Implémenter une PKI avec ADCS 2012 R2 Titre de vidéo Présentation de la formation

Implémenter une PKI avec ADCS 2012 R2 Titre de vidéo Présentation de la formation Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Présentation du formateur Pourquoi une session sur les Pki2012 R2? Publics concernés et prérequis Le plan de formation Les ateliers pratiques Architecture de base des ateliers pratiques

Le formateur IZZO Patrick Travailleur indépendant après salariat en SSII Formateur technique Windows serveur 2012 r2 MCP, MCST, MCSA 2008 r2, MCSA 2012 r2 MCT (1997-2014) patrick.izzo@orange.fr Mes références : LinkedIn Viadeo Alphorm Microsoft http://fr.linkedin.com/pub/patrick-izzo/27/25a/458 http://fr.viadeo.com/fr/profile/patrick.izzo http://www.alphorm.com/auteur/patrick-izzo https://mcp.microsoft.com/authenticate/validatemcp.aspx (Login: 692101 password: 58964781)

Pourquoi une formation PKI 2012 R2? Pki(Public Key Infrastructure Environnement sécurisé de gestion et d utilisation de certificats La base de toute sécurité d entreprise!! Des concepts nouveaux Une implémentation multi-composantes Richesse de fonctionnalités Gain de temps Aide au passage des certifications Microsoft (70-412)

Publics concernés Techniciens de support Administrateurs, ingénieurs systèmes Architecture informatique Spécialiste en sécurité Spécialiste en Pki d entreprise Passage des certifications Microsoft (70-412)

Connaissances requises Connaissances de base sur la gestion des systèmes d exploitation Windows Connaissances de base sur les réseaux Connaissances sur l Active Directory Pas de prérequis sur la cryptographie (couvert par la session)

Le plan de formation 1. Présentation 2. Cryptographie Type de chiffrement Certificats, Clés publiques\privés 3. Autorité de certification Entreprise Présentation d une autorité de certification Installation d une autorité de certification 4. Inscription de certificats Modèles de certificats Inscription manuelle Inscription via le Web Inscription automatique Itinérance des certificats Agent d'inscription 5. Sites Web sécurisés Implémentation de Ssl Nouveautés IIS 8 et IIS 8,5 6. Révocation de certificats Révocation Lan Révocation Wan Serveur OCSP 7. Sécurisation d'une infrastructure de clé publiques Sauvegarde et restauration Archivage des certificats Architectures sécurisées Installations automatisées autorité racine Installations automatisées autorité secondaire 8. Autres rôles Pki Certificate Enrollment Web Services (Cep\Ces) Network Device Enrollment Service (Ndes) 9. Conclusion

Ateliers pratiques Exemples d ateliers Cryptage de fichiers Efs\Agent de récupération (Domaine\ Workgroup) Cartes à puce\agent de récupération VpnSSTP Signature de code PowerShell Sites Web Sécurisés Architecture des ateliers Machines virtuelles (Hyper-V 3)

Liens des ressources logicielles Source Windows 8.1 (version Entreprise) http://technet.microsoft.com/fr-fr/windows/hh771457.aspx Source Windows 2012 Server http://technet.microsoft.com/fr-fr/evalcenter/hh670538.aspx

Applications Pratique Architecture domaine : Corp.lan Active Directory s1.corp.lan 10.0.0.1 w811.corp.com s4.corp.lan s5.corp.lan 80.0.0.11 10.0.0.4 10.0.0.5 s2.corp.lan Autorité de certification 10.0.0.2

Ce qu on a couvert Présentation dur formateur Pourquoi les une session sur les Pki2012 r2? Les prérequis de la formation Le contenu (plan et ateliers pratiques) C est parti!!

Cryptographie Introduction au PKI et à la Cryptographie Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

La partie de l'image avec l'id de relation rid3 n'a pas été trouvé dans le fichier. Plan Rôle des PKI Utilisation des PKI Composantes de PKI Technologies de Cryptographie Cryptage Symétrique\Asymétrique Certificats Application : Chiffrement de fichiers (EFS)

Rôle des PKI Pki(Public Key Infrastructure ou Infrastructure de clé publique) Technologies de cryptographie pour la sécurisation de votre environnement informatique Utilisé pour : Confidentialité (Chiffrement) Authentification (Utilisateur, Ordinateur) Intégrité (Données non modifiées)

Exemples d utilisation des PKI Fichiers (Efs, Bitlocker) Pilotes, ActiveX, Macros, Scripts PowerShell Site Web (Ssl) Connexions réseau (Vpn, Wifi ) Sécurisation de trafic réseau (IpSec ) Authentification Forte (Cartes à puce) Mails

Composantes d une architecture de PKI Cryptographie Algorithmes mathématiques Certificats Autorités de certifications (Gestion des certificats)

Cryptage symétrique Algorithme mathématique + Clé (élément variable de l algorithme) Algorithmes mathématiques : Des, 3Des ou Aes Une seule clé (128, 256 bits) La clé symétrique doit être transmise à l aide de moyen de communication sécurisé Décaler de : 3 Décaler de : 3 Erqmour Erqmrxu Erqmrur Erqmrxr Bonjour Eonjour Ernjour Erqjour Erqmour Erqmrxu Erqmrur Erqmrxr Eonjour Bonjour Ernjour Erqjour Bob

Composantes Cryptage asymétrique Certificat Utilisation des clés, propriétaire, durée de vie ) Clé publique Clé Privé Bob Clé Publique de Bob Stocké dans un emplacement protégé sur l ordinateur Lien mathématique de 1 à un entre la clé privé et la clé publique Clé Publique de Bob 1 1 Clé Privée de Bob Bob

Cryptage asymétrique Certificat avec Clé publique + Clé Privé Je chiffrer avec la «Clé publique» de Bob Bob déchiffrer avec sa «clé privée» Clé Publique de Bob Clé Privée de Bob Bob 1 1 Bonjour! Erqmrxu Bonjour Bob

Comparatif types de cryptage? Cryptage symétrique Plus rapide, une seule clé de petite taille (128, 256 bits) Requiert une communication déjà sécurisée pour l échange de la clé Cryptage Asymétrique Plus lent (100 fois ou plus ), deux clés (Publique\Privé + un certificat) Taille des clés plus importante (1024, 2048, 4096 bits) Totalement sécurisé Lequel utiliser??

Combinaison Symétrique \Asymétrique On utilisera toujours une combinaison de cryptage Symétrique \ Asymétrique!!! Chiffrement du contenu : Symétrique Plus rapide Protection de la clé : Asymétrique Totalement sécurisé Le chiffrement asymétrique sécurise la clé symétrique!!!

La partie de l'image avec l'id de relation rid3 n'a pas été trouvé dans le fichier. Combinaison Symétrique\Asymétrique Chiffrement avec un clé symétrique Protection de la clé symétrique en Asymétrique Lien mathématique de 1 à un entre la clé privé et la clé publique Clé Publique de Bob 1 1 Clé Privée de Bob Bob Bonjour! Erqmrxu 3# 3 Bonjour Bob

Cryptage EFS Encryption File System Chiffrement de fichiers ou de dossiers Rapide, performant (intégré au noyau Ntfs) Combine cryptage symétrique et asymétrique Transparent Les fichiers cryptés apparaissent en vert

Fonctionnement du chiffrement EFS L utilisateur demande à crypter son document Le système génère une clé aléatoire symétrique dans l entête du fichier Le document est crypté à l aide de la clé symétrique Bob 3# La clé symétrique est crypté en asymétrique avec la clé publique de l utilisateur ëh3ÿ Ceci est 32ö un ë! I ÉÿÅH È document H øÿåh ÏŠð confidentiel

Déchiffrement EFS Fonctionnement du déchiffrement EFS L utilisateur ouvre le document Le système récupère la clé privé de l utilisateur le système déchiffre la clé symétrique à l aide de la clé privé de l utilisateur Le système déchiffre le document à l aide de la clé de chiffrement symétrique Bob Clé Privée de Bob #3 Ceci ëh3ÿ est 32ö un ë! document I ÉÿÅH È confidentiel H øÿåh ÏŠð

