Définition
Dans cette rubrique, nous vous proposons de mettre en place une PKI 3-tiers, c’est-à-dire constituée par une chaîne de trois serveurs. Pour cela il nous faut :
- Un serveur Root CA qui la plupart du temps restera hors tension pour des besoins de sécurité. Cela permet de protéger la clé privée de cette autorité qui est garant de l’intégrité de toute la PKI.
- Un serveur Intermediate CA qui est subordonné au Root CA, il sera chargé de distribuer des certificats aux serveurs Issuing CA.
- Un serveur Issuing CA, subordonné à l’Intermediate CA, il s’occupe de délivrer des certificats aux points terminaux et aux utilisateurs.
Pré requis matériels et logiciels
Pour la mise en oeuvre, nous allons utiliser 3 machines virtuelles Windows Server 2012 R2.
| CA-ROOT-01 | Autorité racine | 4 GB RAM, DD 40GB, Windows Server 2012 R2 |
| CA-INT-01 | Autorité intermédiare | 4 GB RAM, DD 40GB, Windows Server 2012 R2 |
| CA-ISS-01 | Autorité de délivrance de certificats aux points terminaux | 4 GB RAM, DD 40GB, Windows Server 2012 R2 |
Installation de l’autorité racine CA-ROOT-01
Sur notre autorité racine, nous allons installer le rôle “Services de certificats Active Directory”
Dans la fenêtre suivante, accepter l’ajout des rôles et fonctionnalités requises pour le bon fonctionnement de la PKI
Veillez à ce que les trois services de rôle ci-dessous soient bien cochés
Dans la prochaine fenêtre, cliquer sur “Suivant”
Confirmer les modifications et cliquer sur “Suivant” pour installer le rôle.
Une fois l’installation terminée, nous pouvons maintenant configurer les services de certificats Active Directory en cliquant sur le lien dans la fenêtre ci-desssus.
Dans la fenêtre suivante, cocher la case “Autorité de certification autonome” car nous voulons que notre Root CA ne soit pas membre du domaine et soit hors ligne la majeur partie du temps à l’abri des cybercriminels. Cette configuration permet de le maintenir hors de danger.
Cocher la case “Autorité de certification racine” car nous installons ici notre premier serveur de notre PKI.
Choisir l’algorithme de hachage SHA256
Dans la fenêtre suivante, vous pouvez modifier les informations ou conserver celles qui y figurent par défaut.
Nous spécifions ici une période de validité de 10 ans pour le certificat généré par notre autorité racine.
Vérifier que la période de validité a bien été enregistrée dans le registre. La valeur est inscrite en Hexadécimal, donc vous devrez y voir “16”
Ordinateur\HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\NomDeVotreCA
La configuration de notre Root CA est terminée, passons maintenant à l’autorité intermédiaire. La procédure est la même sauf qu’ici nous allons requêter un certificat auprès de notre Root CA pour configurer notre autorité intermédiaire.
Installation de l’autorité intermadiaire CA-INT-01
Sur notre serveur CA-INT-01, nous allons installer dans un premier temps le rôle “Services de certificats Active Directory”
Une fois l’installation terminée, cliquer sur “Configurer les services de certificats Active Directory sur le serveur de destination”.
Dans la fenêtre suivante, choisir “Autorité de certification autonome”
Il s’agit de l’autorité intermédiaire de notre PKI, donc nous choisissons “Autorité de certification secondaire” dans la fenêtre suivante.
Il est conseillé d’utiliser le SHA256 comme algorithme de hachage
Dans la fenêtre suivante, veuillez à bien noter l’emplacement de votre fichier de requête de certificat, dans notre cas, nous il sera à la racine du disque système “C:\CA-INT-01.NomDuDomain.req“
Copier le contenu du fichier “C:\CA-INT-01.NomDuDomain.req“, se connecter à http://CA-ROOT-01/certsrv pour requêter un certificat auprès du root pour notre autorité intermédiaire.
Cliquer sur Envoyer
Noter l’identificateur de la requête, puis se connecter à la console de gestion de l’Autorité de certificat CA-ROOT-01 et délivrer le certificat généré précédemment. Aller dans l’onglet Demandes en attente, identifier le certificat selon l’ID n°3 puis Délivrer le certificat comme ci-dessous:
Retourner ensuite dans sur http://CA-ROOT-01/certsrv
Cliquer sur “Afficher le statut d’une requête de certificat en attente” et télécharger le certificat selon le format qui vous convient.
Se connecter ensuite à la console de gestion de l’autorité CA-INT-01 et démarrer le service de certificat.
Cliquer sur Oui puis sur OK dans la fenêtre suivante pour terminer votre installation.
Pour vérifier la durée de validité du certificat de l’autorité intermédiaire, vous pouvez regarder la clé de Registre ci-dessous. Ici, nous avons choisi 5 ans, vous pouvez toujours l’augmenter cette valeur si vous le souhaitez mais attention, elle ne peut excéder celle de l’autorité racine CA-ROOT-01.
Installation de l’autorité émettrice de certificats aux terminaux
Se connecter au serveur CA-ISS-01 puis ajouter le rôle Autorité de certification ainsi que les paramètres ci-dessous:
Une fois l’installation du rôle terminée, nous passons à la configuration.
Nous choisissons dans la fenêtre suivante “Autorité de certification d’entreprise” comme type d’installation étant donné que notre serveur ici sera membre du domaine.
Notre serveur CA-ISS-01 est subordonné au serveur intermédiaire CA-INT-01, pour cela, nous choisissons “Autorité de certification secondaire”.
Veuillez à sélectionner le SHA256 ou plus pour l’algorithme de hachage
Cliquer deux fois sur “Suivant”. Dans la fenêtre suivante, noter l’emplacement du fichier de requête C:\CA-INT-01.NomDuDomaine.req et copier son contenu.
Cliquer sur “Fermer” pour terminer l’installation. Se connecter ensuite à http://CA-INT-01/certsrv.
Utiliser le contenu du fichier de requête généré un peu plus haut pour demander le certificat du serveur CA-ISS-01.
Cliquer sur “Envoyer” et suivre la même procédure que celle de l’autorité intermédiaire
Notre infrastructure de certificat est maintenant en place, nous allons nous intéresser à la configuration de l’inscription automatique pour les postes de travail, serveur ou comptes utilisateurs.
L’inscription automatique est une option sur les modèles de certificats, qui couplée aux GPOs, permet aux comptes d’ordinateurs/utilisateurs de récupérer et de renouveler automatiquement leurs certificats auprès d’une autorité de certification sous les plateformes Windows.
Jean-Marie AGBO
agbo.blog 