces deux composants s installent avec le même setup. Dans la suite du document, il est fait référence aux cartes à puce. Cette dénomination comprend également les clés USB cryptographique. 2.2 Versions du document Version Date Auteur Modification 1.0.0 18/04/2007 Jérôme DUSAUTOIS Création 1.0.1 30/04/2007 Jérôme DUSAUTOIS Ajout paramétrage EJBCA 1.0.2 23/05/2007 Jérôme DUSAUTOIS Ajout paramétrage annuaire LDAP et configuration impression. 2.3 Glossaire CA : Autorité de certification. EJBCA : PKI Open Source en JAVA, basée sur le serveur d applications JBOSS. Carte à puce : Carte plastique respectant la norme 7816 et équipé d un mircoprocesseur cryptographique. Clé USB : Clé USB disposant d un micro-processeur cryptographique. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 3/31

3 INSTALLATION 3.1 Composants nécessaires L installation de nécessite Windows 2003, avec le framework 2.0 pour bénéficier de tous les composants. Le fichier.msi ne contient pas le connecteur EJBCA et ne nécessite pas le framework. Le fichier Ejb.msi est complet (connecteur EJBCA inclus). 3.2 Système d exploitation La mmc de consultation des cartes fonctionne sur Windows XP et Windows 2003. L extension de la console d administration «Utilisateurs et ordinateurs Active Directory» fonctionne sur Windows 2003 ou sur une machine XP, si le pack d administration (adminpak.msi) est installé. 3.3 Procédure d installation existe en deux packages d installation : 1..msi : Sans le module de connexion à EJBCA. 2. Ejb.msi : avec le module de connexion à EJBCA. Cette version du package nécessite que le framework 2.0 soit installé sur la machine. Pour démarrer l installation de, lancez le package souhaité. Si la connexion à EJBCA est nécessaire, lancer Ejb.msi. Dans ce cas, si le framework 2.0 n est pas installé, un message vous propose de le télécharger et de l installer automatiquement. La procédure d installation de ce package ne pourra pas continuer tant que le framework 2.0 n est pas installé. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 4/31

Ecran 1 : Programme d'installation 3.4 Fichiers copiés Le programme d installation copie les fichiers suivants : Sctools.dll Fichiers Version Emplacements Composant enfichable de consultation des cartes ScExtPerso.dll Extension de la console Utilisateurs et ordinateurs AD pour la personnalisation. 1.0.2 Windows\System32 1.2.0 Windows\System32 Slbiop4.dll (Gemalto) 4.3.0.49 Windows\System32 ScEjbca.dll * Connecteur EJBCA. 1.0.1 Windows\System32 Interop.XENROLLLib.1.0.dll * 1.0.0 Windows\System32 ScExtperso.adm Fichier de configuration pour l édition des GPO Readme.rtf Licence.rtf.msc Console d administration mmc. Perso.exe * Programme de personnalisation indépendant de la MMC. Msg.dll Message du journal d événements..ldf Extension de schéma AD. 23/05/2007 Windows\inf Program Files\Auditiel\Sctools Program Files\Auditiel\Sctools Program Files\Auditiel\Sctools Program Files\Auditiel\Sctools 1.0.0.1 Windows\System32 23/05/2007 Windows\System32 23/05/2007 Program Files\Auditiel\Sctools * : uniquement lors de l installation du package Ejb.msi 3.5 Registres modifiés Le programme d installation ajoute les clés suivantes dans la base de registre. Tous ces registres sont modifiables via l interface de configuration de Windows (cf. ). Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 5/31

Clés Description Local machine\software\policies\auditiel\scextperso\ca SelEnrol 0 : Interdit la sélection du certificat de l agent d enrôlement. 1 : Autorise la sélection du certificat de l agent d enrôlement. Local machine\software\policies\auditiel\scextperso\ca\ejbca Name URL AuthentTemplate CipherTemplate SignTemplate Nom de l autorité de certification EJBCA à utiliser. Si ce registre est absent, le choix EJBCA n apparaît pas dans la liste des autorités de certification disponibles. Adresse de connexion au serveur EJBCA. Si ce registre est absent, l adresse https://localhost:8443/ejbca/ejbcaws/ejbcaws est utilisée. Nom du modèle de certificat à utiliser pour les certificats d authentification. Si ce registre est absent, le nom WS_AUTHENT est choisi par défaut. Nom du modèle de certificat à utiliser pour les certificats de chiffrement. Si ce registre est absent, le nom WS_CIPHER est choisi par défaut. Nom du modèle de certificat à utiliser pour les certificats de signature. Si ce registre est absent, le nom WS_SIGN est choisi par défaut. Local machine\software\policies\auditiel\scextperso\perso Param PrePerso PrePersoUsed SelReader 0 : Interdit la modification des paramètres de prépersonnalisation. 1 : Autorise la modification des paramètres de prépersonnalisation. 0 : Interdit la modification du choix de pré-personnalisation des cartes avant l inscription des certificats. 1 : Autorise la modification du choix de prépersonnalisation des cartes avant l inscription des certificats. 0 : Le choix «pré-personnaliser les cartes avant l inscription des certificats» n est pas coché par défaut. 1 : Le choix «pré-personnaliser les cartes avant l inscription des certificats» est coché par défaut. Combiné avec le registre PrePerso, ce registre permet d interdire ou de forcer la pré-personnalisation des cartes. 0 : N autorise pas la sélection du lecteur de carte à utiliser pour personnaliser et inscrire les certificats. 1 : Autorise la sélection du lecteur de carte à utiliser pour Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 6/31

