Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

Cet article repose sur le code prliminaire. Toutes les informations dans le prsent document sont susceptibles d'tre modifies. Vue d'ensemble :
y y y y

Consolidation de serveur Amliore de scnarios existants Logiciels + services Authentification forte

Contenu Consolidation de serveur Amliore de scnarios existants Logiciels + services Authentification forte Conclusion Il semble simplement hier j'a t crire un article intitul amliorations PKI dans Windows . Cet article, ce qui a excut dans le aot 2007 de TechNet Magazine, ax sur des innovations qui livrs dans Windows Vista et Windows Server 2008. Ces innovations inclus telles que l'inscription de l'interface utilisateur Amliorations et fonctionnalits OCSP (Online Certificate tat Protocol). Lorsque ces amliorations taient utile et bien reus par les utilisateurs, vous pouvez dire que les modifications taient vraiment incrmentielles modifications de perspective un INFORMATICIEN professionnel. Toutefois, Windows 7, offre une amliorations PKI qui considrablement amliorer la dploiement et oprationnelle exprience des utilisateurs, l'activation de nouveaux scnarios puissants tout en rduisant les cots oprationnels. Les amliorations de Windows 7 et Windows Server 2008 R2 sont ax autour quatre zones principales (illustrs La figure 1 ): Consolidation des serveurs. Cela permet aux organisations de rduire le nombre total d'autorits de certificat requis pour atteindre leurs objectifs mtier. Amliore de scnarios existants. Cette vue est sur des lments tels qu'offrant la prise en charge SCEP (Simple Certificate d'inscription Protocol) plus complte et comprenant une utilisation pratiques Analyzer (BPA). Logiciels + services. Il est de permettre autonome d'inscription des utilisateurs et des priphriques pour les certificats indpendamment des limites du rseau et fournisseurs de certificat. Une authentification renforce. Cette zone porte sur les amliorations apportes l'exprience de carte puce, l'introduction de la cadre biomtrique pour Windows et ainsi de suite.

Figure 1 que les quatre zones de PKI amliorations de base Consolidation de serveur Parmi les thmes prdominante dans IT au cours des dernires annes a t consolidation des serveurs. Plus simplement, il s'agit sur rduire l'encombrement total de votre environnement informatique serveur lors de la runion toujours, ou mme dveloppement, vos objectifs commerciaux. L'conomie globale actuelle a apport des conomies une priorit suprieure pour plusieurs groupes INFORMATIQUES et consolidation des serveurs peut tre certainement un composant de cette stratgie gnral. Bien que la plupart des entreprises ne disposent pas absolue, numros des autorits de certification, nombre ont plus dont ils ont besoin uniquement en fonction de dbit de cration de certificat. En d'autres termes, nombreuses organisations ont autorits de certification qui sont considrablement sous-utilis. Il existe deux raisons principales pour cette underutilization. Tout d'abord, certaines organisations peuvent ncessiter des autorits de certification distinct pour rglementaires ou raisons de stratgie de scurit. Par exemple, certains clients ont choisi d'mettre des certificats des parties externes d'une autorit de CERTIFICATION compltement distincte que celles qui mettent des certificats des utilisateurs internes et des ordinateurs. Dans ce cas, le virtualiser l'autorit de CERTIFICATION de la technologie Hyper-V pouvez liminent la ncessit de matriel de serveur distinct (bien que l'autorit de CERTIFICATION doit toujours tre gre, mme en qu'un ordinateur virtuel). La raison la deuxime courante est que cette inscription automatique a t uniquement pris en charge dans intra-fort scnarios. Plus prcisment, une autorit de CERTIFICATION a uniquement russi inscrire automatiquement les entits pour les certificats lorsque ces entits sont une partie de la mme fort qui est joint. Mme dans les cas o les approbations de fort bidirectionnelle niveau existent, distinct autorits de certification ont t ncessaires pour chaque fort o l'inscription automatique est utilise. Une des cls les nouvelles fonctionnalits dans Windows Server 2008 R2 est la capacit excuter auto-inscription dans fort relations d'approbation, cration de la possibilit de rduire considrablement le nombre total d'autorits de certification requise dans une entreprise. Prendre en compte un rseau d'entreprise classique qui a dj des oprations de consolidation et qui possde maintenant quatre forts : production, dveloppement, le test et le bord. Antrieure R2, si vous vouliez fournir auto-inscription sur chaque fort, au moins quatre mission autorits de certification sont requis, mme si toutes les forts approuv eux. Version 2, vous pouvez rduire le nombre total d'autorits de certification dans ce scnario un, avoir un seul autorit de CERTIFICATION dans une des forts mettre des certificats aux entits dans tous les autres forts.

