Mettre en place la solution d'infrastructure à clé publique (PKI) de Microsoft

Le fonctionnement de SDS Enterprise requiert l'utilisation de clés de chiffrement et de signature pour tous les utilisateurs de l'entreprise. Pour mettre en place la solution de PKI de Microsoft Windows afin de générer les clés de vos utilisateurs, suivez les étapes ci-dessous.

La mise en œuvre de la PKI de Microsoft Windows facilite entre autres la création de comptes utilisateurs en mode SSO, qui nécessitent de stocker les clés dans les magasins de certificats Windows. Pour en savoir plus, consultez la section Créer un compte Single Sign-On (SSO).

Vous devez disposer d'un serveur Microsoft Windows faisant office de contrôleur de domaine et lui assigner les rôles suivants :

  • Serveur DHCP

  • Serveur DNS

  • Services de domaine Active Directory (AD DS)

La première étape consiste à mettre en œuvre une autorité de certification sur votre serveur Windows, à l'aide du rôle Services de certificats Active Directory (AD CS). L'autorité de certification émet, révoque et renouvelle les clés des utilisateurs.

La première autorité de certification que vous déployez devient l'autorité racine de votre PKI interne. Par la suite vous pouvez déployer des autorités de certification secondaires et constituer une hiérarchie d'autorités.

Suivez la procédure ci-dessous pour configurer votre autorité de certification et la déclarer dans vos politiques de sécurité SDS Enterprise.

NOTE
Pour plus d'informations sur l'utilisation du Gestionnaire de serveur Windows et la mise en œuvre d'une autorité de certification, consultez la documentation de Microsoft.

  1. Sur votre serveur Windows, ouvrez le Gestionnaire de serveur.

  2. Cliquez sur Ajouter des rôles et des fonctionnalités.

  3. Complétez les écrans suivants.

  4. Sur l'écran des rôles de serveurs, sélectionnez Services de certificats Active Directory.

  5. Ajoutez les services de rôle Autorité de certification et Inscription de l'autorité de certification via le web.

  6. Après l'installation, lors de la configuration des services de certificats Active Directory, sélectionnez Autorité de certification d'entreprise dans le Type d'installation.

  7. Sélectionnez Autorité de certification racine dans le Type d'AC.

  8. Complétez les écrans suivants.

  9. Sauvegardez le certificat de l'autorité de certification au format .cer, .crt ou .cert.

  10. Importez-le dans la bibliothèque de certificats de SDMC en suivant la procédure Gérer les certificats des autorités de certification et les certificats de recouvrement dans SDMC.

  11. Déclarez l'autorité de certification dans vos politiques de sécurité en suivant la procédure Ajouter des autorités de certification et configurer le contrôle de révocation des certificats.

Une autorité de certification peut se référer à une CRL pour vérifier la validité des certificats. Vos politiques de sécurité SDS Enterprise doivent connaître les points de distribution des CRL.

Pour configurer la CRL de votre autorité racine :

  1. Sur le serveur, ouvrez le Gestionnaire d'autorités de certification certsrv.msc et affichez les propriétés de l'autorité de certification que vous venez de créer.

  2. Dans l'onglet Extensions, cliquez sur Ajouter.

  3. Renseignez l'emplacement public qui hébergera la CRL puis validez.

  4. Cochez les cases Inclure dans les listes de révocation des certificats afin de pouvoir rechercher les listes de révocation des certificats delta et Inclure dans l'extension CDP des certificats émis.

  5. Sélectionnez le lien LDAP dans les emplacements de CRL et décochez la case Inclure dans l'extension CDP des certificats émis.

  6. Fermez les propriétés de l'autorité.

  7. Redémarrez les services de certificats Active Directory.

  8. Dans vos politiques de sécurité SDS Enterprise dans SDMC, indiquez les points de distribution des CRL en suivant la procédure Ajouter des autorités de certification et configurer le contrôle de révocation des certificats.

Nous vous recommandons de ne pas stocker le fichier de CRL sur le serveur AD CS. Vous pouvez le stocker sur un serveur web accessible à tous les utilisateurs en HTTPS.

NOTE
Pour plus d'informations sur l'utilisation du Gestionnaire d'autorités de certification, consultez la documentation de Microsoft.

L'agent de récupération de clé est un administrateur Windows autorisé à déchiffrer les clés privées qui sont archivées par la PKI.

