Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

8/4/2019 Améliorations de PKI dans Windows 7 et Windows Server 2008 R2

http://slidepdf.com/reader/full/ameliorations-de-pki-dans-windows-7-et-windows-server-2008-r2 1/9

Améliorations de PKI dans

Windows 7 et Windows

Server 2008 R2Cet article repose sur le code préliminaire. Toutes les informations dans le présent documentsont susceptibles d'être modifiées.Vue d'ensemble :

y Consolidation de serveur y Améliorée de scénarios existantsy Logiciels + servicesy Authentification forte

ContenuConsolidation de serveur Améliorée de scénarios existantsLogiciels + servicesAuthentification forteConclusion

Il semble simplement hier j'a été écrire un article intitulé ³ améliorations PKI dans Windows´. Cet article, ce qui a exécuté dans le août 2007 de TechNet Magazine, axé sur desinnovations qui livrés dans Windows Vista et Windows Server 2008. Ces innovations inclustelles que l'inscription de l'interface utilisateur Améliorations et fonctionnalités OCSP (OnlineCertificate état Protocol). Lorsque ces améliorations étaient utile et bien reçus par lesutilisateurs, vous pouvez dire que les modifications étaient vraiment incrémentiellesmodifications de perspective un INFORMATICIEN professionnel. Toutefois, Windows 7,offre une améliorations PKI qui considérablement améliorer la déploiement et opérationnelleexpérience des utilisateurs, l'activation de nouveaux scénarios puissants tout en réduisant lescoûts opérationnels.Les améliorations de Windows 7 et Windows Server 2008 R2 sont axé autour quatre zones

principales (illustrés La figure 1 ):Consolidation des serveurs. Cela permet aux organisations de réduire le nombre totald'autorités de certificat requis pour atteindre leurs objectifs métier.A

méliorée de scénarios existants. Cette vue est sur des éléments tels qu'offrant la prise encharge SCEP (Simple Certificate d'inscription Protocol) plus complète et comprenant uneutilisation pratiques Analyzer (BPA).Logiciels + services. Il est de permettre autonome d'inscription des utilisateurs et des

périphériques pour les certificats indépendamment des limites du réseau et fournisseurs decertificat.Une authentification renforcée. Cette zone porte sur les améliorations apportées à l'expériencede carte à puce, l'introduction de la cadre biométrique pour Windows et ainsi de suite.



Figure 1 que les quatre zones de PKI améliorations de base

Consolidation de serveur Parmi les thèmes prédominante dans IT au cours des dernières années a été consolidation desserveurs. Plus simplement, il s'agit sur réduire l'encombrement total de votre environnementinformatique serveur lors de la réunion toujours, ou même développement, vos objectifscommerciaux. L'économie globale actuelle a apporté des économies une priorité supérieure

pour plusieurs groupes INFORMATIQUES et consolidation des serveurs peut êtrecertainement un composant de cette stratégie général. Bien que la plupart des entreprises nedisposent pas absolue, numéros des autorités de certification, nombre ont plus dont ils ont

besoin uniquement en fonction de débit de création de certificat. En d'autres termes,nombreuses organisations ont autorités de certification qui sont considérablement sous-utilisé.Il existe deux raisons principales pour cette underutilization. Tout d'abord, certainesorganisations peuvent nécessiter des autorités de certification distinct pour réglementaires ouraisons de stratégie de sécurité. Par exemple, certains clients ont choisi d'émettre des

certificats à des parties externes d'une autorité de CERTIFICA

TION complètement distincteque celles qui émettent des certificats à des utilisateurs internes et des ordinateurs. Dans cecas, le virtualiser l'autorité de CERTIFICATION de la technologie Hyper-V pouvez éliminentla nécessité de matériel de serveur distinct (bien que l'autorité de CERTIFICATION doittoujours être gérée, même en qu'un ordinateur virtuel).La raison la deuxième courante est que cette inscription automatique a été uniquement pris encharge dans intra-forêt scénarios. Plus précisément, une autorité de CERTIFICATION auniquement réussi à inscrire automatiquement les entités pour les certificats lorsque cesentités sont une partie de la même forêt qui est joint. Même dans les cas où les approbationsde forêt bidirectionnelle niveau existent, distinct autorités de certification ont été nécessaires

pour chaque forêt où l'inscription automatique est utilisée.Une des clés les nouvelles fonctionnalités dans Windows Server 2008 R2 est la capacité à

