Philippe BERAUD Consultant Architecte Microsoft France [email protected].
-
Upload
gaetan-lemoine -
Category
Documents
-
view
124 -
download
5
Transcript of Philippe BERAUD Consultant Architecte Microsoft France [email protected].
Philippe BERAUDConsultant ArchitecteMicrosoft [email protected]
g
g
Offrir un panorama des évolutions des services Offrir un panorama des évolutions des services de certificats X.509 dans de certificats X.509 dans Windows Server Windows Server “Longhorn” “Longhorn” et Windows Vista et Windows Vista
g Credential Roaming
Enrôlement avancé
Auto-enrôlement
Windows Smart Card Framework
Windows Vista - Services de gestion
Autorité de certification
Rôles Service Windows Server “Longhorn” - Services de gestionRôles Service Windows Server “Longhorn” - Services de gestion
Services d’enrôlement périphériques
réseau
Services d’enrôlement
Web
Services de révocation en
ligne
Proxy Web Services de
révocation en ligne
Services de cryptographieServices de cryptographie
g
g
g Credential Roaming
Enrôlement avancé
Auto-enrôlement
Windows Smart Card Framework
Windows Vista - Services de gestion
Autorité de certification
Rôles Serveur Windows Server “Longhorn” - Services de gestionRôles Serveur Windows Server “Longhorn” - Services de gestion
Services d’enrôlement périphériques
réseau
Services d’enrôlement
Web
Services de révocation en
ligne
Proxy Web Services de
révocation en ligne
Credential RoamingServices de cryptographie
Nouveau Framework Crypto (par rapport à Crypto API)Nouveau Framework Crypto (par rapport à Crypto API)Simplification du développement de fournisseurs de Simplification du développement de fournisseurs de cryptographiquescryptographiques
Capacité en mode noyau et utilisateur d’utiliser ses propres Capacité en mode noyau et utilisateur d’utiliser ses propres implémentations (y compris algorithmes propriétaires)implémentations (y compris algorithmes propriétaires)
Implémentation de façon native des algorithmes ECC (ECDSA, Implémentation de façon native des algorithmes ECC (ECDSA, ECDH), SHA2 (Suite-B)ECDH), SHA2 (Suite-B)
CNG satisfait les exigences Critères Communs et FIPS CNG satisfait les exigences Critères Communs et FIPS pour l’isolation forte et l’auditpour l’isolation forte et l’audit
CNG devient l’API cryptographique recommandéeCNG devient l’API cryptographique recommandéeCryptographic Next Generation Software Development Kit for Cryptographic Next Generation Software Development Kit for Windows VistaWindows Vista
http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyId=1EF399E9-B018-49DB-A98B-FamilyId=1EF399E9-B018-49DB-A98B-0CED7CB8FF6F&displaylang=en0CED7CB8FF6F&displaylang=en
Complément du Complément du Software Development Kit for Windows Vista Software Development Kit for Windows Vista and .NET Framework 3.0 Runtime Componentsand .NET Framework 3.0 Runtime Components
http://www.microsoft.com/downloads/details.aspx?familyid=7614FE22-http://www.microsoft.com/downloads/details.aspx?familyid=7614FE22-8A64-4DFB-AA0C-DB53035F40A0&displaylang=en8A64-4DFB-AA0C-DB53035F40A0&displaylang=en
g
g
g Credential Roaming
Enrôlement avancé
Auto-enrôlement
Windows Smart Card Framework
Windows Vista - Services de gestion
Autorité de certification
Rôles Serveur Windows Server “Longhorn” - Services de gestionRôles Serveur Windows Server “Longhorn” - Services de gestion
Services d’enrôlement périphériques
réseau
Services d’enrôlement
Web
Services de révocation en
ligne
Proxy Web Services de
révocation en ligne
Services de cryptographieServices de cryptographie
MMC CertificatesMMC CertificatesNouvelle UI Nouvelle UI
Request New certificateRequest New certificateFacilité d’utilisationFacilité d’utilisation
SupportabilitéSupportabilité
Fonctionnalités additionnellesFonctionnalités additionnellesCreate Custom RequestCreate Custom Request
Enroll On Behalf ofEnroll On Behalf of
SysTraySysTrayNotification d’expirationNotification d’expiration
Retrait des contrôles ActiveX Retrait des contrôles ActiveX XenrollXenroll et et ScrdenrlScrdenrlCf. « Cf. « How to use Certificate Services Web enrollment pages How to use Certificate Services Web enrollment pages together with Windows Vistatogether with Windows Vista » » (922706) (922706)
Introduction d’une nouvelle API Introduction d’une nouvelle API Certificate Certificate Enrollment Enrollment ((CertEnrollCertEnroll))
http://msdn2.microsoft.com/en-us/library/aa374863.aspxhttp://msdn2.microsoft.com/en-us/library/aa374863.aspx
Hiérarchie de classes COM reconçues pour les opérations PKIHiérarchie de classes COM reconçues pour les opérations PKIEnsemble d’interfaces pour créer/gérerEnsemble d’interfaces pour créer/gérer
L’enrôlements vis-à-vis d’AC Microsoft (les interfaces et protocoles L’enrôlements vis-à-vis d’AC Microsoft (les interfaces et protocoles Serveur restent identiques)Serveur restent identiques)
Les requêtes de certificat Les requêtes de certificat (PKCS#10, PKCS#7, and CMC)(PKCS#10, PKCS#7, and CMC)
Support de Crypto Next Generation (CNG) pour les Support de Crypto Next Generation (CNG) pour les certificatscertificats ECC ECC
Les clés publique/privéeLes clés publique/privée
Les propriétés/attributs/extensions de certificatsLes propriétés/attributs/extensions de certificats
Un sous-ensemble des fonctionnalités peut être scripté dans Un sous-ensemble des fonctionnalités peut être scripté dans le cadre de pages Web d’enrôlementle cadre de pages Web d’enrôlement
Appréhension plus aisée pour les développeursAppréhension plus aisée pour les développeurs
g
g
g Credential Roaming
Enrôlement avancé
Auto-enrôlement
Windows Smart Card Framework