Application Application pratique Chiffrement de fichiers EFS

La partie de l'image avec l'id de relation rid3 n'a pas été trouvé dans le fichier. Cequ ona couvert Le fonctionnement de la cryptographie Combinaison de cryptage Symétrique et Asymétrique Les composantes d un certificat Le rôle des clés, publique et privée, associées Application avec le cryptage de fichier (Efs) Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI

Cryptographie Partage de fichiers cryptés Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

La partie de l'image avec l'id de relation rid3 n'a pas été trouvé dans le fichier. Plan Partage de fichiers cryptés Application : Partage de fichiers cryptés Efs

Partage de fichiers cryptés EFS L utilisateur U1 souhaite partager son fichier crypté avec u2 et u3 Sans communiquer sa clé privée!!! Fonctionnement : Chaque utilisateur pour qui l on partage le fichier disposera de sa copie de l entête comprenant la clé symétrique qu il chiffrera, ou déchiffrera, avec ses clés publique\privé! Il y aura autant d entêtes dupliqués que d utilisateurs avec qui l on partagera le fichier

Partage d un fichier chiffré -Entêtes Le système décrypte la clé symétrique à l aide de la clé privé de Bob Clé Privée de Bob Le système duplique un nouvel entête pour l utilisateur «U2» La clé symétrique du nouvel entête est chiffré en asymétrique à l aide de la clé publique de l utilisateur «U2» Il y aura autant d entête que d utilisateurs avec qui l on partagera le fichier Bob U2 # 3# # ëh3ÿ 32ö ë! I ÉÿÅH È H øÿåh ÏŠð

Partage d un fichier chiffré -Lecture L utilisateur «U2» n accède pas à l entête de l utilisateur (Bob) L utilisateur «U2» accède à son entête Il décrypte la clé symétrique à l aide de sa clé privé d utilisateur «U2» Il déchiffre le document à l aide de la clé symétrique déchiffrée U2 Clé Privée de U2 3# #3 Ceci ëh3ÿ est 32ö un ë! document I ÉÿÅH È confidentiel H øÿåh ÏŠð

Application Application pratique Partage de fichiers EFS

La partie de l'image avec l'id de relation rid3 n'a pas été trouvé dans le fichier. Cequ ona couvert Le fonctionnement de la cryptographie Partage de fichiers cryptés Efs Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI

Cryptographie Agents de récupération EFS Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

La partie de l'image avec l'id de relation rid3 n'a pas été trouvé dans le fichier. Plan Agents de récupération Efs Application : Agent de récupération Efs

Agents de récupération EFS L agent de récupération accède à tout les fichiers cryptés!!! Sans communiquer les clés privées des utilisateurs à l agent de récupération Le principe est la même que pour le partage de fichiers cryptés Chaque «agent de récupération» dispose d une copie de l entête comprenant la clé symétrique qu il chiffre ou déchiffre avec ses clés publique\privé! Il y aura autant d entêtes dupliqués que d «agents de récupération» déclarés sur l ordinateur

Agents de récupération -Entête Le système décrypte la clé symétrique à l aide de la clé privé de Bob Clé Privée de Bob Le système duplique un nouvel entête pour l agent de récupération La clé symétrique du nouvel entête est chiffré en asymétrique à l aide de la clé publique de l agent de récupération Bob AR1 # 3# # ëh3ÿ 32ö ë! I ÉÿÅH È H øÿåh ÏŠð

Agents de récupération -Déchiffrement EFS L agent de récupération n accède pas à l entête de l utilisateur (Bob) L agent de récupération accède à son entête Il décrypte la clé symétrique à l aide de sa clé privé d agent de récupération Il déchiffre le document à l aide de la clé symétrique déchiffrée AR1 Clé Privée de AR1 3# #3 Ceci ëh3ÿ est 32ö un ë! document I ÉÿÅH È confidentiel H øÿåh ÏŠð

Application Application pratique Agent de récupération EFS

La partie de l'image avec l'id de relation rid3 n'a pas été trouvé dans le fichier. Cequ ona couvert Le fonctionnement de la cryptographie Agent de récupération Efs Une bonne compréhension des notions essentielles de cryptographie permet une implémentation efficace de votre infrastructure de PKI

Autorité de certification Entreprise Présentation d une autorité de certification Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Rôle de l autorité de certification Authentification et intégrité des certificats Type d autorité de certification

Rôle de l autorité de certification Autorité de certification (Certification Authority CA) Gestion des certificats Délivrer des modèles personnalisés de certificats (Utilisateur, Ordinateurs, Services) Archiver Révoquer Signature de certificats Authentification Intégrité

Authentification des certificats -Signature Clé Publique AC 1 1 AC Clé Privé AC Autorité de certification Clé Publique Bob 1 1 Clé Privé Bob Bob

Authentification des certificats -Intégrité Algorithme mathématique de Hash Md5 (plus rapide) Sha(plus sécurisé) Calculé à la création Validé à chaque utilisation du certificat Bob Clé Publique Bob Signature CorpCA Hash : 12345678910 Hash : 12345678910

Authentification\Integritédes certificats Clé Publique AC 1 1 AC Clé Privé AC Autorité de certification Clé Publique Clé Privé 1 Bob 1 Bob Bob Signature CorpCA Hash : : ########## 12345678910 Hash : 12345678910

Application Application pratique Calcul de valeurs de Hash

Type d Autorité de certification Autonome Ne requiert pas Active Directory Ne requiert pas que le serveur «Autorité de certification» soit membre du domaine Demande de certificats exclusivement par navigateur Internet Les utilisateurs fournissent des informations d identifications Demandes en attentes jusqu à approbation manuelle Modèles de certificat non personnalisables Pour un usage interne et externe (Internet) Entreprise Requiert Active Directory Le serveur «Autorité de certification» doit être membre du domaine Approbation automatique des requêtes de certificats Demande de certificats Navigateur Web Manuelle (Mmc composant certificat) Automatique (Stratégies de groupe) Agent d inscription Modèles de certificat personnalisables Pour un usage interne à l entreprise

La partie de l'image avec l'id de relation rid3 n'a pas été trouvé dans le fichier. Cequ ona couvert Rôle de l autorité de certification Authentification et intégrité des certificats Type d autorité de certification

Autorité de certification Entreprise Installation d une autorité de certification Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Considération pré-installation CAPolicy.inf Post installation Installation Inscription de certificats

Considération pré-installation Installation complète ou minimale (Serveur Core) de Windows Appartenance au domaine et nom d'ordinateur non modifiable après le déploiement d'une autorité de certification (quelque soit le type) Le choix du fournisseur de service de chiffrement cryptographique Compatible avec les applications, services Nom avec un caractère # : Fournisseur (CNG Cryptography Next Generation) Valeur de la clé (2048 minimum recommandé) Durée de vie du certificat de l autorité

CAPolicy.inf Paramètre de configuration de l autorité appliqués à l installation et lors du renouvellement du certificat de l autorité de certification [Version] Signature= "$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriodUnits=20 RenewalValidityPeriod=years Doit être placé dans le dossier %windir%

Post installation Appliquer les paramètres de fonctionnement (certutil) certutil-setreg CA\CRLPeriodUnits 3 certutil-setreg CA\CRLPeriod "Days" certutil-setregca\auditfilter 127 Publier une liste de révocation Personnalisation de modèles de certificats Tester l inscription d un certificat (Mmc: Certificats) Sauvegarder l autorité de certification

Application Application pratique Implémentation d une autorité de certification racine entreprise s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification w811.corp.lan Client

La partie de l'image avec l'id de relation rid3 n'a pas été trouvé dans le fichier. Cequ ona couvert Considération pré-installation CAPolicy.inf Post installation Installation Inscription de certificats

Inscription de certificats Modèles de certificats Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Qu est ce qu un modèle de certificat Les versions des modèles de certificat Application pratique : Personnaliser un modèle de certificat et l inscrire

Qu est ce qu un modèle de certificat? Il définit les propriétés des certificats émis La durée de validité Le\les rôles Qui peut inscrire le certificats Méthode d inscription Partition Configuration Il est stocké dans l Active Directory () Il est répliqué sur toutes les autorités de certifications de la forêt

