Certificate Services de Windows Server 2003

Certificate Services est la composante Windows qui permet aux entreprises de toutes tailles d’installer une infrastructure de clé publique (PKI, public key infrastructure) basée sur X.509v3, complète. La PKI peut octroyer des certificats aux utilisateurs et aux ordinateurs pour améliorer la sécurité, en validant IPsec, l’authentification 802.1x pour les réseaux sans fil, le EFS (Encrypting File System), SSL (Secure Sockets Layer) et TLS (Transport Layer Security) pour protéger les sites Web, l’authentification par carte intelligente; and Secure MIME (S/MIME) pour protéger le courriel. Certificate Services est gratuit avec le serveur OS et évite d’acheter des certificats auprès d’une CA tierce pour une utilisation en interne. (Toutefois, les certificats tierce partie seront peut-être nécessaires pour la sécurité externe, par exemple pour les sites de Web e-commerce.)

Chaque édition de Windows 2003 offre un niveau différent de fonctionnalités pour Certificate Services. Dans Windows 2003 Enterprise Edition (et Windows 2003 Datacenter Edition), Certificate Services est destiné à des environnements d’entreprise et offre la gamme de fonctionnalités la plus complète. Dans Windows 2003 Standard Edition, Certificate Services offre plus de fonctionnalités que la version livrée avec Windows 2000, en tout cas suffisantes pour beaucoup de PME. Windows 2003 Web Edition n’offre aucun service PKI mais peut fonctionner comme un client. Le tableau 1 compare les fonctions Certificate Services disponibles dans plusieurs versions serveur Windows répandues. En outre, le Windows Server 2003 Resource Kit offre des fonctions importantes comme l’add-on SCEP (Certificate Enrollment Protocol). Comme son homologue Win2K, Windows 2003 Certificate Services offre plusieurs options d’installation et de configuration. Vous pouvez installer Certificate Services comme une CA d’entreprise ou comme une CA autonome, selon l’usage prévu. Une CA d’entreprise est entièrement intégrée à votre infrastructure AD (Active Directory). Par un processus appelé auto-enrôlement, vous pouvez tirer parti de la CA d’entreprise pour octroyer automatiquement des certificats à des sujets (généralement utilisateurs ou ordinateurs) sans intervention administrative. De plus, de nombreuses technologies de sécurité Windows (comme IPsec, smart card logon, 802.1x) sont conçues pour bénéficier d’une CA d’entreprise. Une CA d’entreprise est toujours online même si c’est une CA racine.

En revanche, une CA autonome n’est pas forcément intégrée avec l’AD et n’est pas aussi transparente vis-à-vis des sujets ou des technologies de sécurité Windows. Une CA autonome peut être une CA racine offline qui se met online pour émettre des certificats pour des CA intermédiaires ou des sous-CA si nécessaire. Si votre entreprise veut avoir une CA racine offline, vous pouvez créer une CA autonome qui fonctionne comme votre CA racine et octroyer un certificat sous-CA à votre CA d’entreprise. Pour plus d’informations sur les CA d’entreprise par rapport aux CA autonomes, voir "Defining CA Types and Roles".