Windows Vista - Services de gestion
Autorité de certification
Rôles Serveur Windows Server “Longhorn” - Services de gestionRôles Serveur Windows Server “Longhorn” - Services de gestion
Services d’enrôlement périphériques
réseau
Services d’enrôlement
Web
Services de révocation en
ligne
Proxy Web Services de
révocation en ligne
Services de cryptographieServices de cryptographie
Ré-architecture pour réduire la surface d’attaque et Ré-architecture pour réduire la surface d’attaque et améliorer globalement les performances du améliorer globalement les performances du systèmessystèmes
Conception basée sur les jobs WMIConception basée sur les jobs WMI
Amélioration des conditions d’usage pour les Amélioration des conditions d’usage pour les scénarios hors-lignescénarios hors-ligne
Notifications d’expirationNotifications d’expiration
« Nœud dur » dans les solutions basées sur de la « Nœud dur » dans les solutions basées sur de la PKIPKILes certificats et les clés privées sont liés à une machine et Les certificats et les clés privées sont liés à une machine et ne sont pas itinérantsne sont pas itinérants
Pour un même usage (S/MIME par exemple), les utilisateurs Pour un même usage (S/MIME par exemple), les utilisateurs peuvent posséder différents jeux de certificats et de clés peuvent posséder différents jeux de certificats et de clés privées sur chaque machineprivées sur chaque machine
Surcoût de gestion de la CASurcoût de gestion de la CA
Options possiblesOptions possiblesCartes à puceCartes à puce
Nombre limité de crédentielsNombre limité de crédentiels
Profils utilisateur itinérantProfils utilisateur itinérantDifficile à gérer et à administrerDifficile à gérer et à administrer
Les services Credential Roaming Les services Credential Roaming permettent de permettent de délivrer les crédentiels à la machine courante de délivrer les crédentiels à la machine courante de l’utilisateur via la réplication Active Directory et les l’utilisateur via la réplication Active Directory et les stratégies de groupesstratégies de groupes
Ceci facilite l’usage de fonctions comme Ceci facilite l’usage de fonctions comme La messagerie sécuriséeLa messagerie sécurisée
L’authentification client L’authentification client
Ainsi qu’une expérience améliorée pour les déploiements Ainsi qu’une expérience améliorée pour les déploiements Cartes à puceCartes à puce
Mise en œuvre Mise en œuvre Cf. « Cf. « Configure credential roamingConfigure credential roaming » »
http://technet2.microsoft.com/WindowsServer/en/Library/http://technet2.microsoft.com/WindowsServer/en/Library/2205530f-fa9a-4f2c-a0f0-5bea36dc57471033.mspx?mfr=true2205530f-fa9a-4f2c-a0f0-5bea36dc57471033.mspx?mfr=true
Introduit initialement dans le SP1 de Windows Server Introduit initialement dans le SP1 de Windows Server 20032003
CF. « CF. « Description of the Credential Roaming service update Description of the Credential Roaming service update for Windows Server 2003 and for Windows XPfor Windows Server 2003 and for Windows XP » (907247) » (907247)
Composants ServeurComposants ServeurWindows 2000 Server SP3+Windows 2000 Server SP3+
Windows Server 2003 SP1/R2 – RecommandéWindows Server 2003 SP1/R2 – Recommandé
Windows Server “Longhorn” – RecommandéWindows Server “Longhorn” – Recommandé
Composants ClientComposants ClientWindows XP SP2+Windows XP SP2+
Windows Server 2003 SP1Windows Server 2003 SP1
Windows Vista/Windows Server “Longhorn” Windows Vista/Windows Server “Longhorn”
g
g
Cf. Cf. « « Enterprise Smart Card Deployment in the Microsoft Enterprise Smart Card Deployment in the Microsoft Windows Smart Card Framework Windows Smart Card Framework »»
http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyID=fa7ec97c-11be-4e53-a0c4-FamilyID=fa7ec97c-11be-4e53-a0c4-04719b6a7ab6&DisplayLang=en04719b6a7ab6&DisplayLang=en
g Credential Roaming
Enrôlement avancé
Auto-enrôlement
Windows Smart Card Framework
Windows Vista - Services de gestion
Autorité de certification
Rôles Serveur Windows Server “Longhorn” - Services de gestionRôles Serveur Windows Server “Longhorn” - Services de gestion
Services d’enrôlement périphériques
réseau
Services d’enrôlement
Web
Services de révocation en
ligne
Proxy Web Services de
révocation en ligne
Services de cryptographieServices de cryptographie
Principales caractéristiquesPrincipales caractéristiquesOffrent une protection forte pour les clés privées des Offrent une protection forte pour les clés privées des certificatscertificats
Permettent de réaliser des opérations cryptographiquesPermettent de réaliser des opérations cryptographiques
Offrent une réponse aux besoins d'authentification forte, de Offrent une réponse aux besoins d'authentification forte, de preuve d'identité renforcéepreuve d'identité renforcée
Authentification à 2 facteursAuthentification à 2 facteurs
Permettent de disposer d’un badge d’entreprise uniquePermettent de disposer d’un badge d’entreprise uniqueRapprochement des mondes physique et numériqueRapprochement des mondes physique et numérique
Constituent une plateforme d’accueil pour d’autres Constituent une plateforme d’accueil pour d’autres applications de l’entrepriseapplications de l’entreprise
Ex. Ex. Gemalto .NET CardGemalto .NET Card
Facilité de gestion du cycle de vie avec CLMFacilité de gestion du cycle de vie avec CLMPersonnalisation des cartes, enrôlement, délivrance, Personnalisation des cartes, enrôlement, délivrance, renouvellement de certificats, émission de cartes renouvellement de certificats, émission de cartes temporaires, renouvellement des cartes, gestion des PIN, temporaires, renouvellement des cartes, gestion des PIN, etc.etc.