Versions des modèles de certificat Systèmes d exploitation et versions Windows 2000 Server : Version 1 Windows Server 2003 Enterprise : Version 1 et 2 Windows Server 2008 Enterprise Edition : Version 1, 2 et 3 Windows Server 2012 : Versions 1, 2, 3 et 4 Prise en charge des modèles de certificats Avant Windows Server 2008 R2, uniquement avec les éditions Entreprise Windows Server 2008 R2 \2012 et 2012 r2 aussi avec les éditions Standard

Versions des modèles de certificats Version 1 Compatibles toutes versions d autorités de certifications Microsoft Non modifiables Version 2 Obtenu par duplication d une version 1 et personnalisables Version 3 Prends en charge CNG (CryptographyNextGeneration) et Algorithmes Cryptographie Suite B) Nouveau modèle «signature de réponse OCSP»

Versions des modèles de certificat Version 4 \Windows Serveur 2012 et Windows 8 l'onglet Compatibilité : Liste les fonctions non disponibles en fonction du système client et de l autorité de certification Prise en charge de plus de CSP Prise en charge du renouvellement avec une même clé Mise à niveau des modèles après mise à niveau de l autorité de certification vers 2012 \2012 r2 (oui à l invite de mise à jour des modèles)

Application Application pratique Création et inscription d un modèle de certificat personnalisé s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification Modèle : CorpUser w811.corp.lan Client Inscription du certificat

Cequ ona couvert Les modèles de certificats Créer et personnaliser Gestion des versions Inscription d un certificat basé sur les nouveaux modèles La création de nouveaux modèles personnalisés permet le contrôle des certificats inscrits ainsi que de leurs propriétés.

Inscription de certificats Inscription via le Web Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Qu est ce que l inscription via le Web Configuration requise pour le navigateur Web Application pratique : Inscription d un modèle personnalisé via le Web

Inscription via le Web Demande de certificat avancée ou si l'inscription automatique ne peut pas être utilisée Inscription manuelle au travers d un site Web Rôle «Inscription de l autorité de certification via le Web» Ajout d un serveur Web IIS Ajout de page Web pour la demande de certificats Utiliser l url «http(s)://nom serveur/certsrv»

Configuration du navigateur Web Requiert un certificat Ssl pour un accès en Https Accès en http pour l intranet Ajouté au «Sites de confiance» ou au site «Intranet local» Personnaliser le niveau - Connexion automatique uniquement dans la zone intranet - Contrôles d initialisation et de script non marqués comme sécurisé pour l écriture de script Autorisations «Lire» et «Inscription»sur le modèle de certificat Ne peux pas être utilisé pour les certificats machines

Application Application pratique Inscription de certificats via le Web s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification Inscription de certificat http://s2.corp.lan/certsrv w811.corp.lan Client

Cequ ona couvert Inscription de certificats via le Web Implémentation du rôle Configuration du navigateur Inscription d un certificat via le Web L inscription via le Web est utile lors d inscription de certificats pour des utilisateurs qui ne disposent pas de compte utilisateurs dans Active Directory.

Inscription de certificats Inscription automatique Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Implémenter Efsavec Active Directory Inscription automatique de certificats Application pratique : Personnaliser le modèle Efspour l inscription automatique

Particularité pour le modèle EFS Le modèleefsde base est codé en dur dans le code du système Créer un nouveau modèle personnalisé Paramétrer Efspar stratégie de groupe : Autoriser le chiffrement Efs Changer le modèle Efs utilisé par défaut par le modèle personnalisé Interdire l utilisation de certificats auto-signé Ajouter le menu contextuel «Chiffrer\Déchiffrer»

Inscription automatique Autorité de certification «Entreprise» et membre du groupe «admins du domaine» ou «administrateurs de l'entreprise» Autorisation «Inscription automatique» à des groupes «globaux» ou «universels» (requiert les autorisations : «Lire» et «Inscription») Autorisation «Lecture» au groupe «Utilisateur authentifié» Affichage des modèles de certificats dans AD DS Permet à l'autorité de certification, exécutée dans le contexte Système, d'afficher les modèles de certificats lors de l'attribution de certificats Autoriser la stratégie de groupe «Client des services de certificats -Inscription automatique», coté utilisateur et\ou coté ordinateur

Inscription automatique L'inscription automatique s exécute toutes les huit heures Le modèle de certificat peut spécifier une interaction utilisateur à l inscription (fenêtre contextuelle 1mn après ouverture de session) Permet aussi (par stratégie de groupe) : Le renouvellement automatique de certificat Le remplacement des modèles obsolètes Onglet modèles obsolètes du nouveau modèle

Application Application pratique Inscription automatique d un modèle de certificat «CorpEfs» s1.corp.lan Contrôleur de domaine Stratégies EFS s2.corp.lan Autorité de certification Modèle : CorpEfs w811.corp.lan Client Chiffrement de fichiers

Cequ ona couvert L utilisation de modèles de certificat pour EFS en contexte Active Directory L inscription automatique de certificats (Efs) L inscription automatique fournie une gestion totalement transparente des certificats. Aussi bien pour les utilisateurs (inscription\renouvellement de certificats) que pour les administrateurs (renouvellement de modèle de certificats).

Inscription de certificats Itinérance des certificats Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Problématique certificats\utilisateurs itinérants Solution : Itinérance des certificats Application pratique : Signature de code PowerShell

Problème : Utilisateurs itinérants Problème: L utilisateur itinérant inscrit un certificat sur chaque machine sur laquelle il se connecte Implique: Plus de certificats émis, disfonctionnements (Efs), perte de certificats lors suppression\corruption de profils utilisateur Solution: Activation des profils itinérants où utilisation de carte à puce Compatible avec Windows Server 2003 Sp3 \XpSp2 Correctif (KB 907247) pour Windows XP and Windows Server 2003 qui est une mise à jour du schéma pour le support des informations identification itinérants

Solution : Itinérance des certificats Itinérance des certificats (Credential Roaming) Stocke le certificat de façon centralisée dans Active Directory!!! Utilise les mécanismes d'ouverture de session et d'inscription automatique pour télécharger les certificats et les clés sur un ordinateur local et\ou les supprimer lorsque l'utilisateur se déconnecte Déclenché également : Au verrouillage\déverrouillage de l'ordinateur Au changement d une clé privée ou d un certificat A l actualisation de la stratégie de groupe

Implémentation Requiert niveau de schéma forêt Windows 2008 Activation par stratégie de groupe Activer la stratégie Accepter l exclusion de ces données du profils itinérant de l utilisateur dans la stratégie de groupe Sur le modèle cocher «Enregistrer le certificat dans Active Directory» Désactiver le coté «ordinateur» de la stratégie Lier la stratégie à tous les domaines de la forêt

Signature de code PowerShell Permet de n exécuter que les scripts PowerShell signés Requiert un certificat basé sur le modèle «Signature de code» Les scripts sont signés avec le certificat Vérification de : L authentification De l intégrité De la révocation

Application Application pratique Signature de code \CredentialRoaming s1.corp.lan Contrôleur de domaine Stratégie Credential Roaming s2.corp.lan Autorité de certification Modèle : Corp_SigningCode w811.corp.lan Client Signature de code w812.corp.lan Client Signature de code

Cequ ona couvert Itinérance des certificats Basé sur Active Directory (Stockage centralisé) Activé par stratégies de groupe Utilisation de certification pour la signature de code L itinérance des certificats permet, pour les utilisateurs itinérants, de disposer du même certificat quelque soit l ordinateur sur lequel ils se connectent.

