En quoi consistent les services de certificats Active Directory ?

Services de certificats Active Directory (AD CS) est un rôle Windows Server pour l’émission et la gestion des certificats d’infrastructure à clé publique (PKI) utilisés dans les protocoles de communication et d’authentification sécurisés.

Émettre et gérer les certificats

Les certificats numériques peuvent être utilisés pour chiffrer et signer numériquement des documents et des messages électroniques ainsi que pour l’authentification des comptes d’ordinateur, d’utilisateur ou d’appareil sur un réseau. Par exemple, les certificats numériques sont utilisés pour fournir :

• la confidentialité grâce au chiffrement ;
• l’intégrité grâce aux signatures numériques ;
• L’authentification en associant des clés de certificats à des comptes d’ordinateur, d’utilisateur ou d’appareil sur un réseau d’ordinateurs.

Fonctionnalités clés

AD CS fournit les fonctionnalités importantes suivantes :

• Autorités de certification : des autorités de certification racines et subordonnées sont utilisées pour émettre des certificats pour les utilisateurs, les ordinateurs et les services ainsi que pour gérer la validité des certificats.

• Inscription web : l’inscription web permet aux utilisateurs de se connecter à une autorité de certification avec un navigateur Web pour demander des certificats et récupérer des listes de révocation de certificats.

• Répondeur en ligne : le service Répondeur en ligne décode les demandes d’état de révocation pour des certificats spécifiques, évalue l’état de ces certificats et renvoie une réponse signée contenant les informations demandées sur l’état des certificats.

• Service d’inscription de périphérique réseau : le service d’inscription de périphérique réseau permet aux routeurs et à d’autres appareils réseau qui n’ont pas de comptes de domaine d’obtenir des certificats.

• Attestation de clé TPM : permet à l’autorité de certification de vérifier que la clé privée est protégée par un module de plateforme sécurisée basé sur le matériel et que ce module est approuvé par l’autorité de certification. L’attestation de clé TPM empêche l’exportation du certificat vers un appareil non autorisé et peut lier l’identité de l’utilisateur à l’appareil.

• Service Web Stratégie d’inscription de certificats : le service Web Stratégie d’inscription de certificats permet aux utilisateurs et aux ordinateurs d’obtenir des informations sur une stratégie d’inscription de certificats.

• Service Web d’inscription de certificats : le service Web d’inscription de certificats permet aux utilisateurs et aux ordinateurs d’effectuer l’inscription de certificats via un service web. En combinaison avec le service Web Stratégie d’inscription de certificats, ceci permet d’effectuer une inscription de certificat basée sur une stratégie quand l’ordinateur client n’est pas membre d’un domaine ou quand un membre du domaine n’est pas connecté au domaine.

Avantages

Vous pouvez utiliser les services AD CS pour améliorer la sécurité en liant l’identité d’une personne, d’un ordinateur ou d’un service à une clé privée correspondante. Les services AD CS vous offrent une solution rentable, efficace et sécurisée pour gérer la distribution et l’utilisation des certificats. En plus de la liaison d’identités et de clés privées, AD CS inclut également des fonctionnalités qui vous permettent de gérer l’inscription et la révocation de certificats.

Vous pouvez utiliser les informations d’identité de point de terminaison existantes dans Active Directory pour inscrire des certificats, ce qui signifie que les informations peuvent être insérées automatiquement dans les certificats. AD CS peut également être utilisé pour configurer des stratégies de groupe Active Directory afin de désigner quels utilisateurs et machines sont autorisés à utiliser tel ou tel type de certificats. La configuration de la stratégie de groupe active le contrôle d’accès basé sur les rôles ou les attributs.

Les applications prises en charge par les services AD CS incluent les extensions S/MIME (Secure/Multipurpose Internet Mail Extensions), les réseaux sans fil sécurisés, les réseaux privés virtuels, IPsec (Internet Protocol security), le système de fichiers EFS, la connexion par carte à puce, SSL/TLS (Secure Socket Layer/Transport Layer Security) et les signatures numériques.

Étapes suivantes

• Qu’est-ce que le service de rôle de l’autorité de certification ?
• Implémenter et gérer des services de certificats Active Directory
• Tous les services de rôle AD CS exécutés sur n’importe quelle version
• Tous les services de rôle des services AD CS peuvent être exécutés sur une installation minimale.
• Informations de référence sur Windows PowerShell pour les services de certificats