Cf. session TechDays « Cf. session TechDays « Introduction à CLM Beta 2Introduction à CLM Beta 2 » »
Windows 2000 SP4, Windows XP SP2, Windows 2003 Server SP1Windows 2000 SP4, Windows XP SP2, Windows 2003 Server SP1
Cf. « Cf. « Microsoft Base Smart Card Cryptographic Service Provider Microsoft Base Smart Card Cryptographic Service Provider Package: x86Package: x86 » (909520)» (909520)
http://www.microsoft.com/downloads/details.aspx?FamilyID=e8095fd5-http://www.microsoft.com/downloads/details.aspx?FamilyID=e8095fd5-c7e5-4bee-9577-2ea6b45b41c6&DisplayLang=enc7e5-4bee-9577-2ea6b45b41c6&DisplayLang=en
Applications utilisant de la cryptographie
CAPI 1WinSCard API (WinSCard.dll)
Smart Card Service (SCardSrv.exe) - Gestionnaire de ressources
CSP Carte à puce #3
Applicationsnon crypto
Support de Support de Crypto Next Generation Crypto Next Generation (CNG)(CNG)Introduction du Introduction du Microsoft Smart Card Key Storage ProviderMicrosoft Smart Card Key Storage Provider
Enrôlement de certificat ECC sur une carte à puceEnrôlement de certificat ECC sur une carte à puceRequiert une IGC ECCRequiert une IGC ECC
Signature ECDSA avec un certificat ECC sur une carte à puceSignature ECDSA avec un certificat ECC sur une carte à puce
Echanges de clé avec ECDH avec des clés drivées sur une carte Echanges de clé avec ECDH avec des clés drivées sur une carte à puceà puce
Authentification client avec TLSAuthentification client avec TLS
Support sur la carte des fonctions de dérivation (KDF) en Support sur la carte des fonctions de dérivation (KDF) en conformité avec FIPS 140-2conformité avec FIPS 140-2
Stratégie localeStratégie localeHKLM\SYSTEM\CurrentControlSet\Control\Cryptography\HKLM\SYSTEM\CurrentControlSet\Control\Cryptography\Providers\Microsoft Smart Card Key Storage ProviderProviders\Microsoft Smart Card Key Storage Provider
Idem Base CSPIdem Base CSPHKLM\SOFTWARE\Microsoft\Cryptography\Defaufts\Provider\Microsoft HKLM\SOFTWARE\Microsoft\Cryptography\Defaufts\Provider\Microsoft Base Smart Card Crypto ProviderBase Smart Card Crypto Provider
Applications utilisant de la cryptographie
Smart Card Service (Svchost.exe) - Gestionnaire de ressources
CSPCarte à puce
Applicationsnon crypto
MS Smart Card Base
CSP(BaseCSP.dll)
MS Smart Card Base
KSP(SCKSP.dll)
WinSCard API (WinSCard.dll)
CAPI 1 CNG
Mini-piloteCarte
(RSA/ECC)
Mini-piloteCarte (ECC)
Mini-piloteCarte (RSA)
Développement logiciel simplifiéDéveloppement logiciel simplifiéLes opérations cryptographiques communes sont gérées par Les opérations cryptographiques communes sont gérées par la plateforme (Base CSP/Base KSP)la plateforme (Base CSP/Base KSP)
API à destination des encarteursAPI à destination des encarteurshttp://www.microsoft.com/whdc/device/input/smartcard/sc-http://www.microsoft.com/whdc/device/input/smartcard/sc-minidriver.mspxminidriver.mspx
CardMod.hCardMod.h dans le dans le Cryptographic Next Generation (CNG) Cryptographic Next Generation (CNG) Software Development Kit (SDK) for Windows VistaSoftware Development Kit (SDK) for Windows Vista
Expérience utilisateur amélioréeExpérience utilisateur amélioréeDiffusion des mini pilotes Carte à puces via Windows UpdateDiffusion des mini pilotes Carte à puces via Windows Update
Programme de certification « Programme de certification « Logo ReadyLogo Ready » géré par le Microsoft » géré par le Microsoft Smart Card Competency Center (SCCC) Smart Card Competency Center (SCCC) à Dublinà Dublin
Kit de certification mini pilote Carte à puceKit de certification mini pilote Carte à puce
Remplacent GINA (avec Remplacent GINA (avec WinlogonWinlogon et et LogonUILogonUI))
Sont invoqués par LogonUI (ou Sont invoqués par LogonUI (ou CredUI)CredUI)
Utilisés pour collecter et sérialiser les Utilisés pour collecter et sérialiser les crédentielscrédentiels
Décrivent les champs de l’interface Décrivent les champs de l’interface utilisateur pour la présentation et la utilisateur pour la présentation et la saisie des crédentielssaisie des crédentiels
Permettent la saisie des crédentiels Permettent la saisie des crédentiels pour Logon ou validation, mais aussi pour Logon ou validation, mais aussi pour le changement/déblocage des pour le changement/déblocage des crédentiels (code PIN)crédentiels (code PIN)
Effectuent la sérialisation des Effectuent la sérialisation des crédentiels pour soumission au LSAcrédentiels pour soumission au LSA
Plusieurs Credential Providers peuvent Plusieurs Credential Providers peuvent être opérationnels en même tempsêtre opérationnels en même temps
Smartcard Credential ProviderSmartcard Credential Provider, , PasswordProviderPasswordProvider, etc., etc.