SelUser personnaliser et inscrire les certificats. Réservé pour une utilisation future. Local machine\software\policies\auditiel\scextperso\printer Button Conf Enable PrintPerso PrintPersoUsed Recto Verso PrinterDefZone 0 : Les champs non renseignés dans Active Directory ne sont pas remplacés par des boutons. 1 : Les champs non renseignés dans Active Directory sont remplacés par des boutons. La sélection du bouton permet de compléter le champ et, dans certains cas, de renseigner Active Directory. 0 : Le bouton de configuration de l imprimante est désactivé. 1 : Le bouton de configuration de l imprimante est activé. 0 : L impression n est pas autorisée. 1 : L impression est autorisée. 0 : Le choix d imprimer en même temps que la personnalisation électrique de la carte n est pas disponible. 1 : Le choix d imprimer en même temps que la personnalisation électrique de la carte est disponible. 0 : Le choix d imprimer en même temps que la personnalisation électrique n est pas validé par défaut. 1 : Le choix d imprimer en même temps que la personnalisation électrique est validé par défaut. Combiné avec le registre PrintPerso, ce registre permet de forcer l impression en même temps que la personnalisation électrique. 0 : N autorise pas la pré-visualisation et l impression du recto de la carte. 1 : Autorise la pré-visualisation et l impression du recto de la carte. 0 : N autorise pas la pré-visualisation et l impression du verso de la carte. 1 : Autorise la pré-visualisation et l impression du verso de la carte. 0 : Le bouton de définition des zones d impression est inactif. 1 : Le bouton de définition des zones d impression est actif. Registres modifiés par l installateur. Clés Description Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 7/31

Local machine\system\currentcontrolset\services\eventlog\application\sctools CategoryCount 4 CategoryMessageFile EventMessageFile ParameterMessageFile TypesSupported 7 Msg.dll Msg.dll Msg.dll Local machine\software\auditiel\scperso * PropSheet 0 : Pas d utilisation de la page de propriété de l extension ScExtPerso pour le programme de personnalisation autonome. 1 : Utilisation de la page de propriété. * : Uniquement si installation de la version Ejb.msi. 3.6 Désinstallation de Utilisez le panneau de configuration. Lancez le programme «Ajout / Suppression de programmes». Rechercher le programme, sélectionnez et cliquez sur Supprimer. Tous les fichiers installés seront effacés du disque. Les registres créés seront supprimés. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 8/31

4 CONFIGURATION 4.1 MMC de consultation des cartes Cette mmc ne nécessite aucune configuration. 4.2 Extension de la console «Utilisateurs et Ordinateurs AD» Cette extension nécessite une configuration. La configuration par défaut autorise toutes les actions de personnalisation. Pour configurer l extension, utilisez la console de gestion des modèles d administration (gpedit.msc). Dans l arbre de gauche, sélectionnez le dossier «Modèles d administration» avec le bouton droit de la souris. Sélectionnez le choix «Toutes les tâches / Ajouter un modèle d administration». Sélectionnez le modèle «ScExtPerso.adm» dans le répertoire Windows\inf. Lorsque le modèle est ajouté, l arborescence Auditiel\ScExtperso apparaît dans les modèles d administration. La modification des paramètres dans ce modèle, entraîne la modification des registres référencés au paragraphe sur les machines concernées par ce modèle d administration. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 9/31

5 MISE EN ŒUVRE Un modèle de console (sctools.msc) est fourni dans le répertoire d installation de. Cette console n est utilisable pleinement que sous Windows 2003. Elle reprend les composants enfichables suivants : Consultation des cartes à puce. Certificats de l utilisateur courant. Utilisateurs et ordinateurs Active Directory. 5.1 MMC de consultation des cartes Vous pouvez créer votre propre console en exécutant le programme mmc.exe. Puis, dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable. Puis cliquez sur le bouton Ajouter. L écran suivant apparaît. Ecran 2 : Sélection du composant logiciel Consultation des cartes à puce Sélectionnez «Consultation des cartes à puce» puis cliquez sur le bouton Ajouter et sur le bouton Fermer pour fermer cette fenêtre. Enfin, cliquez sur le bouton OK pour quitter l ajout de composants logiciels. Dans l arbre de gauche de la console mmc, apparaît le composant enfichable nouvellement ajouté. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 10/31

