M55344A

Module 9
Déployer et gérer les
certificats
 • Déployer et gérer des modèles de certificats
Aperçu du
• Gestion du déploiement, de la révocation et de la
module récupération des certificats
• Utilisation de certificats dans un environnement
professionnel
• Mise en œuvre et gestion des cartes à puce
Leçon 1 : Déployer et gérer des modèles de
certificats

• Que sont les certificats et les modèles de certificats ?

• Versions des modèles de certificats dans Windows Server
• Configuration des autorisations du modèle de certificat
• Configuration des paramètres du modèle de certificat
• Options de mise à jour d'un modèle de certificat
• Démonstration : Modification et activation d'un modèle de certificat
 Que sont les certificats et les modèles de certificats ?
Certificats et modèles de certificats :

• Les modèles de certificats sont des ensembles de règles et de paramètres configurés sur une
autorité de certification d’entreprise sous Windows Server.

• Ils permettent de délivrer ou renouveler des certificats valides pour diverses utilisations
(protection de serveurs web, identification d’utilisateurs, etc.).
Que sont les certificats et les modèles de certificats ?

• Sous Windows Server, il existe 4 versions de modèles de certificats :

• Version 1 : Compatible avec toutes les AC depuis Windows 2000, non

modifiable sauf pour les autorisations.
• Version 2 : Disponible depuis Windows Server 2003, permet la
personnalisation et l’inscription automatique.
• Version 3 : Disponible depuis Windows Server 2008, supporte des
paramètres cryptographiques avancés.
• Version 4 : Disponible depuis Windows Server 2012, supporte le
renouvellement avec la même clé.

Notez que la gestion des versions des modèles de certificat a changé

depuis Windows Server 2012.
Configuration des autorisations pour les modèles de certificats
Autorisation Description

Contrôle total Modification de tous les attributs

Lire Lecture du certificat dans AD DS.

Écrire Modification de tous les attributs sauf les autorisations.

S'inscrire Inscription au modèle de certificat.

Inscription automatique Réception automatique d’un certificat.

Configuration des paramètres du modèle de certificat

• Pour chaque modèle de certificat, vous pouvez personnaliser plusieurs paramètres, tels
que la durée de validité, l'objet, l'exportabilité de la clé privée et les conditions
d'émission.
Options de mise à jour d'un modèle de certificat

Modifier
Modifier le modèle de certificat
original pour y intégrer les nouveaux
Original Mise à paramètres.
jour

Remplacement
Remplacer un ou plusieurs modèles
Carte à puce 1
de certificat par un modèle de
certificat mis à jour
Cartes à puce
(nouveau)
Carte à puce 2
Démonstration : Modification et activation
d'un modèle de certificat
Dans cette démonstration, vous verrez comment modifier et activer un modèle de
certificat
Leçon 2 : Gestion du déploiement, de la révocation
et de la récupération des certificats

• Méthodes d'enrôlement des certificats

• Vue d'ensemble de l'auto-enrôlement des certificats
• Qu'est-ce qu'un agent d'inscription ?
• Comment fonctionne la révocation des certificats ?
• Aperçu de l'archivage et de la récupération des clés
• Configuration de l'archivage automatique des clés
• Démonstration : Configuration d'une autorité de certification pour l'archivage des
clés
Méthodes d'inscription au certificat
Méthode Utilisation

Inscription automatique • Automatisation pour les ordinateurs basés sur un domaine

Inscription manuelle • utilisation de la console Certificats ou de Certreq.exe

Inscription au site web de

• Demande de certificats via un site web
CA

• Demande de certificats par un agent d’enrôlement pour un autre

S'inscrire au nom de
utilisateur.
Vue d'ensemble de l'inscription automatique au certificat

• Un modèle de certificat est configuré pour les autorisations Allow, Enroll et Autoenroll
pour les utilisateurs qui reçoivent les certificats.
• L'autorité de certification est configurée pour délivrer le modèle
• Un objet de stratégie de groupe AD DS doit être créé pour activer l'inscription
automatique.
• Le GPO doit être lié au site, au domaine ou à l'unité d'organisation approprié(e).
• L'utilisateur ou l'ordinateur reçoit les certificats lors du prochain intervalle d'actualisation
de la stratégie de groupe.
 Qu'est-ce qu'un agent d'inscription ?
Qu’est-ce qu’un agent d’inscription ?

Définition :
Un agent d’inscription est un compte d’utilisateur utilisé pour demander des
certificats au nom d’un autre compte d’utilisateur.
L’agent d’inscription doit posséder un certificat basé sur le modèle d’agent
d’inscription.
Comment fonctionne la révocation des certificats ?