Commencez par créer un utilisateur qui tiendra le rôle d'agent de récupération de clé dans votre annuaire Active Directory. Puis créez un modèle de certificat d'agent de récupération de clé et publiez-le :

  1. Sur le serveur, ouvrez le Gestionnaire d'autorités de certification certsrv.msc.

  2. Sur le répertoire Modèles de certificats de l'autorité de certification, faites un clic droit et sélectionnez Gérer.

  3. Dans le panneau de droite, faites un clic droit sur le modèle Agent de récupération de clé et sélectionnez Dupliquer le modèle.

  4. Dans l'onglet Sécurité, ajoutez votre agent de récupération de clé.

  5. Accordez-lui la permission S'inscrire.

  6. Validez la création du modèle.

  7. Pour publier le nouveau modèle, sur le répertoire Modèles de certificats de l'autorité de certification, faites un clic droit et sélectionnez Nouveau > Modèle de certificat à délivrer.

  8. Sélectionnez le modèle de certificat d'agent de récupération de clé.

  9. Validez la publication.
    Le nouveau modèle est maintenant disponible dans les Modèles de certificats et prêt à être utilisé.

Demandez ensuite un certificat pour l'agent de récupération de clé selon le nouveau modèle ajouté précédemment :

  1. Sur un poste de travail du domaine, connectez-vous avec le compte Windows de l'agent de récupération de clé.

  2. Ouvrez le Gestionnaire de certificats Windows certmgr.msc.

  3. Sur le magasin Personnel > Certificats, faites un clic droit et sélectionnez Toutes les tâches > Demander un nouveau certificat.

  4. Sélectionnez le modèle de certificat d'agent de récupération de clé.
    Le certificat est généré dans le magasin de certificats Windows de l'agent de récupération de clé.

Validez la demande de certificat dans le Gestionnaire d'autorités de certification de nouveau sur le serveur de l'autorité :

  1. Ouvrez le gestionnaire certsrv.msc.

  2. Sélectionnez le répertoire Demandes en attente de l'autorité de certification.

  3. Sélectionnez le certificat correspondant à la demande.

  4. Faites un clic droit et sélectionnez Toutes les tâches > Délivrer.

Terminez la création en déclarant la clé de l'agent de récupération de clé :

  1. Dans le gestionnaire certsrv.msc, affichez les propriétés de l'autorité de certification.

  2. Dans l'onglet Agents de récupération, cochez l'option Archiver la clé et ajoutez le certificat de l'agent de récupération de clé.

  3. Validez puis redémarrez les services de certificats Active Directory.

Enfin, dans les propriétés des modèles de certificat de chiffrement et de recouvrement que vous allez créer ci-après :

  • Assurez-vous d'avoir coché la case Archiver la clé privée de chiffrement du sujet dans l'onglet Traitement de la demande afin de bien archiver toutes les clés privées dans la PKI.

NOTE
Pour plus d'informations sur l'utilisation du Gestionnaire d'autorités de certification, consultez la documentation de Microsoft.

Vous devez à présent créer des modèles de certificats pour générer par la suite les certificats de chiffrement et de signature des utilisateurs, et les clés privées associées. Vous avez également besoin de modèles pour les signataires de politiques de sécurité SDS Enterprise et pour les comptes de recouvrement.

Créer les modèles de certificat pour le chiffrement et la signature

  1. Sur le serveur, ouvrez le Gestionnaire d'autorités de certification certsrv.msc.

  2. Sur le répertoire Modèles de certificats de l'autorité de certification, faites un clic droit et sélectionnez Gérer.

  3. Faites un clic droit sur le modèle Utilisateur et sélectionnez Dupliquer le modèle.

  4. Dans l'onglet Général, indiquez son nom et sa période de validité, ainsi que la période de renouvellement si nécessaire.

  5. Dans l'onglet Traitement de la demande :

    • Sélectionnez Chiffrement ou Signature selon le type de modèle à créer,

    • Dans le cas d'un modèle de certificat pour le chiffrement, cochez la case Archiver la clé privée de chiffrement du sujet afin de permettre à l'agent de récupération de clé de déchiffrer les clés privées qui sont archivées par la PKI en cas de besoin,

    • Autorisez éventuellement l'export de la clé privée si cela est autorisé par la politique de sécurité de votre entreprise.