exécuter auto-inscription dans forêt relations d'approbation, création de la possibilité deréduire considérablement le nombre total d'autorités de certification requise dans uneentreprise. Prendre en compte un réseau d'entreprise classique qui a déjà des opérations deconsolidation et qui possède maintenant quatre forêts : production, développement, le test et le

bord. Antérieure à R2, si vous vouliez fournir auto-inscription sur chaque forêt, au moinsquatre émission autorités de certification sont requis, même si toutes les forêts approuvé eux.Version 2, vous pouvez réduire le nombre total d'autorités de certification dans ce scénario àun, avoir un seul autorité de CERTIFICATION dans une des forêts émettre des certificats auxentités dans tous les autres forêts.



Pour les environnements avec modèles multi-forest plus complexes, la réduction totaled'autorités de certification peut être encore plus considérables et fournir un retour immédiatsur investissement de la mise à niveau à R2.Inscription inter-forêts facilite également l'étendre une PKI pendant fusions et acquisitions,étant donné que les certificats peuvent démarrer est mis en service pour les actifs récemmentacquis dès qu'une approbation de forêt est placée en place. Inscription inter-forêts étant une

modification purement côté serveur, l'inscription pouvez début sans apporter de modificationssur les ordinateurs client et d'et il fonctionne avec les anciens systèmes d'exploitation client,tels que Windows XP.Donc comment entre forêts l'inscription de travail ? À l'utilisateur final, l'expérience estcomplètement transparent. Comme avec n'importe quel autre scénario inscriptionautomatique, l'utilisateur renvoie uniquement les certificats avec peu ou pas interactionrequise sur son cadre. Les utilisateurs finaux sont probablement jamais sachent à partir dequel forêt les autorités de certification ont sont et ils devrez pas effectuer les actions spéciales

pour obtenir les certificats.Pour un professionnel de l'informatique, les blocs de construction de base sont généralementles mêmes comme avec auto-inscription traditionnel intra-forêt. La différence essentielle estque l'autorité de CERTIFICATION est maintenant en mesure de traiter les demandes

provenant d'une forêt externe et récupérer les métadonnées relatives à la demande à partir d'unActive Directory approuvés.Cette possibilité de recevoir et de correctement traiter une demande d'une forêt fiable est lanouvelle fonctionnalité clée dans R2 qui permet ce scénario à utiliser. En outre à avoir uneautorité de CERTIFICATION R2 et l'approbation de forêt bidirectionnelle, modèles decertificat doivent être répliquées entre la forêt contenant l'autorité de CERTIFICATION ettous les autres forêts sont inscrire sur cette. Microsoft fournira un script Windows PowerShell

pour automatiser cette réplication, qui doit être effectuée après chaque modification à unmodèle. Dans de nombreux cas, il sera judicieux d'avoir ce script s'exécute automatiquementcomme une tâche planifiée.Il existe quelques autres fonctionnalités plus petites qui peuvent aider avec consolidation desserveurs. Un est que l'autorité de CERTIFICATION prend désormais en charge les demandesnon persistants, ces demandes de certificats, généralement court résidaient, qui sont ne sont

pas écrites dans la base de données de l'autorité de CERTIFICATION. Par exemple,envisagez de Network Access Protection intégrité enregistrement références. Ces systèmes

peuvent émettre des milliers de certificats chaque jour qui sont uniquement valides pendantquelques heures. Gestion toutes ces demandes dans la base de données d'autorité deCERTIFICATION ajoute peu d'intérêt, mais considérablement l'augmentation le stockagerequis. Avec R2, ces demandes peuvent être configurés pour ne pas écrites dans la base dedonnées et cette configuration peut être effectuée au niveau de l'autorité de CERTIFICATIONou le modèle (voir f igure 2 ).



La figure 2 choix ne pas à stock er des certif icats dans la base de données

Une autre fonctionnalité conçue pour faciliter la consolidation des serveurs est prise en charge

de Server Core. Avec R2, le rôle d'autorité de CERTIFICATION peut être installé sur Server Core, si aucun autre service de rôle AD CS (services de certificats Active Directory) n'estdisponible sur Server Core. Lorsque installés sur Server Core, l'autorité de CERTIFICATION

peut être gérée avec deux utilitaires de ligne de commande locales, comme certutil, ou enutilisant les MMCs standard à partir d'un système distant. Notez que si matériel sécuritémodules (HSM) sont utilisés, vous devez vous assurer que le fournisseur HSM prend encharge l'exécution leurs composants Intégration sur Server Core.

