06/03/13

Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

Rechercher sur TechNet Magazine avec Bing
France - Franais Connexion

TechNet Magazine
Accueil Abonnement RSS Nous Contacter

Dernier Numro Tous les numros Sujets Rubriques Auteurs Videos Fichiers d'aide HTML Tlchargements TechNet Magazine > Accueil > Tous les numros > 2009 > TechNet Magazine Mai 2009 > Amliorations de PKI dans Windows 7 et Windows ...

Affichage du contenu : cte cte

Ce contenu traduit automatiquement peut tre modifi par les membres de la communaut. Nous vous invitons amliorer la traduction en cliquant sur le lien Modifier associ aux phrases ci-dessous.

Security

Scurit

PKI Enhancements in Windows 7 and Windows Server 2008 R2

John Morello
This article is based on pre-release code. All information herein is subject to change.

Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

John Morello
Cet article repose sur le code prliminaire. Toutes les informations dans le prsent document sont susceptibles d'tre modifies.

AT A GLANCE: Server Consolidation Improved Existing Scenarios Software + Services Strong Authentication
Contents Server Consolidation Improved Existing Scenarios Software + Services Strong Authentication Wrapping Up

VUE D'ENSEMBLE : Consolidation de serveur Amliore de scnarios existants Logiciels + services Authentification forte
Contenu Consolidation de serveur Amliore de scnarios existants Logiciels + services Authentification forte Conclusion

TechNet Features
Get Ready for Windows 8
lundi, aot 20

Discover the New Office for IT Pros

lundi, juil. 23

Windows Phone 8 Makes its Business Case

lundi, juil. 2

More TechNet Features

It seems like just yesterday I was writing an article titled PKI Enhancements in Windows. That article, which ran in the August 2007 issue of TechNet Magazine, focused on some of the innovations that shipped in Windows Vista and Windows Server 2008. These innovations included such things as enrollment UI improvements and OCSP (Online Certificate Status Protocol) capabilities. While those enhancements were valuable and well received by users, you could argue that the changes were really incremental changes from an IT professional's perspective. Windows 7, however, will deliver PKI enhancements that greatly improve the deployment and operational experience for users, enabling powerful new scenarios while decreasing operational costs. The improvements in Windows 7 and Windows Server 2008 R2 are focused around four core areas (shown in Figure 1 ):

Il semble simplement hier j'a t crire un article intitul Resources amliorations PKI dans Windows . Cet article, ce qui a excut dans le aot 2007 de TechNet Magazine, ax sur TechNet Flash Newsletter des innovations qui livrs dans Windows Vista et Windows TechNet News Feed Server 2008. Ces innovations inclus telles que l'inscription MSDN Magazine de l'interface utilisateur Amliorations et fonctionnalits OCSP (Online Certificate tat Protocol). Lorsque ces MSDN Flash Newsletter amliorations taient utile et bien reus par les utilisateurs, vous pouvez dire que les modifications taient vraiment incrmentielles modifications de perspective un INFORMATICIEN professionnel. Toutefois, Windows 7, offre une amliorations PKI qui considrablement amliorer la Vous n'tes pas abonn Technet ? dploiement et oprationnelle exprience des utilisateurs, l'activation de nouveaux scnarios puissants tout en valuez les logiciels Microsoft et planifiez leurs dploiements en toute confiance grce un rduisant les cots oprationnels. Les amliorations de Windows 7 et Windows Server 2008 R2 sont ax autour quatre zones principales (illustrs La figure 1 ):
abonnement Microsoft TechNet. Windows 8 Windows Server 2012 Afficher la liste complte...

Server consolidation. This allows organizations to reduce the total number of certificate authorities (CAs) required to Consolidation des serveurs. Cela permet aux organisations meet their business objectives. de rduire le nombre total d'autorits de certificat requis Improved existing scenarios. This focus is on such elements pour atteindre leurs objectifs mtier. as offering more complete SCEP (Simple Certificate Enrollment Protocol) support and including a Best Practices Amliore de scnarios existants. Cette vue est sur des lments tels qu'offrant la prise en charge SCEP (Simple Analyzer (BPA). Certificate d'inscription Protocol) plus complte et Software + Services. This is to enable autonomous comprenant une utilisation pratiques Analyzer (BPA). enrollment of users and devices for certificates regardless of Logiciels + services. Il est de permettre autonome network boundaries and certificate providers. d'inscription des utilisateurs et des priphriques pour les Strong authentication. This area focuses on improvements certificats indpendamment des limites du rseau et to the smart card experience, the introduction of the fournisseurs de certificat. Windows Biometric Framework, and so on. Une authentification renforce. Cette zone porte sur les amliorations apportes l'exprience de carte puce, l'introduction de la cadre biomtrique pour Windows et ainsi de suite.

