Déployer une PKI pour l’accès à distance
Contoso peut utiliser des certificats numériques pour vérifier et authentifier l’identité de chaque partie impliquée dans une transaction électronique. Les certificats numériques aident également à établir l’approbation entre les ordinateurs et les applications correspondantes hébergées sur des serveurs d’applications. L’accès à distance utilise des certificats pour vérifier l’identité des serveurs et fournir un chiffrement. Contoso peut également utiliser des certificats pour vérifier l’identité des utilisateurs ou des ordinateurs qui se connectent pour l’accès à distance.
Méthodes d’obtention de certificats
Dans la plupart des cas, vous obtenez des certificats auprès d’une autorité de certification. La considération la plus importante pour une autorité de certification est la confiance. Si un certificat est émis par une autorité de certification approuvée, ce certificat est approuvé et peut être utilisé pour l’authentification. Si une autorité de certification n’est pas approuvée, les certificats émis par cette autorité de certification ne peuvent pas être utilisés pour l’authentification.
Pour obtenir des certificats, vous pouvez :
- Créez votre propre autorité de certification privée à l’aide de Windows Server. Les certificats émis par une autorité de certification privée sont automatiquement approuvés par les clients et serveurs Windows joints au domaine. Toutefois, les certificats émis par une autorité de certification interne ne sont pas automatiquement approuvés par les appareils qui ne sont pas joints au domaine.
- Achetez des certificats auprès d’une autorité de certification publique. Les certificats émis par une autorité de certification publique sont approuvés automatiquement par presque tous les appareils, qu’ils soient joints ou non à un domaine. Windows n’inclut pas d’outils pour déployer automatiquement des certificats à partir d’une autorité de certification publique sur des utilisateurs ou des ordinateurs.
- Générez des certificats auto-signés dans certaines applications. Par défaut, ces certificats sont approuvés uniquement par le serveur émettrice et non par d’autres ordinateurs de l’organisation.
- Générez des certificats auto-signés à l’aide de PowerShell. Vous pouvez utiliser l’applet
New-SelfSignedCertificatede commande pour générer un nouveau certificat auto-signé.
Remarque
Vous utilisez des certificats auto-signés dans des organisations de petite et moyenne taille qui utilisent DirectAccess configuré avec l’Assistant Prise en main, ce qui facilite l’installation et la configuration.
Considérations relatives à la planification de l’infrastructure à clé publique
Pour déterminer si vous devez implémenter une infrastructure à clé publique interne pour l’accès à distance, vous devez planifier l’utilisation des certificats. Si vous utilisez des certificats uniquement sur quelques serveurs, le coût d’utilisation d’une autorité de certification publique est faible. Les certificats d’une autorité de certification publique sont également utiles si vous attendez que les appareils qui ne sont pas joints au domaine accèdent aux serveurs.
Une autorité de certification privée est principalement bénéfique pour l’accès à distance lorsque vous émettez des certificats à des appareils clients et à des utilisateurs individuels pour l’authentification. Par exemple, il est courant de demander un certificat d’ordinateur valide pour autoriser l’accès VPN en tant que deuxième niveau d’authentification au-delà d’un nom d’utilisateur et d’un mot de passe. Si vous émettez des certificats sur de nombreux ordinateurs, l’inscription automatique fournie par une autorité de certification privée est importante. Il existe également des économies importantes, car vous n’avez pas besoin de payer les certificats émis par une autorité de certification privée.
Le tableau suivant résume les avantages et inconvénients des certificats émis par les autorités de certification privées et publiques.
| Type d’autorité de certification | Avantages | Inconvénients |
|---|---|---|
| Autorité de certification privée | Une autorité de certification privée offre un meilleur contrôle sur la gestion des certificats et offre un coût inférieur par rapport à une autorité de certification publique. Il n’y a aucun coût par certificat. Vous avez également la possibilité d’utiliser des modèles personnalisés et l’inscription automatique. | Par défaut, les certificats par autorités de certification privées ne sont pas approuvés par les clients externes (navigateurs web et systèmes d’exploitation) et nécessitent une plus grande administration. |
| Autorité de certification publique | Un certificat émis par une autorité de certification publique est approuvé par de nombreux clients externes (navigateurs web et systèmes d’exploitation) et nécessite une administration minimale. | Le coût est plus élevé par rapport à une autorité de certification privée. Le coût est basé sur chaque certificat. L’approvisionnement des certificats est également plus lent. |