Améliorée de scénarios existantsWindows 7 et version 2 incluent un numéro d'améliorations incrémentielles auxfonctionnalités existantes. Tout d'abord est une modification à une différenciation de point destock pour les modèles de certificats. Dans les versions antérieures de AD CS, modèles de

certificats avancée (version 2 et 3) qui permettent la fonctionnalité d'auto-inscription requisÉdition Entreprise autorités de certification. Dans Windows Server 2008 R2, une éditionstandard autorité de CERTIFICATION prendra en charge toutes les versions de modèle.Version 2 introduit également certaines améliorations à la prise en charge simple Protocold'inscription de certificat. Dans R2, le composant SCEP prendra en charge renouvellement de

périphérique les demandes et réutiliser de mot de passe. Nouveau AD CS dans R2 est un Best Practices Analyzer (voir f igure 3 ). BPAs ont été crééesfournit un moyen facile pour les administrateurs vérifier leurs configurations par rapport à une

base de données de méthodes recommandées créée et gérée par les équipes de fonctionnalitéde Microsoft. Données de services de support client indiquent la majorité des appels desupport dans AD CS sont provoquées par configurations incorrectes, afin du BPA doitaméliorer les expériences de client en facilitant ainsi la vérifier qu'une autorité deCERTIFICATION est correctement configurée. L'analyseur vérifie pour ces problèmescomme étant manquants AIA (autorité informations Access) ou OCSP pointeurs, certificats

près d'expiration et approuver des problèmes de chaînage.



La figure 3 exécution nouveau Best Practices Analyzer

Dans les versions en cours de Windows, choix d'un certificat pour l'authentification du client peut être difficile pour les utilisateurs finaux. Lorsque plusieurs certificats sont valides pour l'authentification, Windows ne permettent aux utilisateurs de déterminer celui qui est celuidroite pour une utilisation donnée. Cela conduit vers d'autres appels de support techniquesupport et des coûts de support client accrue. Dans Windows 7, l'interface de sélection decertificat a été améliorée considérablement pour faciliter grandement choisir le certificat droit

pour un scénario donné. La commande liste a également été modifié afin d'aider à décisions plus intelligents en présentant le certificat probablement pour un scénario donné en tant quechoix par défaut. Enfin, la sélection l'interface utilisateur maintenant différencie les certificatssur les cartes à puce et celles stockées dans le système de fichiers et présente des certificats de

carte à puce plus haut dans la liste de sélection, car ils êtes plus susceptibles d'être utilisée.Les différences sont illustrées dans les captures d'écran illustré f igure 4 . Notez que InternetExplorer 8 va apporter le filtrage amélioré (mais pas les modifications de l'interfaceutilisateur) disponible sur systèmes d'exploitation de niveau inférieur ainsi.





d'inscription, il est vraiment une totalement nouvelle approche à fournir des certificats à la findes entités, quel que soit où ils vous trouve ou si elles sont un ordinateur géré et avec lesoptions authentification flexible. Ce nouveau modèle d'élimine nombre des problèmes liéstrouvés dans l'auto-inscription traditionnelle au-delà des limites organisationnelles et fournitune infrastructure permettant de tiers fournir facilement des services d'inscription automatiquesans nécessiter de logiciel supplémentaire sur les clients.

L'inscription de HTTP implémente deux nouveaux protocoles basés sur HTTP. Le premier protocole appelé protocole de stratégie de certificat d'inscription, disponibles modèles decertificats aux utilisateurs via HTTPS sessions. Les entités de fin peuvent provenir d'ordinateurs dans des forêts séparées avec aucune relation d'approbation et les machinesmême pas joint à un domaine. Authentification utilise Kerberos, des noms d'utilisateur/mot de

passe ou des certificats. Le protocole de stratégie d'inscription permet aux utilisateursd'interroger des modèles et déterminer le moment demander des certificats basés sur desmodèles de nouveaux ou mis à jour.Le protocole de service d'inscription de certificat est une extension WS-Trust. Le protocoleest utilisé pour obtenir des certificats une fois que les informations de modèle a étédéterminées. Il prend en charge les méthodes d'authentification flexible et utilise des HTTPSen tant que le transport.L'exemple présenté dans La figure 5 illustre le fonctionne de ce nouveau modèle d'inscription.