Comment fonctionne la révocation des certificats ?

Processus de révocation :
Révoquer un certificat signifie annuler sa validité avant sa date d’expiration.
La révocation peut être demandée à tout moment, notamment lorsque le titulaire pense
que ses clés privées sont compromises.

Cycle de vie de la révocation :

Étape 1 : Un certificat est révoqué.
Étape 2 : Une Liste de Révocation des Certificats (LCR) est publiée.
Étape 3 : Un ordinateur client vérifie la validité et la révocation des certificats.
 Vue d'ensemble des principaux systèmes d'archivage et de récupération
Vue d’ensemble des principaux systèmes d’archivage et de récupération

Perte des clés privées :

• Les clés privées peuvent être perdues lorsque :
• Un profil d’utilisateur est supprimé.
• Un système d’exploitation est réinstallé.
• Un disque est corrompu.
• Un ordinateur est perdu ou volé.
Importance de l’archivage des clés :
Il est essentiel d’archiver les clés privées des certificats utilisés pour le cryptage.
La récupération des clés est un processus en deux phases :
Phase 1 : Récupération des clés.
Phase 2 : Récupération des clés revoquer.
Configuration de l'archivage automatique des clés

Configuration de l’archivage automatique des clés

Étapes de configuration :
Étape 1 : Configurer le modèle de certificat KRA.
Étape 2 : Les agents de recouvrement des clés désignés s’inscrivent pour
obtenir un certificat d’agent de recouvrement des clés.
Étape 3 : Activer les agents de récupération des clés sur l’autorité de
certification.
Étape 4 : Configurer les modèles de certificats nécessaires à l’archivage des
clés.
Démonstration : Configuration d'une
autorité de certification pour l'archivage
des clés
Dans cette démonstration, vous verrez comment configurer une autorité de
certification pour l'archivage des clés
Leçon 3 : Utilisation de certificats dans un
environnement professionnel

• Utilisation de certificats pour SSL

• Utilisation de certificats pour les signatures numériques
• Démonstration : Signature numérique d'un document
• Utilisation de certificats pour le cryptage de contenu
• Démonstration : Chiffrement d'un fichier avec EFS
• Utilisation de certificats pour l'authentification
Utilisation de certificats pour SSL

• L'objectif de la sécurisation d'une connexion avec SSL est de protéger les données
pendant la communication
• Pour SSL, un certificat doit être installé sur le serveur.
• Être conscient des problèmes de confiance
• SSL fonctionne selon les étapes suivantes :
1. L'utilisateur tape une URL HTTPS
2. Le serveur web envoie son certificat SSL
3. Le client vérifie le certificat du serveur.
4. Le client génère une clé de chiffrement symétrique
5. Le client chiffre cette clé avec la clé publique du serveur
6. Le serveur utilise sa clé privée pour déchiffrer la clé symétrique chiffrée.
Utilisation de certificats pour les signatures numériques

Les signatures numériques assurent que le contenu n’est pas altéré pendant le transport
et que l’identité de l’auteur est vérifiable. Voici comment elles fonctionnent :

1) L’auteur signe numériquement un document ou un message, créant un condensé

cryptographique.
2) Ce condensé est crypté avec la clé privée de l’auteur et ajouté au document ou
message.
3) Le destinataire utilise la clé publique de l’auteur pour décrypter le condensé et le
comparer au condensé généré sur son propre ordinateur.

Pour utiliser les signatures numériques, les utilisateurs doivent avoir un certificat basé sur
un modèle d’utilisateur.
Démonstration : Signer un document
numériquement
Dans cette démonstration, vous verrez comment signer un document
numériquement
Utilisation de certificats pour le cryptage du contenu

• Le cryptage protège
les données contre l'accès
non autorisés
• EFS utilise des certificats pour
le cryptage des fichiers

• Pour envoyer un message crypté

vous devez
posséder la
clé publique
Démonstration : Chiffrement d'un fichier
avec EFS
Dans cette démonstration, vous verrez comment crypter un fichier avec EFS.
Leçon 4 : Mise en œuvre et gestion des cartes à
puce

• Qu'est-ce qu'une carte à puce ?

• Comment fonctionne l'authentification par carte à puce ?
• Qu'est-ce qu'une carte à puce virtuelle ?
• Inscription de certificats pour les cartes à puce
• Gestion des cartes à puce
Qu'est-ce qu'une carte à puce ?

• Une carte à puce est un ordinateur miniature, doté de capacités de

stockage et de traitement limitées, intégré dans une carte en plastique de
la taille d'une carte de crédit.

