Mise en Place D'un PKI Sous Windows Server 2012 [PDF]

Zitiervorschau

   

      Projet du cours Sécurité du Système Windows

THÈME : Mise en place  d’une PKI sous Windows  Server 2012R2 

Membres du groupe

● ADJAGBESSI Estelle    ● BOUBACAR ALI Mariama    ● EGIDO ALICANTE Christian Javier    ● NIANG Noura Fatou    ● TCHALLA Casimir    ● TIDJANI Elhadj Sama Aziza     

Professeur   Mr Doudou Faye 

 

Sommaire ❏INTRODUCTION ❏QU’ EST-CE QU’UNE PKI ? ❏CONCEPTS ET DÉFINITIONS ❏COMPOSANTS D’UNE PKI ❏MISE EN PLACE D’UNE PKI SOUS WINDOWS SERVEUR 2012 R2 a) Installation et configuration l autorité de certification b) Exportation du certificat de l’autorité de certification c) Créer un nouveau modèle de certificat d) Demander un certificat e) Protéger le serveur web IIS avec le certificat généré   ❏CONCLUSION

❏INTRODUCTION Avec l'arrivé de l’internet, l’utilisation massive de messages électroniques et l’expansion du commerce électronique est devenu une opération de plus en plus courante. En effet, les données qui transitent sur Internet, sont sujettes à diverses attaques comme l'attaque ​man in the middle lorsque les entités échangent leurs clés publiques.Pour ces raisons les données doivent être protégées ainsi que les clés publiques de chiffrement. Dans une petite structure, il pourrait être envisageable de générer sa paire de clefs localement et d’échanger les clefs publiques hors ligne (en main propre par exemple), mais cette solution est inimaginable pour une structure internationale. Dans ce cas de figure, une authentification automatique des clefs publiques est indispensable. C’est dans ce contexte que la ​NIST (National Institute of Standards and Technology) s’est vu imposer en 1994 la tâche d’étudier et de définir un standard afin de gérer l’authentification dans un environnement international. Ce projet avait pour but de permettre l’interopérabilité des différents systèmes électroniques opérant dans le commerce électronique. L’étude était porté sur la manière de générer les clefs, de les distribuer, d’obtenir les clefs publiques au moyen de certificats, et la publication des certificats obsolètes. L’étude visait à définir des recommandations techniques pour définir une architecture PKI ​: ​Public Key Infrastructure​, ou en français : IGC Infrastructure de gestion de clés,​ au travers de divers composants. A la même façon qu’un passeport ou d’une carte d’identité, la PKI va fournir une garantie d’identité numérique aux utilisateurs. Cette pièce d’identité numérique,

appelée certificat numérique, contient la clef publique de l’utilisateur, mais également des informations personnelles sur l’utilisateur. Comme tout document formel, le certificat numérique est signé par l’autorité de certification et c’est cette signature qui lui donnera toute crédibilité aux yeux des utilisateurs. En effet, ​une autorité de certification Microsoft est sollicitée dans le cadre de nombreux projets : mise en place d'un serveur NPS (​Network Policy Server​) pour obtenir un certificat valide pour utiliser le 802.1X, mise en place des flux sécurisés et chiffrés pour le serveur WSUS, ou Active Directory, authentification renforcée sur des applications, accès VPN.... Cette autorité de certification Microsoft sera capable également de signer vos scripts PowerShell pour que leur exécution soit autorisée sur les serveurs et les postes clients de votre entreprise. Ce qui évitera de modifier la politique d'exécution des scripts et d'exposer les postes aux problèmes que ça implique.

❏QU’EST-CE QU’UNE PKI ?

PKI (Public Key Infrastructure) est un système de gestion des clefs publiques qui permet de gérer des listes importantes de clefs publiques et d'en assurer la fiabilité, pour des entités généralement dans un réseau. Elle offre un cadre global permettant d'installer des éléments de sécurité tels que la confidentialité​, ​l'authentification​, ​l'intégrité et la ​non-répudiation tant au sein de l'entreprise que lors d'échanges d'information avec l'extérieur.