Pour les environnements avec modles multi-forest plus complexes, la rduction totale d'autorits de certification peut tre encore plus considrables et fournir un retour immdiat sur investissement de la mise niveau R2. Inscription inter-forts facilite galement l'tendre une PKI pendant fusions et acquisitions, tant donn que les certificats peuvent dmarrer est mis en service pour les actifs rcemment acquis ds qu'une approbation de fort est place en place. Inscription inter-forts tant une modification purement ct serveur, l'inscription pouvez dbut sans apporter de modifications sur les ordinateurs client et d'et il fonctionne avec les anciens systmes d'exploitation client, tels que Windows XP. Donc comment entre forts l'inscription de travail ? l'utilisateur final, l'exprience est compltement transparent. Comme avec n'importe quel autre scnario inscription automatique, l'utilisateur renvoie uniquement les certificats avec peu ou pas interaction requise sur son cadre. Les utilisateurs finaux sont probablement jamais sachent partir de quel fort les autorits de certification ont sont et ils devrez pas effectuer les actions spciales pour obtenir les certificats. Pour un professionnel de l'informatique, les blocs de construction de base sont gnralement les mmes comme avec auto-inscription traditionnel intra-fort. La diffrence essentielle est que l'autorit de CERTIFICATION est maintenant en mesure de traiter les demandes provenant d'une fort externe et rcuprer les mtadonnes relatives la demande partir d'un Active Directory approuvs. Cette possibilit de recevoir et de correctement traiter une demande d'une fort fiable est la nouvelle fonctionnalit cle dans R2 qui permet ce scnario utiliser. En outre avoir une autorit de CERTIFICATION R2 et l'approbation de fort bidirectionnelle, modles de certificat doivent tre rpliques entre la fort contenant l'autorit de CERTIFICATION et tous les autres forts sont inscrire sur cette. Microsoft fournira un script Windows PowerShell pour automatiser cette rplication, qui doit tre effectue aprs chaque modification un modle. Dans de nombreux cas, il sera judicieux d'avoir ce script s'excute automatiquement comme une tche planifie. Il existe quelques autres fonctionnalits plus petites qui peuvent aider avec consolidation des serveurs. Un est que l'autorit de CERTIFICATION prend dsormais en charge les demandes non persistants, ces demandes de certificats, gnralement court rsidaient, qui sont ne sont pas crites dans la base de donnes de l'autorit de CERTIFICATION. Par exemple, envisagez de Network Access Protection intgrit enregistrement rfrences. Ces systmes peuvent mettre des milliers de certificats chaque jour qui sont uniquement valides pendant quelques heures. Gestion toutes ces demandes dans la base de donnes d'autorit de CERTIFICATION ajoute peu d'intrt, mais considrablement l'augmentation le stockage requis. Avec R2, ces demandes peuvent tre configurs pour ne pas crites dans la base de donnes et cette configuration peut tre effectue au niveau de l'autorit de CERTIFICATION ou le modle (voir figure 2 ).

La figure 2 choix ne pas stocker des certificats dans la base de donnes Une autre fonctionnalit conue pour faciliter la consolidation des serveurs est prise en charge de Server Core. Avec R2, le rle d'autorit de CERTIFICATION peut tre install sur Server Core, si aucun autre service de rle AD CS (services de certificats Active Directory) n'est disponible sur Server Core. Lorsque installs sur Server Core, l'autorit de CERTIFICATION peut tre gre avec deux utilitaires de ligne de commande locales, comme certutil, ou en utilisant les MMCs standard partir d'un systme distant. Notez que si matriel scurit modules (HSM) sont utiliss, vous devez vous assurer que le fournisseur HSM prend en charge l'excution leurs composants Intgration sur Server Core. Amliore de scnarios existants Windows 7 et version 2 incluent un numro d'amliorations incrmentielles aux fonctionnalits existantes. Tout d'abord est une modification une diffrenciation de point de stock pour les modles de certificats. Dans les versions antrieures de AD CS, modles de certificats avance (version 2 et 3) qui permettent la fonctionnalit d'auto-inscription requis dition Entreprise autorits de certification. Dans Windows Server 2008 R2, une dition standard autorit de CERTIFICATION prendra en charge toutes les versions de modle. Version 2 introduit galement certaines amliorations la prise en charge simple Protocol d'inscription de certificat. Dans R2, le composant SCEP prendra en charge renouvellement de priphrique les demandes et rutiliser de mot de passe. Nouveau AD CS dans R2 est un Best Practices Analyzer (voir figure 3 ). BPAs ont t cres fournit un moyen facile pour les administrateurs vrifier leurs configurations par rapport une base de donnes de mthodes recommandes cre et gre par les quipes de fonctionnalit de Microsoft. Donnes de services de support client indiquent la majorit des appels de support dans AD CS sont provoques par configurations incorrectes, afin du BPA doit amliorer les expriences de client en facilitant ainsi la vrifier qu'une autorit de CERTIFICATION est correctement configure. L'analyseur vrifie pour ces problmes comme tant manquants AIA (autorit informations Access) ou OCSP pointeurs, certificats prs d'expiration et approuver des problmes de chanage.

