Windows Server 2019

[AD DS Security] Sécurité des connexions LDAP et SSL (partie 3)

 

Nous avons déjà vu l'importance de sécurisé les connexions LDAP.

Le blocage de l'authentification simple LDAP, l'exigence d'utiliser une signature avec l'authentification SASL, permet d'améliorer la sécurité de l'authentification, mais ne chiffre pas la connexion vers le contrôleur de domaine et les réponses aux requêtes.

[AD DS Security] Sécurité des connexions LDAP (partie 2)

 

Nous avons vu dans la première partie, comment activer les audits afin de rechercher les connexions LDAP non sécurisées sur le port 389(ou 3268 pour le catalogue global).

Lorsque vous avez détecté et corrigé les connexions non sécurisées, vous pouvez activer des paramètres pour les postes clients Windows et pour les contrôleurs de domaine afin d'exiger la signature. Cela supprime les authentifications simples et SASL non signé.

 

Il est recommandé de configurer les clients avant la mise en œuvre du paramètre sur les contrôleurs de domaine.

 

[AD DS Security] Sécurité des connexions LDAP (partie 1)

Il est fréquent dans nos environnements de connecter des applications tierces ou des équipements afin de récupérer les informations dans notre annuaire Active Directory.

C'est le cas par exemple de copieurs multifonctions qui dispose d'option de scan vers une adresse de messagerie électronique.

Dans ce cas, vous allez configurer le copieur vers le port 389 de votre contrôleur de domaine. Il vous faudra indiquer un compte et un mot de passe pour exécuter des recherches.

[AD CS] Agent d’inscription

 

Nous avons déjà introduit l'administration par les rôles et entre autres les rôles d'administrateur et de gestionnaire de certificat.

Nous allons parler d'un rôle qui n'est pas forcément utile dans toutes les structures. L'agent d'inscriptions, souvent membre des équipes techniques est une personne pouvant créer des certificats pour d'autres utilisateurs.

Nous allons créer un groupe de domaine local, afin de gérer les autorisations. Il est recommandé d'utiliser le modèle AGDLP déjà évoqué dans les articles précédents.

[AD CS] Activation de la séparation des rôles

L'administrateur d'une autorité de certification AD CS, peut affecter des rôles aux utilisateurs. Un utilisateur pourrait avoir plusieurs rôles au sein AD CS. Il est recommandé de séparer les rôles. Il est également possible d'activer la séparation des rôles aux niveaux de l'autorité de certification.

Avant d'activer la séparation des rôles, chaque utilisateur ne doit disposer que d'un seul rôle. Un utilisateur qui dispose de plusieurs rôles pourrait être bloqué dans ses tâches d'administrations.

 

{AD CS] Rôle gestionnaire de certificat

 

Les gestionnaires de certificats ont entre autres pour missions :

  • Emettre, approuver ou refuser des certificats
  • Révoquer des certificats émis

Il est recommandé d'affecter la permission d'émettre et de gérer les certificats à un groupe Active Directory et de gérer les membres du groupe en ajoutant les comptes autorisés.

Il est recommandé d'utiliser le modèle AGDLP.

Il est possible de créer plusieurs groupes différents de gestionnaire de certificats et de limiter les modèles de certificats gérés par chaque groupe.

[AD CS] Exemple de rôle administrateurs PKI

 

Les administrateurs de la PKI ont par exemple pour mission :

- l'installation de l'autorité de certification 

- arrêter et démarrer les services de l'autorité    

- Configurer les extensions (publication de la CRL) et les paramètres de l'autorité

- renouveler le certificat de l'autorité

- gérer les rôles et les permissions

 

Les administrateurs de la PKI doivent pour cela disposer d'autorisation :

- Sur les conteneurs Active Directory dans la partie configuration, s'il s'agit d'une autorité de certification d'entreprise.

[AD CS] Informations publiées dans le domaine AD

Ou sont stocké les informations de l'autorité de certification d'entreprise dans Active Directory ?

 

Dans une autorité de certification d'entreprise, intégré aux services de domaine Active Directory, il existe un certain nombre d'informations enregistré dans l'annuaire.

Parmi ses éléments, nous retrouvons entre autres :

[ADCS] Sécurités et rôles

 

La gestion des permissions sur un environnement AD CS est un élément crucial. L'utilisation d'un produit comme AD CS commence souvent par le besoin de répondre à une exigence applicative d'utilisation de certificat, comme un certificat pour un serveur Web.

Un certificat peut permettre l'authentification d'un client, la sécurité apportée à son utilisation a le même niveau d'importance que celle apporté à votre annuaire Active Directory et à vos protocoles d'authentification.