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx

1/8

06/03/13

Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

Figure 1 The four core areas of PKI improvements

Figure 1 que les quatre zones de PKI amliorations de base In this article, I explore some of the major changes in these Dans cet article, J'AI Explorer certaines des modifications areas from the perspective of an IT professional. dans ces zones principales du point de vue d'une informatique professionnel.

Server Consolidation

One of the predominant themes in IT over the past few years has been server consolidation. Simply put, this is about reducing the total footprint of your server computing environment while still meeting, or even expanding, your business objectives. The current global economy has made cost savings a top priority for many IT groups, and server consolidation can certainly be one component of that general strategy. While most organizations do not have large, absolute numbers of CAs, many do have more than they need solely based on certificate creation throughput. In other words, many organizations have CAs that are vastly underutilized. There are two primary reasons for this underutilization. First, some organizations may require separate CAs for regulatory or security policy reasons. For example, some customers have chosen to issue certificates to external parties from a completely separate CA than the ones that issue certificates to internal users and machines. In these cases, virtualizing the CA on Hyper-V can eliminate the need for separate server hardware (though the CA itself must still be managed, even as a VM).

Consolidation de serveur
Parmi les thmes prdominante dans IT au cours des dernires annes a t consolidation des serveurs. Plus simplement, il s'agit sur rduire l'encombrement total de votre environnement informatique serveur lors de la runion toujours, ou mme dveloppement, vos objectifs commerciaux. L'conomie globale actuelle a apport des conomies une priorit suprieure pour plusieurs groupes INFORMATIQUES et consolidation des serveurs peut tre certainement un composant de cette stratgie gnral. Bien que la plupart des entreprises ne disposent pas absolue, numros des autorits de certification, nombre ont plus dont ils ont besoin uniquement en fonction de dbit de cration de certificat. En d'autres termes, nombreuses organisations ont autorits de certification qui sont considrablement sous-utilis.

Il existe deux raisons principales pour cette underutilization. Tout d'abord, certaines organisations peuvent ncessiter des autorits de certification distinct pour rglementaires ou raisons de stratgie de scurit. Par exemple, certains clients ont choisi d'mettre des certificats des parties The second common reason is that autoenrollment has externes d'une autorit de CERTIFICATION compltement only been supported in intra-forest scenarios. Specifically, a distincte que celles qui mettent des certificats des CA has only been able to automatically enroll entities for utilisateurs internes et des ordinateurs. Dans ce cas, le certificates when those entities are part of the same forest virtualiser l'autorit de CERTIFICATION de la technologie that it is joined to. Even in cases where bi-directional forest Hyper-V pouvez liminent la ncessit de matriel de level trusts exist, separate CAs have been required for each serveur distinct (bien que l'autorit de CERTIFICATION doit forest where autoenrollment is used. toujours tre gre, mme en qu'un ordinateur virtuel). One of the key new features in Windows Server 2008 R2 is La raison la deuxime courante est que cette inscription the ability to perform autoenrollment across-forest trust automatique a t uniquement pris en charge dans intrarelationships, creating the potential to drastically reduce fort scnarios. Plus prcisment, une autorit de the total number of CAs required in an enterprise. Consider CERTIFICATION a uniquement russi inscrire a typical enterprise network that has already done some automatiquement les entits pour les certificats lorsque ces consolidation work and now has four forests: production, entits sont une partie de la mme fort qui est joint. development, test, and edge. Prior to R2, if you wanted to Mme dans les cas o les approbations de fort provide autoenrollment on each forest, at least four issuing bidirectionnelle niveau existent, distinct autorits de CAs were required, even though all the forests trusted each certification ont t ncessaires pour chaque fort o other. With R2, you can reduce the total number of CAs in l'inscription automatique est utilise. this scenario down to one, having a single CA in one of the forests issue certificates to entities in all the other forests. Une des cls les nouvelles fonctionnalits dans Windows Server 2008 R2 est la capacit excuter auto-inscription For environments with more complex multi-forest designs, dans fort relations d'approbation, cration de la possibilit the total reduction in CAs can be even more dramatic and de rduire considrablement le nombre total d'autorits de provide an immediate return on investment for the certification requise dans une entreprise. Prendre en upgrade to R2. compte un rseau d'entreprise classique qui a dj des Cross-forest enrollment also makes it easier to extend a PKIoprations de consolidation et qui possde maintenant during mergers and acquisitions, since certificates can start quatre forts : production, dveloppement, le test et le being provisioned to the newly acquired assets as soon as bord. Antrieure R2, si vous vouliez fournir autoa forest trust is put into place. And since cross-forest inscription sur chaque fort, au moins quatre mission enrollment is a purely server-side change, the enrollment autorits de certification sont requis, mme si toutes les can start without making any changes to the client forts approuv eux. Version 2, vous pouvez rduire le machines and it works with older client operating systems, nombre total d'autorits de certification dans ce scnario such as Windows XP. un, avoir un seul autorit de CERTIFICATION dans une des forts mettre des certificats aux entits dans tous les So how does cross-forest enrollment work? To the end autres forts. user, the experience is completely seamless. As with any other autoenrollment scenario, the user just gets the certificates with little or no interaction required on his part. End users will likely never know from what forest the CAs have come and they will not need to take any special actions to obtain the certificates. Pour les environnements avec modles multi-forest plus complexes, la rduction totale d'autorits de certification peut tre encore plus considrables et fournir un retour immdiat sur investissement de la mise niveau R2.