Une infrastructure PKI fournit donc quatre services principaux: ● Fabrication de bi-clés.

● Certification de clé publique et publication de certificats. ● Révocation de certificats. ● Gestion la fonction de certification.

❏CONCEPTS ET DÉFINITIONS Techniquement, une infrastructure à clé publique utilise des mécanismes de signature et certifie des clés publiques qui permettent de chiffrer et de signer des messages ainsi que des flux de données, afin d'assurer la confidentialité, l'authentification, l'intégrité et la non-répudiation.

➢ Signature ​:​Dans la signature nous avons une bi-clé : -

Une clé (privée) : pour la création de signature

-

Une clé (publique) : pour la vérification de signature

Pour signer un message, voici comment se passe : 1. A l'aide de la clé privée de signature de l'expéditeur, une empreinte connue sous le nom "​message digest​" est générée par hachage en utilisant l'algorithme ​SHA-1 ou ​MD5​, le plus utilisé étant SHA-1. Cette empreinte est ensuite cryptée avec cette clé privée de signature.

2. On joint au message l'empreinte et le certificat contenant la clé publique de signature.

3. Le destinataire vérifie la validité du certificat et sa non révocation dans l'annuaire.

4. Le destinataire transforme l'empreinte avec la clé publique de signature ainsi validée. Cette opération permet de s'assurer de l'identité de l'expéditeur.

5. Ensuite le destinataire génère une empreinte à partir de message reçu en utilisant le même algorithme de hachage. Si les deux empreintes sont identiques, cela signifie que le message n'a pas été modifié.

Donc la signature vérifie bien l'intégrité du message ainsi que l'identité de l'expéditeur.

Exemples d'algorithme de signature​: ​RSA, DSA

➢ Chiffrement ​: Il y a deux types de chiffrement possible :

Chiffrement à clé secrète (symétrique) : L’émetteur utilise une clé pour chiffrer le message et le destinataire utilise la même clé (le même algorithme mais en sens inverse) pour déchiffrer le message.

Chiffrement à clé publique (asymétrique) : Un message chiffré avec une clé publique donnée ne peut être déchiffré qu’avec la clé privée correspondante. Par exemple si A souhaite envoyer un message chiffré à B, il le chiffrera en utilisant la clé publique de B (qui peut être publié dans l'annuaire). La seule personne qui déchiffre le message est le détenteur de la clé privée de B.

Exemples d'algorithme de chiffrement:

Symétrique : DES, AES Asymétrique : RSA

-Définitions ​:

○ Confidentialité Les informations échangées deviennent illisibles,cette confidentialité est assurée par le chiffrement ○ Authentification Identification de l'origine de l'information. ○ Non-répudiation L'émetteur des données ne pourra pas nier être à l'origine du message. ○ Intégrité​ : Fonction permettant d'assurer que l'information n'a pas subi de modification .

❏LES COMPOSANTS D’UNE PKI Une PKI contient plusieurs composants principaux essentiels à son bon fonctionnement :

1. Une Autorité d'enregistrement (Registration Authority - RA) Son principal rôle est de vérifier la demande d'enregistrement (Certificate Signing Request - CSR) d'un nouvel utilisateur dans l'infrastructure. Les méthodes de vérification de cette étape sont définies en fonction de la politique de certification choisie pour l'infrastructure. En effet, cela peut aller du simple échange de courriel pour valider la demande ou à une vérification de l'identité de la personne (carte d'identité, passeport, etc.). Si l'autorité d'enregistrement valide la demande d'enregistrement, alors la requête de certificat passera entre les mains de l'autorité de certification (cette requête est transmise au format standard PCKS#10). L'autorité d'enregistrement peut être contenue dans l'autorité de certification. Cependant, l'avantage de séparer ces deux entités de la répartition de charge de chaque entité.