y À l'étape 1, les modèles de certificats sont publiés à partir d'Active Directory sur unserveur qui exécute le certificat d'inscription stratégie Web Service (un rôle servicenouveau vers R2). L'administrateur de publication de ces modèles utilise les mêmesMMCs et autres outils à laquelle elles sont déjà familiers.

y À l'étape 2, un client est interrogé le service Web via HTTPS pour déterminer la listedes modèles disponibles pour s'inscrire à. Le client apprend l'UR L du service Web viastratégie de groupe, de script ou d'une configuration manuelle. Le client peut être unsystème joint au domaine, un système à un partenaire commercial ou système de based'un utilisateur.

y À l'étape 3, le client a déterminé quels modèles qu'il souhaite inscrire et envoie unedemande du service certificat d'inscription Web pour effectuer l'inscription réelle.

y À l'étape 4, le serveur qui exécute le service Web d'inscription envoie la requête à uneautorité de CERTIFICATION pour traitement.

y À l'étape 5, l'autorité de CERTIFICATION est recherchée données concernant ledemandeur d'Active Directory (comme son adresse de messagerie ou nom DNS) quiseront inclus dans le certificat émis.

y À l'étape 6, l'autorité de CERTIFICATION renvoie le certificat terminé à du serviceWeb d'inscription.

y À l'étape 7, le service de Web d'inscription se termine la transaction avec le client viaHTTPS et envoie le certificat de signature.

Flexibilité était un des principes de conception clé dans ce nouveau service et il est importantde savoir comment la conception peut être adaptée à un ensemble varié de scénarios. Étantdonné que le protocole d'inscription est HTTPS, les clients peuvent facilement inscrirecertificats à partir de n'importe où, y compris derrière des pare-feu d'entreprise ou deconnexions fournisseur de services Internet personnelle, sans nécessiter un réseau privévirtuel (VPN). Dans la mesure où trois différentes méthodes d'authentification sont prises encharge, les clients peuvent être jointes à domaine interne d'une organisation, un domaine nonapprouvé d'une organisation externe ou aucun domaine ne tout. Enfin, étant donné que lescomposants côté serveur sont implémentées en tant que services Web, ils peuvent être



installés séparément à partir de l'autorité de CERTIFICATION et prend en charge lesenvironnements segmentés.Outre le scénario classique d'inscription d'entités de fin tels que les utilisateurs et ordinateursde bureau pour les certificats, l'inscription de HTTP permet opportunités de mise en servicede certificats d'Autorités de certification racines de confiance. Scénarios tels que les certificatsS/MIME d'utilisateur, publiquement face serveurs Web et d'autres systèmes où implicite

confiance des certificats est important peuvent tout tirer parti d'inscription plus autonome. Par exemple, plusieurs organisations avec un grand nombre de serveurs Web gérer les certificatsmanuellement, l'utilisation des listes de noms de serveur et les dates d'expiration stockéesdans des classeurs Microsoft Office Excel. Avec l'inscription de HTTP, autorités decertification racines de confiance peuvent offrir un service dans lequel ils fournissentcertificats directement à ces serveurs Web automatiquement, libérer de l'administrateur dedevoir manuellement gérer les certificats sur eux. Cette combinaison de logiciels et services

permet aux organisations à choisir les modèles de déploiement selon leurs besoins meilleur,sans devoir créer autour de réseau ou des limites organisationnelles.

RéférencesIntroduction à Windows biométrique Framework (WBF)Microsoft.com/whdc/device/INPUT/smartcard/WBFIntro.mspxSur la vérification identité personnelles (PIV) employés fédérales des Contractorscsrc. NIST.gov/groups/SNS/piv/index.html

Accueil de PKI Windows Server Microsoft.com/PKI

Blog PKI Windows blogs.technet.com/PKI

Authentification forteWindows 7 prend en la première dans zone charge périphériques biométriques avec la WBF(Windows biométrique Framework). WBF êtes initialement l'authentification en fonction par empreinte digitale pour les scénarios de consommateur, est conçu pour rendre biométrie uneexpérience plus facile et plus intégrée pour les utilisateurs. Un modèle de pilote unifiée fournitutilisateur cohérente expériences sur les types de périphériques avec prise en charge del'ouverture de session Windows (local et domaine), contrôle (compte d'utilisateur etdécouverte de périphérique autonome. Pour les entreprises, WBF fournit une méthode Policy± driven de groupe pour désactiver l'infrastructure pour les organisations qui choisissez de ne

pas utiliser la biométrie. Les entreprises peuvent également choisir d'autoriser biométrie pour les applications, mais pas pour ouverture de session de domaine. Enfin, la gestion des

