bonjour la liste,
présentation: je gère l'infrastructure d'une PME (4 sites, 200 personnes) dont le métier est le développement/paramétrage de gros logiciels/boite à outils style gestion de données techniques. L'infra est à base de Windows clients (postes utilisateurs, VMs), de Windows serveurs, de linux/CentOS, de serveurs ESX, de pfSense, un peu de CISCO, ... un mix assez classique.
Je me suis déjà un peu frotté aux PKI, à travers l'utilisation de OpenVPN (PKI dédiée) ou de réseaux Wifi paramétrés en WPA/802.11x (authentification via Radius + PKI dédiée).
J'envisage de monter une "vraie" PKI interne pour gérer des certificats utilisateurs, qui serviraient pour un peu tout: connexion VPN, Wifi, signature électronique, etc.
Je ne pense pas (pour l'instant) faire de l'authentification forte, genre en stockant le certificat dans une puce cryptographique.
Si j'ai bien compris, La quincallerie m$ autour de Active Directory (millésime 2003) permet un gestion automatisée de certificats utilisateurs (création, révocation). Certificats, autorité de certification (primaire ou secondaire(s)) sont stocké dans l'AD. Il vaut mieux utiliser un Windows 2008 (juste membre AD) pour signer automatiquement les certificats utilisateurs (plutot qu'un controlleur AD sous Windows 2003). Les outils AD permettent également de distribuer (push) ces certificats utilisateurs dans les profiles utilisateurs Windows (stockage dans le certificate store de l'utilisateur), même si profile local (non-itinérant). Dans notre cas, on a plusieurs controlleurs AD en réplication inter-sites.
Du coup, pleins de questions, comme par exemple:
- des personnes ici ont déjà déployé ce genre de configurations ?
- Ce genre de configuration fonctionne correctement, la distribution des cert via l'AD est fiable ?
- soucis éventuels liés aux réplications AD ?
- Comment fournissez-vous les listes de revocation des certificats ? via une URL HTTP et/ou le protocole OCSP ?
- des recommendations sur des noms de professionels pour se faire accompagner dans une telle démarche ?
Merci d'avance pour vos retours !
Pierre Bourgin
Bonjour,
J'ai déjà goûté à du EJBCA, mais pas à celle de Micro$oft.
L'avantage du EJBCA c'est qu'il y à même un live cd permettant de tester...
De plus c'est utilisez dans des boites de fortes tailles, et fonctionne correctement pour ce que j'ai eu à en faire.
Seb
Le 27 avril 2012 09:14, pierre.bourgin@free.fr a écrit :
bonjour la liste,
présentation: je gère l'infrastructure d'une PME (4 sites, 200 personnes) dont le métier est le développement/paramétrage de gros logiciels/boite à outils style gestion de données techniques. L'infra est à base de Windows clients (postes utilisateurs, VMs), de Windows serveurs, de linux/CentOS, de serveurs ESX, de pfSense, un peu de CISCO, ... un mix assez classique.
Je me suis déjà un peu frotté aux PKI, à travers l'utilisation de OpenVPN (PKI dédiée) ou de réseaux Wifi paramétrés en WPA/802.11x (authentification via Radius + PKI dédiée).
J'envisage de monter une "vraie" PKI interne pour gérer des certificats utilisateurs, qui serviraient pour un peu tout: connexion VPN, Wifi, signature électronique, etc.
Je ne pense pas (pour l'instant) faire de l'authentification forte, genre en stockant le certificat dans une puce cryptographique.
Si j'ai bien compris, La quincallerie m$ autour de Active Directory (millésime 2003) permet un gestion automatisée de certificats utilisateurs (création, révocation). Certificats, autorité de certification (primaire ou secondaire(s)) sont stocké dans l'AD. Il vaut mieux utiliser un Windows 2008 (juste membre AD) pour signer automatiquement les certificats utilisateurs (plutot qu'un controlleur AD sous Windows 2003). Les outils AD permettent également de distribuer (push) ces certificats utilisateurs dans les profiles utilisateurs Windows (stockage dans le certificate store de l'utilisateur), même si profile local (non-itinérant). Dans notre cas, on a plusieurs controlleurs AD en réplication inter-sites.