La figure 3 excution nouveau Best Practices Analyzer Dans les versions en cours de Windows, choix d'un certificat pour l'authentification du client peut tre difficile pour les utilisateurs finaux. Lorsque plusieurs certificats sont valides pour l'authentification, Windows ne permettent aux utilisateurs de dterminer celui qui est celui droite pour une utilisation donne. Cela conduit vers d'autres appels de support technique support et des cots de support client accrue. Dans Windows 7, l'interface de slection de certificat a t amliore considrablement pour faciliter grandement choisir le certificat droit pour un scnario donn. La commande liste a galement t modifi afin d'aider dcisions plus intelligents en prsentant le certificat probablement pour un scnario donn en tant que choix par dfaut. Enfin, la slection l'interface utilisateur maintenant diffrencie les certificats sur les cartes puce et celles stockes dans le systme de fichiers et prsente des certificats de carte puce plus haut dans la liste de slection, car ils tes plus susceptibles d'tre utilise. Les diffrences sont illustres dans les captures d'cran illustr figure 4 . Notez que Internet Explorer 8 va apporter le filtrage amlior (mais pas les modifications de l'interface utilisateur) disponible sur systmes d'exploitation de niveau infrieur ainsi.

La figure 4 plus intelligents moyen de prsenter des certificats Logiciels + services Pendant le processus de cration Windows 7, l'quipe hberg une runion comporte de nombreux des suprieur PKI utilisateurs rechercher quipe les zones doivent obtenir l'attention dans la nouvelle version. Un nombre d'utilisateurs norme indiqu qu'il est trop difficile de grer les certificats au-del des limites de l'organisation, comme entre deux socits distinctes qui sont des partenaires commerciaux. Nombre dit qu'il voit PKI comme une cible idale d'externalisation, car il ncessite un ensemble de comptences spcialises pour grer efficacement. Windows 7 et Windows Server 2008 R2 offre une nouvelle technologie qui satisfait ces deux besoins, facilitant ainsi la provision certificats frontires et ouverture des nouveaux modles d'entreprise des solutions PKI hberges. Cette technologie est l'inscription de HTTP.

La figure 5, le nouveau modle d'inscription L'inscription de HTTP ne remplace pour le protocole RPC/DCOM traditionnel utilis pour l'inscription automatique dans les versions antrieures (Notez que l'approche RPC est toujours disponible en version 2). Toutefois, l'inscription de HTTP est plus qu'un protocole

d'inscription, il est vraiment une totalement nouvelle approche fournir des certificats la fin des entits, quel que soit o ils vous trouve ou si elles sont un ordinateur gr et avec les options authentification flexible. Ce nouveau modle d'limine nombre des problmes lis trouvs dans l'auto-inscription traditionnelle au-del des limites organisationnelles et fournit une infrastructure permettant de tiers fournir facilement des services d'inscription automatique sans ncessiter de logiciel supplmentaire sur les clients. L'inscription de HTTP implmente deux nouveaux protocoles bass sur HTTP. Le premier protocole appel protocole de stratgie de certificat d'inscription, disponibles modles de certificats aux utilisateurs via HTTPS sessions. Les entits de fin peuvent provenir d'ordinateurs dans des forts spares avec aucune relation d'approbation et les machines mme pas joint un domaine. Authentification utilise Kerberos, des noms d'utilisateur/mot de passe ou des certificats. Le protocole de stratgie d'inscription permet aux utilisateurs d'interroger des modles et dterminer le moment demander des certificats bass sur des modles de nouveaux ou mis jour. Le protocole de service d'inscription de certificat est une extension WS-Trust. Le protocole est utilis pour obtenir des certificats une fois que les informations de modle a t dtermines. Il prend en charge les mthodes d'authentification flexible et utilise des HTTPS en tant que le transport. L'exemple prsent dans La figure 5 illustre le fonctionne de ce nouveau modle d'inscription.
y