Inscription de certificats Agent d inscription Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Qu est ce qu un «Agent d inscription» de certificats? Implémentation d un «Agent d inscription» Application pratique : Inscription de certificats de carte à puce

Agent d inscription L'agent d'inscription peut inscrire des certificats au nom d'autres utilisateurs (cartes à puce ) «Agent d inscription restreint» sur l autorité de certification Quel agent d inscription? (Windows Server 2008 Entreprise) Pour quels groupes d'utilisateurs? (Windows Server 2008 Entreprise) Pour quels modèles de certificats? (Windows Serveur 2012) Ne requiert pas de droits administratifs (responsable\employé de confiance)

Implémentation : Agent d inscription Créer un Nouveau modèle «d Agent Inscription» Inscrire un certificat «d Agent d Inscription» Sur l autorité de certification spécifier Les agents d inscription Pour quel groupes d utilisateurs Pour quel types de certificats Inscrire les certificats (cartes à puces des utilisateurs)

Application Application pratique Agent D inscription (carte à puces) s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification Modèle «Corp Agent Inscription» s3.corp.lan Inscription d un certificat «Agent d inscription» Inscription des certificats carte à puce utilisateur

Cequ ona couvert Agents d inscription Créer et inscrire un agent d inscription Inscription de certificat pour d autres utilisateurs Les agents d inscriptions sont indispensable dans certains contexte (carte à puce) où ils offrent alors une gestion plus simplifié et plus sécurisé des certificats émis.

Sites Web Sécurisés Implémentation de SSL Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Fonctionnement du protocole SSL Rôle des certificats avec le protocole SSL Application Pratique : Implémentation d un serveur Web SSL

Sécurisation de sites Web Protocole Ssl(Secure Socket Layer) Url Https Port TCP : 443 Authentification du serveur Web (Anti Fishing) Sécurisation des données transférées (Chiffrement symétrique)

Processus de connexion SSL Le serveur Web refuse les connexions en http, exige une connexion en https et renvoi son certificat (qui contient sa clé publique) Le client vérifie l'authenticité du certificat du serveur (à l aide du certificat de l autorité de certification) Le client génère une clé symétrique aléatoire Le client envoie la clé symétrique au serveur Web (cryptée en asymétrique avec clé publique du certificat du serveur Web) Le serveur Web décrypte la clé symétrique avec sa clé privé Connexion sécurisée établie (cadenas dans la barre d état et Url affichée en vert)

Fonctionnement SSL Clé Publique AC 1 AC 1 Clé Privé AC Hash : 12345678910 ########## Hash : 12345678910 Clé Publique www.corp.lan www.corp.lan #3 https://www.corp.lan # 3 s3.corp.lan Serveur Web SSL https://www.corp.lan w811.corp.lan Client

Application Pratique Implémentation de sites Web SSL s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification s3.corp.lan Serveur Web SSL w811.corp.lan Client https://ww.corp.lan

Cequ ona couvert Fonctionnement de Ssl(Certificats) Implémentation du protocole SSL La sécurisation de site Web est l une des utilisations fondamentale d une Pki. SSL sécurise les sites Web, mais aussi les portails applicatifs (Owa, Applications bureau à distance, Connexion Bureau à distance )

Sites Web Sécurisés Nouveautés IIS 8 et 8.5 Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Nouveautés IIS 8 et 8.5 Ssl\Certificats Indication du server de nom (Server Name Indication -Sni) Magasin de certificats centralisé (Centralized Certificate Store - Ccs) Application Pratique : Gestion de sites Web SSL avec Sni et Ccs

Indication du nom du serveur «Indication du nom du serveur» (Server Name Indication -Sni) permet de faire tourner plusieurs sites Web en SSL sur : la même adresse Ip le même port (443) Immédiatement disponible sous IIS 8 \IIS 8.5 La correspondance s effectue sur le nom d hôte du site Les liaisons ne sont plus effectuées au démarrage de IIsmais à la demande (puis mise ne cache) Meilleure gestion de la mémoire et gain de performances

Implémentation Ccs Magasin de certificats centralisé (Centralized Certificate Store - Ccs) Créer un partage de fichiers (Dfsou cluster) Lire pour le compte qui aura accès au certificats Créer les certificat Ssl(exportés en.pfx, nommé avec la bonne url) Installer CSS Installer le rôle IIS :«Prise en charge centralisée des certificats» Paramétrer l icone «Certificats Centralisés» Vérifier l utilisation du magasin de «certificats centralisé» lors de la liaison Ssl!! Scénario de ferme de serveur

Application Pratique Implémentation Sni\Csssur sites Web Ssl s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification s3.corp.lan Serveur Web SSL https://intra.corp.lan https://rh.corp.lan w811.corp.lan Client

Cequ ona couvert Nouveautés IIs 8 \IIS 8.5 Indication du nom du serveur (Server Name Indication - Sni) Magasin de certificats centralisés (Centralized Certificate Store) Ces nouveautés permettent une montée en charge plus efficace (plusieurs serveurs Web Sslsur le même serveur IIS -Sni) et une gestion plus simple des clusters de sites Web Ssl(centralisation des certificats - Ccs)

Révocation de certificats Révocation Lan Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Concept Raisons de révocation Type de listes de révocation Application Pratique : Révocation de certificats de site Web SSL et de certificats de signature de code PowerShell

Concept La révocation permet de rendre invalide un certificat «avant» sa date de fin de validité et donc d interdire l usage de l applicatif ou du service associé! Autorisation «Emettre et gérer les certificats» pour révoquer Ajout du numéro de série du certificat révoqué à une «liste de révocation» La liste est publiée dans un emplacement centralisé accessible aux machines et utilisateurs : Active Directory! Publication manuelle Publication planifiée

Raisons de la révocation Non spécifié Clé compromise Autorité de certification compromise Modification de l affiliation Certificat remplacé Cessation de l opération Certificat retenu (annulation de la révocation possible)

Types de listes de révocation Liste de révocation complète (Certificate Revocation List - Crl) Contient toutes les empreintes numériques de tous les certificats révoqués Liste de révocation delta (Certificate Revocation List Delta - Crl Delta) Contient uniquement les nouvelles révocations depuis la dernière publication de liste de révocation complète Support depuis Windows 2000 \Xp Requiert la publication d une liste de révocation complète

Problématiques possibles Désactivation ou «non supporté» (Efsne prends pas en charge la révocation In design!!) Accès pour l applicatif\service à l emplacement de publication (Active Directory) Latence due à la planification Mise en cache locales des liste de révocation certutil-setreg chain\chaincacheresyncfiletime@now (Synchronise le cache local avec la liste de publication de révocation)

Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, Impossible vous d'afficher devrez peut-être l'image. Votre supprimer ordinateur l'image avant manque de la peut-être réinsérer. de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. Application Pratique Révocation de certificats de sites Web SSL Liste de révocation 25e58558698556845 85956415125125122 s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification s3.corp.lan Serveur Web SSL https://intra.corp.lan https://rh.corp.lan w811.corp.lan Client

Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer. Cequ ona couvert Le processus de révocation sur le lan L implémentation et le dépannage de la révocation La révocation est une fonction clé de la gestion des certificats. Contrairement aux certificats auto-signés, les certificats émis par une autorité de certification sont révocables, permettant ainsi à l administrateur un contrôle total des applicatifs et services associés.

Révocation de certificats Révocation Wan Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Problématique et solution!! Emplacement des listes de révocations (Cdp) Emplacement des informations de l autorité (Aia) Implémentation de nouveaux emplacements pour Internet Application Pratique : Validation et dépannage de la révocation depuis Internet avec un VPN SSTP

Problématique fréquente!! Le chemin d accès à la liste de révocation n est pas disponible!! Solution: Stocker la liste de révocation sur un emplacement accessible depuis Internet Exposer ces listes via un serveur Web (http) Inclure les nouveau chemins d accès aux listes de révocations dans le certificats émis

Emplacements des listes de révocation Emplacement de vérification des listes de révocation (CDP - Crl Distribution Point) Autorité de certification Serveur Web Public Serveur Web Interne Partage de fichier Active Directory

Implémentation de nouvelles URLsCDP Déterminer les chemins de publication des URLs Crl(Serveur Web) Créer les points de publication (Serveur Web) Un dossier pour stocker les listes de révocation Un dossier virtuel IIS pour les exposer en http Publier les listes de révocation Ajouter les nouvelles URLs aux nouveaux certificats émis Modifier les «extensions» de l autorité de certification pour ajouter les nouveaux chemins de publication des Crl CDP Tout nouveau certificat émis intégrera les nouvelles URLs

Autres informations nécessaires (AIA) Emplacement de vérification des autorités de certification (AIA- Authority Information Access) Contient les emplacements vers lesquels les certificats de l'autorité de certification peuvent être téléchargés si nécessaire Permet de remonter/valider la chaine de certification Certificat de vérification de la signature des listes de révocation