WinSCard API
Interfaces Credential Provider
1. Insertion de la 1. Insertion de la cartecarte
2. Demande 2. Demande des des crédentielscrédentiels
10. 10. LSALogonUserLSALogonUser
5. 5. Clic sur le titre, entrée du Clic sur le titre, entrée du PIN, validationPIN, validation
4. 4. AffichageAffichage UIUI
9. Crédentiels9. Crédentiels
6. Validation6. Validation
WinlogonWinlogon LSALSA
LogonUILogonUI
7. 7. Obtention des Obtention des crédentiels pour crédentiels pour l’ouverture de sessionl’ouverture de session
33. Obtention de l’information . Obtention de l’information sur les crédentielssur les crédentiels
8. 8. Appel API Appel API WinSCardWinSCard
Credential Provider
Cartes à puce
Credential Provider
personnalisé
Credential Provider
Mot de passe
Stratégies machine exclusivementStratégies machine exclusivementComputer Configuration\Administrative Templates\Windows Computer Configuration\Administrative Templates\Windows Components\SmartCardComponents\SmartCard
HKLM\SOFTWARE\Policies\Microsoft\Windows\HKLM\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProviderSmartCardCredentialProvider
HKLM\SOFTWARE\Policies\Microsoft\Windows\CertPropHKLM\SOFTWARE\Policies\Microsoft\Windows\CertProp
Déblocage intégré des cartes Déblocage intégré des cartes à puce pour le Smartcard à puce pour le Smartcard Credential ProviderCredential Provider
Propagation des certificats de la carte et des certificats Propagation des certificats de la carte et des certificats racineracine
Via le Via le Certificate Propagation Service (CertPropSvc)Certificate Propagation Service (CertPropSvc)
Nettoyage possible des certificats racineNettoyage possible des certificats racine
Support de multiples certificats sur la même carte pour le Support de multiples certificats sur la même carte pour le logonlogon
+ EKU + EKU Smart Card LogonSmart Card Logon (1.3.6.1.4.1.311.20.2.2) optionnel (1.3.6.1.4.1.311.20.2.2) optionnel
+ subjectAltName (SAN)+ subjectAltName (SAN) = UPN optionnel = UPN optionnel Champ optionnel lors du logon pour AltSecID Champ optionnel lors du logon pour AltSecID
Amélioration sensible de la flexibilitéAmélioration sensible de la flexibilitéCf. Cf. « « Guidelines for Enabling Smart Card Logon with Third-Party Guidelines for Enabling Smart Card Logon with Third-Party CertificationCertification » ( » (281245281245))
g
g
Cf. Cf. « « Active Directory Certificate Server Enhancements (aka Active Directory Certificate Server Enhancements (aka Windows PKI) in Windows Server “Longhorn”Windows PKI) in Windows Server “Longhorn” » »
http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?familyid=9bf17231-d832-4ff9-8fb8-0539ba21ab95&displaylang=enfamilyid=9bf17231-d832-4ff9-8fb8-0539ba21ab95&displaylang=en
g Credential Roaming
Enrôlement avancé
Auto-enrôlement
Windows Smart Card Framework
Windows Vista - Services de gestion
Autorité de certification
Rôles Serveur Windows Server “Longhorn” - Services de gestionRôles Serveur Windows Server “Longhorn” - Services de gestion
Services d’enrôlement périphériques
réseau
Services d’enrôlement
Web
Services de révocation en
ligne
Proxy Web Services de
révocation en ligne
Services de cryptographieServices de cryptographie
Service natif de Windows Server 2003 permettant la mise en Service natif de Windows Server 2003 permettant la mise en œuvre d’une Autorité de Certification (AC) œuvre d’une Autorité de Certification (AC)
http://www.microsoft.com/windowsserver2003/technologies/http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspxpki/default.mspx
Cf. « Cf. « Best Practices for Implementing a Microsoft Windows Server Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure2003 Public Key Infrastructure » »
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspxtechnologies/security/ws3pkibp.mspx
Cf. « Cf. « Windows Server 2003 PKI Operations Guide Windows Server 2003 PKI Operations Guide »»http://technet2.microsoft.com/WindowsServer/en/Library/e1d5a892-10e1-http://technet2.microsoft.com/WindowsServer/en/Library/e1d5a892-10e1-417c-be13-99d7147989a91033.mspx417c-be13-99d7147989a91033.mspx
Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 PKCS#1,7,8,10,12
Aucun coût additionnel de licence ou par certificat émisAucun coût additionnel de licence ou par certificat émis
Support de Support de Crypto Next Generation (Crypto Next Generation (CNG)CNG)En termes de configuration, permettre la configuration de En termes de configuration, permettre la configuration de l’ensemble des éléments directement associésl’ensemble des éléments directement associés à la crypto à la crypto
Support de Suite-BSupport de Suite-BAlgorithmes Algorithmes ECC (ECDH, ECDSA), ECC (ECDH, ECDSA), courbes courbes P-256, P-384 P-521 P-256, P-384 P-521
CondensésCondensés SHA-2 (256, 384, 512) SHA-2 (256, 384, 512)
Emission de certificatsEmission de certificatsCertificats de l’AC (signature, échange de clé) Certificats de l’AC (signature, échange de clé)
Certificat Serveur, Client, Protocole (SSL et Certificat Serveur, Client, Protocole (SSL et IPSecIPSec))
Gabarits de certificatGabarits de certificat
Requête de certificat manuelleRequête de certificat manuelle
Algorithme de chiffrement pour la séquestre des clés Algorithme de chiffrement pour la séquestre des clés
En termes de flexibilité, permettre aux entreprises d’insérer En termes de flexibilité, permettre aux entreprises d’insérer si besoin leurs propres algorithmessi besoin leurs propres algorithmes
Consiste en 4 Rôles ServicesConsiste en 4 Rôles ServicesCertification AuthorityCertification Authority
Certification Authority Web Enrollment (CAWE)Certification Authority Web Enrollment (CAWE)
Online Certificate Status Protocol (OCSP)Online Certificate Status Protocol (OCSP)Nouveau service conforme à la RFC 2560Nouveau service conforme à la RFC 2560
Microsoft Simple Certificate Enrollment Protocol (MSCEP)Microsoft Simple Certificate Enrollment Protocol (MSCEP)Intégration en natif du Intégration en natif du Simple Certificate Enrollment Protocol Simple Certificate Enrollment Protocol (SCEP)(SCEP)
Add-on pour Certificate Services de Windows Server 2003 R2Add-on pour Certificate Services de Windows Server 2003 R2