y y y

y y

l'tape 1, les modles de certificats sont publis partir d'Active Directory sur un serveur qui excute le certificat d'inscription stratgie Web Service (un rle service nouveau vers R2). L'administrateur de publication de ces modles utilise les mmes MMCs et autres outils laquelle elles sont dj familiers. l'tape 2, un client est interrog le service Web via HTTPS pour dterminer la liste des modles disponibles pour s'inscrire . Le client apprend l'URL du service Web via stratgie de groupe, de script ou d'une configuration manuelle. Le client peut tre un systme joint au domaine, un systme un partenaire commercial ou systme de base d'un utilisateur. l'tape 3, le client a dtermin quels modles qu'il souhaite inscrire et envoie une demande du service certificat d'inscription Web pour effectuer l'inscription relle. l'tape 4, le serveur qui excute le service Web d'inscription envoie la requte une autorit de CERTIFICATION pour traitement. l'tape 5, l'autorit de CERTIFICATION est recherche donnes concernant le demandeur d'Active Directory (comme son adresse de messagerie ou nom DNS) qui seront inclus dans le certificat mis. l'tape 6, l'autorit de CERTIFICATION renvoie le certificat termin du service Web d'inscription. l'tape 7, le service de Web d'inscription se termine la transaction avec le client via HTTPS et envoie le certificat de signature.

Flexibilit tait un des principes de conception cl dans ce nouveau service et il est important de savoir comment la conception peut tre adapte un ensemble vari de scnarios. tant donn que le protocole d'inscription est HTTPS, les clients peuvent facilement inscrire certificats partir de n'importe o, y compris derrire des pare-feu d'entreprise ou de connexions fournisseur de services Internet personnelle, sans ncessiter un rseau priv virtuel (VPN). Dans la mesure o trois diffrentes mthodes d'authentification sont prises en charge, les clients peuvent tre jointes domaine interne d'une organisation, un domaine non approuv d'une organisation externe ou aucun domaine ne tout. Enfin, tant donn que les composants ct serveur sont implmentes en tant que services Web, ils peuvent tre

installs sparment partir de l'autorit de CERTIFICATION et prend en charge les environnements segments. Outre le scnario classique d'inscription d'entits de fin tels que les utilisateurs et ordinateurs de bureau pour les certificats, l'inscription de HTTP permet opportunits de mise en service de certificats d'Autorits de certification racines de confiance. Scnarios tels que les certificats S/MIME d'utilisateur, publiquement face serveurs Web et d'autres systmes o implicite confiance des certificats est important peuvent tout tirer parti d'inscription plus autonome. Par exemple, plusieurs organisations avec un grand nombre de serveurs Web grer les certificats manuellement, l'utilisation des listes de noms de serveur et les dates d'expiration stockes dans des classeurs Microsoft Office Excel. Avec l'inscription de HTTP, autorits de certification racines de confiance peuvent offrir un service dans lequel ils fournissent certificats directement ces serveurs Web automatiquement, librer de l'administrateur de devoir manuellement grer les certificats sur eux. Cette combinaison de logiciels et services permet aux organisations choisir les modles de dploiement selon leurs besoins meilleur, sans devoir crer autour de rseau ou des limites organisationnelles. Rfrences Introduction Windows biomtrique Framework (WBF) Microsoft.com/whdc/device/INPUT/smartcard/WBFIntro.mspx Sur la vrification identit personnelles (PIV) employs fdrales des Contractors csrc. NIST.gov/groups/SNS/piv/index.html Accueil de PKI Windows Server Microsoft.com/PKI Blog PKI Windows blogs.technet.com/PKI Authentification forte Windows 7 prend en la premire dans zone charge priphriques biomtriques avec la WBF (Windows biomtrique Framework). WBF tes initialement l'authentification en fonction par empreinte digitale pour les scnarios de consommateur, est conu pour rendre biomtrie une exprience plus facile et plus intgre pour les utilisateurs. Un modle de pilote unifie fournit utilisateur cohrente expriences sur les types de priphriques avec prise en charge de l'ouverture de session Windows (local et domaine), contrle (compte d'utilisateur et dcouverte de priphrique autonome. Pour les entreprises, WBF fournit une mthode Policy driven de groupe pour dsactiver l'infrastructure pour les organisations qui choisissez de ne pas utiliser la biomtrie. Les entreprises peuvent galement choisir d'autoriser biomtrie pour les applications, mais pas pour ouverture de session de domaine. Enfin, la gestion des priphriques renforce peuvent empcher usage de priphrique en plus pour tout simplement empcher l'installation du pilote. Avec les amliorations biomtrie, Windows 7 amliore galement utilisateur et administrateur rencontre pour les scnarios de carte puce. Les cartes puce sont dsormais traits comme des priphriques Plug-and-Play avec installation de pilote Windows Updatebased. Le processus de dtection et l'installation de Plug-and-Play a lieu avant ouverture de session, utilisateurs signification qui sont ncessaires pour vous connecter avec cartes puce sera en mesure de se connecter mme dans les cas o la carte n'a pas t prcdemment dtecte. En outre, l'installation ne ncessite pas des privilges d'administration, rendant appropri dans les environnements de moindre privilge. Le mini-driver classe carte puce inclut dsormais prise en charge NIST 800 73 SP-1, ce agences fdrales peuvent d'utiliser leurs fiches PIV (vrification d'identit personnels) sans devoir utiliser middleware supplmentaire. Le mini-driver galement prend en charge la