Inscription inter-forts facilite galement l'tendre une PKI For an IT pro, the basic building blocks are mostly the same pendant fusions et acquisitions, tant donn que les as with traditional intra-forest autoenrollment. The key certificats peuvent dmarrer est mis en service pour les difference is that the CA is now able to process requests actifs rcemment acquis ds qu'une approbation de fort received from an external forest and retrieve metadata est place en place. Inscription inter-forts tant une about the request from a trusted Active Directory. modification purement ct serveur, l'inscription pouvez

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx

2/8

06/03/13

Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

This ability to receive and properly process a request from adbut sans apporter de modifications sur les ordinateurs trusted forest is the key new capability in R2 that enables client et d'et il fonctionne avec les anciens systmes this scenario to work. In addition to having an R2 CA and d'exploitation client, tels que Windows XP. the bi-directional forest trust, certificate templates must be Donc comment entre forts l'inscription de travail ? replicated between the forest holding the CA and all other l'utilisateur final, l'exprience est compltement transparent. forests that will enroll against it. Microsoft will provide a Comme avec n'importe quel autre scnario inscription Windows PowerShell script to automate this replication, automatique, l'utilisateur renvoie uniquement les certificats which should be done after every change to a template. In avec peu ou pas interaction requise sur son cadre. Les many cases, it will be a good idea to have this script run utilisateurs finaux sont probablement jamais sachent automatically as a scheduled task. partir de quel fort les autorits de certification ont sont et There are a few other smaller features that can help with ils devrez pas effectuer les actions spciales pour obtenir les certificats. server consolidation. One is that the CA now supports non-persistent requeststhese are requests for certificates,Pour un professionnel de l'informatique, les blocs de typically short lived, that are not written into the CA's construction de base sont gnralement les mmes comme database. For example, consider Network Access Protection avec auto-inscription traditionnel intra-fort. La diffrence Health Registration Authorities. These systems may issue essentielle est que l'autorit de CERTIFICATION est thousands of certificates each day that are only valid for a maintenant en mesure de traiter les demandes provenant few hours. Maintaining all these requests in the CA d'une fort externe et rcuprer les mtadonnes relatives database adds little value, but greatly increases the storage la demande partir d'un Active Directory approuvs. required. With R2, these requests can be configured to not be written to the database and this configuration can be Cette possibilit de recevoir et de correctement traiter une demande d'une fort fiable est la nouvelle fonctionnalit made at either the CA or template level (see Figure 2). cle dans R2 qui permet ce scnario utiliser. En outre avoir une autorit de CERTIFICATION R2 et l'approbation de fort bidirectionnelle, modles de certificat doivent tre rpliques entre la fort contenant l'autorit de CERTIFICATION et tous les autres forts sont inscrire sur cette. Microsoft fournira un script Windows PowerShell pour automatiser cette rplication, qui doit tre effectue aprs chaque modification un modle. Dans de nombreux cas, il sera judicieux d'avoir ce script s'excute automatiquement comme une tche planifie. Il existe quelques autres fonctionnalits plus petites qui peuvent aider avec consolidation des serveurs. Un est que l'autorit de CERTIFICATION prend dsormais en charge les demandes non persistants, ces demandes de certificats, gnralement court rsidaient, qui sont ne sont pas crites dans la base de donnes de l'autorit de CERTIFICATION. Par exemple, envisagez de Network Access Protection intgrit enregistrement rfrences. Ces systmes peuvent mettre des milliers de certificats chaque jour qui sont uniquement valides pendant quelques heures. Gestion toutes ces demandes dans la base de donnes d'autorit Figure 2 Choosing not to store certificates in the database de CERTIFICATION ajoute peu d'intrt, mais considrablement l'augmentation le stockage requis. Avec Another feature designed to make server consolidation R2, ces demandes peuvent tre configurs pour ne pas easier is support for Server Core. With R2, the CA role can crites dans la base de donnes et cette configuration peut be installed on Server Core, though no other AD CS (Active tre effectue au niveau de l'autorit de CERTIFICATION ou Directory Certificate Services) role service is available on le modle (voir figure 2 ). Server Core. When installed on Server Core, the CA can be managed with either local command-line utilities, such as certutil, or by using the standard MMCs from a remote system. Note that if hardware security modules (HSMs) are used, you should ensure that the HSM vendor supports running their integration components on Server Core.