5.2 Extension de la console «Utilisateurs et Ordinateurs AD» L utilisation de l extension de personnalisation des cartes à puce du composant logiciel «Utilisateurs et ordinateurs Active Directory» est immédiate. Lancez la console d administration «Utilisateurs et ordinateurs Active Directory». Cliquez deux fois sur l utilisateur pour lequel vous désirez personnaliser une carte. La page des propriétés de l utilisateur apparaît. Remarquez l onglet supplémentaire «Carte à puce». Sélectionnez cet onglet. L écran suivant s affiche : Ecran 3 : Page de propriétés de l utilisateur Jean Dupond Remarque : L écran peut être présenté différemment suivant les options de configuration du modèle d administration (cf. paragraphe ). Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 11/31

6 CONSULTATION DES CARTES À PUCE 6.1 Présentation générale Ce composant logiciel permet de consulter l ensemble des cartes connectées à la machine. Ces cartes peuvent être de type carte à puce insérée dans un lecteur, lui-même connecté à la machine. Elles peuvent être également du type clé USB cryptographique directement connecté à la machine. Le dialogue avec le lecteur et la carte à puce s effectue exclusivement au travers des API de Microsoft de gestion des cartes à puce et au travers des CSP (Cryptographic Service Provider) fournis par les fabricants de carte. 6.2 Choix Information Ce choix permet de se connecter directement sur le site d Auditiel, afin d obtenir les dernières informations sur le support. 6.3 Choix Lecteurs présents et actifs Ce choix permet de consulter les propriétés des cartes et des lecteurs connectés. Il permet également de consulter et valider les informations contenues dans les cartes. Lorsque ce choix est sélectionnez, la liste des lecteurs actifs s affiches. Les lecteurs sont barrés d une croix rouge, s ils ne contiennent pas de carte. Si une carte est présente, la sélection du lecteur correspondant permet de lister le contenu de la carte. Cette opération peut prendre plusieurs secondes, suivant la rapidité de la carte et le volume d information à lire. 6.3.1 Menu contextuel Nouveau Le choix Nouveau du menu contextuel du lecteur permet d ajouter un certificat et une bi-clé dans la carte. Ce choix n est disponible que dans le cas où une carte est présente dans le lecteur. Si la version EJBCA est installée, deux possibilités sont offertes : Nouveau certificat à partir d un fichier PKCS#12 Nouveau certificat à partir d EJBCA Dans le premier cas, la boite de dialogue suivante apparaît : Ecran 4 : Ajout d'un certificat à partir d'un PKCS#12 Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 12/31

Entrez le nom du fichier PKCS#12 et le mot de passe de protection. Le bouton OK devient actif. Si les informations sont correctes, le code PIN est demandé, et le container est créé. Vous pouvez choisir le nom du container ou laisser l application en générer un. Dans le cas de l utilisation du connecteur EJBCA, la boite de dialogue suivante apparaît : Ecran 5 : Nouveau certificat à partir d'ejbca Les informations affichées sont des données d exemple. Afin de pouvoir ajouter un certificat à partir d EJBCA, vous devez disposer d un certificat d administration de la PKI EJBCA (reportez vous à la documentation sur EJBCA : EJBCAInstallation.pdf). Le certificat est sélectionné à partir du magasin de l utilisateur courant. Si la case à cocher «Gestion du recouvrement» est validée, la demande de certificat s effectue via une génération de fichier P12 par EJBCA. Dans le cas contraire, la bi-clé est générée par la carte. Seule la clé publique est transmise à EJBCA pour certification. 6.3.2 Menu contextuel Propriété d un lecteur Le choix de propriété du menu contextuel du lecteur permet d afficher les informations sur la carte et le lecteur. Ce choix n est disponible que si une carte est présente dans le lecteur. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 13/31

Ecran 6 : Propriétés du lecteur 6.3.3 Liste des conteneurs d une carte La sélection du lecteur affiche la liste des conteneurs de la carte. Pour chaque conteneur les informations suivantes sont affichées : Ecran 7 : Liste des conteneurs de la carte Container carte : Nom permettant de séparer les certificats dans la carte. Ce nom est, en général, attribué automatiquement par Windows, lors de la création du container. Nom : Nom de l objet dans le certificat. Emetteur : Nom de l émetteur du certificat. Date début : Date de début de validité du certificat. Date fin : Date de fin de validité du certificat. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 14/31

Logon : Oui s il s agit du container par défaut, Non dans les autres cas. 6.3.4 Propriété d un conteneur La sélection du choix Propriété du menu contextuel d un des conteneurs listés (ou le double clic sur ce conteneur), affiche une boite de propriété de trois écrans. Ecran 8 : Premier écran de propriétés d'un conteneur Ecran 9 : Deuxième écran de propriétés du conteneur Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 15/31

Ecran 10 : Troisième écran de propriétés du conteneur Les boutons Importer et Supprimer sont actifs suivant les cas. Il est possible que la case «Certificat dans ce magasin» soit cochée, mais que le bouton Supprimer soit inaccessible. Cela signifie que le certificat est bien dans le magasin, mais que le container associé à ce certificat n est pas celui en cours de consultation. Ceci est possible lorsqu un même certificat est présent dans plusieurs cartes ou plusieurs containers d une même carte. 6.4 Choix Cartes supportées Ce choix permet de lister les CSP installés sur la machine. Il permet de déterminer les cartes susceptibles de fonctionner sur cette machine. Ecran 11 : Listes des cartes supportées. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 16/31