[Active Directory] Qui peut ajouter un ordinateur à un domaine ?

Dans un domaine Active Directory les comptes membres du groupe « admins du domaine » ou « administrateurs de l'entreprise » peuvent ajouter un ordinateur à un domaine.

Il est possible de déléguer l'autorisation de joindre un ordinateur au domaine à des personnes ou des groupes. Pour ce faire il faut autoriser le groupe ou l'utilisateur à créer des objets ordinateurs dans le domaine.

[AD CS] Certificat et auto-inscription

 

L'inscription automatique de certificat permet de générer des certificats utilisateurs ou ordinateurs dans le magasin personnel du demandeur sans qu'une personne n'en fasse spécifiquement une demande.

L'utilisation de l'inscription automatique n'est valable que pour une autorité de certification d'entreprise donc intégrée à Active Directory.

Pour diffuser des certificats automatiquement, il faut :

[AD CS] Approuver ou refuser un certificat

 

Selon votre politique d'émission de certificat, il peut être intéressant de mettre en place un processus d'approbation avant de délivrer un certificat. La demande d'approbation est une option définit au niveau du modèle de certificat. Une autorité peut donc émettre certains certificats sans approbation alors que d'autres modèles l'exigent. L'approbation doit être réalisée par une personne ayant les permissions de gestion des certificats sur AD CS.

[AD CS] Révoquer un certificat

 

La révocation d'un certificat consiste à ajouter le numéro de série d'un certificat dans une liste de révocation qui est publié et disponible aux différents systèmes qui ont besoin de vérifier la validité du certificat. Un certificat révoqué ne devrait donc plus être utilisable si l'application gère la consultation des listes de révocations ou si elle interroge un répondeur OCSP.

Il existe des situations dans lesquelles le certificat doit être révoqué. La liste suivante, non-exhaustive illustre des motifs devant entraîner la révocation d'un certificat :

[AD CS] Extraire information #PKCS12 (.pfx) avec OpenSSL

 

OpenSSL est un outil pratique permettant de créer des demandes et de manipuler des certificats. Il est largement utilisé dans les environnements Linux/ Apache, mais il est également possible de l'installer sur Windows.

Dans cet exemple, nous allons extraire la clé privée et le certificat d'un fichier #PKCS12 avec une extension .pfx.

La première commande avec l'option « -nokeys » permet d'exclure la clé privée de la ligne d'export. 

 

[ AD CS] Restauration la base de données de l’autorité

Pour restaurer une autorité de certification AD CS, vous pouvez utiliser la console de gestion de l'autorité de certification (%windir%\system32\certsrv.msc) .

Cliquez sur « OK » lors du message d'avertissement vous indiquant que les services AD CS doivent être arrêté pendant la restauration.

 

 

[AD CS] Sauvegarder le certificat et la clé privée de l’autorité

Pour exporter, le certificat ainsi que la clé privée, vous pouvez utiliser la console « certlm.msc ». Sélectionnez « Certificats – ordinateur local », puis « Personnel » et « certificats ».

Sélectionnez le certificat de l'autorité, puis « toutes les tâches », puis « exporter ».

Sur la première page de l' « assistant d'exportation du certificat», cliquez sur « suivant ».

[AD CS] Configurer IIS avec https

Dans cet article nous allons configurer les services IIS du rôle serveur d'inscription Web AD CS.

Vous pouvez consulter l'article suivant : [AD CS] Créer un nouveau modèle, pour créer un modèle de certificat Web.

Après avoir créé le modèle, vous pouvez générer un certificat pour les services Web IIS utilisé par le service d'inscription Web en suivant le lien [AD CS] Demander un certificat.

[AD CS] Demander un certificat pour l’utilisateur ou l’ordinateur

Il existe plusieurs méthodes pour soumettre une demande de certificat à une autorité AD CS. Une des méthodes consistes à utiliser la console « mmc » du magasin de certificat de l'utilisateur « certmgr.msc » ou de l'ordinateur « certlm.msc ». Dans notre exemple, nous allons demander un certificat de type « serveur Web-2 ans » pour le compte de l'ordinateur. Ouvrez la console « certmgr.msc », puis sélectionnez « personnel » et faites un clic droit sur « certificats ». Sélectionnez « toutes les tâches » et « demander un nouveau certificat ».

[AD CS] Créer un nouveau modèle

 

Vous pouvez gérer et créer les modèles de certificats stockés dans la partition de configuration d'un annuaire Active Directory depuis la console « MMC.exe », « modèle de certificat ».

 

Vous pouvez également accéder à cette console depuis la console de gestion de l'autorité de certification. Sur le volet de gauche, faites un clic droit sur « modèles de certificats » puis cliquez sur « gérer ».