périphériques renforcée peuvent empêcher usage de périphérique en plus pour toutsimplement empêcher l'installation du pilote.Avec les améliorations biométrie, Windows 7 améliore également utilisateur et administrateur rencontre pour les scénarios de carte à puce. Les cartes à puce sont désormais traités comme

des périphériques Plug-and-Play avec installation de pilote Windows Update±based.L

e processus de détection et l'installation de Plug-and-Play a lieu avant ouverture de session,utilisateurs signification qui sont nécessaires pour vous connecter avec cartes à puce sera enmesure de se connecter même dans les cas où la carte n'a pas été précédemment détectée. Enoutre, l'installation ne nécessite pas des privilèges d'administration, rendant approprié dans lesenvironnements de moindre privilège.Le mini-driver classe carte à puce inclut désormais prise en charge NIST 800 73 SP-1, ceagences fédérales peuvent d'utiliser leurs fiches PIV (vérification d'identité personnels) sansdevoir utiliser middleware supplémentaire. Le mini-driver également prend en charge la



nouvelle INCITS GICS (papillon) standard, fournissant une expérience de Plug-and-Play pour ces cartes.Windows 7 également introduit la prise en charge pour le déverrouillage de carte à puce

biométrique basé et inclut les nouvelles API pour permettre l'injection de clé sécurisée. Enfin,Windows 7 apporte une prise en charge des certificats de carte à puce chiffrement courbeelliptique (ECC) pour les deux Inscription de certificat ECC et pour l'utilisation de ces

certificats ECC pour l'ouverture de session.

ConclusionWindows 7 et Windows Server 2008 R2 contiennent de la nouvelle technologie PKI plusimportante étant donné que Windows 2000 introduit des demandes automatiques decertificats. Cette nouvelle fonctionnalité facilite PKIs et plus efficace pour gérer, remise unemeilleure expérience aux utilisateurs finaux.Windows 7 et Windows Server 2008 R2 incluent les nouvelles fonctionnalités puissantes quiexécute une infrastructure PKI plus efficace tout en considérablement améliorer la fonctiond'inscription automatique. Inscription inter-forêts peut considérablement réduire le nombretotal d'autorités de certification requise par une organisation et faciliter la gérer les opérationsd'infrastructure de clé publique (PKI) au cours des fusions, les acquisitions et divestitures.

Nouveau Best Practices Analyzer facilite pour les administrateurs rechercher courants des problèmes de configuration avant de pannes se produisent. Fonctionnalités, telles que prise encharge de Server Core et des demandes nonpersistent facilitent adapter les opérationsd'autorité de CERTIFICATION à besoins organisationnels spécifiques. Et l'inscription deHTTP ouvre des nouvelles méthodes pour activer automatiquement les certificats sur l'organisation et les limites du réseau.Les utilisateurs finaux profitez également des fonctionnalités Windows 7 PKI qui la rendent

plus facile à utiliser les certificats dans leur travail quotidien. L'interface de sélection decertificat améliorée facilite aux utilisateurs de sélectionner le certificat droit à un objectif donné et authentifiés plus rapidement. Améliorations de carte à puce comme Plug-and-PlayPlay±based installation du pilote et prise en charge native des normes de carte impliquentmoins de temps doit à dépenser, à l'obtention des cartes pour travailler sur des systèmes del'utilisateur. Enfin, l'inclusion de prise en charge native de biométrie s'offrent une expérience

plus cohérente et transparente pour les utilisateurs finaux et les administrateurs.Extraire la version Bêta Si vous ne l'avez pas déjà fait et dites-nous ce que vous pensez vial'outil de commentaires ou sur notre blog sur blogs.technet.com/PKI .

Morello Jean travaille chez Microsoft depuis 2000. Il a passé cinq ans dans MicrosoftConsulting Services où il conçu solutions de sécurité pour les entreprises entreprises classéesdans Fortune 500, gouvernements et les militaries dans le monde entier. Il est actuellement

principal responsable responsable de programme dans le groupe de serveurs Windows. Jean aécrit de nombreux articles TechNet Magazine, il a contribué à plusieurs ouvrages MicrosoftPress, et il parle régulièrement à des conférences telles que TechEd et forum informatique.

Vous pouvez lire le blog de son équipe à blogs.technet.com/WinCA

T .

Documents

Améliorations de PKI dans Windows 7 et Windows Server 2008 R2