Emplacements des informations de l autorité Emplacement de vérification des autorités de certification (AIA- Authority Information Access) Autorité de certification Serveur Web Public Serveur FTP Interne Serveur Web Interne Partage de fichier Active Directory

Implémentation de nouvelles URLsAIA Déterminer les chemins de publication des URLs AIA (Serveur Web) Créer les points de publication (Serveur Web) Un dossier pour stocker les listes de révocation Un dossier virtuel IIS pour les exposer en http Publier les listes de révocation Ajouter les nouvelles url au certificats émis Modifier les «extensions» de l autorité de certification pour ajouter les nouveau chemins de publication des Crl AIA Tout nouveau certificat émis intégrera les nouvelles URLs

Dépannage des urlscdp\aia Mise en cache des listes de révocation Certutil-setreg chain\chaincacheresyncfiletime@now (recharger le cache) Certutil-urlcache CRL (Voir les URLs des caches de listes de révocation) Certutil-urlcache CRL delete (Vider les caches de listes de révocation) Teste des URLs Certutil url fichier certificat.cer Console «PKI Entreprise»

SSTP Secure Socket Tunneling Protocol (SSTP) Nouveau protocole VPN Utilise le port : 443 Un certificat pour l authentification du serveur VPN SSTP C est du VPN mais c est surtout du SSL!!! Permet la connexion VPN depuis toute connexion Internet Maison Hôtel

Application Pratique Implémentation d un VPN SSTP Serveur Web Public (CRL et AIA) s5.corp.lan VPN SSTP Active Directory s1.corp.lan Contrôleur de domaine w811.corp.com Client Partage de fichier s2.corp.lan Autorité de certification Serveur Web Interne (CRL et AIA)

Cequ ona couvert La validation de l accès aux listes de révocation (CDP) depuis l extérieur de l entreprise La validation des l accès aux listes d information de l autorité (AIA) depuis l extérieur de l entreprise L implémentation de Vpn SSTP La validation des liste CDP et AIA est une problématique classique qu il faut absolument maitriser pour une validation correcte de la validité de vos certificats.

Révocation de certificats Serveur OCSP Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Concept Fonctionnement du protocole OCSP Implémentation et validation d un serveur OCSP Application Pratique : Validation et dépannage de la révocation depuis Internet à l aide d un serveur OCSP (VPN SSTP)

Concept OCSP Online Certificate Status Protocol Protocole normalisé Première implémentation dans Windows 2008 / Vista Fonctionnement Télécharge les listes de révocation depuis l autorité de certification Le serveur OSCP valide la révocation (réponse signée) Le client utilise de préférence OCSP Performances améliorées lors du contrôle de la révocation

Fonctionnement s1.corp.lan Contrôleur de domaine OCSP Active Directory w811.corp.com Client s2.corp.lan Autorité de certification

Implémenter un serveur OSCP Installer le service de rôle «Répondeur en ligne» Sur l autorité de certification Personnaliser le modèle de certificat «Signature de réponse OCSP» Modifier l extension AIA de l autorité de certification Sur le serveur Ocsp Créer la configuration de révocation Inscription automatique du certificat de signature OCSP Indication des «fournisseurs de révocation» (Active Directory) Autant d autorité à traiter = autant de configuration de révocation

Validation du serveur OCSP PKI View Valider l obtention du certificat de signature OCSP (Mmc certificat) Requiert un certificat «CA Exchange» récent Révoquer le dernier certificat «CA Exchange» Certutil-caninfo xchg Certutil-url fichiercertificat.cer

Application Pratique Implémentation d un serveur OCSP s1.corp.lan Contrôleur de domaine s4.corp.lan OCSP s5.corp.lan VPN SSTP Active Directory w811.corp.com Client s2.corp.lan Autorité de certification

Cequ ona couvert Le fonctionnement du rôle OSCP L implémentation et le dépannage du server OCSP L implémentation du protocole OCSP améliore les performances lors de la vérification des certificats révoqués et autorise ainsi la montée en charge de votre infrastructure PKI Windows 2012 r2

Sécuriser une infrastructure PKI Sauvegarde et restauration de l autorité de certification Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Procédure de sauvegarde Procédure de restauration Validation de la restauration Application pratique : Sauvegarde et restauration complète d une autorité de certification

Sauvegarde de l autorité de certification Sauvegarde complète du système (Sauvegarde Windows Serveur) Sauvegarde par la console Autorité de certification Moins lourd et plus rapide (recommandé) Sauvegarder la base de donnée, les clés et les journaux Console «Autorité de certification» (ou CertUtil-backup «Chemin d accès») Sauvegarde des fichiers de post-configuration (commandes certutil) et du fichier CaPolicy.inf Support des sauvegardes «incrémentielles»

Procédure de restauration Nommer l ordinateur avec le même nom que celui de l autorité de certification d origine Intégrer l ordinateur au même domaine que celui de l autorité de certification d origine Importer CAPolicy.inf dans le dossier %windir% Ajouter et configurer le rôle AD CS Cocher l option utiliser une clé privé existante Sélectionner le certificat de l autorité de certification originelle Appliquer les configurations post-installation

Application Application pratique Sauvegarde et restauration d une autorité de certification Entreprise

Cequ ona couvert Sauvegarde et restauration de l autorité de certification L autorité de certification «Entreprise» s appuie sur l infrastructure Active Directory et permet une gestion automatisée des certificats

Sécuriser une infrastructure PKI Archivage des certificats Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Archivage des certificats Agent de récupération (rôle et implémentation) Récupération de certificats Application pratique : Archivage et restauration de certificats avec l agent de restauration

Archivage des certificats Sauvegarde des certificats Sauvegarde des certificats émis Sauvegarde complète ( Certificat avec clé publique + Clé privé) Gérée par l autorité de certification Totalement automatisée Restauration sécurisée Agent de récupération Installation par l utilisateur

Agent de récupération Certaines fonctionnalités intègrent leur agent de récupération (EFS) «L agent de récupération» récupère tout certificats archivé Pas de droits administratifs supplémentaires requis Bonnes pratiques Utilisateur\administrateur de confiance Sauvegarde manuelle des certificats «d agent de récupération» Plusieurs agents de récupérations recommandés

Implémentation Créer un agent de récupération Personnaliser le modèle «Agent de récupération» L agent de récupération inscrit un certificat «agent de récupération» Sauvegarder les certificats des agents de récupération Activer l archivage des certificats Associer le\les «Agent de récupération» et Autorité de certification Créer de nouveau modèles de certificats avec support de l archivage Dans le modèle :«Archiver la clé privée de chiffrement du sujet» Inscrire les nouveaux certificats

Récupération d un certificat Récupérer le certificat archivé (Agent de récupération) Se connecter avec «Agent de récupération» Créer un fichier Blob (Binary Logical Object) Convertir le fichier.blob en fichier.pfx Installer le certificat archivé (compte utilisateur ou machine) Importer le.pfx dans le magasin de certificat de l utilisateur Valider la récupération du certificat utilisateur

Application Application pratique Sauvegarde et récupération d un certificat archivé avec un «Agent de récupération»

Cequ ona couvert La mise en place de l archivage des certificats La récupération d un certificat archivé Les services de certificats Windows Serveur 2012 offre l archivage des certificats émis, de façon totalement automatisée et sécurisée!

