Philippe Logean
11 juin 2003
Intégration de la CA Keon dans Active Directory
1 1.1 1.2
Introduction ...........................................................................................................................................2 CA Keon .............................................................................................................................................2 Topologie ............................................................................................................................................3
2
Structure PKI .........................................................................................................................................3
3 3.1
Préparation ............................................................................................................................................4 eToken Run Time Environement........................................................................................................4
4 4.1 4.2
Installation de la CA Keon....................................................................................................................5 Suppression des messages « Security Alert » ...................................................................................7 Installation de la Licence ....................................................................................................................7
5
Création d’une nouvelle juridiction.....................................................................................................8
6
Création et automatisation de la CRL ...............................................................................................10
7 7.1 7.2 7.3 7.4 7.5
Intégration de la CA Keon dans Active Directory ............................................................................11 Publication du certificat de la CA Keon dans AD..............................................................................11 Rafraîchir le Group Policy du domaine.............................................................................................11 Ajout du certificat de la CA dans les Trusted Root Certification Authorities .....................................11 Requête de certificat pour le DC.......................................................................................................12 Publication du certificat du DC..........................................................................................................13
8 8.1 8.2
Certificat pour Smart Card Logon .....................................................................................................17 Requête de certificat pour un utilisateur ...........................................................................................17 Approbation du certificat sur la console d’administration locale .......................................................18
9
Gestion des certificats .......................................................................................................................21
10
Démarrer la CA Keon ..........................................................................................................................22
11
Automatisation du démarrage de la CA Keon..................................................................................23
12
Conclusion...........................................................................................................................................24
13
Documentations..................................................................................................................................24
14
Matériels...............................................................................................................................................25
Laboratoire de transmission de données / EIG
1
Philippe Logean
1
11 juin 2003
Introduction Ce document aborde la problématique de l’authentification d’un utilisateur dans un domaine Windows 2000 en utilisant une infrastructure PKI basée sur une Autorité de Certification (CA) tierce. La CA choisie est la Keon de RSA. Pour permettre cette authentification, on doit intégrer la CA Keon dans Active Directory (AD). Le but de cette opération est que la CA fasse partie intégrante du domaine afin qu’elle puisse délivrer des certificats permettant l’authentification des utilisateurs enregistrés dans AD. Pour cela, il faut que les certificats délivrés par la CA soient reconnus comme autorisés (truster) par AD. Les utilisateurs stockent leur certificat dans des eToken Aladdin.
eToken
CA Keon
Integration
Client
Authentification
AD
L’installation et la configuration de la CA Keon est décrite dans les § 3 à 6. Les opérations pour l’intégration de la CA Keon dans AD sont énumérées au § 7. La méthode pour délivrer un certificat (ajout d’extensions MS) à un utilisateur est détaillée au § 8. La gestion des certificats (publier, révoquer, supprimer, …) est expliquée dans le § 9. 1.1
CA Keon La CA Keon utilise un browser Web comme interface utilisateur :
CA Keon Web Server Web Browser User
Web Browser Administrator
https
End-user
Administrator
https
443
Enrollment Server
444
Administration Server
