La carte à puce de l’administrateur de l’autorité de certification est censée rester au coffre. Cependant, il faut bien déléguer les tâches courantes. On va donc désigner un responsable de l’enregistrement des cartes à puces qui aura la possibilité de signer les certificats d’ouverture de session par carte à puce. On va maintenant mettre en œuvre une nouvelle subtilité : La demande de certificats au nom d’un tiers.
Notre utilisateur “ITManager” est membre du groupe “Smartcard_Issuers”, au même titre que notre administrateur de la PKI.
Dans ce billet, nous allons traiter de deux sujets :
-
La mise à disposition du certificat de signature de demande de carte à puce (et son stockage sur la dite carte)
-
La demande et la signature de son propre certificat d’authentification par carte à puce
Mise à disposition du certificat de signature de demande de carte à puce
Notre responsable délégué de la gestion des cartes à puces doit déjà disposer d’une carte à puce pour y stocker son certificat de signature. L’administrateur de la PKI va donc lui préparer un certificat d’authentification de carte à puce. C’est donc l’administrateur qui génère un certificat pour “ITManager”. On a donc ouvert la session avec le compte administrateur.

Comme la demande de certificats est effectuée pour le compte d’un autre utilisateur (ITManager), il est nécessaire que l’administrateur de la CA signe cette demande avec son certificat de signature.

Pour le signer, encore faut-il pouvoir accéder à la clé privée du certificat qui est stockée sur la carte à puce, ce qui nécessite de déverrouiller la carte.

La liste des gabarits de certificats présentée est filtrée en fonction des autorisations dont nous disposons sur les gabarits mais aussi par rapport aux possibilités techniques. Par exemple, dans l’illustration ci-dessous, il n’y a aucune trace du gabarit de certificat de signature de carte à puce, uniquement le gabarit de certificat de la carte à puce (normal, on vient d’y accéder, on a donc toutes les informations nécessaires pour formuler la demande au nom de “ITManager”).

Comme nous réalisons la demande pour l’utilisateur ITManager, encore faut-il le préciser :

Dès lors, le jeu du swap des cartes à puce commence. Si on ne dispose que d’un seul lecteur, on va passer son temps à changer de carte. Qui dit changer de carte dit de devoir ressaisir le code PIN. La première interface nous demande de retirer la carte à puce de l’administrateur pour placer la future carte de “ITManager” dans le lecteur.

Qui dit nouvelle carte, dit saisie de code PIN. A ce stade, il faut générer une clé privée pour notre nouveau certificat :

A ce stade, on nous demande de réinsérer la carte à puce de l’administrateur.

Et se saisir le code PIN associé pour qu’on puisse accéder à la clé privée du certificat de signature de carte à puce de l’administrateur (on signe la demande).

Toutes les informations ont été remontées à l’autorité de certification. La demande étant valide et réalisée par un utilisateur accrédité, le certificat doit être délivré. Encore faut-il placer le certificat sur la carte à puce de “ITManager”.

Et se saisir le code PIN associé à sa carte à puce.

Pour enfin obtenir le certificat d’ouverture de session par carte à puce.

La demande et la signature de son propre certificat d’authentification par carte à puce
A ce stade, notre utilisateur “ITManager” peut utiliser sa carte à puce pour ouvrir une session uniquement. Encore faut-il qu’il récupère son certificat de signature de carte à puce. Notre “ITManager” disposant des permissions nécessaires sur le gabarit de certificat de carte à puce, il peut de lui-même demander son certificat, toujours avec la console MMC :

Je fait l’impasse sur les rappels et autres stratégies d’enregistrement déjà abordés précédemment, passons maintenant à la sélection des certificats. Ce qui nous intéresse, c’est un certificat de signature pour les certificats de carte à puce.

Le certificat de signature devant être enregistré sur la carte à puce, l’interface nous demande d’y accéder.

Au final, Notre utilisateur “ITManager” dispose maintenant de son certificat de signature et d’authentification par carte à puce.

On peut constater la présence des deux certificats dans le magasin utilisateur de “ITManager”. Il est prêt à travailler : Générer des certificats d’authentification pour carte à puce.

A ce stade, on pourrait penser qu’il serait intéressant de supprimer la publication du gabarit de certificat de signature. Cependant, ce serait une erreur car il ne serait pas possible de renouveler automatiquement les certificats émis.
On touche au but. Prochaine étape, la délivrance d’une carte à puce à un utilisateur final.