Série Smart Card : Etape n°5 : Génération de la carte à puce "ITManager"

    La carte à puce de l’administrateur de l’autorité de certification est censée rester au coffre. Cependant, il faut bien déléguer les tâches courantes. On va donc désigner un responsable de l’enregistrement des cartes à puces qui aura la possibilité de signer les certificats d’ouverture de session par carte à puce. On va maintenant mettre en œuvre une nouvelle subtilité : La demande de certificats au nom d’un tiers.

     

    Notre utilisateur “ITManager” est membre du groupe “Smartcard_Issuers”, au même titre que notre administrateur de la PKI.

     

    Dans ce billet, nous allons traiter de deux sujets :

  • La mise à disposition du certificat de signature de demande de carte à puce (et son stockage sur la dite carte)

  • La demande et la signature de son propre certificat d’authentification par carte à puce

  •  

     

    Mise à disposition du certificat de signature de demande de carte à puce

    Notre responsable délégué de la gestion des cartes à puces doit déjà disposer d’une carte à puce pour y stocker son certificat de signature. L’administrateur de la PKI va donc lui préparer un certificat d’authentification de carte à puce. C’est donc l’administrateur qui génère un certificat pour “ITManager”. On a donc ouvert la session avec le compte administrateur.

    clip_image001

     

    Comme la demande de certificats est effectuée pour le compte d’un autre utilisateur (ITManager), il est nécessaire que l’administrateur de la CA signe cette demande avec son certificat de signature.

    clip_image002

     

    Pour le signer, encore faut-il pouvoir accéder à la clé privée du certificat qui est stockée sur la carte à puce, ce qui nécessite de déverrouiller la carte.

    clip_image003

     

    La liste des gabarits de certificats présentée est filtrée en fonction des autorisations dont nous disposons sur les gabarits mais aussi par rapport aux possibilités techniques. Par exemple, dans l’illustration ci-dessous, il n’y a aucune trace du gabarit de certificat de signature de carte à puce, uniquement le gabarit de certificat de la carte à puce (normal, on vient d’y accéder, on a donc toutes les informations nécessaires pour formuler la demande au nom de “ITManager”).

    clip_image004

     

    Comme nous réalisons la demande pour l’utilisateur ITManager, encore faut-il le préciser :

    clip_image005

     

    Dès lors, le jeu du swap des cartes à puce commence. Si on ne dispose que d’un seul lecteur, on va passer son temps à changer de carte. Qui dit changer de carte dit de devoir ressaisir le code PIN. La première interface nous demande de retirer la carte à puce de l’administrateur pour placer la future carte de “ITManager” dans le lecteur.

    clip_image006

     

    Qui dit nouvelle carte, dit saisie de code PIN. A ce stade, il faut générer une clé privée pour notre nouveau certificat :

    clip_image007

     

    A ce stade, on nous demande de réinsérer la carte à puce de l’administrateur.

    clip_image008

     

    Et se saisir le code PIN associé pour qu’on puisse accéder à la clé privée du certificat de signature de carte à puce de l’administrateur (on signe la demande).

    clip_image009

     

    Toutes les informations ont été remontées à l’autorité de certification. La demande étant valide et réalisée par un utilisateur accrédité, le certificat doit être délivré. Encore faut-il placer le certificat sur la carte à puce de “ITManager”.

    clip_image010

     

    Et se saisir le code PIN associé à sa carte à puce.

    clip_image011

     

    Pour enfin obtenir le certificat d’ouverture de session par carte à puce.

    clip_image012

     

    La demande et la signature de son propre certificat d’authentification par carte à puce

    A ce stade, notre utilisateur “ITManager” peut utiliser sa carte à puce pour ouvrir une session uniquement. Encore faut-il qu’il récupère son certificat de signature de carte à puce. Notre “ITManager” disposant des permissions nécessaires sur le gabarit de certificat de carte à puce, il peut de lui-même demander son certificat, toujours avec la console MMC :

    clip_image013

     

    Je fait l’impasse sur les rappels et autres stratégies d’enregistrement déjà abordés précédemment, passons maintenant à la sélection des certificats. Ce qui nous intéresse, c’est un certificat de signature pour les certificats de carte à puce.

    clip_image014

     

    Le certificat de signature devant être enregistré sur la carte à puce, l’interface nous demande d’y accéder.

    clip_image015

     

    Au final, Notre utilisateur “ITManager” dispose maintenant de son certificat de signature et d’authentification par carte à puce.

    clip_image016

     

    On peut constater la présence des deux certificats dans le magasin utilisateur de “ITManager”. Il est prêt à travailler : Générer des certificats d’authentification pour carte à puce.

    clip_image017

     

    A ce stade, on pourrait penser qu’il serait intéressant de supprimer la publication du gabarit de certificat de signature. Cependant, ce serait une erreur car il ne serait pas possible de renouveler automatiquement les certificats émis.

     

    On touche au but. Prochaine étape, la délivrance d’une carte à puce à un utilisateur final.

     

Benoîts – Simple and Secure By Design (J’insiste sur le Secure)

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Les derniers articles par Benoit (tout voir)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.