2.

Une Autorité de Certification-AC : (Certificate Authority - CA)

Son principal rôle est de générer un certificat pour l'utilisateur. Le certificat contiendra des informations personnelles sur l'utilisateur mais surtout sa clef publique et la date de validité. L'autorité de certification signera ce certificat avec sa clef privée, ainsi ce certificat sera certifié authentique par lui même. C'est pourquoi on parle de chaîne de confiance dans une PKI car il s'agit de faire confiance à cette autorité de certification qui sera lui même certifié par une autorité supérieure et ainsi de suite. L'autorité de certification aura aussi le rôle de mettre à jour la liste des certificats qu'il a signé afin de connaître les dates de validité de ses certificats. En effet, pour vérifier si un certificat est valide, il faudra demander à l'autorité de certification qu'il l'a généré si le certificat en question est toujours valide ou s'il a été révoqué.

3.

Un Annuaire

L'annuaire est indépendant de la PKI cependant la PKI en a besoin. Les seules contraintes de l'annuaire sont qu'il doit accepter le protocole X.509 pour le stockage des certificats révoqués et le protocole LDAP. Son rôle est comme dit précédemment de stocker les certificats révoqués et par la même occasion, les certificats en cours de validité afin d'avoir un accès rapide à ces certificats. De plus, l'annuaire peut stocker les clefs privées des utilisateurs dans le cadre du

recouvrement de clef. Sachant que les certificats sont largement distribués, l'annuaire est une solution pour les mettre à disposition.

NB : L’infrastructure de gestion de clé est une structure hiérarchique pyramidale : ● Au sommet une AC « Racine » : qui est la base de la confiance; ● des AC intermédiaires: ○ Elles sont certifiées par l’AC racine; ○ Elle peuvent délivrer des certifications a d’autres AC intermédiaires ou opérationnelles. ● Des AC opérationnelles: ○ Elles sont certifiées par l’AC racine ou par une AC intermédiaire; ○ Elles peuvent délivrer des certificats aux entités terminales.

Dans une infrastructure à clé publique ; pour obtenir un certificat numérique, l'utilisateur fait une demande auprès de l'autorité d'enregistrement. Celle-ci génère un couple de clé (clé publique, clé privée), envoie la clé privée au client, applique une procédure et des critères définis par l'autorité de certification qui certifie la clé publique et appose sa signature sur le certificat, parfois fabriqué par un opérateur de certification.

❏MISE EN PLACE D’UNE PKI SOUS WINDOWS SERVEUR 2012R2 a. Installation et configuration l’autorité de certification Pour commencer, nous allons installer l’autorité de certification. Pour cela cliquer sur “ ​Ajouter des rôles et des fonctionnalités​”.

Sélectionnez "​Installation basée sur un rôle ou une fonctionnalité​" et cliquer sur “​Suivant​”.

Sélectionnez le serveur de destination, cliquer sur “​Suivant​”.

Cochez la case "​Services de certificats Active Directory​" (AD CS)

Faites “​Suivant​” deux fois.

Cochez les cases "​Autorité de certification​" et “​Inscription de l’autorité de certification via le web​” et ensuite cliquez sur “​Suivant​”.

Cochez la case "​Redémarrer automatiquement​ ..." et cliquez sur "​Installer​"

Une fois l'installation terminée, la fenêtre “​Configuration des services de certificat Active Directory​” s’affiche.

Passons maintenant à la configuration de l’autorité de certification.

Pour cela, cochez les cases "​Autorité de certification​" et “​Inscription de l’autorité de certification via le web​” pour configurer ces rôles. Puis cliquer sur “​Suivant​”.

