Configuration et utilisation de l'agent de récupération de clés avec la PKI 2008 R2


précédentsommairesuivant

II. Configuration de l'agent

II-A. Activation du modèle de certificat

L'agent de récupération de clés possède son propre modèle de certificat qui, par défaut, n'est pas délivré par votre autorité d'entreprise pour des raisons de sécurité : cet agent va vous permettre de récupérer toutes les clés archivées, donc son utilisation doit être restreinte.
Nous allons commencer par activer le modèle de certificat de l'agent de récupération de clés. Il faut vous connecter sur votre autorité d'entreprise avec un compte pouvant l'administrer. Ouvrez la console de l'autorité et allez dans les Modèles de certificats puis faites un clic droit et cliquez sur Gérer pour ouvrir la console de gestion des modèles de certificats.

Vous pouvez accéder à cette console en exécutant certtmpl.msc.

Gestion des modèles de certificat
Gestion des modèles de certificat

Ouvrez les propriétés du modèle Agent de récupération de clé.

Propriétés du modèle de certificat de l'agent de récupération de clé
Propriétés du modèle de certificat de l'agent de récupération de clé

Dans l'onglet Traitement de la demande, vous pouvez changer la taille de la clé. Microsoft recommande de ne pas dépasser une taille de 8192 : la récupération de clé demandera plus de calculs et prendra donc plus de temps ce qui impactera les performances de votre autorité. Une taille de clé de 2048 assure une bonne sécurité des données et n'impactera pas de manière visible les performances de l'autorité. Cela représente donc un bon compromis entre sécurité et performance.
L'exportation de la clé est autorisée sur ce modèle de certificat. Je vous déconseille de désactiver cette possibilité : la clé de l'agent de récupération ne peut pas être récupérée. Vous pourrez donc exporter cette clé à titre de sauvegarde. Cette clé permettant de récupérer les clés archivées, il est essentiel de prendre des mesures de sécurité très fortes pour sa conservation. En effet, si l'agent de récupération est compromis, toutes les clés archivées pourront être récupérées et seront donc toutes compromises.

Choix de la taille de clé
Choix de la taille de clé

Vous devez maintenant autoriser un utilisateur à générer le certificat de l'agent de récupération. Pour cela, allez dans l'onglet Sécurité et cliquez sur Ajouter.

Ajout d'un utilisateur
Ajout d'un utilisateur

Sélectionnez l'utilisateur qui sera responsable de l'agent de récupération puis ajoutez-lui le droit d'inscription. Enfin cliquez sur OK. Je conseille de créer un utilisateur dédié à l'agent de récupération. Lorsque vous ne vous servez pas de ce compte, désactivez-le dans l'Active Directory afin d'éviter toute tentative de connexion. Vous pourrez activer l'utilisateur lorsqu'il y aura des clés à récupérer.

Cet utilisateur devra disposer des droits d'administration de votre autorité de certification.

Ajout de la permission d'inscription
Ajout de la permission d'inscription

Fermez la console de gestion des modèles de certificats pour revenir aux modèles de certificats délivrés par votre autorité. Ajoutez le modèle de l'agent de récupération de clés en faisant un clic droit sur Nouveau, Modèle de certificat à délivrer. Cela va permettre à votre autorité de délivrer des certificats d'agent de récupération de clés.

Ajout du modèle de certificat
Ajout du modèle de certificat

Sélectionnez le modèle de l'agent de récupération de clé et cliquez sur OK.

Sélection de l'agent de récupération de clé
Sélection de l'agent de récupération de clé

II-B. Inscription du certificat

Vous devrez ensuite vous connecter avec l'utilisateur responsable de l'agent de récupération de clés. Ouvrez une MMC (en exécutant mmc) puis ajoutez le composant Certificats en cliquant sur Fichier, Ajouter/Supprimer un composant logiciel enfichable. Ajoutez le composants Certificats (en double-cliquant dessus). Il vous sera demandé pour qui le composant devra générer des certificats, choisissez Mon compte d'utilisateur. Cliquez sur Terminer puis OK. Allez dans Racine de la console, Certificats - Utilisateur, Personnel. Faites un clic droit sur Certificats, Toutes les tâches, Demander un nouveau certificat.