[AD CS] Modèle de certificat délivré par défaut

 

Lors de l'installation d'une autorité de certification d'entreprise (intégrée dans un domaine Active Directory), des modèles de certificat sont proposés par défaut. Si vous disposez de plusieurs Autorités dans la même forêt Active Directory, vous pourrez constater que les modèles sont disponibles sur l'ensemble de vos autorités. En effet, les modèles sont enregistrés dans la partition de configuration unique au sein d'une forêt Active Directory. Dans une autorité de certification autonome, donc non lié à un domaine Active Directory, vous n'aurez pas de modèle.

[AD CS] Modèle de certificats

 

Les modèles de certificat vont dépendre des usages qui en sont fait. Les certificats peuvent être utilisés pour une ou plusieurs finalités comme l'authentification, la signature ou le chiffrement.

Les certificats possèdent un certain nombre de valeur comme par exemple, l'usage du certificat, la date de fin de validité, le lien vers la liste de révocation.

Le contenu des informations présent dans les certificats est décrit dans la norme X509.

Cet article n'a pas pour but de détailler la norme en question.

[AD CS] Gérer une autorité de certification

 

Dans ce chapitre, nous verrons différentes opérations de gestion de l'autorité de certification. Nous verrons entre autres comment gérer les modèles de certificats. Nous verrons également comment demander un certificat depuis la console mmc ou depuis un navigateur. Nous parlerons également de l'enregistrement des certificats et de la clé privée dans Active Directory. La gestion des permissions sur les certificats et sur l'autorité de certification sera également au présenté. Enfin, nous verrons l'utilisation d'agent d'inscription.

[AD CS] Configuration du service d’inscription Web

Nous venons d'ajouter le rôle d'inscription via le Web sur notre autorité de certification. L'étape suivante consiste à configurer IIS afin de créer le site. Le gestionnaire de serveur nous propose de lancer la configuration post installation.

La configuration du site ne demande pas de paramétrage particulier, mais il est conseillé de réaliser les étapes suivantes, notamment la configuration de IIS pour utiliser https avec un certificat de serveur WEB.

[AD CS] Installation du rôle d’inscription Web

 

L'installation du rôle d'inscription Web se déroule en deux étapes. La première étape est l'ajout du rôle depuis le gestionnaire de serveur ou avec PowerShell.

Ouvrez le gestionnaire de serveur, puis cliquez sur « gérer » puis « ajouter des rôles et fonctionnalités ». Sur la page « avant de commencer » cliquez sur « suivant ».

 

[AD CS] Service d’inscription WEB

Les services d'inscription Web d'AD CS permettent d'offrir un accès aux utilisateurs pour soumettre et récupérer des certificats à travers un portail Web. Le service d'inscription Web utilise IIS comme solution de serveur Web. Il est possible d'installer le service Web directement sur le serveur ayant le rôle d'autorité de certification. Il est également possible de l'installer sur un serveur différent. Dans notre exemple, l'installation sera sur l'autorité de certification.

[AD CS] Configurer la publication la liste de révocation

Nous avions déjà vu comment publier la liste de révocation sur un serveur racine autonome, généralement conservé hors ligne. Dans le cas d'une autorité secondaire d'entreprise, nous avons vu dans les paragraphes précédents, comment donner accès au serveur directement sur un partage à la source de la diffusion de la CRL. Il n'y a donc pas besoin de la copier manuellement sur le point de diffusion.

Depuis la console de l'autorité de certification ou « certsrv.msc », faites un clic droit sur « certificats révoqués » puis « toutes les tâches » et « publier».

[AD CS] Configurer la durée de vie de la liste de révocations

 

Nous avions déjà vu dans l'article précédent comment gérer la durée de vie des listes de révocation sur l'autorité de certification racine autonome. Le principe de configuration reste identique, dans le cas de l'autorité secondaire d'entreprise. Cependant, dans le cas de l'autorité secondaire intégré dans Active Directory, nous allons publier les informations automatiquement sur un partage de fichier.

Pour configurer l'autorité secondaire, ouvrez la console « Autorité de certification » ou « certsrv.msc ».

[AD CS] Publiez le certificat de l’autorité secondaire

 

Ouvrez une session sur l'autorité de certification. Copiez le certificat de l'autorité secondaire qui se trouve par défaut dans « C:\Windows\System32\CertSrv\CertEnroll » vers le partage \\lab-IIS\CRL\Subca et renommez-le, en fonction de l'URL que vous avez défini :

http://pki-adcs.htrab.lan/subca/CA-ADCSSUB-CA.crt

Pages

S'abonner à RSS - Windows Server 2019