Sécuriser une infrastructure PKI Architectures sécurisées Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Architecture sécurisées Certificat des autorités de certification secondaires Autorité racine hors connexion Implémentation d autorités de certification racine et secondaire Atelier pratique : Implémentation d une architecture pkideux tiers sécurisée (avec autorité de certification racine hors connexion)

Architecture Organisations différentes Eclatement géographique Autorité de certification Racine Hors Connexion Equilibrage de la charge Tolérance de panne Usages différentes Autorité de certification Secondaire Autorité de certification Secondaire Sécurité renforcée Autorité de certification Niveau 3 Autorité de certification Niveau 3 Autorité de certification Niveau 3 Autorité de certification Niveau 3

Certificatsde autoritéssecondaires Délivrés par l autorité parente Racine Révocation plus facile AC Clé Privé Racine Pas plus de trois niveaux Secondaire Secondaire AC AC

Autorité racine hors connexion Système Windows Système arrêté en fin de configuration Windows Serveur 2012 r2 Standard Workgroup Machine virtuelle (recommandé pour la sauvegarde Hors connexion) Modifier les emplacement CDP et d'aia (Http et\ou Ldap) Période de validité pour les listes de révocation de certificats

Implémentation autorité racine autonome Installer et configurer le rôle «autorité de certification» Configurer des extensions (ldap et\ou http) Copier les listes de révocation et le certificat de l autorité racine sur l autorité secondaire Délivrer un certificat pour l autorité secondaire Arrêter la vm Mettre le fichier de la vmcorprootcaau coffre

Implémentation secondaire entreprise Installer le rôle «autorité de certification» Publier les listes de révocation et le certificat de l autorité racine dans Active Directory Configurer le rôle «autorité de certification» Création du certificat de l autorité de certification secondaire Faire signer le certificat de l autorité secondaire par l autorité racine Installer le certificat sur la secondaire Démarrer le service

Publication des certificats et Crldans AD Requiert les droits «Administrateur entreprise» Publier le certificat de l autorité de certification racine dans l Active Directory certutil-dspublish-f «FichierCertificatCARacine.crt» RootCA Publier la liste de révocation de l autorité de certification racine dans l Active Directory certutil setreg CA\DSConfigDN C=Configuration,Dc=corp,Dc=lan certutil dspublish-f «FichierRevocationCARacine.crl»

Application Pratique Implémentation d une hiérarchie deux tiers sécurisée Clé Privé Active Directory AC AC Liste révocation Certificat Ca Racine AC s1.corp.lan Contrôleur de domaine s5 Autorité racine autonome s2.corp.lan Autorité de certification secondaire entreprise

Ce qu on a couvert L installation d un architecture sécurisée de Pki Une autorité racine autonome hors connexion Une autorité secondaire entreprise Publication des listes de révocation et certificats d autorité de certification dans Active Directory Les hiérarchies d autorités de certification permettent une plus grande souplesse et montée en charge de votre Pki. La sécurité de la hiérarchie est assurée avec l implémentation d une autorité racine hors connexion.

Architectures sécurisées Autorité racine autonome Hors connexion (Automatisation) Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Scénario d implémentation d une autorité racine autonome hors connexion Chemins d accès Cdpet Aia Automatisation de la modification des urls CDP \AIA Automatisation de l installation et de la configuration Application pratique : Installation automatisée d une hiérarchie d autorités de certification sécurisée

Implémentation autorité racine autonome Installer et configurer l ordinateur de l autorité racine Installer et configurer le rôle «autorité de certification» Configurer des extensions : Ldap et Http Copier les listes de révocation et le certificat de l autorité racine sur l autorité secondaire Délivrer un certificat pour l autorité secondaire Arrêter la vm Mettre le fichier de la vmau coffre

Automatisations CaPolicy.inf Scripts d installation et de configuration des rôles (PowerShell) Scripts de modification des Urls(Certutil, PowerShell) Scripts de post-installation (Certutil) Stratégie de groupe

PowerShell (Installation de rôles) Get-WindowsFeature ADCS* Add-WindowsFeature(-IncludeManagementTools) ADCS-Cert-Authority ADCS-Web-Enrollment ADCS-Online-Cert ADCS-Enroll-Web-Pol ADCS-Enroll-Web-Svc ADSC-Device-Enrollment (Autorité de certification) (Inscription via le Web) (Serveur Ocsp) (Sep) (Ces) (Ndes)

PowerShell (Configuration) Add-Windowsfeature Adcs-Cert-Authority IncludeManagmentTools Install-AdcsCertificationAuthority -CAType StandaloneRootCA -CACommonName«CorpRootCA» -CAdistinguishNameSuffix «OU=PKI,O=CORP,c=FR» KeyLLength 4096 -HashAlgorithName SHA1 -CryptoProviderName«RSA#Microsft Software Key Storage Provider» -DatabaseDirectory D:\CertDB -LogDirectory D:\CertLog -ValidityPeriod Years -ValidityPeriodsUnits 20

Variables Chemins CDP \AIA ldap:///cn=<nomtronquéautoritécertification><suffixenomlisterévoca ldap:///cn=%7%8,cn=%2,cn=cdp,cn=public Key Services, tioncertificats>,cn=<nomcourtserveur>,cn=cdp,cn=public CN=Services,%6%10 Key Services,CN=Services,<ConteneurConfiguration><ClasseObjetCDP> TABLEAU DES VARIABLES UTILISEES POUR L AUTOMATISATION DES URLS CDP \ AIA %1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l ordinateur de l autorité de certification %2 <ServerShortName> <NomCourtServeur> Nom Netbios de l ordinateur de l autorité de certification %3 <CaName> <NomAutoritéCertification> Nom logique de l autorité de certification %4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l autorité de certification %5 <Domain DN> DN (Chemin d accès Ldap) du domaine %6 <ConfigDN> <ConteneurConfiguration> Chemin d accès Ldap à la partition de configuration %7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l autorité de certification (32 caractères) %8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L extension des Crls %9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta %10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory %11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory

Variables Chemins CDP \AIA C:\Windows\system32\CertSrv\CertEnroll\<NomAutoritéCertification><S %windir%\system32\certsrv\certenroll\%3%8%9.crl uffixenomlisterévocationcertificats><listerévocationcertificatsdeltaaut orisée>.crl TABLEAU DES VARIABLES UTILISEES POUR L AUTOMATISATION DES URLS CDP \ AIA %1 <ServerDNSName> <Nom du serveur DNS> Nom Dns de l ordinateur de l autorité de certification %2 <ServerShortName> <NomCourtServeur> Nom Netbios de l ordinateur de l autorité de certification %3 <CaName> <NomAutoritéCertification> Nom logique de l autorité de certification %4 <CertificateName> <NomCertificat> Nom du fichier de certificat de l autorité de certification %5 <Domain DN> DN (Chemin d accès Ldap) du domaine %6 <ConfigDN> <ConteneurConfiguration> Chemin d accès Ldap à la partition de configuration %7 <CATruncatedName> <NomTronquéAutoritéCertification> Nom Raccourci de l autorité de certification (32 caractères) %8 <CRLNameSuffix> <SuffixeNomListeRévocationCertificats> L extension des Crls %9 <DeltaCRLAllowed> <ListeRévocationCertificatsDeltaAutorisée> Support de la publication des Crls delta %10 <CDPObjectClass> <ClasseObjetCDP> Indique un objet Cdp dans Active Directory %11 <CAObjectClass> <ClasseObjetAutoritéCertification> Indique un objet Certificat dans Active Directory

Variables CDP Options de publications pour emplacements CDP %1 Publier les listes de révocation des certificats à cet emplacement %2 Inclure dans toutes les listes de révocation des certificats. Indique l emplacement de destination dans Active Directory lors des publications manuelles %4 Inclure dans les listes de révocation des certificats afin de pouvoir rechercher les listes de révocation des certificats delta %8 Inclure dans l extension des certificats CDP émis %64 Publier les listes de révocation des certificats delta à cet emplacement %128 Inclure dans l extension IDP des listes de révocation des certificats émises n2:http://crl.pki.corp.com/certenroll/%3 %8%9.crl n10:ldap:///cn=%7%8,cn=%2,cn=cd P,CN=Public Key Services,CN=Services,%6%10

Variables AIA Options de publications pour emplacements AIA %1 Emplacement de publication %2 Inclure dans l extension AIA des certificats émis %32 Inclure dans l extension OCSP (Online Certificate Status Protocol) 1:c:\inetpub\CertEnroll\%1_%3%4.crt n2:http://crl.pki.corp.com/certenroll/%1 _%3%4.crt n2:ldap:///cn=%7,cn=aia,cn=public Key Services,CN=Services,%6%11"