7 EXTENSION DE PERSONNALISATION 7.1 Présentation générale Ce module d extension ajoute un onglet de nom «Carte à puce» à la boite de dialogue d affichage des propriétés d un utilisateur, dans la console d administration «Utilisateurs et ordinateurs Active Directory». Voici un écran de présentation de la page de propriété correspondant à l onglet «Carte à puce». Ecran 12 : Onglet Carte à puce dans les propriétés d'un utilisateur 7.2 Fonctionnement Le rôle de cette page est de permettre la personnalisation d une carte à puce et l inscription d un ou de plusieurs certificats. Les informations de personnalisation sont obtenues d Active Directory. Les traitements suivants peuvent êtres effectués : Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 17/31

Pré-personnalisation de la carte, s il s agit d une carte Gemalto Cyberflex (seule carte supportée pour la pré-personnalisation). Enrôlement des certificats d authentification, de chiffrement et de signature. Impression de la carte, si l administrateur dispose d une imprimante spécifique. Impression du code PIN. Sauvegarde des opérations sur les cartes dans une base. 7.2.1 Pré-personnalisation La pré-personnalisation permet d effacer et de charger l applet dans la carte Cyberflex de Gemalto. Les paramètres de personnalisation peuvent être modifiés en cliquant sur le bouton Paramètres à coté de la case à cocher Pré-personnaliser. Ecran 13 : Paramètres de pré-personnalisation. Ces paramètres doivent être modifiés avant de lancer la personnalisation. Ils sont conservés dans un registre de l utilisateur courant. Les tailles des zones privée et publique sont en octets. Elles doivent être suffisantes pour stocker les bi-clés et les certificats. Le code PIN et le code PUK peuvent être identiques (fixe) pour toutes les cartes, calculés par un algorithme faisant intervenir le numéro de série de la carte, ou aléatoires. Cette dernière possibilité n est autorisée que si une base carte est définie dans les paramètres (de façon à pouvoir débloquer la carte en cas de présentation d un nombre de codes faux trop important). Le nombre de codes PIN faux successifs avant blocage, peut être défini ici. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 18/31

Lors de la personnalisation, si la carte est déjà personnalisée, une confirmation d effacement est demandée. La case à cocher et le bouton de paramètres peuvent être désactivés par GPO (cf. le paragraphe sur la configuration ). Même si le modèle de la carte ne permet pas de la pré-personnaliser avec cet outil, cela n altère pas le fonctionnement pour l enrôlement des certificats. 7.2.2 Enrôlement des certificats L enrôlement des certificats consiste à inscrire dans la carte, des certificats pour le compte de l utilisateur en cours d édition. Pour réaliser cette opération, l administrateur doit disposer d un certificat d agent d enrôlement. Ce certificat est différent suivant la PKI utilisée. Les informations transmises dans la ou les demandes de certification, sont obtenues à partir d Active Directory. Les champs suivants sont utilisés pour l enrôlement des certificats. Nom de l utilisateur : UPN de l utilisateur tel qu il est inscrit dans Active Directory. Si ce champ n est pas renseigné, l UPN est construit à partir du nom d ouverture de compte et du nom du domaine d appartenance de l utilisateur. Nom de la CA : Choix en liste des CA disponibles. Cette liste est construite à partir des CA Microsoft Certificate Server trouvées dans la forêt et de la CA EJBCA, si les paramètres de configuration indiquent la présence d une telle CA. Certificat d authentification : Choix en liste des modèles de certificats disponibles pour la CA sélectionnée dans la liste Nom de la CA ci-dessus. Dans le cas de Microsoft Certificate Server, la liste est construite à partir des informations obtenues de la CA sélectionnée. La construction de cette liste peut prendre plusieurs secondes suivant la configuration du réseau. Dans le cas d EJBCA, le nom du modèle est déterminé par GPO. Le choix «Pas de certificat» indique de ne pas ajouter de certificat. Certificat de chiffrement : idem ci-dessus, mais pour le certificat de chiffrement. Dans le cas de Microsoft Certificate Server, la génération de la bi-clé de chiffrement est effectuée hors de la carte, de façon à pouvoir transmettre la clé privée à l autorité pour réaliser la fonction de séquestre. Dans le cas d EJBCA, la génération de la bi-clé est confiée à la PKI. Le certificat et la bi-clé sont transmis dans un P12, le tout est inscrit ensuite dans la carte. Certificat de signature : idem ci-dessus. La bi-clé est obligatoirement générée par la carte. Nom du lecteur : Choix en liste du lecteur de carte à utiliser pour personnaliser et enrôler les certificats. Cette liste est construite à partir des lecteurs présents sur la machine. Certificat de l agent d enrôlement : Nom d objet du certificat de l agent d enrôlement à utiliser. Par défaut, le premier certificat dans le magasin de l utilisateur courant dont le rôle est «Agent d enrôlement» est sélectionné. Dans le cas d EJBCA, le certificat d administration ne possède pas obligatoirement le rôle d agent d enrôlement. Le bouton à droite du champ permet de lister les certificats du magasin de l utilisateur courant et de sélectionner le certificat à utiliser. Tous les certificats du magasin peuvent être sélectionné. Par contre, pour Microsoft Certificate Server, seul un certificat avec le rôle d agent d enrôlement peut fonctionner. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 19/31

