Archives mensuelles : mars 2015

Certification Microsoft infrastructure

Le sujet fait débat régulièrement avec les pro / Cons sur les certifications éditeurs informatique. Entre autres arguments avancés on a :

  • Cela ne reflète pas des scénarios réels
  • Pas actualisé avec les versions intermédiaires / Service Pack
  • Avec des dump on les passe facilement
  • Cela ne prend en compte que les technologies de l’éditeur
  • Sans mise en situation, cela ne vaut rien
  • Ça vaut plus rien, y a trop de monde certifié, pas un facteur différenciant

 

Pour la suite de ce billet, petit rappel : je suis un pur “infra”, donc le cursus de certification développement m’est étranger.

 

Les certifications Microsoft et moi, ça commence à me connaitre. J’ai commencé en 1999 avec Windows NT 4.0. Ca commence à faire loin. A l’époque, mon employeur me donnait même une prime pour chaque certification passée. Grosse erreur de sa part. Entre temps, j’ai continué avec Windows 2000 (avec le fameux 70-240 « Pass or fail »), Windows 2003, Windows 2008 et enfin Windows Server 2012 la semaine dernière.

Avec Windows Server 2008, j’étais resté sur ma faim. J’avais trouvé cela un peu léger et j’avoue que j’avais un peu les mêmes reproches et je craignais que ce soit la même chose. Avec Windows Server 2012, j’avoue avoir été surpris. Déjà avec 70-417, on avait beaucoup de contenu (voire même trop) mais au moins cela nous obligeait à travailler un minimum chaque sujet (OK, ADRMS, j’avais fait l’impasse, c’est pas mon truc). Certes l’examen était plus complexe mais encore trop proche de la génération Windows Server 2008. J’avais donc des craintes pour le plat de résistance.

Là, j’ai pris ma claque car Microsoft a élevé le niveau pour 70-413 et 70-414 . Je dis cela parce que cela faisait longtemps que j’avais pas échoué à une certification (70-413), et pour cause :

  • Véritables scénarios intégrant plusieurs technologies Microsoft (voire même Azure)
  • Question actualisées (j’ai eu des questions sur Azure Site Recovery)
  • Scénarios bien complexes
  • Nouveau format de question (assertion / reason)
  • Trop de produits impliqués

 

C’est là que j’ai été surpris. Je ne m’attendais pas à avoir des questions incluant SCCM, SCVMM, SCORCH et toute la gamme System Center. Alors quand Azure a débarqué dans la liste des questions, j’ai compris que j’allais échouer. Même si je pratique beaucoup de ces produits, ça faisait trop à couvrir surtout sans préparation. J’ai donc repris les choses à la base avec le contenu de l’examen 70-414 (avec quelques actualisations pour Windows Server 2012 R2). Avec du temps et beaucoup de labs, on fini par y arriver. Au final, cela efface beaucoup des griefs sur les certifications Microsoft. Ne restent que :

  • La mise en situation
  • Le problème des « Dump »
  • Valeur de la certification sur le marché

La mise en situation existait chez Microsoft. Je dis bien existait car Microsoft n’a pas donné suite au Microsoft Certified Master. C’est dommage. Après, il vaut voir que pour préparer cette certification, j’ai été obligé de travailler le sujet (je dis pas la taille de mon lab, c’est indécent, même pour un Geek).

Les dump. Oui ça existe mais je suis de moins en moins convaincu que cela puisse aider. Le formaliste des questions (Assertion / reason) ainsi que les séries de question presque identiques mais pour lesquels il n’est pas possible de revenir en arrière font que le risque d’erreur est trop important. Je peux comprendre qu’on utilise les dumps pour se préparer à la certification (notion d’examen blanc) mais apprendre les questions et les réponses par cœur, ça n’apporte pas grand-chose. C’est même dévalorisant.

La certification, c’est aussi une forme de remise en question. Windows ne reste pas éternellement Windows, un jour DCPROMO.EXE sera déprécié. Les certifications Microsoft ont maintenant une durée de vie limitée de trois ans. C’est donc un bon moyen de rester à la page.

S’il y a eu régression, c’est plutôt autour des compétences réseau fondamentales. Les projets d’infrastructure sont de plus en plus dépendant de composants réseau. Rien que dans les domaines de la virtualisation et du stockage, sans réseau, il n’y a plus rien.

Reste la valeur de la certification. OK, disons le tout de suite, une certification AWS a plus de valeur aujourd’hui qu’une certification Microsoft du fait du nombre de personnes qui ont survécu au cursus et obtenu la certification. En plus, c’est du cloud, c’est tendance. La certification Azure devrait permettre de redresser le niveau. De mon point de vue, la valeur de la certification, c’est ce qu’on en fait après.

Enfin, dernier détail, une certification a aussi de la valeur pour nos employeurs (SSII en particulier) car ils en ont besoin. Chaque partenaire doit justifier d’un nombre de personnes certifiées pour maintenir des niveaux de partenariats avec l’éditeur. les deux parties ont donc intérêt à investir dans ces certifications.

