Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des informations sur le service de rôle Autorité de certification pour les services de certificats Active Directory lors du déploiement sur le système d’exploitation Windows Server.
Une autorité de certification est chargée d'attester l'identité des utilisateurs, des ordinateurs et des organisations. Elle authentifie une entité et se porte garante de cette identité en émettant un certificat signé numériquement. Elle gère, révoque et renouvelle également les certificats.
Une autorité de certification peut être :
- Organisation qui garantit l’identité d’un utilisateur final.
- Serveur utilisé par l’organisation pour émettre et gérer des certificats.
En installant le service de rôle Autorité de certification des services de certificats Active Directory (AD CS), vous pouvez configurer votre serveur Windows pour qu’il agisse en tant qu’autorité de certification.
Présentation des types d’autorité de certification
Windows Server prend en charge quatre types d’autorité de certification différents :
- Autorité de certification racine d’entreprise.
- Entreprise subordonnée CA.
- Autorité de certification racine autonome.
- Autorité de certification subordonnée autonome.
Autorités de certification d’entreprise et autonomes
Les autorités de certification d’entreprise sont intégrées aux services de domaine Active Directory (AD DS). Ils publient des certificats et des listes de révocation de certificats (CRL) sur AD DS. L’autorité de certification d’entreprise utilise des informations stockées dans AD DS, y compris les comptes d’utilisateur et les groupes de sécurité, pour approuver ou refuser les demandes de certificat. Les autorités de certification d’entreprise utilisent des modèles de certificat. Lorsqu’un certificat est émis, l’autorité de certification d’entreprise utilise des informations dans le modèle de certificat pour générer un certificat avec les attributs appropriés pour ce type de certificat.
Si vous souhaitez activer l’approbation de certificat automatisée et l’inscription automatique des certificats utilisateur, utilisez les autorités de certification d’entreprise pour émettre des certificats. Ces fonctionnalités sont disponibles uniquement lorsque l’infrastructure d’autorité de certification est intégrée à Active Directory. En outre, seules les autorités de certification d’entreprise peuvent émettre des certificats qui activent la connexion à une carte à puce, car ce processus exige que les certificats de carte à puce soient mappés automatiquement aux comptes d’utilisateur dans Active Directory.
Les autorités de certification autonomes ne nécessitent pas AD DS et n’utilisent pas de modèles de certificat. Si vous utilisez des autorités de certification autonomes, toutes les informations sur le type de certificat demandé doivent être incluses dans la demande de certificat. Par défaut, toutes les demandes de certificat soumises aux autorités de certification autonomes sont conservées dans une file d’attente en attente jusqu’à ce qu’un administrateur d’autorité de certification les approuve. Vous pouvez configurer des autorités de certification autonomes pour émettre automatiquement des certificats à la demande, mais elle est moins sécurisée et elle n’est pas recommandée, car les requêtes ne sont pas authentifiées.
Vous devez utiliser des autorités de certification autonomes pour émettre des certificats lorsque vous utilisez un service d’annuaire non-Microsoft ou lorsque AD DS n’est pas disponible. Vous pouvez utiliser les autorités de certification d’entreprise et autonomes dans votre organisation.
Autorités de certification racines et subordonnées
Les autorités de certification d’entreprise et autonomes peuvent être configurées en tant qu’autorités de certification racines ou en tant qu’autorités de certification subordonnées. Les autorités de certification subordonnées peuvent être configurées en tant qu’autorités de certification intermédiaires (également appelées autorités de certification de politique) ou en tant qu’autorités de certification émettrices.
Une autorité de certification racine est l’autorité de certification située en haut d’une hiérarchie de certification, où toutes les chaînes de certificats se terminent. Lorsque le certificat d’autorité de certification racine est présent sur le client, l’autorité de certification racine est approuvée inconditionnellement. Que vous utilisiez des autorités de certification d’entreprise ou autonomes, vous devez désigner une autorité de certification racine.
Étant donné que l’autorité de certification racine est l’autorité de certification supérieure dans la hiérarchie de certification, le champ Objet du certificat a la même valeur que le champ Émetteur. De même, étant donné que la chaîne de certificats se termine lorsqu’elle atteint une autorité de certification auto-signée, toutes les autorités de certification auto-signées sont des autorités de certification racines. La décision de désigner une autorité de certification en tant qu’autorité de certification racine approuvée peut être prise au niveau de l’entreprise ou localement par l’administrateur informatique individuel.