  6. Dans l'onglet Chiffrement, choisissez 4096 pour la taille minimale de la clé.

  7. Dans l'onglet Extensions, assurez-vous d'avoir ces extensions avec les options suivantes :

      Options pour le chiffrement Options pour la signature
    Stratégies d'application Messagerie électronique sécurisée Messagerie électronique sécurisée
    Utilisation de la clé

    - Autoriser l'échange de clés uniquement avec le chiffrement (Chiffrement de clés)

    - Autoriser le chiffrement des données utilisateurs

    - Rendre cette extension critique

    - Signature numérique

    - Signature faisant preuve de l'origine (Non répudiation)

    - Rendre cette extension critique

    Veillez à supprimer les autres extensions affichées dans l'onglet afin de garder seulement les deux extensions indiquées dans le tableau.

  8. Dans l'onglet Sécurité, cochez la permission S'inscrire pour les utilisateurs du domaine. Elle est suffisante pour une demande de certificat manuelle.

  9. Validez la création du modèle.

Pour publier le modèle nouvellement créé, consultez la section Publier les modèles.

Créer le modèle de certificat pour le signataire de politiques de sécurité SDS Enterprise

Le modèle de certificat pour le signataire est identique au modèle de certificat de signature pour les utilisateurs. Seule la durée de validité du certificat diffère.

  1. Suivez la procédure décrite dans la section Créer les modèles de certificat pour le chiffrement et la signature en sélectionnant Signature dans l'onglet Traitement de la demande.

  2. Dans l'onglet Général, nous vous recommandons de paramétrer une durée de validité plus élevée que la durée généralement prévue pour les certificats de signature des utilisateurs.

Pour publier le modèle nouvellement créé, consultez la section Publier les modèles.

Créer le modèle de certificat pour le compte de recouvrement

Le modèle de certificat pour le compte de recouvrement est identique au modèle de certificat de chiffrement pour les utilisateurs. Seule la durée de validité du certificat diffère.

  1. Suivez la procédure décrite dans la section Créer les modèles de certificat pour le chiffrement et la signature en sélectionnant Chiffrement dans l'onglet Traitement de la demande.

  2. Dans l'onglet Général, nous vous recommandons de paramétrer une durée de validité plus élevée que la durée généralement prévue pour les certificats de chiffrement des utilisateurs.

Pour publier le modèle nouvellement créé, consultez la section Publier les modèles.

Publier les modèles

Pour publier les modèles de certificats :

  1. Dans le Gestionnaire d'autorités de certification certsrv.msc, sur le répertoire Modèles de certificats de l'autorité de certification, faites un clic droit et sélectionnez Nouveau > Modèle de certificat à délivrer.

  2. Sélectionnez les modèles créés précédemment.

  3. Validez la publication.
    Les nouveaux modèles sont maintenant disponibles dans les Modèles de certificats et prêts à être utilisés.

Les politiques de sécurité SDS Enterprise sont signées par un compte signataire, garantissant leur authenticité et leur intégrité.

Le compte signataire est un compte utilisateur Windows avec une clé de signature uniquement, qui ne sert que pour la signature des politiques de sécurité.

Pour créer le certificat et la clé privée associée du compte signataire de politique, utilisez le modèle de certificat de signataire ajouté précédemment :

  1. Sur un poste de travail du domaine, connectez-vous avec le compte Windows de l'agent signataire de politique.

  2. Ouvrez le Gestionnaire de certificats Windows certmgr.msc.

  3. Sur le magasin Personnel > Certificats, faites un clic droit et sélectionnez Toutes les tâches > Demander un nouveau certificat.

  4. Sélectionnez le modèle de certificat de signataire de politique de sécurité.
    Le certificat est généré dans le magasin de certificats Windows de l'agent signataire de politique.

  5. Sauvegardez le certificat au format .cer, .crt ou .cert.

  6. Sauvegardez la clé privée au format .pfx.

Pour signer une politique de sécurité, reportez-vous à la section Télécharger et signer une politique de sécurité.

NOTE
Pour plus d'informations sur l'utilisation du Gestionnaire de certificats Windows, consultez la documentation de Microsoft.

Le compte de recouvrement est nécessaire pour sécuriser l'utilisation de SDS Enterprise. Il s'agit d'un compte utilisateur Windows avec une clé de chiffrement uniquement.