Improved Existing Scenarios

Windows 7 and R2 include a number of incremental improvements to existing features. First is a change to SKU differentiation for Certificate Templates. In prior releases of AD CS, advanced (version 2 and 3) Certificate Templates that enable the autoenrollment functionality required Enterprise edition CAs. In Windows Server 2008 R2, a Standard edition CA will support all template versions. R2 also introduces some improvements to the Simple Certificate Enrollment Protocol support. In R2, the SCEP component will support device renewal requests and password reuse. New to AD CS in R2 is a Best Practices Analyzer (see Figure La figure 2 choix ne pas stocker des certificats dans la 3). BPAs were created to provide an easy way for base de donnes administrators to check their configurations against a database of best practices created and maintained by Une autre fonctionnalit conue pour faciliter la Microsoft feature teams. Data from customer support consolidation des serveurs est prise en charge de Server services indicate the majority of support calls on AD CS are Core. Avec R2, le rle d'autorit de CERTIFICATION peut caused by incorrect configurations, so the BPA should tre install sur Server Core, si aucun autre service de rle improve customer experiences by making it easier to verify AD CS (services de certificats Active Directory) n'est that a CA is configured properly. The analyzer will check for disponible sur Server Core. Lorsque installs sur Server such issues as missing AIA (Authority Information Access) Core, l'autorit de CERTIFICATION peut tre gre avec or OCSP pointers, certificates near expiration, and trust deux utilitaires de ligne de commande locales, comme chaining problems. certutil, ou en utilisant les MMCs standard partir d'un systme distant. Notez que si matriel scurit modules (HSM) sont utiliss, vous devez vous assurer que le fournisseur HSM prend en charge l'excution leurs composants Intgration sur Server Core.

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx

3/8

06/03/13

Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

Amliore de scnarios existants

Windows 7 et version 2 incluent un numro d'amliorations incrmentielles aux fonctionnalits existantes. Tout d'abord est une modification une diffrenciation de point de stock pour les modles de certificats. Dans les versions antrieures de AD CS, modles de certificats avance (version 2 et 3) qui permettent la fonctionnalit d'auto-inscription requis dition Entreprise autorits de certification. Dans Windows Server 2008 R2, une dition standard autorit de CERTIFICATION prendra en charge toutes les versions de modle. Version 2 introduit galement certaines amliorations la prise en charge simple Protocol d'inscription de certificat. Dans R2, le composant SCEP prendra en charge renouvellement de priphrique les demandes et rutiliser de mot de passe. Nouveau AD CS dans R2 est un Best Practices Analyzer (voir figure 3 ). BPAs ont t cres fournit un moyen facile pour les administrateurs vrifier leurs configurations par rapport une base de donnes de mthodes recommandes cre et gre par les quipes de fonctionnalit de Microsoft. Donnes de services de support client indiquent la majorit des appels de support dans AD CS sont provoques par configurations incorrectes, afin du BPA doit amliorer les expriences de client en facilitant ainsi la vrifier qu'une autorit de CERTIFICATION est correctement configure. L'analyseur vrifie pour ces problmes comme tant manquants AIA (autorit informations Access) ou OCSP pointeurs, certificats prs d'expiration et approuver des problmes de chanage.

Figure 3 Running the new Best Practices Analyzer In current releases of Windows, choosing a certificate for client authentication can be difficult for end users. When multiple certificates are valid for authentication, Windows doesn't make it easy for users to determine which one is the right one for a given usage. This leads to more help desk calls and increased customer support costs. In Windows 7, the certificate selection interface has been greatly enhanced to make it much easier to choose the right certificate for a given scenario. The list ordering has also been changed in order to assist in making smarter decisions by presenting the most likely certificate for a given scenario as the default choice. Finally, the selection UI now differentiates between certificates on smart cards and those stored on the file system and presents smart card certificates highest in the selection list, since they're more likely to be used. The differences are illustrated in the screenshots shown in Figure 4. Note that Internet Explorer 8 will make the improved filtering (but not UI changes) available on downlevel operating systems as well.

La figure 3 excution nouveau Best Practices Analyzer Dans les versions en cours de Windows, choix d'un certificat pour l'authentification du client peut tre difficile pour les utilisateurs finaux. Lorsque plusieurs certificats sont valides pour l'authentification, Windows ne permettent aux utilisateurs de dterminer celui qui est celui droite pour une utilisation donne. Cela conduit vers d'autres appels de support technique support et des cots de support client accrue. Dans Windows 7, l'interface de slection de certificat a t amliore considrablement pour faciliter grandement choisir le certificat droit pour un scnario donn. La commande liste a galement t modifi afin d'aider dcisions plus intelligents en prsentant le certificat Figure 4 A smarter way to present certificates probablement pour un scnario donn en tant que choix par dfaut. Enfin, la slection l'interface utilisateur maintenant diffrencie les certificats sur les cartes puce et Software + Services celles stockes dans le systme de fichiers et prsente des During the Windows 7 design process, the team hosted a certificats de carte puce plus haut dans la liste de meeting with many of the top PKI users to brainstorm slection, car ils tes plus susceptibles d'tre utilise. Les which areas should get attention in the new release. An diffrences sont illustres dans les captures d'cran illustr overwhelming number of users indicated that it's too hard figure 4 . Notez que Internet Explorer 8 va apporter le to manage certificates across organizational boundaries, filtrage amlior (mais pas les modifications de l'interface such as between two separate companies that are business utilisateur) disponible sur systmes d'exploitation de niveau partners. Many also said that they see PKI as an ideal infrieur ainsi. target for outsourcing, since it requires a specialized skill set to manage effectively. Windows 7 and Windows Server 2008 R2 will deliver a new technology that satisfies both these needs, making it easier to provision certificates across boundaries and opening new business models for hosted PKI solutions. This technology is HTTP enrollment.