• Cartes à puce :
• Fournir des options pour l'authentification multifactorielle
• Fournir une sécurité accrue par rapport aux mots de passe

• Vous devez utiliser conjointement une carte à puce et un code PIN

valides
Comment fonctionne l'authentification par carte à puce ?

Comment fonctionne l’authentification par carte à puce ?

Utilisations :
• Connexion interactive à Active Directory Domain Services (AD DS).
• Authentification du client.
• Connexion à distance.
• Connexion hors ligne..

• Des étapes de connexion interactives :

1. La demande d'ouverture de session est envoyée à l’ASL (Sessions d’ouverture de session), qui la
transmet au paquet Kerberos.
2. Le KDC vérifie le certificat
3. Le KDC vérifie la signature numérique du service d'authentification.
4. Le KDC effectue une requête AD DS pour localiser le compte d'utilisateur.
5. La KDC génère une clé de cryptage aléatoire pour crypter le TGT (ticket d'octroi de ticket ).
6. Le KDC signe la réponse avec sa clé privée et l'envoie à l'utilisateur.
Qu'est-ce qu'une carte à puce virtuelle ?

• Une infrastructure de cartes à puce pourrait être coûteuse

• Windows Server 2012 AD CS introduit des cartes à puce virtuelles
• Les cartes à puce virtuelles utilisent les capacités de la puce TPM
• Pas de frais pour l'achat de cartes à puce et de lecteurs de cartes à puce
• L'ordinateur agit comme une carte à puce
• Les capacités cryptographiques du TPM protègent les clés privées.
Certificats d'inscription pour les cartes à puce

• Avant d'émettre des cartes à puce, définissez la méthode d'enrôlement

des certificats de cartes à puce
• L'enrôlement d'un certificat de carte à puce nécessite une intervention
manuelle.
• Pour l'enrôlement de la carte à puce :
• Définir le modèle de certificat pour les cartes à puce
• Inscrire un ou plusieurs utilisateurs au certificat d'agent d'inscription
• Configurer la station d'enrôlement
• Démarrer l'inscription au nom de l'assistant
• Veiller à ce que les utilisateurs modifient leurs codes PIN personnels
 Gestion des cartes à puce
Tâches de gestion :
• Délivrance : Émission de nouvelles cartes à puce.
• Révocation : Annulation de la validité des cartes à puce.
• Renouvellement : Mise à jour des cartes à puce arrivant à expiration.
• Blocage et déblocage : Gestion des cartes à puce perdues ou volées.
• Duplication : Création de copies des cartes à puce.
• Suspension : Mise en pause temporaire de l’utilisation des cartes à puce.

Utilisation de Microsoft Identity Manager (MIM) :

• Délivrance des cartes à puce aux utilisateurs.
• Stockage des informations dans une base de données SQL.
• Gestion des procédures de révocation, de renouvellement, de déblocage, de suspension et
de réintégration.
• Fourniture d’une interface de gestion des cartes à puce en libre-service basée sur le web.
• Gestion de l’impression des cartes à puce avec le matériel approprié.
• Mise en place de flux de travail pour chaque tâche de gestion.
Lab : Déployer et utiliser des certificats
Scénario de laboratoire
Vous travaillez en tant qu'administrateur chez A. Datum Corporation. Au fur et à mesure que A. Datum se
développe, ses besoins en matière de sécurité augmentent également. Le service de sécurité s'intéresse
particulièrement à la sécurisation de l'accès aux sites web critiques et à la fourniture d'une sécurité supplémentaire
pour des fonctions telles que EFS, les signatures numériques, les cartes à puce et la fonction DirectAccess dans
Windows 10 et Windows 11. Le département Sécurité souhaite notamment évaluer les signatures numériques dans
les documents Microsoft Office. Pour répondre à ces exigences de sécurité et à d'autres, A. Datum a décidé
d'utiliser des certificats émis par le rôle AD CS dans Windows Server.

En tant qu'administrateur réseau senior chez A. Datum, vous êtes responsable de la mise en œuvre de l'enrôlement
des certificats. Vous développez également les procédures et les processus de gestion des modèles de certificats et
de déploiement et de révocation des certificats.
Objectifs

Exercice 1 : Exercice 2 : Exercice 3 :

: Configuration des Inscription et utilisation Configuration et mise
modèles de certificats de certificats en œuvre de la
récupération des clés
 Que devez-vous faire pour récupérer les clés privées ?
Examen du
laboratoire Quel est l'avantage de faire appel à un agent d'inscription restreint ?
Bilan du
• Questions d'examen
module et
• Outils
enseignements • Problèmes courants et conseils de dépannage
à tirer
Fin de la présentation