Du coup, pleins de questions, comme par exemple:
des personnes ici ont déjà déployé ce genre de configurations ?
Ce genre de configuration fonctionne correctement, la distribution des
cert via l'AD est fiable ?
soucis éventuels liés aux réplications AD ?
Comment fournissez-vous les listes de revocation des certificats ? via
une URL HTTP et/ou le protocole OCSP ?
- des recommendations sur des noms de professionels pour se faire
accompagner dans une telle démarche ?
Merci d'avance pour vos retours !
Pierre Bourgin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Pour répondre en partie aux questions, je n'en ai pas déployé de la manière indiquée, avec déploiement automatique de l'ensemble des certificats, etc ... mais quelques points à voir :
- Il y'a deux "éditions" d'autorité de certification chez Microsoft dépendant du système Windows 2008 utilisé : standart et entreprise, ils appellent cela : Active Directory Certificate Services (ADCS). La version standart est plus limitée, elle ne permet pas d'utiliser : le service d'inscription de périphérique réseau et le service de répondeur en ligne. (Voir : http://technet.microsoft.com/fr-fr/library/cc755071(v=ws.10).aspx)
- par défaut, il fournit les les CRL en http et pour le répondeur en ligne, il faut la version entreprise ...
La distribution des certificats peut être faite de manière plutôt automatique ou manuelle via une interface web ou une console MMC.
Pour ma part, je l'ai déployé dans un petit environnement en version standart pour des certificats internes pour des serveurs Windows (IIS, ...) et pour des serveurs Linux (Apache, ...) avec des postes sous Windows et Mac.
Bonne journée, Fabien LEBRET
Le 27 avril 2012 09:14, pierre.bourgin@free.fr a écrit :
bonjour la liste,
présentation: je gère l'infrastructure d'une PME (4 sites, 200 personnes) dont le métier est le développement/paramétrage de gros logiciels/boite à outils style gestion de données techniques. L'infra est à base de Windows clients (postes utilisateurs, VMs), de Windows serveurs, de linux/CentOS, de serveurs ESX, de pfSense, un peu de CISCO, ... un mix assez classique.
Je me suis déjà un peu frotté aux PKI, à travers l'utilisation de OpenVPN (PKI dédiée) ou de réseaux Wifi paramétrés en WPA/802.11x (authentification via Radius + PKI dédiée).
J'envisage de monter une "vraie" PKI interne pour gérer des certificats utilisateurs, qui serviraient pour un peu tout: connexion VPN, Wifi, signature électronique, etc.
Je ne pense pas (pour l'instant) faire de l'authentification forte, genre en stockant le certificat dans une puce cryptographique.
Si j'ai bien compris, La quincallerie m$ autour de Active Directory (millésime 2003) permet un gestion automatisée de certificats utilisateurs (création, révocation). Certificats, autorité de certification (primaire ou secondaire(s)) sont stocké dans l'AD. Il vaut mieux utiliser un Windows 2008 (juste membre AD) pour signer automatiquement les certificats utilisateurs (plutot qu'un controlleur AD sous Windows 2003). Les outils AD permettent également de distribuer (push) ces certificats utilisateurs dans les profiles utilisateurs Windows (stockage dans le certificate store de l'utilisateur), même si profile local (non-itinérant). Dans notre cas, on a plusieurs controlleurs AD en réplication inter-sites.
Du coup, pleins de questions, comme par exemple:
des personnes ici ont déjà déployé ce genre de configurations ?
Ce genre de configuration fonctionne correctement, la distribution des
cert via l'AD est fiable ?
soucis éventuels liés aux réplications AD ?
Comment fournissez-vous les listes de revocation des certificats ? via
une URL HTTP et/ou le protocole OCSP ?
- des recommendations sur des noms de professionels pour se faire
accompagner dans une telle démarche ?
Merci d'avance pour vos retours !
Pierre Bourgin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-
Fabien LEBRET -
pierre.bourgin@free.fr -
Sébastien Mureau