7.2.3 Bouton de personnalisation Le bouton de personnalisation change de nom en fonction des choix effectués. Tant que les choix ne permettent pas de personnaliser la carte, le bouton affiche le texte «Attente sélection». Si seule la pré-personnalisation est sélectionnée, le bouton affiche «Pré-personnaliser». Si seul un (ou plusieurs) modèle de certificat est sélectionné, le bouton affiche «Enrôler les certificats». Dans ce cas, il faut également qu un certificat d agent d enrôlement soit sélectionné. Enfin, si la pré-personnalisation et l enrôlement sont demandés, le bouton affiche «personnaliser et enrôler». Dans tous les cas, un lecteur doit être sélectionné. 7.2.4 Bouton de révocation Le bouton «Révoquer les certificats» permet de révoquer l ensemble des certificats contenus dans Active Directory, pour l utilisateur en cours d édition. La révocation est demandée à la CA sélectionné dans le champ Nom de la CA. 7.2.5 Bouton Gérer la carte Le bouton «Gérer la carte» permet d activer les fonctions de consultation de la carte, déblocage de la carte ou consultation de la base carte. La fenêtre suivante apparaît lorsque ce bouton est sélectionné. Ecran 14 : Fenêtre de gestion de la carte Le bouton «Consulter la carte» active la mmc de consultation des cartes (cf. ). Le bouton «Débloquer» est actif lorsque le code de déblocage est saisi, ainsi que deux fois le même nouveau code PIN. Si la méthode de génération du code PUK à la personnalisation était «Calculé», vous pouvez sélectionner la case correspondante. Dans ce cas, le code PUK ne peut pas être saisi. Si la base carte est active, vous Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 20/31

pouvez sélectionner «En base», pour récupérer le code PUK dans la base. Cliquez sur le bouton Débloquer pour débloquer la carte. Si le code PUK est correct, la carte est débloquée et le nouveau code PIN est attribué. Si le code PUK est incorrect, la carte n est pas débloquée. Attention, trop de déblocages incorrects désactive définitivement la carte. Dans tous les cas, un message est enregistré dans le journal d événements. Le bouton «Consulter la base» est actif lorsqu une méthode de consultation est sélectionnée. Les méthodes suivantes sont disponibles : Toutes les opérations sur la carte dans le lecteur. Cette méthode utilise la carte présente dans le lecteur de carte courant pour consulter toutes les opérations, sauvegardées dans la base, concernant cette carte Toutes les opérations sur l utilisateur en cours d édition. Cette méthode liste toutes les cartes pour lesquelles une opération au moins a été réalisée pour le compte de l utilisateur en cours de consultation. La sélection d une carte dans la liste permet de lister les opérations effectuées sur cette carte (y compris les opérations effectuer pour le compte d un autre utilisateur). Toutes les opérations sur toutes les cartes. Cette méthode liste toutes les cartes contenues dans la base. La sélection d une carte dans la liste permet de lister les opérations effectuées sur cette carte. Voici l écran correspondant au listage des opérations réalisées sur la carte dans le lecteur. Ecran 15 : Opération sur la carte dans le lecteur Axalto e-gate 0 7.2.6 Impression graphique L impression des cartes utilise une imprimante spéciale. Cette imprimante est considérée par Windows comme une imprimante classique. La sélection de l imprimante utilise donc les dialogues standard de Windows. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 21/31

La pré-visualisation permet d avoir une image précise du résultat de l impression. L image d une carte à puce pré-découpée est ajoutée à la prévisualisation. Cette image n est pas imprimée. Le bouton de sélection de la face permet de visualiser le recto ou le verso de la carte. Le bouton Imprimer permet de lancer l impression immédiatement. Dans ce cas, aucune information n est enregistrée dans la base carte. La case à cocher «Imprimer en même temps que la personnalisation», permet d effectuer toutes les étapes en une seule manipulation. Ceci n est possible que si l imprimante carte dispose d un connecteur pour la puce. Les images imprimées sont sauvegardées dans la base carte. Le bouton Configurer impression permet de modifier les paramètres de configuration. L écran suivant apparaît. Ecran 16 : Configuration de l'impression Les commandes d avance carte et d éjection carte sont utilisées avec une imprimante spécifique carte. La commande d avance carte est utilisée pour positionner la carte sur le coupleur puce, dans le cas de l impression en même temps que la personnalisation. La commande d éjection carte est utilisée pour éjecter la carte en cas d erreur de personnalisation. Les zones d impression peuvent être définies dans l annuaire LDAP de configuration. Les boutons «Définir les zones d impression» permettent de modifier les informations stockées dans l annuaire LDAP de configuration. Pour l instant, seul la configuration de l impression carte est disponible (l impression du code PIN est figée). Lorsque le bouton de définition des zones d impression est sélectionné, l écran suivant apparaît. Les champs dont le contenu correspond à une information d Active Directory sont renseignés par les informations de l utilisateur en cours d édition. Les modifications apportées à la configuration de l impression sont effectives pour tous les utilisateurs. La sauvegarde des informations n est possible que si l annuaire LDAP de configuration est correctement défini dans les GPO. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 22/31