Cf. http://www.microsoft.com/downloads/details.aspx?Cf. http://www.microsoft.com/downloads/details.aspx?familyid=9f306763-d036-41d8-8860-familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en1636411b2d01&displaylang=en
Installation des rôles en mode sans attente ou interactif via Installation des rôles en mode sans attente ou interactif via Add Roles Wizard Add Roles Wizard du Server Managerdu Server Manager
Le Le Roles Management Tool Roles Management Tool (RMT) gère les dépendances internes (RMT) gère les dépendances internes et installe les composants manquantset installe les composants manquants
Définition de valeurs par défaut pour l’ensemble des étapesDéfinition de valeurs par défaut pour l’ensemble des étapes
Amélioration de l’ergonomie et des capacités de diagnosticAmélioration de l’ergonomie et des capacités de diagnostic
AutonomeAutonomeIntervention humaine pour émission (par défaut)Intervention humaine pour émission (par défaut)
Vérification identité du demandeur manuelle ou Out-Of-BandVérification identité du demandeur manuelle ou Out-Of-Band
EntrepriseEntrepriseIntégration Active DirectoryIntégration Active Directory
Support des gabarits de certificats (versions 1, 2 et 3)Support des gabarits de certificats (versions 1, 2 et 3)
Emission des certificats sans intervention humaine (par défaut, Emission des certificats sans intervention humaine (par défaut, sinon configurable par gabarit)sinon configurable par gabarit)
Vérification identité du demandeur par authentification ADVérification identité du demandeur par authentification AD
Établissement de la confiance en l’AC racine par la publication Établissement de la confiance en l’AC racine par la publication de son certificat dans AD systématiquede son certificat dans AD systématique
Publication des certificats utilisateurs et CRLs dans AD Publication des certificats utilisateurs et CRLs dans AD systématiquesystématique
Auto-tout (enrôlement/renouvellement/remplacement), agent Auto-tout (enrôlement/renouvellement/remplacement), agent d’enrôlement (restreint), gestionnaire de certificats (restreint), d’enrôlement (restreint), gestionnaire de certificats (restreint), séquestre de clés, etc.séquestre de clés, etc.
Support des clusters à deux nœudsSupport des clusters à deux nœuds Configuration Active/PassiveConfiguration Active/Passive
AC RacineAC Racine Ex. AC Autonome racine hors ligneEx. AC Autonome racine hors ligne
Son certificat n’a ni d’AIA, ni de CDPSon certificat n’a ni d’AIA, ni de CDPPar défaut, plus besoin d’un fichier CAPolicy.infPar défaut, plus besoin d’un fichier CAPolicy.inf
Les certificats qu’elle émet ont une AIA et une CDPLes certificats qu’elle émet ont une AIA et une CDP
Son certificat et ses CRLs sont publiés manuellementSon certificat et ses CRLs sont publiés manuellement
AC SubordonnéeAC SubordonnéeEx. AC Autonome intermédiaire hors ligneEx. AC Autonome intermédiaire hors ligne
Son certificat, émis pas la racine, comprend une AIA et CDPSon certificat, émis pas la racine, comprend une AIA et CDP
Reste identique à l’AC racine, à l’exception de l’absence de Reste identique à l’AC racine, à l’exception de l’absence de publication de son certificatpublication de son certificat
Ex. AC Entreprise émettrice en ligneEx. AC Entreprise émettrice en ligneSon certificat, émis pas l’AC intermédiaire, comprend une AIA et Son certificat, émis pas l’AC intermédiaire, comprend une AIA et CDPCDP
Les certificats qu’elle émet ont une AIA et une CDPLes certificats qu’elle émet ont une AIA et une CDP
Son certificat et ses CRL sont publiés automatiquementSon certificat et ses CRL sont publiés automatiquement
Créer sa propre hiérarchie indépendanteCréer sa propre hiérarchie indépendante
Se rattacher à une hiérarchie existanteSe rattacher à une hiérarchie existanteSupport de la certification croisée et de la subornation Support de la certification croisée et de la subornation qualifiéequalifiée
Cf. « Cf. « Planning and Implementing Cross-Certification and Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003Qualified Subordination Using Windows Server 2003 » »
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03qswp.mspxtechnologies/security/ws03qswp.mspx
Permet l’introduction des algorithmes Suite-B au sein d’un Permet l’introduction des algorithmes Suite-B au sein d’un environnement existantenvironnement existant
Certificat EntitéSignature SHA-1Chiffrement RSA
Certificat EntitéSignature ECDSA
Chiffr. ECDSA
AC 11 Emettrice
Signature SHA-1
AC 1 Racine
Signature SHA-1
AC 21 Emettrice
Signature ECDSA
Certification croisée
AC 2 Racine
Signature ECDSA
Lors de l’installation à l’aide d’un fichier CAPolicy.infLors de l’installation à l’aide d’un fichier CAPolicy.infSitué sous %SYSTEMROOT%Situé sous %SYSTEMROOT%
Même format que sous Windows Server 2003Même format que sous Windows Server 2003Cf. « Cf. « Installing and configuring a certification authorityInstalling and configuring a certification authority » »
http://technet2.microsoft.com/WindowsServer/en/library/d6eab6a4-http://technet2.microsoft.com/WindowsServer/en/library/d6eab6a4-a680-40b0-9fde-4978be14ebf41033.mspx?mfr=truea680-40b0-9fde-4978be14ebf41033.mspx?mfr=true
Plus besoin d’un fichier CAPolicy.inf pour définir correctement le Plus besoin d’un fichier CAPolicy.inf pour définir correctement le certificat Racine (absence d’extensions AIA et CDP)certificat Racine (absence d’extensions AIA et CDP)
Chargement différé des gabarits pas défautChargement différé des gabarits pas défautLoadDefaultTemplates=0LoadDefaultTemplates=0 soussous [ [Certsrv_ServerCertsrv_Server]]
Utilisation de signatures discrètes pour les certificats de l’AC et Utilisation de signatures discrètes pour les certificats de l’AC et des requêtes de certificat de l’ACdes requêtes de certificat de l’AC
Support du format de signature PKCS#1 V2.1Support du format de signature PKCS#1 V2.1
http://www.rsasecurity.com/rsalabs/node.asp?id=2125http://www.rsasecurity.com/rsalabs/node.asp?id=2125
DiscreteSignatureAlgorithm=1DiscreteSignatureAlgorithm=1 soussous [ [Certsrv_ServerCertsrv_Server]]
Post-installation (CDP, AIA, publication, etc.)Post-installation (CDP, AIA, publication, etc.)