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx

4/8

06/03/13

Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

Figure 5 The new enrollment model HTTP enrollment is a replacement for the traditional RPC/DCOM-based protocol used for autoenrollment in previous releases (note that the RPC approach is still available in R2). However, HTTP enrollment is more than just an enrollment protocolit's really a completely new approach to providing certificates to end entities, regardless of where they're located or whether they're a managed machine and with flexible authentication options. La figure 4 plus intelligents moyen de prsenter des certificats This new model eliminates many of the barriers found in traditional autoenrollment across organizational boundaries and provides a framework for third parties to easily provide Logiciels + services autoenrollment services without requiring additional Pendant le processus de cration Windows 7, l'quipe software on the clients. hberg une runion comporte de nombreux des suprieur HTTP enrollment implements two new HTTP-based PKI utilisateurs rechercher quipe les zones doivent protocols. The first protocol, known as Certificate obtenir l'attention dans la nouvelle version. Un nombre Enrollment Policy Protocol, makes certificate templates d'utilisateurs norme indiqu qu'il est trop difficile de grer available to users over HTTPS sessions. The end entities can les certificats au-del des limites de l'organisation, comme come from machines in separate forests with no trust entre deux socits distinctes qui sont des partenaires relationships and machines not even joined to a domain. commerciaux. Nombre dit qu'il voit PKI comme une cible Authentication uses Kerberos, user names/passwords, or idale d'externalisation, car il ncessite un ensemble de certificates. The Enrollment Policy Protocol allows users to comptences spcialises pour grer efficacement. poll for templates and determine when to request Windows 7 et Windows Server 2008 R2 offre une nouvelle certificates based on new or updated templates. technologie qui satisfait ces deux besoins, facilitant ainsi la The Certificate Enrollment Service Protocol is an extension provision certificats frontires et ouverture des nouveaux to WS-Trust. The protocol is used for obtaining certificates modles d'entreprise des solutions PKI hberges. Cette technologie est l'inscription de HTTP. once the template information has been determined. It supports flexible authentication methods and uses HTTPS as its transport. The example shown in Figure 5 illustrates how this new enrollment model works. In Step 1, Certificate Templates are published from Active Directory to a server running the Certificate Enrollment Policy Web Service (a role service new to R2). The administrator publishing these templates is using the same MMCs and other tools with which they're already familiar. In Step 2, a client has polled the Web service via HTTPS to determine the list of templates available to enroll against. The client learns the URL for the Web service via Group Policy, script, or manual configuration. The client could be a domain-joined system, a system at a business partner, or a user's home system. In Step 3, the client has determined what templates he wants to enroll for and sends a request to the Certificate Enrollment Web Service to perform the actual enrollment. In Step 4, the server running the Enrollment Web Service sends the request to a CA for processing. In Step 5, the CA has looked up data about the requestor from Active Directory (such as his e-mail address or DNS name) that will be included in the issued certificate. In Step 6, the CA returns the completed certificate to the Enrollment Web Service. In Step 7, the Enrollment Web Service completes the transaction with the client via HTTPS and sends the signed certificate.

La figure 5, le nouveau modle d'inscription L'inscription de HTTP ne remplace pour le protocole RPC/DCOM traditionnel utilis pour l'inscription automatique dans les versions antrieures (Notez que l'approche RPC est toujours disponible en version 2). Toutefois, l'inscription de HTTP est plus qu'un protocole d'inscription, il est vraiment une totalement nouvelle approche fournir des certificats la fin des entits, quel que soit o ils vous trouve ou si elles sont un ordinateur gr et avec les options authentification flexible. Ce nouveau modle d'limine nombre des problmes lis trouvs dans l'auto-inscription traditionnelle au-del des limites organisationnelles et fournit une infrastructure permettant de tiers fournir facilement des services d'inscription automatique sans ncessiter de logiciel supplmentaire sur les clients.