Remarque : L’architecture plus complète de la CA Keon est illustrée à la page 48 du RSA Keon Certification Authority 6.0 Administrator’s Guide. Chronologiquement : • Installation de la CA sur Vectra 25 avec administration locale (§ 2) • Création obligatoire d’une nouvelle juridiction (§ 5) • Intégration dans AD (§ 7) • Requête de certificat, depuis un poste équipé d’une eToken (§ 8.1) Figure : depuis Web Browser End-user sur l’Enrollment Server • Approbation du certificat sur la console d’administration locale (§ 8.2) Figure : depuis Web Browser Administrator sur l’Administration Server • L’utilisateur peut alors s’authentifier dans le domaine
Laboratoire de transmission de données / EIG
2
Philippe Logean
1.2
11 juin 2003
Topologie La CA Keon communique avec AD en utilisant le protocole LDAP. En effet, AD possède une interface conforme au standard LDAP, permettant de lire et d’écrire dans celui-ci. AD utilise le modèle de dénomination LDAP pour désigner tout objet d’un serveur Windows 2000 : • DC : Domain-Component • CN : Common-Name • OU : Organizational-Unit dc1.telecomeig
ca2.telecomeig
ca1.telecomeig
Domain Controller DNS telecomeig
CA Keon
CA Microsoft
Win2K Server
Win2K Server
Win2K Server
Vectra24
Vectra25
Vectra28
10.5.1.1
10.5.1.3
10.5.1.2
Comme cela est expliqué au § 7, une CA Microsoft est nécessaire pour intégrer la CA Keon dans AD. Dans notre configuration, les CAs et AD sont installés sur des machines différentes, mais il est possible de les placer sur une même machine. 2
Structure PKI La CA Keon définit des juridictions. Une juridiction est un ensemble de configurations qui décrit la forme et le contenu des certificats délivrés dans cette dernière. Lors de l’installation de la CA Keon, la juridiction « System CA » est automatiquement créé pour permettre la sécurisation et l’authentification des connexions sur la CA. En effet, les connexions sur l’Enrollment Server et sur l’Administration Server sont basées sur le protocole HTTPS. De plus l’administrateur doit posséder un certificat pour s’authentifier sur l’Administration Server. Les certificats suivants sont créés lors de l’installation de la CA : • ca1.telecomeig System CA : Certificat root (auto signé) de la juridiction. Signe les certificats délivrés dans la juridiction. • Web Server : Certificat permettant l’authentification du serveur Web de la CA (https). • CA Administrative : Certificat utilisateur nécessaire pour se connecter à l’Administration Server (https avec authentification mutuelle). ca1.telecomeig (Vectra25) CA Keon ca1.telecomeig System CA Subject: ca1 System CA Self-signed
Web Browser
https
End-user
Web Server CA Administrative Issuer: ca1 System CA Subject: CA Administrative
Web Browser Administrator
https
443
Enrollment Server
444
Administration Server
Web Server Issuer: ca1 System CA Subject: ca1.telecomeig
Ainsi, les opérations de requête et de gestion des certificats sont effectuées localement sur la machine ca1.telecomeig (figure ci-dessus), par l’administrateur du réseau. Pour chaque nouvel utilisateur, l’administrateur crée un compte dans AD. Puis sur la CA, il effectue la requête de certificat et le publie dans AD et dans la eToken (voir §8.1). Ainsi, l’administrateur contrôle tout le processus d’authentification. Laboratoire de transmission de données / EIG
3
Philippe Logean
11 juin 2003
Toutefois, la CA est accessible par tous postes connectés au réseau. Donc, il est possible d’effectuer des requêtes de certificat à distance sur l’Enrollment Server. Il est aussi envisageable d’administrer la CA depuis un autre poste, en installant le certificat CA Administrative sur celui-ci. La juridiction « System CA » ne doit pas être utilisée après l’installation, pour délivrer d’autres certificats. Une deuxième juridiction doit être créée, afin de mettre en place l’infrastructure PKI nécessaire à l’authentification des utilisateurs dans le domaine « telecomeig ». Cette juridiction est nommée « TelecomeigRootCA ». Les certificats suivant y sont délivrés : • TelecomeigRootCA : Certificat root (auto signé) de la juridiction. Signe les certificats délivrés dans la juridiction. • DC Certificate : Certificat utilisé par le DC pour signer sa réponse lors de PKINIT. • User Certificate : Certificat présenté par les utilisateurs pour s’authentifier dans le domaine.
TelecomeigRoot CA Subject: ca1.telecomeig Self-signed
CA Keon User Certificate
ca1.telecomeig (Vectra25)
DC Certificate
Issuer: ca1.telecomeig Subject: Alice
Client eToken host.telecomeig
Issuer: ca1.telecomeig Subject: dc1.telecomeig
DC Active Directory dc1.telecomeig (Vectra24)
La procédure d’authentification du client par le DC est décrite au paragraphe 7 du document Installation_CA_Microsoft.doc . 3
Préparation La CA Keon doit être installée sur une machine Win2k Server. Pour l’installation de ce serveur Win2k, voir le chapitre 1 du document Installation_Win2Kserver.doc. Vérifier la configuration minimum du système nécessaire à l’installation de la CA Keon (voir RSA Keon Certification Authority Installation Guide p.17) Vérifier les composants suivant pour Internet Explorer : • Dans Tools – Internet Options – Advanced , la case JIT for virtual machine enabled doit être cochée. • Dans Internet Explorer, Wiew – Encoding, sélectionnez Unicode (UTF-8) et désélectionnez AutoSelect.
