Série Smart Card : Etape n°2 – Personnalisation du gabarit de certificat Enrollment Agent

Pour la mise en œuvre de la PKI, c’était un peu léger. Maintenant on rentre dans le vif du sujet avec la création de notre premier gabarit de certificat. Celui-ci sera dédié à la signature des demandes de certificats pour un usage de carte à puce. Le gabarit de certificat existe bien mais lequel choisir :

  • Enrollment Agent
  • Enrollment Agent (computer)

 

Afin de corser le sujet, on ne va pas stocker le certificat de signature dans le profil Windows de l’utilisateur mais dans sa carte à puce. De cette manière, cela ne pose pas de problème de sécurité si notre responsable de l’émission de carte à puce venait à perdre son ordinateur portable (avec son certificat dessus).

 

Règle d’or concernant la PKI : On ne manipule pas les gabarits par défaut, on les duplique. Pour raison de compatibilité avec les systèmes d’exploitation précédents, on va choisir “Windows 2003 Entreprise”.

image

 

Notre certificat de signature n’a pas besoin d’être stocké dans l’annuaire Active Directory (ce serait mal en plus). Par contre, on va s’assurer que son renouvellement automatique est bien pris en charge.

00 

Le rôle de mon certificat sera uniquement limité à la signature des certificats. On va jute imposer une longueur de clés. A ce stade, il est essentiel de bien s’assurer que l’utilisateur soit notifié des éventuelles informations manquantes pour générer le certificat au nom d’un autre. L’information manquante à ce stade, c’est tout simplement le nom de l’utilisateur pour quoi on va générer la demande de certificats. Il faut donc pouvoir poser la question.

1

 

Subtilité du stockage du certificat, on va le placer sur la carte à puce. Depuis Windows Vista, on dispose d’un CSP générique pour les cartes à puces.

2

Lorsque notre gestionnaire de carte à puce va faire une demande de certificat d’authentification par carte à puce pour le compte d’un autre, toutes les informations nécessaires seront issues de l’annuaire Active Directory. L’inscription de l’UPN est nécessaire.

3

Le déploiement des certificats de signature de certificats d’authentification par carte à puce sera autorisé par simple enregistrement automatique, grâce à l’appartenance à un groupe. Dans une mise en œuvre plus “réaliste”, la demande de ce type de certificat devrait être approuvée par une autorité supérieure (administrateur de la PKI par exemple). Pour simplifier, j’ai retenu un autre scénario, plus simple :

  • Pas d’approbation
  • pas de signature requise

4 

Notre certificat de signature personnalisé référencera qu’il est un enrichissement d’un certificat initial dont l’OID est connu de tous.

5 

Comme indiqué précédemment, les utilisateurs identifiés comme autorisés à émettre des certificats pourront réaliser une enregistrement de leur certificat de signature eux même (en passant par la console “Certificats”).

6

Notre certificat est maintenant opérationnel. Il ne reste plus qu’à le publier pour le rendre utilisable.

image

Donc à ce stade, dès lors qu’un utilisateur est membre du groupe “Smartcard_Issuer”, il peut de lui même obtenir un certificat de signature. On comprend donc tout de suite qu’il est essentiel de bien maîtriser qui est membre de ce groupe.

 

Pour rendre le sujet accessible, j’ai volontairement autorisé la mise à disposition de ce gabarit de certificat sans approbation de la part d’un autre utilisateur (administrateur de la PKI). Dès lors que nos responsables en charge de l’émission de certificats disposent de leurs certificats de signature, il sera donc recommandé de supprimer la publication de ce gabarit de certificat de signature.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Les derniers articles par Benoit (tout voir)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.