Mappage de certificat client Rédacteur : Eric Drezet Administrateur réseau CNRS-CRHEA 02/2005 Groupe Admin06 But du papier : Mettre en place l accès aux boîtes de courrier électronique à l aide d Outlook Web Access et les certificats personnels. Préalable : Disposer d un serveur Exchange avec certificat serveur, avoir activé SSL (accès par https://...), avoir distribué des certificats client aux utilisateurs. Procédure : Ouvrez une session sur le serveur Exchange 2003 avec les droits suffisants pour gérer le site Web. Lancez alors IIS et sélectionnez «Sites Web» dans l arborescence de gauche dans la fenêtre d IIS (cf. figure 1). Figure 1 : Sélection de «Sites Web» dans IIS Effectuez un click droit de souris et dans le menu contextuel sélectionnez «Propriétés». Dans la fenêtre «Propriétés», sélectionnez l onglet «Sécurité de répertoire». Dans la zone «Communications sécurisées», activez la case à cocher «Activer le mappeur du service d annuaire Windows» (cf. figure 2). Eric Drezet Administrateur réseau CNRS-CRHEA 1
Figure 2 : Propriétés de «Sites Web» De retour dans la fenêtre principale d IIS, placez vous maintenant sur «Site Web par défaut» (ou tout autre nom que vous aurez donné à votre site Web) sous «Sites Web) (cf. figure 3). Eric Drezet Administrateur réseau CNRS-CRHEA 2
Figure 3 : Propriétés de «Site Web par défaut» Effectuez un click droit de souris et dans le menu contextuel sélectionnez «Propriétés». Dans la fenêtre «Propriétés», sélectionnez l onglet «Sécurité de répertoire». Dans la zone «Communications sécurisées», cliquez sur le bouton «Modifier» (cf. figure 4). Eric Drezet Administrateur réseau CNRS-CRHEA 3
Figure 4 : Modification des communications sécurisées Dans la fenêtre «Communications sécurisées», vérifiez les points suivants : La case à cocher «Requérir un canal sécurisé (SSL) doit être activée Il est préférable d activer également la case à cocher «Exiger le cryptage 128 bits Un des deux radio boutons «Accepter» ou «Exiger les certificats clients» doit être sélectionné Activez la case à cocher «Activer le mappage de certificat client» On peut également activer la case à cocher «Activer la liste de certificats de confiance» et créer une nouvelle liste CTL (voir le papier intitulé «Création d une nouvelle liste CTL»). Cliquez sur le bouton «OK» pour valider les changements. Note : Le bouton «Modifier» dans la zone «Activer le mappage de certificat client» permet de définir les mappages au niveau d IIS. Cependant, cette solution n est pas retenue dans notre exemple car elle requiert le mot de passe de chaque utilisateur pour valider le mappage! Nous allons plutôt voir comment activer le mappage au niveau d Active Directory. Eric Drezet Administrateur réseau CNRS-CRHEA 4
Figure 5 : Activation du mappage de certificat client dans IIS Sur le contrôleur de domaine, ouvrez la console «Utilisateurs et ordinateurs Active Directory» avec les droits suffisants pour pouvoir intervenir sur les objets de l annuaire. Sélectionnez l objet «Users» dans la partie gauche de la fenêtre (cf. figure 6). Figure 6 : Console «Utilisateurs et ordinateurs Active Directory» Eric Drezet Administrateur réseau CNRS-CRHEA 5
Dans le menu «Affichage» de cette fenêtre, sélectionnez l option de menu «Fonctionnalités avancées». Une coche doit apparaître en face de cette option (cf. figure 7). Figure 7 : Sélection des fonctionnalités avancées Sélectionnez ensuite l utilisateur sur lequel sera effectué le mappage de certificat. Effectuez un click droit à l aide de la souris et choisissez «Mappages des noms» dans le menu contextuel (cf. figure 8). Figure 8 : Sélection de l utilisateur sur lequel sera effectué le mappage Dans la fenêtre «Mappage des identités de sécurité», cliquez sur le bouton «Ajouter» pour créer le mappage (cf. figure 9). Eric Drezet Administrateur réseau CNRS-CRHEA 6
Figure 9 : Création du mappage Dans la fenêtre «Ajouter un certificat», sélectionnez le certificat de l utilisateur dans le répertoire où il a été stocké. Le certificat doit être au format «.cer», c'est-à-dire qu il doit avoir été l objet d une exportation dans ce format (sans exportation de la clé privée) en binaire codé DER X.509 ou codé à base 64 X.509. Cliquez sur le bouton «Ouvrir» (cf. figure 10). Figure 10 : Choix du certificat La fenêtre suivante détaille les paramètres du certificat de l utilisateur. Cliquez sur le bouton «OK» pour ajouter le certificat au mappage (cf. figure 11). Eric Drezet Administrateur réseau CNRS-CRHEA 7
Figure 11 : Détails du certificat De retour à la fenêtre «Mappage des identités de sécurité», cliquez sur le bouton «Appliquer» puis sur le bouton «OK» pour terminer l opération (cf. figure 12). Figure 12 : Fin de l opération de mappage Il suffit désormais d importer le certificat au format «.pfx» dans un navigateur (fruit d une exportation avec mot de passe contenant la clé privée), d installer les certificats racines de l organisation pour pouvoir s authentifier à l aide de son certificat. Eric Drezet Administrateur réseau CNRS-CRHEA 8
Pour de plus amples informations sur l exportation de certificats, se reporter au papier «Exporter un certificat personnel». Remarque à l attention des utilisateurs : Note de sécurité : l utilisation d un certificat pour s authentifier requiert de l installer sur une machine «fiable». Un ordinateur personnel bénéficiant de cette possibilité devient une extension de l organisation mise en place au bureau et à ce titre, doit entrer dans ses critères de sécurité. Seconde note de sécurité : l emploi d un certificat sur un ordinateur dont on n a pas le contrôle (lors d un déplacement professionnel, personnel, dans un cybercafé) doit se faire avec la plus grande prudence. Dans tous les cas, la suppression du certificat du magasin du navigateur est à effectuer après chaque usage, la copie du certificat sur l ordinateur à proscrire (l importer directement à partir d une disquette, d un disque zip, d une clé USB, ). Eric Drezet Administrateur réseau CNRS-CRHEA 9