3.1
eToken Run Time Environement Pour pouvoir utiliser les eToken Aladdin sur une machine, il faut installer le « eToken Run Time Environement ». Cela installe les drivers pour les eToken, le CSP « eToken Base Cryptographic Provider » et remplace la DLL GINA afin que les lecteurs de cartes à puces soient supporté par Winlogon . Le « eToken Run Time Environement » peux être téléchargé à l’adresse suivante : http://www.ealaddin.com/etoken/downloads/rte.asp
Laboratoire de transmission de données / EIG
4
Philippe Logean
4
11 juin 2003
Installation de la CA Keon La version installée est la CA Keon 6.0.2 build 107. Sur le CD CA Keon 6.0.2 build 107, exécuter CA Keon 6.0.2 build 107 - Setup.exe. A la question « Select browser », répondre Use default Browser. Sélectionner New Install. Il est possible d’utiliser un provider tiers pour générer la paire de clés de la CA. Cela n’est pas notre cas. Répondre NO à la question « Search for provider now ». Sélectionner le répertoire d’installation et cliquer sur Next pour lancer l’installation des fichiers. Lorsque l’installation des fichiers se termine, cliquer sur Finish. Une fenêtre Keon est automatiquement ouverte dans le browser. Un message « Security Alert » apparaît, continuer en cliquant sur Yes.
Accepter le End User License Agreement. La fenêtre General Configuration Information permet de configurer les ports du serveur Keon. Garder les valeurs par défaut. Modifier uniquement le champ Webmaster E-mail Address et désélectionner Confirm that SMTP server is reachable. Cliquer sur Next.
Laboratoire de transmission de données / EIG
5
Philippe Logean
11 juin 2003
Compléter la page User Information. Ces informations sont utilisées pour créer le certificat root du System CA. Cliquer sur Next.
Deux paires de clé vont être générées par la CA (SSL keys et System keys). Dans la page SSL Information et System Information donner un password permettant d’encrypter ces clés (dans notre cas, le même password est utilisé pour les deux paires de clés). Cliquer sur Next. Les clés sont générées. Cela peut prendre plusieurs minutes. La page Server Setup apparaît lorsque la configuration est terminée. Cliquer sur Continue. La page Install Administrative Certificate permet l’installation du certificat client d’administration (CA Administrative). Ce certificat permet la connection à l’Administration Server de la CA Keon. Cliquer sur Install Client Certificate puis Next. Le browser se connecte à l’Administration Server de la CA. Sélectionner le certificat CA Administrative Certificate, installé précédemment, pour s’authentifier au serveur. Un message « Security Alert » apparaît, continuer en cliquant sur Yes.
La procédure d’installation est terminée. • L’Administration Server se trouve à l’adresse https://ca1.telecomeig:444. • L’Enrollment Server se trouve à l’adresse https://ca1.telecomeig:443.
Laboratoire de transmission de données / EIG
6
Philippe Logean
4.1
11 juin 2003
Suppression des messages « Security Alert » Pour supprimer les messages « Security Alert », il faut placer le certificat root de la CA dans les Trusted Root Cetification Authorities. Pour cela, se connecter sur la console d’administration (https://ca1.telecomeig:444) puis cliquer sur CA Operations. Le certificat « ca1.telecomeig System CA » est affiché. En bas de la page, dans CA Certificate Operation, faire : Download – Open this files from its current location – Install Certificate… - Automatique Select the certificate store… - Finish - Yes .
4.2
Installation de la Licence Après son installation, la CA Keon peut délivrer des certificats pour 20 utilisateurs. Pour augmenter ce nombre, installer la licence se trouvant sur la disquette « RSA Keon Certificate Autority 6.0 License File » fournit avec la Keon. Pour cela, copier le fichier « licence.p7 » de la disquette dans C:\Program Files\ RSA Security\RSA_KeonCA\Xudad\conf. Redémarrer la CA Keon (voir RSA Keon Certification Authority Installation Guide p.67 et 69) La licence peut être vérifiée en cliquant sur le logo RSA Keon de la console d’administration.