Server Manager/Manage Role Server Manager/Manage Role MMC Certification Authority MMC Certification Authority
certutil –setreg|getregcertutil –setreg|getreg
Server Manager|Server Manager|Manage Role Manage Role (CompMgmtLauncher(CompMgmtLauncher.exe).exe)
Avec Avec MMC Certification MMC Certification Authority Authority (certsrv.msc)(certsrv.msc)
MMC Certificate MMC Certificate Templates Templates (certtmpl.msc) (certtmpl.msc)
MMC Event Viewer MMC Event Viewer (eventvwr.msc) pour (eventvwr.msc) pour CAPI2CAPI2
Enterprise PKIEnterprise PKI
MMC Reliability and MMC Reliability and Performances Monitor Performances Monitor (perfmon.msc)(perfmon.msc)
Pour rappelPour rappelPermet la mise en application d’une politique de certificationPermet la mise en application d’une politique de certification
En plus du profil du certificat (attributs de base, extensions, En plus du profil du certificat (attributs de base, extensions, etc.), les gabarits permettent de spécifieretc.), les gabarits permettent de spécifier
La taille de la clé, et si elle peut être exportable ou non, si elle La taille de la clé, et si elle peut être exportable ou non, si elle doit être séquestréedoit être séquestrée
Si le certificat doit être émis sans intervention humaine, ou Si le certificat doit être émis sans intervention humaine, ou après approbation d’un gestionnaire de certificataprès approbation d’un gestionnaire de certificat
Si le certificat doit être publié dans AD (Si le certificat doit être publié dans AD (userCertificateuserCertificate) ou non) ou non
Si le renouvellement nécessite un certificat valideSi le renouvellement nécessite un certificat valide
Si le gabarit vient en remplacement d’une ou plusieurs gabarits Si le gabarit vient en remplacement d’une ou plusieurs gabarits obsolètesobsolètes
Si le certificat est soumis à une gestion automatique de son Si le certificat est soumis à une gestion automatique de son cycle de vie par la fonction d’auto-enrôlementcycle de vie par la fonction d’auto-enrôlement
Etc.Etc.
Support des gabarits versions 1 et 2Support des gabarits versions 1 et 2Cf. Cf. « « Implementing and Administering Certificate Templates Implementing and Administering Certificate Templates in Windows Server 2003in Windows Server 2003 » »
http://www.microsoft.com/technet/prodtechnol/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspxwindowsserver2003/technologies/security/ws03crtm.mspx
Nécessite une installation de type EntrepriseNécessite une installation de type EntrepriseContainer AD Container AD Certificate TemplatesCertificate Templates
Ressource globale d’entrepriseRessource globale d’entreprise
ACLsACLs sur les gabarits sur les gabarits
Quelles populations ont droit à quel(s) certificat(s)Quelles populations ont droit à quel(s) certificat(s)
L’AC vérifie l’autorisation de demandeur sur le gabarit référencé L’AC vérifie l’autorisation de demandeur sur le gabarit référencé dans la requêtedans la requête
Container AD Container AD Enrollment ServicesEnrollment ServicesListe des gabarits servis pour chaque AC d’entrepriseListe des gabarits servis pour chaque AC d’entreprise
Introduction d’une version 3Introduction d’une version 3Prise en compte des nouvelles fonctionnalités pour les Prise en compte des nouvelles fonctionnalités pour les clients Windows Vista seulementclients Windows Vista seulement
Non disponible dans CAWENon disponible dans CAWE
Version 3Version 3Onglet Onglet Request HandlingRequest Handling
Support d’AES 256 pour le chiffrement Support d’AES 256 pour le chiffrement des clés privées lors du transfert à l’AC des clés privées lors du transfert à l’AC pour séquestrepour séquestre
Ajout, pour des gabarits machine, d’une Ajout, pour des gabarits machine, d’une permissions Read sur la clé privée pour permissions Read sur la clé privée pour Network ServiceNetwork Service
Plus besoin d’ajuster manuellement à Plus besoin d’ajuster manuellement à postériori le magasin de certificats machinepostériori le magasin de certificats machine
Filtrage de la liste des algorithmes Filtrage de la liste des algorithmes asymétriques en fonction du but du asymétriques en fonction du but du certificatcertificat
Onglet Onglet CryptographyCryptography
Version 3Version 3Onglet Onglet Request HandlingRequest Handling
Support d’AES 256 pour le chiffrement Support d’AES 256 pour le chiffrement des clés privées lors du transfert à l’AC des clés privées lors du transfert à l’AC pour séquestrepour séquestre
Ajout, pour des gabarits machine, d’une Ajout, pour des gabarits machine, d’une permissions Read sur la clé privée pour permissions Read sur la clé privée pour Network ServiceNetwork Service
Plus besoin d’ajuster manuellement à Plus besoin d’ajuster manuellement à postériori le magasin de certificats machinepostériori le magasin de certificats machine