Une autorité de certification racine fait office de fondation sur laquelle vous basez votre modèle d'approbation de l'autorité de certification. Elle garantit que la clé publique du sujet correspond aux informations d’identité figurant dans le champ sujet des certificats qu'elle émet. Différentes autorités de certification peuvent également vérifier cette relation à l’aide de différentes normes ; Il est donc important de comprendre les stratégies et procédures de l’autorité de certification racine avant de choisir d’approuver cette autorité pour vérifier les clés publiques.
L’autorité de certification racine est l’autorité de certification la plus importante de votre hiérarchie. Si votre autorité de certification racine n'est pas fiable, aucune autorité de certification de la hiérarchie et aucun certificat émis à partir de cette autorité ne seront considérés comme fiables. Vous pouvez optimiser la sécurité de l’autorité de certification racine en la gardant déconnectée du réseau et en utilisant des autorités de certification subordonnées pour émettre des certificats à d’autres autorités de certification subordonnées ou aux utilisateurs finaux. Une autorité de certification racine déconnectée est également appelée autorité de certification racine hors connexion.
Les autorités de certification qui ne sont pas des autorités de certification racines sont considérées comme subordonnées. La première autorité de certification subordonnée d’une hiérarchie obtient son certificat CA de l’autorité de certification racine. Cette première autorité de certification subordonnée peut utiliser cette clé pour émettre des certificats qui vérifient l’intégrité d’une autre autorité de certification subordonnée. Ces autorités de certification subordonnées supérieures sont appelées autorités de certification intermédiaires. Une autorité de certification intermédiaire est subordonnée à une autorité de certification racine, mais elle sert d’autorité de certification supérieure à une ou plusieurs autorités de certification subordonnées.
Une autorité de certification intermédiaire est souvent appelée autorité de certification de stratégie, car elle est généralement utilisée pour séparer les classes de certificats qui se distinguent par le biais de stratégies. Par exemple, la séparation des politiques inclut le niveau d’assurance qu’une autorité de certification fournit ou l’emplacement géographique de l’autorité de certification pour distinguer différentes populations d’entités finales. Une autorité de certification de stratégie peut être en ligne ou hors ligne.
Clés privées de l’autorité de certification
La clé privée fait partie de l’identité de l’autorité de certification et doit être protégée contre la compromission. De nombreuses organisations protègent les clés privées d’autorité de certification à l’aide d’un module de sécurité matériel (HSM). Si un HSM n’est pas utilisé, la clé privée est stockée sur l’ordinateur d’autorité de certification.
Les autorités de certification hors ligne doivent être stockées dans des emplacements sécurisés et non connectés au réseau. Les autorités de certification émettrices utilisent leurs clés privées lors de l’émission de certificats, de sorte que la clé privée doit être accessible (en ligne) pendant que l’autorité de certification est en cours d’opération. Dans tous les cas, l'autorité de certification et sa clé privée sur l'autorité de certification doivent être physiquement protégées.
Modules de sécurité matériels
L’utilisation d’un module de sécurité matériel (HSM) peut améliorer la sécurité de votre autorité de certification et de votre infrastructure de clé privée (PKI).
Un HSM est un périphérique matériel dédié géré séparément du système d’exploitation. Les modules HSM fournissent un magasin de matériel sécurisé pour les clés d’autorité de certification, en plus d’un processeur de chiffrement dédié pour accélérer les opérations de signature et de chiffrement. Le système d’exploitation utilise le module HSM par le biais des interfaces CryptoAPI, et le module HSM fonctionne en tant qu’appareil fournisseur de services de chiffrement (CSP).
Les modules HSM sont généralement des adaptateurs PCI, mais ils sont également disponibles en tant qu’appliances réseau, périphériques série et périphériques USB. Si une organisation envisage d’implémenter deux autorités de certification ou plus, vous pouvez installer un HSM basé sur un réseau unique et le partager entre plusieurs autorités de certification.
Le module de sécurité matériel doit être installé avant de configurer une autorité de certification avec des clés qui seront stockés dans le module de sécurité matériel.