Laboratoire de transmission de données / EIG
7
Philippe Logean
5
11 juin 2003
Création d’une nouvelle juridiction La CA « ca1.telecomeig System CA », créé lors de l’installation, est utilisé pour l’administration de la Keon (Authentification lors de la connexion à l’Administration Server, etc…). Il ne faut donc pas délivrer de certificat à partir de cette juridiction (juridiction de la CA « ca1.telecomeig System CA »). Une nouvelle CA doit être créée. Sur la console d’administration, faire CA Operation – create. Compléter les champs comme suit : • Issuer : Self • Jurisdiction : Create new Jurisdiction
•
Next
Dans le menu déroulant Sections, sélectionner Extension profiles, puis compléter comme suit : • General Profile Policy : sélectionner Vettor Can Override • Profile Choices : sélectionner Basic PKIX-compilant CA
Dans le menu déroulant Sections, sélectionner Certificates Attributes. Dans Certificates Attributes Configuration, sélectionner E-Mail Address puis cocher la case Include in DN.
Cliquer sur Save and Exit. Laboratoire de transmission de données / EIG
8
Philippe Logean
11 juin 2003
Compléter les champs de la page Create a new CA. • Signing Algorithm and Key Size : choisir RSA/SHA1 2048. • Profile : Basic PKIX-compilant CA.
•
Next
Dans la page CA Certificate Extension Values, laisser les options par défaut, puis Next. Dans la page Pass Phrases for new CA, entrer le password permettant d’encrypter les clés de la nouvelle CA, puis cliquer sur Create CA.
Une fois la nouvelle CA créée, redémarrer la CA Keon (voir RSA Keon Certification Authority Installation Guide p.67 et 69) Laboratoire de transmission de données / EIG
9
Philippe Logean
6
11 juin 2003
Création et automatisation de la CRL Pour automatiser la génération de la CRL (Certificate Revocation list) de la CA, il faut ajouter les lignes suivantes à la fin du fichier C:\Program Files\RSA Security\RSA_KeonCA\Xudad\conf\xudad.conf : # Generat CRL every day at 23h00 crltimer md5=* 86400 23:00:00 Pour plus d’information sur cette commande, voir RSA Keon Certification Authority Installation Guide p.234. Redémarrer la CA Keon pour que le changement soit prit en compte. Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur CRL Publishing. Sélectionner Enable local CRL publishing et Publish to HTTP server, puis cliquer sur Modify Configuration.
Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Generate CRL.
La CRL est publiée dans C:\Program Files\RSA Security\RSA_KeonCA\WebServer\crl-server. Vérifier que le champ Next update est bien présent. Si ce n’est pas le cas, contrôler le fichier xudad.conf modifié précédemment. Si ce champ n’est pas présent, la procédure d’authentification des utilisateurs échoue.
Laboratoire de transmission de données / EIG
10
Philippe Logean
7
11 juin 2003
Intégration de la CA Keon dans Active Directory Pour pouvoir intégrer la CA Keon dans AD, il est nécessaire d’installer une Entreprise Root CA Microsoft dans le domaine. Cette installation a pour effet de modifier le schéma d’AD afin que les PKI soient supportées par le DC. Pour installer la CA Microsoft, voir le document Installation_CA_Microsoft.doc (§1 & 2).
7.1
Publication du certificat de la CA Keon dans AD Afin de permettre à la CA Keon de délivrer des certificats, pour l’authentification des utilisateurs dans le domaine, elle doit être reconnue par le DC. Pour cela, le certificat root de la CA (TelecomeigRootCA) doit être placer dans l’objet NTAuth d’AD. NTAuth se trouve dans : LDAP://dc1.telecomeig/CN=NTAuthCertificates,CN=Public KeyServices,CN=Services, CN=Configuration, DC=telecomeig Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Configure. Dans le menu déroulant Sections, sélectionner external publishing. Dans Publishing Controls, sélectionner Publish Authorities. Dans Publishing Configuration, configurer les champs comme suit : • Host : 10.5.1.1 • Port : 389 • Bind DN : CN=Administrator,CN=Users,DC=telecomeig • Bind Password : ******** • Base DN : CN=Public Key Services,CN=Services,CN=Configuration,DC=telecomeig • Authority DN : CN • DN Mapping: CN=ca1.telecomeig Æ CN=NTAuthCertificates • Authority Class : organizationalUnit • Authority Certificate Field : cACertificate Cliquer sur Save and Exit. Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Publish.