Ecran 17 : Outils de définition des champs d'impression La position et la taille des champs sont marquées par un trait en pointillés. Ces champs peuvent être dimensionnés ou déplacés par la souris, en maintenant le bouton de gauche enfoncé lors du déplacement. Pour ajouter un champ, il faut maintenir le bouton de gauche de la souris enfoncé et la déplacer. Cette opération ne doit pas avoir lieu sur un champ existant. S il doit y avoir recouvrement de champs, le champ du dessus doit être créé en dernier. Pour supprimer un champ, il faut le déplacer hors de la surface de la carte. Pour modifier les propriétés d un champ, il faut faire un double clic sur le champ concerné. Lors de l ajout d un champ ou de la modification des propriétés d un champ, la fenêtre suivante apparaît. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 23/31

Ecran 18 : Propriétés d'un champ d'impression Les positions et tailles des champs sont indiquées en 1/100 de millimètre. Si aucun champ Active Directory n est utilisé, le texte ou l image peut être renseigné dans le champ correspondant. Lors de l affichage de la représentation d une carte d un utilisateur, si l image comporte des champs Active Directory non renseignés, ces champs sont remplacés par des boutons dont la taille correspond à la celle du champ. La sélection de ces boutons permet de compléter l image et éventuellement de renseigner Active Directory. Cette option peut être désactivée par GPO (cf. ). Ecran 19 : Ajout d'une image à l'impression Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 24/31

7.3 Evénements Les catégories d actions suivantes sont enregistrées dans le journal d événements des applications. Personnalisation Enrôlement de certificats Révocation de certificats Impression LDAP. La source des messages est :. On ne peut pas désactiver l enregistrement dans le journal d événements. Les événements suivants sont enregistrés : Personnalisation d une carte. Ajout d un certificat. Suppression et révocation d un certificat. Déblocage carte. Erreur d enregistrement en base carte. Erreur d accès à la base de configuration. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 25/31

8 ANNUAIRE LDAP 8.1 Installation des annuaires L annuaire de configuration et l annuaire de la base carte peuvent être différents. Ceux sont deux annuaires LDAP. L accès aux annuaires est paramétrable par GPO. AD peut être utilisé, ou la version applicative : ADAM. Le schéma d extension pour l annuaire ADAM est fourni dans le fichier.ldf dans le répertoire d installation de (\program files\auditiel\). L installation du schéma est possible avec la commande suivante : ldifde -i -f.ldf -s server:port -b username domain password -j. -c "cn=configuration,dc=x" #configurationnamingcontext 8.2 Annuaire de configuration La configuration d impression peut être définie dans un annuaire LDAP. Cet annuaire permet de définir les champs d impression sur la carte. Si l annuaire n est pas paramétré, l impression utilise des champs fixes. Pour activer l utilisation de l annuaire LDAP pour la configuration, lancez l éditeur de GPO pour les administrateurs concernés. Sélectionnez le groupe de paramètres dans l arborescence Auditiel\ScExtperso\Annuaire de configuration. Activez et Entrez une valeur pour le paramètre Adresse de l annuaire. Entrez le DN de la base de recherche dans le paramètre Chemin de base de l annuaire. Ce chemin doit exister dans l annuaire. A partir de ce chemin, vous devez créer un container de nom Printer. Dans ce dernier, deux container, un de nom Recto et l autre Verso. Les informations d impression seront recherchées dans ces deux containers. Dans les containers Recto et Verso, créez les enregistrements correspondants aux champs à imprimer. Deux types d enregistrements peuvent être créés : Auditiel-CText pour les textes et Auditiel-CImage pour les images. Voici les attributs à initialiser lors de l ajout d un champ de type texte (classe Auditiel-CText) Description Nom Obligatoire Position horizontale du coin en haut à gauche en 1/100 Auditiel-PosX Oui de mm Position verticale du coin en haut à gauche en 1/100 de Auditiel-PosY Oui mm Largeur maximale du cadre en 1/100 de mm Auditiel-Width Oui Hauteur maximale du cadre en 1/100 de mm Auditiel-Height Oui Direction du texte en degrés par rapport à l horizontal Auditiel-Dir Non (RUF) Nom de la police de caractère Auditiel-FontName Non Taille de la police de caractère Auditiel-FontSize Non Couleur des caractères au format RGB Auditiel-CarRGB Non Couleur de fond des caractères au format RGB Auditiel-BackRGB Non Texte fixe à imprimer Auditiel-Text Non Champ AD où récupérer le texte à imprimer Auditiel-ADAttr Non Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 26/31