L'inscription de HTTP implmente deux nouveaux protocoles bass sur HTTP. Le premier protocole appel Flexibility was one of the key design principles in this new protocole de stratgie de certificat d'inscription, disponibles service and it's important to note how the design can be modles de certificats aux utilisateurs via HTTPS sessions. adapted to fit a diverse set of scenarios. Because the Les entits de fin peuvent provenir d'ordinateurs dans des enrollment protocol is HTTPS, clients can easily enroll for forts spares avec aucune relation d'approbation et les certificates from anywhere, including behind corporate machines mme pas joint un domaine. Authentification firewalls or from home ISP connections, without requiring a utilise Kerberos, des noms d'utilisateur/mot de passe ou VPN. Because three different authentication methods are des certificats. Le protocole de stratgie d'inscription supported, clients can be joined to an organization's permet aux utilisateurs d'interroger des modles et internal domain, an untrusted domain of an external dterminer le moment demander des certificats bass sur

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx

5/8

06/03/13

Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

organization, or no domain at all. Finally, because the des modles de nouveaux ou mis jour. server-side components are implemented as Web services, Le protocole de service d'inscription de certificat est une they can be installed separately from the CA and support extension WS-Trust. Le protocole est utilis pour obtenir segmented environments. des certificats une fois que les informations de modle a t In addition to the classic scenario of enrolling end entities dtermines. Il prend en charge les mthodes like users and desktops for certificates, HTTP enrollment d'authentification flexible et utilise des HTTPS en tant que le also enables opportunities for provisioning certificates from transport. trusted root CAs. Scenarios such as user S/MIME L'exemple prsent dans La figure 5 illustre le fonctionne certificates, publicly facing Web servers, and other systems de ce nouveau modle d'inscription. where implicit trust of certificates is important could all benefit from more autonomous enrollment. For example, l'tape 1, les modles de certificats sont publis many organizations with large numbers of Web servers partir d'Active Directory sur un serveur qui excute le maintain certificates manually, using lists of server names certificat d'inscription stratgie Web Service (un rle and expiration dates stored in Microsoft Office Excel service nouveau vers R2). L'administrateur de workbooks. With HTTP enrollment, trusted root CAs can publication de ces modles utilise les mmes MMCs offer a service in which they provide certificates directly to et autres outils laquelle elles sont dj familiers. these Web servers automatically, freeing the administrator l'tape 2, un client est interrog le service Web via from having to manually maintain the certificates on them. HTTPS pour dterminer la liste des modles This combination of software and services allows disponibles pour s'inscrire . Le client apprend l'URL organizations to choose the deployment models that fit du service Web via stratgie de groupe, de script ou their needs best, without having to design around network d'une configuration manuelle. Le client peut tre un or organizational boundaries. systme joint au domaine, un systme un partenaire commercial ou systme de base d'un utilisateur. l'tape 3, le client a dtermin quels modles qu'il souhaite inscrire et envoie une demande du service References Introduction to the Windows Biometric Framework (WBF) certificat d'inscription Web pour effectuer l'inscription relle. microsoft.com/whdc/device/input/smartcard/WBFIntro.mspx l'tape 4, le serveur qui excute le service Web About Personal Identity Verification (PIV) of Federal d'inscription envoie la requte une autorit de Employees and Contractors CERTIFICATION pour traitement. csrc. nist.gov/groups/SNS/piv/index.html l'tape 5, l'autorit de CERTIFICATION est Windows Server PKI Home recherche donnes concernant le demandeur microsoft.com/pki d'Active Directory (comme son adresse de messagerie ou nom DNS) qui seront inclus dans le certificat mis. Windows PKI Blog l'tape 6, l'autorit de CERTIFICATION renvoie le blogs.technet.com/pki certificat termin du service Web d'inscription. l'tape 7, le service de Web d'inscription se termine la transaction avec le client via HTTPS et envoie le Strong Authentication certificat de signature. Windows 7 includes the first in-box support for biometric devices with the Windows Biometric Framework (WBF). Flexibilit tait un des principes de conception cl dans ce Initially focused on fingerprint-based authentication for nouveau service et il est important de savoir comment la consumer scenarios, WBF is designed to make biometrics conception peut tre adapte un ensemble vari de an easier and more integrated experience for users. A scnarios. tant donn que le protocole d'inscription est unified driver model provides consistent user experiences HTTPS, les clients peuvent facilement inscrire certificats across device types with support for Windows logon (both partir de n'importe o, y compris derrire des pare-feu local and domain), User Account Control (UAC), and d'entreprise ou de connexions fournisseur de services autonomous device discovery. For enterprises, WBF Internet personnelle, sans ncessiter un rseau priv virtuel provides a Group Policydriven method to disable the (VPN). Dans la mesure o trois diffrentes mthodes framework for organizations that choose not to use d'authentification sont prises en charge, les clients peuvent biometrics. Enterprises can also choose to allow biometrics tre jointes domaine interne d'une organisation, un for applications, but not for domain logon. Finally, the domaine non approuv d'une organisation externe ou enhanced device management can prevent device use in aucun domaine ne tout. Enfin, tant donn que les addition to simply preventing driver installation. composants ct serveur sont implmentes en tant que services Web, ils peuvent tre installs sparment partir In addition to the biometrics improvements, Windows 7 also enhances user and administrator experiences for smart de l'autorit de CERTIFICATION et prend en charge les environnements segments. card scenarios. Smart cards are now treated as Plug and Play devices with Windows Updatebased driver Outre le scnario classique d'inscription d'entits de fin tels installation. The Plug and Play detection and installation que les utilisateurs et ordinateurs de bureau pour les process takes place before logon, meaning users who are certificats, l'inscription de HTTP permet opportunits de required to log on with smart cards will be able to log on mise en service de certificats d'Autorits de certification even in cases where the card has not been previously racines de confiance. Scnarios tels que les certificats detected. Additionally, the installation does not require S/MIME d'utilisateur, publiquement face serveurs Web et administrative privileges, making it suitable in leastd'autres systmes o implicite confiance des certificats est privilege environments. important peuvent tout tirer parti d'inscription plus