Filtrage de la liste des algorithmes Filtrage de la liste des algorithmes asymétriques en fonction du but du asymétriques en fonction du but du certificatcertificat
Onglet Onglet CryptographyCryptography
Version 3Version 3Nouvel onglet Nouvel onglet CryptographyCryptography
Support des algorithmes asymétriques Support des algorithmes asymétriques implémentés par un KSP CNGimplémentés par un KSP CNG
Par défaut : DSA, ECDH_P256, ECDH_P384, Par défaut : DSA, ECDH_P256, ECDH_P384, ECDH_P521, ECDSA_P384, ECDSA_P521 et ECDH_P521, ECDSA_P384, ECDSA_P521 et RSARSA
Support des algorithmes de condensé Support des algorithmes de condensé implémentés par un KSP CNGimplémentés par un KSP CNG
Par défaut : MD2, MD4, MD5, SHA-1, SHA-Par défaut : MD2, MD4, MD5, SHA-1, SHA-256, SHA-384 et SHA-512256, SHA-384 et SHA-512
Support de l’exigence d’une signature Support de l’exigence d’une signature discrète pour les requêtes de certificatsdiscrète pour les requêtes de certificats
Pour l’auto-enrôlement et les requêtes via Pour l’auto-enrôlement et les requêtes via la MMC la MMC CertificatesCertificates
Ne s’applique pas aux requêtes créées avec Ne s’applique pas aux requêtes créées avec Certreq.exeCertreq.exe
Filtrage de la liste des fournisseurs en Filtrage de la liste des fournisseurs en fonction de la taille de clé minimumfonction de la taille de clé minimum
Permet de limiter les permissions dont disposent les Permet de limiter les permissions dont disposent les agents d’enrôlement pour l’enrôlement pour le agents d’enrôlement pour l’enrôlement pour le compte d’autres vis-à-vis de tel ou tel gabaritcompte d’autres vis-à-vis de tel ou tel gabarit
Un agent d’enrôlement doit disposer d’un certificat agent Un agent d’enrôlement doit disposer d’un certificat agent d’enrôlementd’enrôlement
Extension politique applicative « Extension politique applicative « Certificate Request AgentCertificate Request Agent » » (OID=1.3.6.1.4.1.311.20.2.1)(OID=1.3.6.1.4.1.311.20.2.1)
Permet de contrôler la granularité de la gestion des Permet de contrôler la granularité de la gestion des certificats (approbation/révocation)certificats (approbation/révocation)
Suppose de définir des groupes de sécurité et de leur Suppose de définir des groupes de sécurité et de leur conférer des permissions pour émettre et gérer des conférer des permissions pour émettre et gérer des certificatscertificats
Restrictions des gabarits, et des populations par gabarit Restrictions des gabarits, et des populations par gabarit
Support de l’extension IDP CRLSupport de l’extension IDP CRLDétermination du périmètre d’une LRCDétermination du périmètre d’une LRC
Ajoutée pour les clients non Windows et pointe vers les même Ajoutée pour les clients non Windows et pointe vers les même URL que l’extension CDP (HTTP et LDAP)URL que l’extension CDP (HTTP et LDAP)
Géré par les clients Windows avec MS05-11Géré par les clients Windows avec MS05-11
Compteurs de performancesCompteurs de performancesNouveaux groupes de compteursNouveaux groupes de compteurs
Certification AuthorityCertification Authority
Certification Authority Connections Certification Authority Connections
Enterprise PKIEnterprise PKIValider le statut de multiples ACValider le statut de multiples ACss
Précédemment inclus dans Précédemment inclus dans le Windows Server 2003 Service le Windows Server 2003 Service Pack 1 Administration Tools PackPack 1 Administration Tools Pack
http://www.microsoft.com/downloads/details.aspx?http://www.microsoft.com/downloads/details.aspx?FamilyID=E487F885-F0C7-436A-A392-FamilyID=E487F885-F0C7-436A-A392-25793A25BAD7&displaylang=en25793A25BAD7&displaylang=en
Intègre désormais Intègre désormais les URLs OCSPles URLs OCSP
Diagnostics CAPI2Diagnostics CAPI2MMC Event ViewerMMC Event Viewer
Applications and Services Logs\Microsoft\Windows\CAPI2\Applications and Services Logs\Microsoft\Windows\CAPI2\OperationalOperational
Wevutil.exe sl Microsoft-Windows-CAPI2/Operational /e:trueWevutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true
MOM 2005 Management PackMOM 2005 Management PackDirectement opérationnel avec un paramétrage prédéfini Directement opérationnel avec un paramétrage prédéfini (modifiable)(modifiable)
Exécution des scripts MOM pour vérifier 4 domainesExécution des scripts MOM pour vérifier 4 domaines1.1. Interfaces RPC et DCOM de l’ACInterfaces RPC et DCOM de l’AC
2.2. Statut des certificats de l’ACStatut des certificats de l’AC
3.3. Statut de la CRL de l’ACStatut de la CRL de l’AC
4.4. Statut des certificats KRA de l’ACStatut des certificats KRA de l’AC
Collecte des évènements significatifsCollecte des évènements significatifsDocumentation des évènements Documentation des évènements
Comment confirmer un état ou un dysfonctionnement ?Comment confirmer un état ou un dysfonctionnement ?
