Série Smart Card : Etape n°3 : Personnalisation du gabarit de certificat Smard Card User

    Passons maintenant au cœur du problème avec le gabarit de certificat d’authentification par carte à puce. L’objectif n’est pas que n’importe qui disposant d’un compte dans l’annuaire Active Directory puisse obtenir son certificat mais bien de le délivrer par des personnes dûment accréditées, disposant du certificat de signature.

     

    On va donc commencer par dupliquer un gabarit. On a le choix entre :

  • Smartcard Logon
  • SmartCard user
  • Différence entre les deux? Pour le premier, son certificat sera publié dans l’annuaire Active Directory. Le second intègre lui l’adresse de messagerie de l’utilisateur dans le certificat. Dans le cas qui nous occupe, nous partirons sur une base de “SmartCard logon” que nous allons personnaliser, après duplication, cela va de soi.

    clip_image001

     

    Je vais volontairement publié notre certificat dans l’annuaire Active Directory (pourquoi ne pas avoir utilisé Smartcard User alors?) et m’assurer que le renouvellement du certificat fonctionnera bien.

    clip_image002

     

    Le rôle de notre certificat sera limité à la signature et l’authentification par carte à puce, en aucun cas au chiffrement. EFS n’est pas à l’ordre du jour. En plus, cela imposerait de désigner un agent récupérateur, beaucoup plus complexe à mettre en œuvre et un KRA sur la PKI. 

     

    Subtilité, lors de la demande, le gabarit indique qu’il faut communiquer avec l’utilisateur lors de la génération de son certificat. C’est normal, qui dit carte à puce, dit saisie du code PIN.

    clip_image003

     

    Notre certificat sera stocké sur la carte à puce. On n’oubliera donc pas de ne conserver que ce CSP.

    clip_image004

     

    A ce stade, il est possible d’ajouter l’adresse de messagerie de l’utilisateur dans l’attribut “Subject Name” de la demande de certificats. Encore faut-il que l’attribut soit renseigné dans l’annuaire. Sinon il sera nécessaire de fournir l’information lors de la génération de la demande. A noter que l’adresse de messagerie est nécessaire pour compatibilité avec Windows XP.

    clip_image005

     

    C’est maintenant que cela devient intéressant. l’utilisateur ne doit pas pouvoir demander son certificat lui même. La demande doit être signée par un certificat de type “Certificate Request Agent”. On va demander que lors de l’enregistrement, un certificat de présenté et que celui-ci réponde à l’OID “Certificate Request Agent”.

    clip_image006

     

    Finissons en avec notre certificat avec la notion d’héritage. Il héritera de “SmartCard Logon”. Notre gabarit de certificat sera donc reconnu comme tel.

    clip_image007

     

    Passons maintenant à la sécurité du gabarit ou plus précisément qui peut faire quoi. Les utilisateurs authentifiés peuvent savoir que le gabarit existe. C’est normal. Les paranoïaques peuvent supprimer la permission.

    clip_image008

     

    Les utilisateurs de carte à puces peuvent demander un certificat, ils sont membres du groupe (par contre sans signature, ils ne pourront pas aller bien loin dans la demande). A noter que la permission “AutoEnroll” est nécessaire pour le renouvellement automatique.

    clip_image009

     

    Enfin, notre groupe en charge de la signature des demandes de certificats dispose aussi des permissions lire et enregistrer, ce qui est normal puisqu’il doivent pouvoir délivrer ce type de certificat.

    clip_image010

     

    Fini, ne reste plus qu’à publier notre gabarit.

    clip_image011

 

Voila pour la partie purement PKI. Reste maintenant à traiter la mise à disposition des certificats à nos différents utilisateurs (administrateur, IT Manager et utilisateur).

 

Benoîts – Simple and Secure By Design (J’insiste sur le Secure)

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Les derniers articles par Benoit (tout voir)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.