The smart card class mini-driver now includes NIST SP 800- autonome. Par exemple, plusieurs organisations avec un grand nombre de serveurs Web grer les certificats 73-1 support, so Federal agencies can use their PIV (Personal Identity Verification) cards without having to use manuellement, l'utilisation des listes de noms de serveur et les dates d'expiration stockes dans des classeurs Microsoft additional middleware. The mini-driver also includes support for the emerging INCITS GICS (Butterfly) standard, Office Excel. Avec l'inscription de HTTP, autorits de certification racines de confiance peuvent offrir un service providing a Plug and Play experience for those cards. dans lequel ils fournissent certificats directement ces Windows 7 also introduces support for biometric-based serveurs Web automatiquement, librer de l'administrateur smart card unlocking and includes new APIs to enable de devoir manuellement grer les certificats sur eux. Cette secure key injection. Finally, Windows 7 adds support for combinaison de logiciels et services permet aux Elliptic Curve Cryptography (ECC) smart card certificates for organisations choisir les modles de dploiement selon both ECC certificate enrollment and for utilizing those ECC leurs besoins meilleur, sans devoir crer autour de rseau certificates for logon. ou des limites organisationnelles.

Wrapping Up
Windows 7 and Windows Server 2008 R2 contain some of Rfrences the most important new PKI technology since Windows Introduction Windows biomtrique Framework (WBF) 2000 introduced automatic certificate requests. This new functionality makes PKIs easier and more efficient to Microsoft.com/whdc/device/INPUT/smartcard/WBFIntro.mspx manage, delivering a better experience for end users.

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx

6/8

06/03/13

Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

Sur la vrification identit personnelles (PIV) employs Windows 7 and Windows Server 2008 R2 include powerful new capabilities that make running a PKI more efficient fdrales des Contractors while greatly enhancing the autoenrollment function. csrc. NIST.gov/groups/SNS/piv/index.html Cross-forest enrollment can dramatically reduce the total Accueil de PKI Windows Server number of CAs required by an organization and make it Microsoft.com/PKI easier to manage PKI operations during mergers, Blog PKI Windows acquisitions, and divestitures. The new Best Practices blogs.technet.com/PKI Analyzer makes it easy for administrators to check for common configuration problems before outages occur. Authentification forte Capabilities such as support for Server Core and nonpersistent requests make it easier to tailor CA Windows 7 prend en la premire dans zone charge operations to specific organizational needs. And HTTP priphriques biomtriques avec la WBF (Windows enrollment opens up new methods to automatically biomtrique Framework). WBF tes initialement provision certificates across organizational and network l'authentification en fonction par empreinte digitale pour boundaries. les scnarios de consommateur, est conu pour rendre biomtrie une exprience plus facile et plus intgre pour End users will also benefit from Windows 7 PKI features les utilisateurs. Un modle de pilote unifie fournit that make it easier to use certificates in their daily work. The improved certificate selection interface makes it easier utilisateur cohrente expriences sur les types de for users to choose the right certificate for a given purpose priphriques avec prise en charge de l'ouverture de session Windows (local et domaine), contrle (compte and successfully authenticate more quickly. Smart card improvements like Plug and Playbased driver installation d'utilisateur et dcouverte de priphrique autonome. Pour les entreprises, WBF fournit une mthode Policydriven de and native support for card standards mean less time needs to be spent getting cards to work on user systems. groupe pour dsactiver l'infrastructure pour les organisations qui choisissez de ne pas utiliser la biomtrie. Finally, the inclusion of native support for biometrics will Les entreprises peuvent galement choisir d'autoriser provide a more consistent and seamless experience for biomtrie pour les applications, mais pas pour ouverture de both end users and administrators. session de domaine. Enfin, la gestion des priphriques Check out the Beta if you haven't already and let us know renforce peuvent empcher usage de priphrique en plus what you think via the Feedback Tool or on our blog at pour tout simplement empcher l'installation du pilote. blogs.technet.com/pki . Avec les amliorations biomtrie, Windows 7 amliore galement utilisateur et administrateur rencontre pour les John Morello has been with Microsoft since 2000. He spent five years in Microsoft Consulting Services where he scnarios de carte puce. Les cartes puce sont dsormais designed security solutions for Fortune 500 corporations, traits comme des priphriques Plug-and-Play avec installation de pilote Windows Updatebased. Le processus governments, and militaries around the world. He's de dtection et l'installation de Plug-and-Play a lieu avant currently a Principal Lead Program Manager in the Windows Server Group. John has written numerous articles ouverture de session, utilisateurs signification qui sont for TechNet Magazine, he has contributed to several ncessaires pour vous connecter avec cartes puce sera en Microsoft Press books, and he speaks regularly at mesure de se connecter mme dans les cas o la carte n'a conferences such as TechEd and IT Forum. You can read his pas t prcdemment dtecte. En outre, l'installation ne team's blog at blogs.technet.com/WinCAT . ncessite pas des privilges d'administration, rendant appropri dans les environnements de moindre privilge. Le mini-driver classe carte puce inclut dsormais prise en charge NIST 800 73 SP-1, ce agences fdrales peuvent d'utiliser leurs fiches PIV (vrification d'identit personnels) sans devoir utiliser middleware supplmentaire. Le minidriver galement prend en charge la nouvelle INCITS GICS (papillon) standard, fournissant une exprience de Plugand-Play pour ces cartes. Windows 7 galement introduit la prise en charge pour le dverrouillage de carte puce biomtrique bas et inclut les nouvelles API pour permettre l'injection de cl scurise. Enfin, Windows 7 apporte une prise en charge des certificats de carte puce chiffrement courbe elliptique (ECC) pour les deux Inscription de certificat ECC et pour l'utilisation de ces certificats ECC pour l'ouverture de session.