Cochez “​l’autorité de certification d’entreprise​”. Si cette case est grisée, c’est que ce serveur n’est pas membre de Active Directory. L’autorité de certification d'Entreprise( pour notre cas ) nécessite un serveur intégré au domaine et elle stockera des données directement dans l'annuaire Active Directory (certificats, clés privées, etc. avec une notion d'archivage), et facilitera la distribution de certificats auprès des postes intégrés au domaine notamment car ils seront automatiquement approuvés car dit de confiance. Une autorité de certification autonome peut être installée sur un serveur hors domaine, par conséquent elle ne stocke aucune donnée dans l’annuaire AD, ce qui empêche notamment d'utiliser l'inscription automatique. Cliquer sur “​Suivant​”.

Cocher “​l’autorité de certification racine​”. Dans notre cas, nous ne dépendons d’aucune autorité de certification. Puis cliquer sur “​Suivant​”.

Etant donnée qu’il s'agit de la première installation de notre autorité de certification, nous allons créer une nouvelle clé.

Cocher “​créer une clé privée​” puis cliquer sur “​Suivant​”.

Laisser le chiffrement par défaut ​: le chiffrement RSA-SHA1.​ Cliquer sur “​Suivant​”.

Par défaut, les valeurs sont déjà indiquées, mais vous pouvez les modifier. Cliquez sur “​Suivant”.

Indiquer une période de validité pour le certificat de l’autorité de certification. Il faut noter que la période de validité configurée pour ce certificat de l’autorité de certification doit dépasser la période de validité pour les certificats qu’elle émettra. Cliquer sur “​Suivant”.

Laisser les dossiers des bases de données par défaut, cliquer sur “​Suivant​”.

L’assistant affichera un résumé de la configuration. Cliquer sur “​Configurer​”.

Et notre autorité de certification est maintenant installée et configurée.

​b.​ ​ ​Exportation du certificat de l’autorité de certification Pour pouvoir distribuer le certificat aux clients de Active Directory nous aurons besoin de notre certificat installé et configuré précédemment. Pour cela il faudra l’exporter en ouvrant la console “​mmc​”

Dans la console “​mmc​” qui s’ouvre, entrez dans le menu “​Fichier​” puis cliquer Ajouter/Supprimer un composant logiciel enfichable​.

Sélectionnez

“​Certificats​”

Ensuite cliquer sur “​Ok​”.

à

gauche

et

cliquer

sur

“​Ajouter

>​”

Cliquer sur “​l’ordinateur local​” ensuite sur “​terminer”

Le composant “​Certificats (ordinateur local) ” s’affiche maintenant dans la colonne à droite. Cliquer ensuite sur “​Ok​”

En allant dans “​Certificats.. > Autorités de Certification racine..> Certificats​, nous voyons que notre certificat racine est présent dans la liste.

Pour exporter le certificat d’autorité racine au format “​.cer​” c’est à dire sans la clé privée, sélectionnez votre autorité de certification et effectuer un “​clic droit​”, “Toutes les tâches” puis cliquez sur “​Exporter​”.

L’assistant d’exportation s’affiche, cliquez sur “​suivant”.

Cocher la case “X.509 binaire encodé DER (*.cer)” puis cliquez sur “ ​suivant​”.

Cliquez sur “​Parcourir​” pour sélectionner le dossier ou vous souhaitez exporter votre certificat.

Cliquer sur “​Suivant”.

Un résumé s’affiche:

Le certificat a été exporté:

Fermer la console, puis cliquer sur “​oui” dans la fenêtre qui s’affiche pour l’enregistrer.

C. Créer un nouveau modèle de certificat: Pour gérer les modèles de certificats, retournez dans l’interface tactile et cliquez sur “​Autorité de certification​”. Allez dans Autorité de certification (Local) > effectuer un clic droit “​Gérer” puis sur “​Modèles de certificats​”.

Dupliquer ensuite le serveur Web.

Renommer le nouveau modèle de certificat et modifiez la période de validité si vous le souhaitez.