Si Microsoft développait une certification DirectAccess/IPv6, je m’inscrit.

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)

ADCS, quick and dirty et conséquences.

Avec la génération d’OS W2K8, les produits Microsoft ont consommé de plus en plus de certificats, certains à vocation sécurité, d’autres à usage technique (Prouver la conformité de mon poste de travail avec Network Access Protection par exemple). C’est à partir de ce moment que j’ai vu fleurir ce que je nome les PKI "Quick-Next" ou plus pudiquement "PKI a vocation techniques uniquement". Vous-vous reconnaissez? Moi aussi. Ci-dessous les deux premières erreurs que nous faisons tous avec ces PKI :

clip_image001

 

L’algorithme de signature pour les certificats émis par notre autorité de certification est SHA-1 par défaut, avec une longueur de clé de 2048. Pour la taille de la clé privée, on ne pourra rien faire. Par contre, SHA-1 est considéré par Microsoft comme un algorithme déprécié, tout du moins pour les autorités de certification reconnues par les systèmes d’exploitation. Pour figurer parmi les Windows Root Certificate Program, Microsoft demande que l’algorithme SHA-1 soit remplacé par SHA-2. Pour les autorités de certification “privées”, cela n’a pas d’impact immédiat. Les autorités de certification “Publiques” ont elles l’obligation de ne plus utiliser SHA-1 en 2017. Au 1er Janvier 2017, Windows arrêtera de prendre en charge les certificats SSL. La migration vers SHA-2 s’impose. Ça fait longtemps que SHA-2 est supporté par tous les systèmes d’exploitation, y compris pour les plus vénérables que sont Windows XP et Windows 2003. Microsoft a publié les correctifs nécessaires pour supporter SHA-2 : (KB968730 and KB938397).

 

Remarque d’un lecteur : Migrer vers SHA-2 ne peut se faire que si on est assuré que les systèmes et applications à qui on va délivrer les certificats le supportent. Il sera donc nécessaire de s’assurer ce ce point avant de procéder à la mise à niveau. Merci Eric S.

 

Maintenant qu’on a compris l’intérêt, voyons comment corriger le problème. Je pars du principe que notre PKI utilise bien le CNG comme Key Storage Provider qui supporte bien SHA-2. Avant de commencer, vérifions que notre PKI "Quick and Dirty" utilise bien l’algorithme incriminé.

clip_image002

 

Ci-dessus, on constate que SHA-1 est bien utilisé comme algorithme de signature pour les certificats délivrés mais aussi pour le certificat qu’elle s’est-elle-même délivrée. Ça c’est du Quick and Dirty. Passons sous la moquette avec un peu de CERTUTIL.EXE -GetReg CA\CSP\CNGHashAlgorithm

clip_image003

A ce stade, notre PKI utilise cet algorithme pour :

  • Tout certificat qu’elle délivre
  • Les CRL qu’elle signe
  • Son propre certificat

Commençons par forcer notre PKI à utilisa SHA-2 :

CERTUTIL.EXE -SetReg CA\CSP\CNGHashAlgorithm SHA256

NET STOP CERTSVC

NET START CERTVC

clip_image004

 

Si on regarde de nouveau les caractéristiques de notre PKI Quick and Dirty, c’est mieux. On pourrait s’arrêter là dans l’immédiat mais au 1er Janvier 2017 on aura un autre problème avec le certificat de l’autorité de certification qui utilise toujours SHA-1. Le certificat est toujours valide après tout.

clip_image005

 

Afin d’anticiper, on va donc demander à notre autorité de certification de renouveler son propre certificat auprès d’elle-même.

clip_image006

 

Ce qui implique un arrêt du service.

clip_image007

 

Pour demander la génération d’un nouveau certificat ainsi que la génération d’une nouvelle parie de clés.

clip_image008

 

Remarque d’un lecteur : Le choix de renouveler le couple clé privée / clé publique peut être impactant. De mon point de vue, il n’est nécessaire que si la taille de la clé existante est beaucoup trop faible. Cela ne devrait pas être le cas avec les autorités de certification opérant sous Windows 2erver 2008 / 2008 R2. Merci Eric S.

 

Maintenant, c’est beaucoup mieux.

clip_image009

 

Lors de la génération de la prochaine CRL, celle-ci sera signée en SHA-2.

clip_image010

 

Remarque d’un lecteur : Ne pas oublier le CERTUTIL.EXE –DSPUBLISH pour forcer ADCS à publier le nouveau certificat dans l’Active Directory. Le certificat doit aussi être mis à disposition des équipements réseau qui ne dépendent pas de l’annuaire Active Directory. Merci Eric S.

 

C’est le bon moment pour sauvegarder la nouvelle clé privée de notre PKI. Vous-souvenez-vous si elle est sauvegardée et où elle est? Allez donc vous rafraichir la mémoire ici http://danstoncloud.com/blogs/simplebydesign/archive/2014/02/06/adcs-ca-private-key-location-change-again.aspx. Si nécessaire prenez les mesures d’urgence.

 

Voilà, c’est moins "Quick and Dirty". Deux petits clics auraient tout changé.

 

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)