PowerShell (UrlsCdp\Aia) $crllist = Get-CACrlDistributionPoint; foreach($crl in $crllist) {Remove- CACrlDistributionPoint $crl.uri -Force} $aialist = Get-CAAuthorityInformationAccess; foreach($aia in $aialist) {Remove- CAAuthorityInformationAccess $aia.uri -Force} Modification d Urls Add-CAcrlDistributionPoint-Uri http://pki.corp.com/pki/<caname> <CRLNameSuffix><DeltaCRLAllowed>.crl-AddtoCertificateCDP-Force -Verbose Add-CaAuthorityInformationAccess Uri http://pki.corp.com/pki <ServerDnsName>_<CaName><CertificateName>.crt-AddtocertificateAIA-Force - Verbose Restart-service certsvc\ Get-CACRLDistributionPoint \ Get- CAAuthorityInformationAccess

Certutil(UrlsCdp\Aia) Suppression manuelle des Urls existantes (ou utilisation de scripts PowerShell) Certutil-setreg CA\CRLPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://crl.pki.corp.com/C ertenroll/%3%8.crl\n10:ldap:///cn=%7%8,cn=%2,cn=cdp,cn=public Key Services,CN=Services,%6%10" Net Stop Certsrv Net Start Certsrv Certutil-GetReg ca\crlpublicationurls Certutil-GetReg CA\CACertPublicationURLs

Application Pratique Autorité de certification racine autonome hors connexion Modification de Urls CDP et AIA Liste révocation Certificat Ca Racine s1.corp.lan Contrôleur de domaine s5 Autorité racine autonome s2.corp.lan Autorité de certification secondaire entreprise

Ce qu on a couvert Automatisation de l installation de l autorité de certification racine hors connexion Automatisation de modifications Urls Cdp\ Aia Automatisation de tâches de post-installation Implémentation pratique : autorité de certification racine autonome hors connexion L automatisation des tâches via «CertUtil» et «PowerShell» autorise une implémentation efficace, sure et rapide de toutes vos infrastructures complexes de PKI.

Architectures sécurisées Autorité de certification secondaire entreprise (Automatisation) Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Scénario d implémentation de l autorité secondaire entreprise Automatisation «PowerShell» et «Certutil» Publication des certificats \ listes de révocation CaPolicy.inf L installation et les tâches de post-installation Application pratique : Installation automatisée d une hiérarchie d autorités de certification sécurisée

Implémentation secondaire entreprise Installer le rôle «autorité de certification» Publier les listes de révocation et le certificat de l autorité racine (localement, Active Directory, Site Web) Obtenir le certificat signé pour l autorité secondaire et démarre le service Publier le certificat de l autorité de certification racine aux ordinateurs du domaine (stratégie de groupe) Autres tâches Créer les modèles de certificats personnalisés Activer le déploiement automatique de certificats et\ou l itinérance de certificats Activer l archivage automatique Sauvegarder les autorités de certification

Automatisations CaPolicy.inf Scripts d installation et de configuration des rôles (PowerShell) Scripts de modification des Urls(Certutil, PowerShell) Scripts de post-installation (Certutil) Stratégie de groupe

Publication des certificats\liste de révocation Requiert les droits «Administrateur entreprise» Publier le certificat de l autorité de certification racine Certutil-dspublish-f «FichierCertificatCARacine.crt» rootca Certutil addstore f root c:\s2_corprootca.crt Publier la liste de révocation de l autorité de certification racine dans l Active Directory Certutil-dspublish-f c:\corprootca.crl Certutil addstore f root c:\corprootca.crl La publication Active Directory s effectue dans le conteneur «Configuration» (cn=configuration, dc=corp, dc=lan)

CAPolicy.inf CorpSubEntCA Paramètre de configuration de l autorité appliqués à l installation Déclaration des pratiques de certification (CPS - Certification Practice Statement) Définit les mesures prises pour sécuriser les opérations de l autorité et la gestion des certificats émis Identificateur d'objet (OID - Object IDentifier) Inscrit auprès de l IANA (Internet Assigned Number Autority) Associé à la CPS Taille des clés et période de validité du certificat Intervalles de publication des listes de révocations

PowerShell (Installation de rôles) Get-WindowsFeature ADCS* Add-WindowsFeature(-IncludeManagementTools) ADCS-Cert-Authority ADCS-Web-Enrollment ADCS-Online-Cert ADCS-Enroll-Web-Pol ADCS-Enroll-Web-Svc ADSC-Device-Enrollment (Autorité de certification) (Inscription via le Web) (Serveur Ocsp) (Sep) (Ces) (Ndes)

PowerShell (Configuration) Add-Windowsfeature Adcs-Cert-Authority IncludeManagmentTools Install-AdcsCertificationAuthority -CAType StandaloneRootCA -CACommonName«CorpRootCA» -CAdistinguishNameSuffix «OU=PKI,O=CORP,c=FR» KeyLLength 4096 -HashAlgorithName SHA1 -CryptoProviderName«RSA#Microsft Software Key Storage Provider» -DatabaseDirectory D:\CertDB -LogDirectory D:\CertLog -ValidityPeriod Years -ValidityPeriodsUnits 20

Post Installation Période de chevauchement Crl et CrlDelta Certutil-SetReg CA\CRLOverlapPeriodUnits 24 Certutil-SetReg CA\CRLOverlapPeriod"Hours" Activation de l audit Certutil-SetReg CA\AuditFilter 127 Net Stop Certsvc Net Start Certsvc Certutil-Crl

Application Pratique Implémentation d une hiérarchie deux tiers sécurisée Clé Privé Active Directory AC AC Liste révocation Certificat Ca Racine AC Serveur Web s1.corp.lan Contrôleur de domaine s5 Autorité racine autonome s2.corp.lan Autorité de certification secondaire entreprise

Ce qu on a couvert Automatisation de l installation de l autorité secondaire entreprise Automatisation de modifications Urls Cdp\ Aia Automatisation de tâches de post-installation Implémentation pratique complète L automatisation des tâches via «CertUtil» et «PowerShell» autorise une implémentation efficace, sure et rapide de toutes vos infrastructures complexes de PKI.

Autres Rôles PKI Certificate Enrollment Web Services (Cep\Ces) Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Concept Fonctionnement Scénarios d utilisation Paramétrages Mode «Renouvellement seul» Atelier pratique : Implémentation et validation de Cep\Ces

Concept Inscription et renouvellement de certificats clients en Https Certificate Enrollment Policy Web Service (Cep) Certificate Enrollment Web Service (Ces) Cep\Ces Open document (client ouvert) Inscription par mot de passe Renouvellement avec authentification sur la base du certificat inscrit Mode«renouvellement seul»

Fonctionnement Avec des ordinateurs «membres du domaine» : Ldap, Kerberoset Rpc\Dcom Ordinateurs non membres du domaine et\ou pas d accès à travers le pare-feu Flux en Https CEP - Certificate Enrollment Policy Web Service (Ldap) CES - Certificate Enrollment Web Service (Rpc\ Dcom) Les deux services Cep and Ces (peuvent être sur le même pc) Inscription par le web est interactive (construction de requêtes spécifiques). Cep\ces fournit l inscription et le renouvellement automatique de certificats Paramétrage client par stratégie locale (Windows 7\Windows 2008 r2 et supérieur)

Fonctionnement CEP Certificate Enrollment Policy Web Service Active Directory Client Workgroup ou Domaine Ldap Uniquement en HttpS CES Certificate Enrollment Web Service Autorité de certification Rpc\Dcom

Scénarios d utilisation Consolidation de forêt avec connexion Https sur une seule autorité de certification dans la forêt Authentification Kerberos Délégation Dans le même domaine ou en Workgroupmais hors entreprise (ne peuvent communiquer qu en HttpS avec Cep \Ces en Dm) Direct Access Certificats obtenus lors du processus de boot Ordinateurs en Workgroup

Pares-feu Paramétrage du pare-feu Https (Tcp443) et Ldap(Tcp389 \636) (Cep) Plage de ports Dcom aléatoires et éphémères Plage de port configurable (Ces) Le(s) ordinateur(s) qui hébergent les services Cep\Ces doit être membre du domaine de l autorité de certification

Comptes de service Compte «Application Pool ID» (à l installation) Compte de domaine (pas de compte locaux supportés) ou Compte de service géré Membre du groupe IIS local «IIS_IUSRS» Autorisation «Demander des certificats» sur l autorité de certification Délégation requise si authentification par «Kerberos» ou «Certificats» Spnrequis setspn-s https/ces.pki.corp.com corp\ces_svc