Ensuite, allez dans l’onglet “​Sécurité” et modifiez les autorisations des “​utilisateurs authentifiés​” pour qu’ils puissent demander des certificats (inscription). Cochez la case “​Inscrire​” et “​Inscription automatique”.

Ensuite lancez DOS et taper la commande gpupdate /force pour mettre à jour la stratégie de l’ordinateur.

Fermez la fenêtre “​certsrv”​ (ou Autorité de certification) et la réouvrir.

Pour que le nouveau modèle de certificat s’affiche, vous devez effectuez un clic droit sur “​Modèles de certificats​” et cliquer sur “​Nouveau > Modèle de certificat à délivrer​”.

Sélectionner votre nouveau modèle.

Le nouveau modèle s’est maintenant affiché.

d. Demander Un Certificat Pour demander un certificat (qui sera signé plus tard), ouvrez la console sauvegardé plutot (Gestion des certificats) et allez dans “​Personnel > Certificats​”. Effectuez un clic droit et cliquez sur “​toutes les tâches > Demander un nouveau certificat​”.

La fenêtre ​“Inscription de certificats​” s’affiche.

Cliquer sur “​Suivant​”.

Sélectionnez votre nouveau modèle puis cliquer sur le lien “​L’inscription pour obtenir ce certificat nécessite des informations supplémentaires​”.

Comme ce certificat sert à vérifier l’adresse d’un site internet, vous devez indiquez le nom de domaine de votre ordinateur comme nomme “​nom commun”​ .

Ensuite vous pouvez ajouter d’autres informations dans le certificat si vous le voulez. Cliquez sur “​Inscription”.

La création du certificat s’est fait. Cliquer sur “​Terminer​”. Le nouveau certificat signé (ou délivré) est maintenant disponible.

e. Protéger le serveur Web IIS avec le certificat généré:

Maintenant que nous avons notre certificat, nous allons montrer comment sécuriser notre serveur Web IIS grâce à ce certificat. Installez le serveur web en ajoutant le rôle “​Serveur Web (IIS)​”.

Ensuite lancer ​le gestionnaire des services Internet.

Dans la fenêtre qui s’affiche cliquez sur “​Non”.

Sélectionnez le site que à sécuriser. On utilisera celui par défaut (Default web Site) Puis dans la colonne à droite cliquez sur ​“Liaisons”​.

Cliquer sur “​Ajouter​” pour ajouter le port HTTPS.

Sélectionnez “​https​” (port 443 par défaut) et sélectionnez votre certificat dans la liste “​Certificat SSL​”.

Maintenant, taper le nom de domaine dans le navigateur web “Internet Explorer” du serveur et cliquer sur le petit cadenas qui s’affiche dans la barre d’adresse. Le navigateur n’a pas affichez d’avertissement concernant notre certificat car celui-ci à été signé par notre autorité de certification.

CONCLUSION Techniquement, la PKI ne représente en définitive que quelques serveurs, sur lesquels fonctionnent des logiciels spécifiques chargés de générer des certificats numériques et de contrôler leur validité. Dans l'ensemble, la technique fonctionne et pourrait même sembler plutôt simple une fois déployée. Néanmoins, pour obtenir une très bonne sécurité, il ne faut laisser aucune vulnérabilité, il faut donc rester prudent lors de l'installation de la partie technique. Mais le véritable défi du déploiement d'une PKI est bien d'ordre organisationnel par exemple : Définir les modalités

de

déploiement,définir

les

règles

d'enregistrement,définir

les

responsabilités de chaque entité,définir les droits d'utilisation pour chaque application, définir les modes de distribution des certificats. Ce sont autant de questions à se poser lorsque l'on souhaite mettre en place une PKI. Malgré ces points de difficultés, la PKI conserve des atouts majeurs aussi bien

pour les utilisateurs et que pour l'entreprise :Les utilisateurs n'ont plus à se soucier des mots de passes perdus,L'entreprise s'offre un socle technique permettant le contrôle d'accès, de logiciels, des accès visiteurs,etc.