Conclusion
Windows 7 et Windows Server 2008 R2 contiennent de la nouvelle technologie PKI plus importante tant donn que Windows 2000 introduit des demandes automatiques de certificats. Cette nouvelle fonctionnalit facilite PKIs et plus efficace pour grer, remise une meilleure exprience aux utilisateurs finaux. Windows 7 et Windows Server 2008 R2 incluent les nouvelles fonctionnalits puissantes qui excute une infrastructure PKI plus efficace tout en considrablement amliorer la fonction d'inscription automatique. Inscription inter-forts peut considrablement rduire le nombre total d'autorits de certification requise par une organisation et faciliter la grer les oprations d'infrastructure de cl publique (PKI) au cours des fusions, les acquisitions et divestitures. Nouveau Best Practices Analyzer facilite pour les administrateurs rechercher courants des problmes de configuration avant de pannes se produisent. Fonctionnalits, telles que prise en charge de Server Core et des demandes nonpersistent facilitent adapter les oprations d'autorit de CERTIFICATION besoins organisationnels spcifiques. Et l'inscription de HTTP ouvre des nouvelles mthodes pour activer automatiquement les certificats sur l'organisation et les limites du rseau. Les utilisateurs finaux profitez galement des fonctionnalits Windows 7 PKI qui la rendent plus facile

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx

7/8

06/03/13

Amliorations de PKI dans Windows 7 et Windows Server 2008 R2

utiliser les certificats dans leur travail quotidien. L'interface de slection de certificat amliore facilite aux utilisateurs de slectionner le certificat droit un objectif donn et authentifis plus rapidement. Amliorations de carte puce comme Plug-and-Play Playbased installation du pilote et prise en charge native des normes de carte impliquent moins de temps doit dpenser, l'obtention des cartes pour travailler sur des systmes de l'utilisateur. Enfin, l'inclusion de prise en charge native de biomtrie s'offrent une exprience plus cohrente et transparente pour les utilisateurs finaux et les administrateurs. Extraire la version Bta Si vous ne l'avez pas dj fait et dites-nous ce que vous pensez via l'outil de commentaires ou sur notre blog sur blogs.technet.com/PKI . Morello Jean travaille chez Microsoft depuis 2000. Il a pass cinq ans dans Microsoft Consulting Services o il conu solutions de scurit pour les entreprises entreprises classes dans Fortune 500, gouvernements et les militaries dans le monde entier. Il est actuellement principal responsable responsable de programme dans le groupe de serveurs Windows. Jean a crit de nombreux articles TechNet Magazine, il a contribu plusieurs ouvrages Microsoft Press, et il parle rgulirement des confrences telles que TechEd et forum informatique. Vous pouvez lire le blog de son quipe blogs.technet.com/WinCAT .

Grer votre profil | Contactez-nous | Newsletter 2013 Microsoft. Tous droits rservs. Conditions d'utilisation

Marques

Confidentialit

technet.microsoft.com/fr-fr/magazine/2009.05.pki.aspx

8/8