nouvelle INCITS GICS (papillon) standard, fournissant une exprience de Plug-and-Play pour ces cartes. Windows 7 galement introduit la prise en charge pour le dverrouillage de carte puce biomtrique bas et inclut les nouvelles API pour permettre l'injection de cl scurise. Enfin, Windows 7 apporte une prise en charge des certificats de carte puce chiffrement courbe elliptique (ECC) pour les deux Inscription de certificat ECC et pour l'utilisation de ces certificats ECC pour l'ouverture de session. Conclusion Windows 7 et Windows Server 2008 R2 contiennent de la nouvelle technologie PKI plus importante tant donn que Windows 2000 introduit des demandes automatiques de certificats. Cette nouvelle fonctionnalit facilite PKIs et plus efficace pour grer, remise une meilleure exprience aux utilisateurs finaux. Windows 7 et Windows Server 2008 R2 incluent les nouvelles fonctionnalits puissantes qui excute une infrastructure PKI plus efficace tout en considrablement amliorer la fonction d'inscription automatique. Inscription inter-forts peut considrablement rduire le nombre total d'autorits de certification requise par une organisation et faciliter la grer les oprations d'infrastructure de cl publique (PKI) au cours des fusions, les acquisitions et divestitures. Nouveau Best Practices Analyzer facilite pour les administrateurs rechercher courants des problmes de configuration avant de pannes se produisent. Fonctionnalits, telles que prise en charge de Server Core et des demandes nonpersistent facilitent adapter les oprations d'autorit de CERTIFICATION besoins organisationnels spcifiques. Et l'inscription de HTTP ouvre des nouvelles mthodes pour activer automatiquement les certificats sur l'organisation et les limites du rseau. Les utilisateurs finaux profitez galement des fonctionnalits Windows 7 PKI qui la rendent plus facile utiliser les certificats dans leur travail quotidien. L'interface de slection de certificat amliore facilite aux utilisateurs de slectionner le certificat droit un objectif donn et authentifis plus rapidement. Amliorations de carte puce comme Plug-and-Play Playbased installation du pilote et prise en charge native des normes de carte impliquent moins de temps doit dpenser, l'obtention des cartes pour travailler sur des systmes de l'utilisateur. Enfin, l'inclusion de prise en charge native de biomtrie s'offrent une exprience plus cohrente et transparente pour les utilisateurs finaux et les administrateurs. Extraire la version Bta Si vous ne l'avez pas dj fait et dites-nous ce que vous pensez via l'outil de commentaires ou sur notre blog sur blogs.technet.com/PKI . Morello Jean travaille chez Microsoft depuis 2000. Il a pass cinq ans dans Microsoft Consulting Services o il conu solutions de scurit pour les entreprises entreprises classes dans Fortune 500, gouvernements et les militaries dans le monde entier. Il est actuellement principal responsable responsable de programme dans le groupe de serveurs Windows. Jean a crit de nombreux articles TechNet Magazine, il a contribu plusieurs ouvrages Microsoft Press, et il parle rgulirement des confrences telles que TechEd et forum informatique. Vous pouvez lire le blog de son quipe blogs.technet.com/WinCAT .