CEP \CES Authentification Intranet (Scénarios même forêt \ Consolidation de forêts) Authentification Windows intégrée pour usage sur le réseau interne Internet (Workgroup \ Https uniquement) Certificat! plus sécurisé (mécanisme supplémentaire pour acquérir ce certificat) Nom + mot de passe (première inscription) Pas de d accès anonymes

Cep \Ces Délégation Requise (toutes les conditions remplies) L autorité n est pas sur le même serveur que le service Ces effectue le processus d inscription L authentification est de type :«Certificat» ou «Kerberos» Non requise L autorité est sur le même serveur que le service L authentification est de type :«Nom\Mot de passe» Ces est en mode «renouvellement seul»

CES \CES Schéma Active Directory 2008 r2 minimum Autorité de certification Entreprise pour 2008 r2 Serveurs Cep\Ces membres du domaine Client Windows 7 \Windows 2008 r2 et supérieur Requiert un certificat pour Https Administrateur de l entreprise pour l installation Cohabite avec tous les services de rôles AD CS Plusieurs urls publiables pour la tolérance de panne (pas de Nlb)

Implémentation Obtenir un certificat Ssl Ajouter et configurer les rôles Personnaliser IIS (Compte de service, Friendly Name, Urls) Paramétrer le client par stratégies de groupe locales Url(s) Cep et\ou renouvellement automatique Tester l obtention d un certificat

Mode renouvellement seul L inscription avec identité de l utilisateur augmente les chances d attaque depuis Internet donc Mode «Renouvellement seulement» Le renouvellement se fait sur la base de la confiance au premier certificat Le certificat est renouvelé sur la base de ses informations Pas «d impersonnalisation» de l utilisateur ((impersonation: «Agir en tant que») Implique de posséder un premier certificat (délivré en contexte sécurisé) Plus sûr

Application Pratique Implémentation Cep\Ces s1.corp.lan Contrôleur de domaine Stratégies Locales Url Cep Requête Modèles de certificats Requête certificat Cep\Ces Active Directory w811 Client en workgroup Uniquement HttpS s3.corp.lan s2.corp.lan Autorité de certification

Ce qu on a couvert Le concept et les scénarios d usage de Cep\Ces Les paramètres d implémentation Délégation Compte de service Infrastructure (pare-feu, protocoles) Application pratique d implémentation de Cep\Ces Cep\Ces offre une inscription et un renouvellement automatique et sécurisé de certificats pour les ordinateurs en Workgroup ou les ordinateurs en domaine mais disposant d une connexion en https uniquement.

Autres Rôles Pki Network DeviceEnrollment Service (Ndes) Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Plan Concepts Authentification des périphériques Fonctionnement de Ndes Post-installation de l autorité d inscription Compte de service «Ndes» Gestion des mots de passes des périphériques Procédure d implémentation Application pratique : Implémentation de Ndes

Concepts Service d inscription de périphériques réseau (Network Device Enrollment Service) Implémentation Microsoft du protocole SCEP (Simple Certificate Enrollment Protocol) développé par Cisco et Microsoft Améliore la sécurité de la communication avec le périphérique (802.1x requiert des certificats installés sur des commutateurs et des points d'accès, Secure Shell (SSH), Ipsec ) Inscription et renouvellement de certificats pour des périphériques Sans comptes Active Directory Protocole léger (peu de mémoire)

Authentification des périphériques Authentification par un mot de passe L administrateur NDES requiert un mot de passe pour le périphérique L administrateur du périphérique installe\utilise le mot de passe sur le périphérique pour son authentification Le périphérique est approuvé puisqu il dispose du mot de passe de l administrateur NDES qui lui-même est approuvé par l autorité de certification L administrateur NDES agit comme un agent d inscription pour le périphérique

Fonctionnement Ndes x2?q21xu Contrôleur de domaine x2?q21xu x2?q21xu Network Device Enrollment Services Autorité de certification

Post-installation de l autorité d inscription Compte d'utilisateur dédié au service ou compte de service réseau Certificat SSL pour la sécurisation de la page Web des «mots de passe des périphériques» Taille des clés de signature et de chiffrement employées pour signer et chiffrer la communication entre l'autorité de certification et l'autorité d'inscription Créer un modèle de certificat personnalisé pour les certificats émis aux périphériques La longueur des clés des certificats émis aux périphériques La durée de vie de ces certificats

Compte de service Ndes Compte de domaine et membre du groupe «IIS_IUSRS» local du serveur Ndes Autorisation «Demander des certificats» sur l autorité de certification Autorisation «Lecture» et «Inscrire» sur le modèle de certificats utilisé pour délivrer des certificats aux périphériques Sur le pool applicatif «SCEP» Paramètres avancés\charger le profil utilisateur (True) (Utilisation d un mot de passe unique )

Gestion du mot de passe HkeyLocalMachine\Software\Microsoft\Cryptography\Mscep EnforcePassword(Activation\Désactivation du mot de passe) PasswordValidity (60 minutes) PasswordMax(5 par défaut) PasswordLength (8 caractères par défaut) UseSinglePassword (Mot de passe unique pour tous les périphériques) Modèles de certificats utilisés pour les périphériques Redémarer Iis(iisreset)

Procédure d implémentation Créer le compte Utilisateur Ndes(compte de service Ndes) Créer un modèle de certificat personnalisé pour les périphériques réseau Installer le rôle «Services d inscription de périphériques réseau» Créer et inscrit deux nouveaux modèles pour la signature\chiffrement des demandes de certificat auprès de l autorité Active le modèle de certificat personnalisé pour les périphérique Générer les mots de passe pour les périphériques https://nomdnsserveurndes/certsrv/mscep_admin

Application Pratique Implémentation Ndeset gestion des mots de passes de périphériques s1.corp.lan Contrôleur de domaine s2.corp.lan Autorité de certification s3.corp.lan Autorité d enregistrement (Ndes) Active Directory

Ce qu on a couvert Concept du protocole scep Fonctionnement et l implémentation de Ndes Gestion des mots de passe des périphériques Application pratique : Implémentation et gestion des mots de passe Ndes Ndes offre la possibilité d inscrire et renouveler des certificats pour des périphériques réseaux supportant le protocole SCEP auprès d une autorité de certification Microsoft.

Implémenter une PKI avec ADCS 2012 r2 Conclusion Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Patrick IZZO Formateur Technique Indépendant Solutions Microsoft Certifications: MCT, MCSE 2008, MCSA 2012 Contact: patrick.izzo@orange.fr

Ce qu on a couvert Un tour d horizon complet des Pki\Services de certificats sous Windows 2012 r2 Cryptographie Autorité entreprise Les architectures sécurisées L automatisation Tous les rôles ADCS (Ocsp, Cep\Ces, Ndes ) Une expérience pratique!! Avec de nombreux ateliers concrets (Efs, Vpn, Signature de code )

Références Microsoft (Web) http://technet.microsoft.com/en-us/windowsserver/dd448615 http://social.technet.microsoft.com/wiki/contents/articles/7734.certificateenrollment-web-services-in-active-directory-certificate-services.aspx https://social.technet.microsoft.com/forums/windowsserver/en- US/home?searchTerm=pki Livre Windows Server 2008 PKI and Certificate Security (Brian Komar)

Cartes à puces \TokenUsb

Cartes à puces \TokenUsb Mme Typhaine VANNIER typhaine.vannier@cardelya.fr Http://www.cardelya.fr Http://www.scardshop.com/boutique/liste_rayons.cfm

Une question?? IZZO Patrick Travailleur indépendant après salariat en SSII Formateur technique Windows serveur 2012 R2 MCP, MCSA 2008 R2, MCSA 2012 R2 Mes références : patrick.izzo@orange.fr LinkedIn Viadeo Alphorm Microsoft http://fr.linkedin.com/pub/patrick-izzo/27/25a/458 http://fr.viadeo.com/fr/profile/patrick.izzo http://www.alphorm.com/auteur/patrick-izzo https://mcp.microsoft.com/authenticate/validatemcp.aspx (Login: 692101 password: 58964781)

Merci!!! A bientôt sur