(uniquement si le champ précédent est vide ou inexistant) Texte du bouton lorsque le texte n est pas défini ou que Auditiel-ButtonText Non le champ AD correspondant est vide. Options (RUF) Auditiel-Options Non Voici les attributs à initialiser lors de l ajout d un champ de type image (classe Auditiel-CImage). Description Nom Obligatoire Position horizontale du coin en haut à gauche en 1/100 Auditiel-PosX Oui de mm Position verticale du coin en haut à gauche en 1/100 de Auditiel-PosY Oui mm Largeur maximale du cadre en 1/100 de mm Auditiel-Width Oui Hauteur maximale du cadre en 1/100 de mm Auditiel-Height Oui Direction de l image en degrés par rapport à l horizontal Auditiel-Dir Non (RUF) Image au format jpeg Auditiel-jpegImage Non Champ AD où récupérer le texte à imprimer Auditiel-ADAttr Non (uniquement si le champ précédent est vide ou inexistant) Texte du bouton lorsque le texte n est pas défini ou que Auditiel-ButtonText Non le champ AD correspondant est vide. Options (RUF) Auditiel-Options Non Si l image de prévisualisation de l onglet Carte à puce de la fenêtre de propriétés de la console Utilisateurs et ordinateurs Active Directory est vide, vérifiez l adresse de l annuaire ainsi que le chemin de base dans les paramètres de la GPO. Si le serveur ne peut pas être joint, les paramètres d impression par défaut sont utilisés. Un message d erreur est inscrit dans le journal d événement des applications. 8.3 Annuaire de la base cartes Les modifications apportées sur les cartes peuvent être enregistrées dans un annuaire LDAP. Cet annuaire permet de sauvegarder toutes les actions effectuées sur les cartes. Pour activer l utilisation de l annuaire LDAP pour la base carte, lancez l éditeur de GPO pour les administrateurs concernés. Sélectionnez le groupe de paramètres dans l arborescence Auditiel\ScExtperso\Annuaire des cartes personnalisées. Activez et Entrez une valeur pour le paramètre Adresse de l annuaire. Entrez le DN de la base de recherche dans le paramètre Chemin de base de l annuaire. Ce chemin doit exister dans l annuaire. A partir de ce chemin, l application créera automatiquement les containers d informations pour les cartes personnalisées. L utilisation de l annuaire des cartes personnalisées n est possible que pour les cartes reconnues. Dans la version 1.0.5, seules les cartes Cyberflex de Gemalto sont reconnues. Si l annuaire ne peut être contacté, un message d erreur est inscrit dans le journal d événement d applications, dans la catégorie LDAP, pour l application Sctools. La personnalisation des cartes n est pas interrompue dans ce cas. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 27/31

A chaque opération sur la carte, un enregistrement est créé dans le container de la carte. Le container de la carte est créé automatiquement, lors de la première opération. Le nom du container carte est dérivé du numéro de série de la carte. Chaque opération est numérotée séquentiellement. Voici les informations enregistrées pour chaque opération. 8.3.1 Personnalisation Nom Description Auditiel-Ope 1 Auditiel-DNOwner DN de l utilisateur pour lequel la personnalisation est effectuée. Auditiel-AdminName Nom de l administrateur ayant effectué la personnalisation. Auditiel-AdminSID SID de l administrateur au format texte. Auditiel-Comment Commentaire éventuel. Auditiel-PrivateSize Nombre d octets de la zone privée dans la carte. Auditiel-PublicSize Nombre d octets de la zone publique dans la carte. Auditiel-BadPINCount Auditiel-PINGeneration Auditiel-PINCrypt Auditiel-PUKGeneration Auditiel-PUKCrypt Nombre de codes faux avant blocage de la carte. Mode de génération du code PIN. 0:inconnu 1:fixe 2:calculé 3:aléatoire Code PIN crypté Mode de génération du code PUK. 0:inconnu 1:fixe 2:calculé 3:aléatoire Code PUK crypté 8.3.2 Ajout d un certificat Nom Description Auditiel-Ope 2 Auditiel-DNOwner DN de l utilisateur pour lequel la personnalisation est effectuée. Auditiel-AdminName Nom de l administrateur ayant effectué la personnalisation. Auditiel-AdminSID SID de l administrateur au format texte. Auditiel-Comment Commentaire éventuel. Auditiel-Certificate Certificat ajouté. 8.3.3 Suppression d un certificat Nom Description Auditiel-Ope 3 Auditiel-DNOwner DN de l utilisateur pour lequel la personnalisation est effectuée. Auditiel-AdminName Nom de l administrateur ayant effectué la personnalisation. Auditiel-AdminSID SID de l administrateur au format texte. Auditiel-Comment Commentaire éventuel. Auditiel-Certificate Certificat Supprimé. 8.3.4 Impression du recto Nom Description Auditiel-Ope 4 Auditiel-DNOwner DN de l utilisateur pour lequel la personnalisation est effectuée. Auditiel-AdminName Nom de l administrateur ayant effectué la personnalisation. Auditiel-AdminSID SID de l administrateur au format texte. Auditiel-Comment Commentaire éventuel. Auditiel-jpegImage Image de l impression au format jpeg. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 28/31