Comment résoudre un dysfonctionnement lié à un évènement ?Comment résoudre un dysfonctionnement lié à un évènement ?
Collecte des compteurs de performancesCollecte des compteurs de performancesDéfinition des seuils d’alerte et d’erreur pour certains compteursDéfinition des seuils d’alerte et d’erreur pour certains compteurs
Documentation pour les seuils lorsqu’ils sont atteintsDocumentation pour les seuils lorsqu’ils sont atteints
g
g
g Credential Roaming
Enrôlement avancé
Auto-enrôlement
Windows Smart Card Framework
Windows Vista - Services de gestion
Autorité de certification
Rôles Serveur Windows Server “Longhorn” - Services de gestionRôles Serveur Windows Server “Longhorn” - Services de gestion
Services d’enrôlement périphériques
réseau
Services d’enrôlement
WebServices
de révocation en ligne
Proxy Web
Services de
révocation en ligne
Services de cryptographieServices de cryptographie
La révocation basée sur les LRC et delta LRC n’est La révocation basée sur les LRC et delta LRC n’est pas adaptées à l’ensemble des scénariospas adaptées à l’ensemble des scénarios
LRCs de taille importante, connexion RPC, contrôle de LRCs de taille importante, connexion RPC, contrôle de révocation au moment du bootrévocation au moment du boot
Nouveau service OCSP Responder dans Windows Nouveau service OCSP Responder dans Windows Server “Longhorn”Server “Longhorn”
Nouveau client OCSP dans Windows VistaNouveau client OCSP dans Windows Vista
Intégration OCSP stapling dans les protocoles Intégration OCSP stapling dans les protocoles Kerberos et SSLKerberos et SSL
Conforme avec la RFC 2560Conforme avec la RFC 2560
Axes de conceptionAxes de conceptionPerformances, évolutivité (Performances, évolutivité (scale-outscale-out) et exploitabilité) et exploitabilité
Principales fonctionnalités de l’OCSP ResponderPrincipales fonctionnalités de l’OCSP ResponderSupport du cache (Support du cache (in-memoryin-memory Extension ISAPI) Extension ISAPI)
En complément du cache de 120 secs d’HTTP.SYS IISEn complément du cache de 120 secs d’HTTP.SYS IIS
Support des requêtes NONCE et No-NONCESupport des requêtes NONCE et No-NONCE
Support de multiples ACsSupport de multiples ACs
Support des auditsSupport des audits
Fonctionnalités additionnelles Fonctionnalités additionnelles Compteurs de performances spécifiquesCompteurs de performances spécifiques
MOM 2005 Management PackMOM 2005 Management Pack
Gabarit de certificat Gabarit de certificat OCSP Signing OCSP Signing pour faciliter le pour faciliter le déploiementdéploiement
Support de bout-en-bout des principaux scénarios Support de bout-en-bout des principaux scénarios d’utilisation d’une d’utilisation d’une ICGICG
Ouverture de session par carte à puce, authentification Ouverture de session par carte à puce, authentification cliente SSL/TLS par certificat, messagerie sécurisée cliente SSL/TLS par certificat, messagerie sécurisée (S/MIME), signature électronique (qualifiée), accès distant (S/MIME), signature électronique (qualifiée), accès distant via VPN (EAP-TLS), sécurisation accès Wifi (EAP-TLS), etc.via VPN (EAP-TLS), sécurisation accès Wifi (EAP-TLS), etc.
Avec une agilité cryptographique (CNG) et une prise en Avec une agilité cryptographique (CNG) et une prise en compte facilitée des cartes à puce (mini-pilote)compte facilitée des cartes à puce (mini-pilote)
Nouvelles UI et API Nouvelles UI et API d’enrôlementd’enrôlement
Amélioration du déploiement et de la capacité de Amélioration du déploiement et de la capacité de gestion d’AD gestion d’AD Certificate ServicesCertificate Services
Support de l’ensemble des mécanismes de Support de l’ensemble des mécanismes de révocationrévocation
Windows VistaWindows Vistahttp://www.microsoft.com/windows/products/http://www.microsoft.com/windows/products/windowsvista/default.mspxwindowsvista/default.mspx
Windows Server Windows Server “Longhorn”“Longhorn”http://www.microsoft.com/windowsserver/longhorn/http://www.microsoft.com/windowsserver/longhorn/default.mspxdefault.mspx
Public Key Infrastructure for Windows Server 2003Public Key Infrastructure for Windows Server 2003http://www.microsoft.com/windowsserver2003/http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspxtechnologies/pki/default.mspx
Microsoft Certificate Lifecycle Manager (CLM) Microsoft Certificate Lifecycle Manager (CLM) Beta Beta 22
http://www.microsoft.com/technet/clm/default.mspxhttp://www.microsoft.com/technet/clm/default.mspx
S’informer S’informer - Un portail d’informations, des - Un portail d’informations, des événements, une newsletter bimensuelle événements, une newsletter bimensuelle personnaliséepersonnalisée
Se former - Se former - Des webcasts, des articles techniques, des Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos téléchargements, des forums pour échanger avec vos pairspairs
Bénéficier de services - Bénéficier de services - Des cursus de formations et Des cursus de formations et de certifications, des offres de support techniquede certifications, des offres de support technique
Visual Studio 2005 +Visual Studio 2005 +
Abonnement Abonnement MSDN MSDN Premium Premium
Abonnement Abonnement TechNet TechNet Plus :Plus :
Versions d’éval + 2 incidents Versions d’éval + 2 incidents supportsupport
© 2007 Microsoft France
Votre potentiel, notre passion TM