Dans Windows Server 2003, Certificate Services offre de nombreuses nouvelles fonctions qui simplifieront la vie de l’administrateur CA (Certification Authority) et qui permettent de nouveaux standards. Parmi les fonctions nouvelles et améliorées, on trouve les modèles de certificats version 2, qui améliorent le contrôle sur l’enrôlement et l’émission de certificats ; l’archivage et la récupération des clés, et les listes de révocation de certificats (CRL, certificate revocation list) delta.Même si vous n’avez pas songé à Certificate Services par le passé, le moment est peut-être venu. Dans cet article, je décris la manière d’utiliser ces nouvelles importantes fonctions de Certificate Services.
Certificate Services de Windows Server 2003
Certificate Services est la composante Windows qui permet aux entreprises de toutes tailles d’installer une infrastructure de clé publique (PKI, public key infrastructure) basée sur X.509v3, complète. La PKI peut octroyer des certificats aux utilisateurs et aux ordinateurs pour améliorer la sécurité, en validant IPsec, l’authentification 802.1x pour les réseaux sans fil, le EFS (Encrypting File System), SSL (Secure Sockets Layer) et TLS (Transport Layer Security) pour protéger les sites Web, l’authentification par carte intelligente; and Secure MIME (S/MIME) pour protéger le courriel. Certificate Services est gratuit avec le serveur OS et évite d’acheter des certificats auprès d’une CA tierce pour une utilisation en interne. (Toutefois, les certificats tierce partie seront peut-être nécessaires pour la sécurité externe, par exemple pour les sites de Web e-commerce.)
Chaque édition de Windows 2003 offre un niveau différent de fonctionnalités pour Certificate Services. Dans Windows 2003 Enterprise Edition (et Windows 2003 Datacenter Edition), Certificate Services est destiné à des environnements d’entreprise et offre la gamme de fonctionnalités la plus complète. Dans Windows 2003 Standard Edition, Certificate Services offre plus de fonctionnalités que la version livrée avec Windows 2000, en tout cas suffisantes pour beaucoup de PME. Windows 2003 Web Edition n’offre aucun service PKI mais peut fonctionner comme un client. Le tableau 1 compare les fonctions Certificate Services disponibles dans plusieurs versions serveur Windows répandues. En outre, le Windows Server 2003 Resource Kit offre des fonctions importantes comme l’add-on SCEP (Certificate Enrollment Protocol). Comme son homologue Win2K, Windows 2003 Certificate Services offre plusieurs options d’installation et de configuration. Vous pouvez installer Certificate Services comme une CA d’entreprise ou comme une CA autonome, selon l’usage prévu. Une CA d’entreprise est entièrement intégrée à votre infrastructure AD (Active Directory). Par un processus appelé auto-enrôlement, vous pouvez tirer parti de la CA d’entreprise pour octroyer automatiquement des certificats à des sujets (généralement utilisateurs ou ordinateurs) sans intervention administrative. De plus, de nombreuses technologies de sécurité Windows (comme IPsec, smart card logon, 802.1x) sont conçues pour bénéficier d’une CA d’entreprise. Une CA d’entreprise est toujours online même si c’est une CA racine.
En revanche, une CA autonome n’est pas forcément intégrée avec l’AD et n’est pas aussi transparente vis-à-vis des sujets ou des technologies de sécurité Windows. Une CA autonome peut être une CA racine offline qui se met online pour émettre des certificats pour des CA intermédiaires ou des sous-CA si nécessaire. Si votre entreprise veut avoir une CA racine offline, vous pouvez créer une CA autonome qui fonctionne comme votre CA racine et octroyer un certificat sous-CA à votre CA d’entreprise. Pour plus d’informations sur les CA d’entreprise par rapport aux CA autonomes, voir "Defining CA Types and Roles".
Téléchargez cette ressource
Travail à distance – Guide complet pour les Directions IT et Métiers
Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.