8.3.5 Impression du verso Nom Description Auditiel-Ope 5 Auditiel-DNOwner DN de l utilisateur pour lequel la personnalisation est effectuée. Auditiel-AdminName Nom de l administrateur ayant effectué la personnalisation. Auditiel-AdminSID SID de l administrateur au format texte. Auditiel-Comment Commentaire éventuel. Auditiel-jpegImage Image de l impression au format jpeg. 8.3.6 Impression du code PIN Nom Description Auditiel-Ope 6 Auditiel-DNOwner DN de l utilisateur pour lequel la personnalisation est effectuée. Auditiel-AdminName Nom de l administrateur ayant effectué la personnalisation. Auditiel-AdminSID SID de l administrateur au format texte. Auditiel-Comment Commentaire éventuel. Auditiel-jpegImage Image cryptée de l impression du code PIN. 8.3.7 Déblocage Nom Description Auditiel-Ope 9 Auditiel-DNOwner DN de l utilisateur pour lequel la personnalisation est effectuée. Auditiel-AdminName Nom de l administrateur ayant effectué la personnalisation. Auditiel-AdminSID SID de l administrateur au format texte. Auditiel-Comment Commentaire éventuel. Auditiel-PINCrypt Nouveau code PIN crypté Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 29/31

9 CONFIGURATION DE EJBCA L utilisation d EJBCA avec nécessite une configuration particulière de la PKI. 9.1 Profil d entité finale 9.1.1 Construction du DN utilise le Profil d entité finale de nom WS_USERS. Ce nom n est pas paramétrable dans. Le profil WS_USERS doit contenir des champs suffisants pour construire le DN de l utilisateur. Parmi ces champs, on retrouve : CN (obligatoire) du nom de l utilisateur. Il correspond au nom de compte dans l annuaire LDAP. OU (facultatif) de l unité d appartenance du compte en cours d édition. Il peut y en avoir zéro ou plusieurs suivant l organisation. DC (facultatif) du domaine de l utilisateur. Il peut y en avoir plusieurs suivant les noms de domaine. Par exemple, si les utilisateurs d un domaine sont dans le container Users par défaut, pour un domaine de nom local.audiotiel.fr, le DN complet de l utilisateur Martin sera : CN=Martin,CN=users,DC=local,DC=Auditiel,DC=fr. Dans ce cas, le profil d entité finale WS_USERS devra, au minimum, comporter les champs suivants : CN, CN, DC, DC, DC (2 CN et 3 DC). Si l arborescence de l annuaire LDAP nécessite des OU ou des DC supplémentaires, ils doivent être présents dans le profil WS_USERS. Les champs du profil sont optionnels. Ainsi, si la demande de création d utilisateur, initiée par l extension de personnalisation, ne contient pas tous les champs, l utilisateur peut être créé et les certificats pourront être délivrés. Le profil WS_USERS peut comporter plus de champs optionnels que la demande de création d utilisateurs. Par contre, il ne peut pas en comporter moins! Si le profil WS_USERS contient moins de champs CN, OU ou DC que l arborescence de l annuaire l exige, la demande n aboutira pas. Dans ce cas, un message d erreur explicite, indique le premier champ manquant. 9.1.2 Nom alternatif du DN Le modèle doit comporter le champ pour l adresse mail dans le nom alternatif (RFC822). 9.1.3 Modèle de certificats autorisés Les modèles de certificats sont paramétrables par GPO dans l outil. Ces modèles doivent être ajoutés aux modèles autorisés dans le profil d entité final WS_USERS. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 30/31

9.1.4 Autorité de certification Le ou les autorités de certifications autorisées pour ce profil doivent être sélectionnées dans la liste. Dans la version actuelle, tous les certificats demandés par à EJBCA le sont pour la même autorité de certification. 9.1.5 Type de Token utilise deux types de token pour la génération des certificats : 1. User Generated pour les certificats des modèles d authentification et de signature. 2. P12 pour le modèle de certificats de chiffrement. Ce mode de génération permet de réaliser un séquestre de la clé. La demande provenant de comporte une demande de séquestre pour le modèle de certificats de chiffrement. Le séquestre ne doit pas être obligatoire dans le profil WS_USERS, car tous les modèles de certificat utilisent le même profil d entité. 9.2 Modèles de certificats Les modèles de certificats sont paramétrables par GPO dans l outil. Ces modèles doivent être ajoutés aux modèles autorisés dans le profil d entité finale WS_USERS. Chaque modèle peut comporter les champs nécessaires au format du certificat souhaité. Dans le cas de l extension de la console d administration «Utilisateurs et ordinateurs Active Directory», la publication des certificats dans l annuaire LDAP par EJBCA n est pas nécessaire puisque cette extension réalise déjà la publication. Attention de bien respecter les rôles du certificat en fonction du modèle. Référence : 1.3.6.1.4.1.28572.1.2.2.1.2 31/31