Demande de nouveau certificat
Demande de nouveau certificat

Vous n'aurez pas à changer la stratégie d'inscription à Active Directory, cliquez sur Suivant.

Stratégie d'inscription à Active Directory
Stratégie d'inscription à Active Directory

Vous devrez ensuite sélectionner le type de certificat à générer parmi ceux qui vous ont été accordés. Cochez l'agent de récupération de clés et cliquez sur Inscription.

Sélection du type de certificat
Sélection du type de certificat

La soumission de la demande est envoyée à l'autorité de certification. Un tel certificat ne doit pas être distribué à n'importe qui donc il est soumis à validation manuelle.

Inscription soumise à l'autorité
Inscription soumise à l'autorité

Vous pouvez voir votre demande dans la MMC ouverte précédemment dans Demandes d'inscription de certificat, Certificats.

Demande d'inscription de certificat

Il va maintenant falloir délivrer ce certificat sur l'autorité de certification afin de compléter l'inscription. Allez sur votre autorité de certification dans Demandes en attente. Vous devriez voir la demande de votre utilisateur pour un certificat d'agent de récupération de clé à une heure donnée.

Demande en attente
Demande en attente

S'il s'agit bien de la bonne demande, vous pouvez délivrer le certificat en faisant un clic droit sur Toutes les tâches, Délivrer.

deliver

Retournez sur votre session utilisateur responsable de la récupération de clés pour récupérer le certificat. Dans la MMC certificats, faites un clic droit sur Certificats - Utilisateur, Toutes les tâches, Inscrire et récupérer automatiquement les certificats.

Inscription du certificat
Inscription du certificat

Vous verrez alors les types de certificats en attente que vous pouvez inscrire. Sélectionnez l'Agent de récupération de clé et cliquez sur Inscription.

Inscription du certificat

L'inscription est terminée et le certificat est installé sur le compte utilisateur.

Installation du certificat
Installation du certificat

Dans la liste des certificats, vous pourrez ouvrir le nouveau certificat installé en double-cliquant dessus et contrôler son rôle et à qui il a été délivré.

Nouveau certificat installé
Nouveau certificat installé

II-C. Activation de l'agent

Cette partie requiert un redémarrage de l'autorité de certification. Veillez donc à prendre les dispositions nécessaires pour redémarrer sans trop d'incidence (à une heure creuse par exemple).

Il va maintenant falloir attribuer le certificat à l'agent de récupération de clés. Allez dans les propriétés de votre autorité de certification.

Propriétés de l'autorité
Propriétés de l'autorité

Allez dans l'onglet Agents de récupération puis cliquez sur Archiver la clé. Indiquez le nombre d'agents que vous souhaitez créer puis cliquez sur Ajouter.

Activation de l'agent de récupération de clé
Activation de l'agent de récupération de clé

Il vous sera alors proposé de sélectionner un certificat parmi la liste présentée : cette liste ne montre que les certificats valides pour l'utilisation voulue. Vous pouvez afficher les propriétés si vous le souhaitez afin de vous assurer de la sélection.

Sélection du certificat du KRA
Sélection du certificat du KRA

Le certificat sera ajouté à la liste des certificats de l'agent de récupération de clés. Par défaut, il est jugé comme non valide pour l'utilisation dans l'agent : il n'a simplement pas été chargé.

Certificat ajouté mais non chargé
Certificat ajouté mais non chargé

Pour charger le certificat, cliquez sur Appliquer. Il vous sera alors demandé de redémarrer l'autorité de certification.

Vous devrez relancer la console de l'autorité de certification afin de prendre en compte le redémarrage de l'autorité. Si vous retournez voir les propriétés de l'agent de récupération, le certificat sera marqué comme valide.

Certificat valide
Certificat valide

précédentsommairesuivant

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

  

Copyright © 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts. Droits de diffusion permanents accordés à Developpez LLC.