Pour en savoir plus sur le fonctionnement du compte de recouvrement, reportez-vous à la section Permettre le recouvrement de données.

Pour créer le certificat et la clé privée associée du compte de recouvrement, utilisez le modèle de certificat pour le compte de recouvrement ajouté précédemment :

  1. Sur un poste de travail du domaine, connectez-vous avec le compte Windows de l'agent de recouvrement.

  2. Ouvrez le Gestionnaire de certificats Windows certmgr.msc.

  3. Sur le magasin Personnel > Certificats, faites un clic droit et sélectionnez Toutes les tâches > Demander un nouveau certificat.

  4. Sélectionnez le modèle de certificat pour le compte de recouvrement.
    Le certificat est généré dans le magasin de certificats Windows de l'agent de recouvrement.

  5. Sauvegardez le certificat au format .cer, .crt ou .cert.

  6. Sauvegardez la clé privée au format .pfx.

    ATTENTION
    Veillez à bien conserver cette clé dans un endroit sécurisé.

  7. Importez le certificat dans la bibliothèque de certificats de SDMC en suivant la procédure Gérer les certificats des autorités de certification et les certificats de recouvrement dans SDMC.

  8. Indiquez les certificats des comptes de recouvrement à utiliser dans chacune de vos politiques de sécurité en suivant la procédure Permettre le recouvrement de données.

NOTE
Pour plus d'informations sur l'utilisation du Gestionnaire de certificats Windows, consultez la documentation de Microsoft.

Pour créer des comptes utilisateurs SDS Enterprise en mode SSO, les certificats des utilisateurs doivent être stockés dans les magasins de certificats Windows des postes de travail. Ainsi, lorsqu'un utilisateur se connecte pour la première fois à SDS Enterprise, la création de son compte est automatique, à condition aussi que la politique de sécurité comporte les paramètres nécessaires.

Pour créer et déployer une politique de sécurité SDS Enterprise autorisant la création de comptes en mode SSO, reportez-vous à la section Créer un compte Single Sign-On (SSO).

Deux solutions sont possibles pour gérer les demandes de création de certificats des utilisateurs de la solution SDS Enterprise et pour les stocker dans les magasins Windows :

  • le processus d'enrôlement automatique déployé via une stratégie de groupe (GPO).

  • la demande manuelle via le Gestionnaire de certificats Windows certmgr.msc sur les postes des utilisateurs.

Paramétrer l'enrôlement automatique des utilisateurs

L'enrôlement automatique permet aux utilisateurs de demander un certificat de façon transparente lorsqu'ils se connectent à leur session Windows. Le certificat est alors généré automatiquement via une stratégie de groupe et stocké dans le magasin de certificats Windows de l'utilisateur.

PREREQUIS
Pour mettre en place l'enrôlement automatique, vous devez avoir coché au préalable la permission d'auto-enrôlement pour les utilisateurs du domaine, dans l'onglet Sécurité des propriétés de vos modèles de certificats de chiffrement et de signature sur votre serveur faisant office d'autorité de certification.

Sur votre serveur, créez une nouvelle stratégie de groupe :

  1. Ouvrez le gestionnaire de stratégies de groupe.

  2. Créez une nouvelle stratégie sur le domaine concerné.

  3. Dans l'éditeur de stratégies de groupe, sélectionnez le répertoire Configuration utilisateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de clé publique.

  4. Dans le panneau de droite, ouvrez les propriétés de l'objet Client des services de certificats - Inscription automatique.

  5. Dans Modèle de configuration, sélectionnez Activé.

  6. Cochez les options Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués et Mettre à jour les certificats qui utilisent les modèles de certificats puis validez.

  7. Déployez la nouvelle stratégie de groupe sur les postes des utilisateurs.

NOTE
Pour plus d'informations sur l'utilisation des stratégies de groupe, consultez la documentation de Microsoft.

Faire une demande de certificat manuelle

Chaque utilisateur peut faire une demande de certificat sur son poste de travail. L'utilisateur doit :

  1. Ouvrir le Gestionnaire de certificats Windows certmgr.msc.

  2. Sur le magasin Personnel > Certificats, faire un clic droit et sélectionner Toutes les tâches > Demander un nouveau certificat.

  3. Sélectionner les modèles de certificats de chiffrement et de signature et compléter la procédure.
    Les certificats sont générés dans le magasin de certificats Windows.