7.2
Rafraîchir le Group Policy du domaine Après la publication du certificat de la CA Keon dans NTAuth, il faut que la mise à jour de la Policy du domaine se fasse sur toutes les machines clientes. Par défaut, cela se fait toues les 8 heures. Il est possible de forcer cette mise à jour avec la commande : dsstore -pulse L’utilitaire dsstore se trouve sur le CD « Windows 2000 Server Ressource Kit ».
7.3
Ajout du certificat de la CA dans les Trusted Root Certification Authorities Afin que la chaîne de certification soit valide, il faut ajouter le certificat de la CA Keon dans les Trusted Root Certification Authorities. Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Download. Sauvegarder le certificat de la CA sur le disque. Copier le fichier sur le DC. Sur la DC, aller dans Active Directory Users and Computers. Sélectionner telecomeig puis : Properties – Group Policy – Default Domain Policy – Edit – Computer Configuration – Windows Settings – Security Settings – Public Key Policies - Trusted Root Certification Authorities – All Tasks – Import… Importer le certificat de la CA Keon.
Laboratoire de transmission de données / EIG
11
Philippe Logean
7.4
11 juin 2003
Requête de certificat pour le DC Un certificat doit être généré pour le DC. Le DC utilise ce certificat pour signer ses paquets lors de la procédure d’authentification d’un utilisateur (voir Installation_CA_Microsoft.doc §7). Afin d’avoir un certificat possédant le bon format, la requête de celui-ci se fait sur la CA Microsoft. Par contre, il doit être signer par la CA Keon. Le Certificate template « Router (Offline request) » doit être présent dans la CA Microsoft. Pour cela il faut aller dans Start – Programs – Administrative Tools – Certification Authority – Policy Settings – New – Certificate to Issue et ajouter Router (Offline request).
Sur la station d’enrollment de la CA Microsoft (http://ca2.telecomeig/certsrv): Request a certificate – Advanced Request - Submit a certificate request to this CA using a form.
Laboratoire de transmission de données / EIG
12
Philippe Logean
11 juin 2003
Remplir la demande comme suit : • Certificate Template : Router (Offline request). • Name : dc1.telecomeig (les autres champs n’ont pas besoin d’être remplies). • CSP : Microsoft RSA Schannel Cryptographic Provider. • Sélectionner Use local machine store. • Sélectionner Save request to a PKCS #10 file est donner un nom de fichier. Cliquer sur Save puis copier le fichier sur la CA Keon. 7.5
Publication du certificat du DC Le certificat du DC doit être stocké dans l’objet Domain Controller d’AD. Cet objet se trouve dans : LDAP://dc1.telecomeig/OU=Domain Controllers, DC=telecomeig Sur la Keon, dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Configure. Dans le menu déroulant Sections, sélectionner external publishing. Dans Publishing Controls, sélectionner Publish Certificates et désélectionner Publish Authorities. Dans Publishing Configuration, configurer les champs comme suit : • Host : 10.5.1.1 • Port : 389 • Bind DN : CN=Administrator,CN=Users,DC=telecomeig • Bind Password : ******** • Base DN : OU=Domain Controllers,DC=telecomeig • Certificate DN : CN • DN Mapping: CN=dc1.telecomeig Æ CN=dc1 • End Entity Class : strongAuthentificationUser • End Entity Certificate Field : userCertificate Remarque : Pour le DN Mapping, le CN doit correspondre au nom de l’objet se trouvant dans Active Directory Users and Computers – Domain Controllers. Dans notre cas, « dc1 ».
Cliquer sur Save and Exit. Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Configure. Dans le menu déroulant Sections, sélectionner Extension profiles, puis compléter comme suit : • General Profile Policy : sélectionner Vettor Can Override • Profile Choices : sélectionner MS Domain Controller Cert Cliquer sur Save and Exit. Sur l’Enrollment Server de la Keon (https://ca1.telecomeig:443), sélectionner TelecomeigRootCA Initial Jurisdiction dans le menu déroulant puis cliquer sur Continue – Make a PKCS # 10 Certificate request – Browse… et sélectionner le fichier créer au § 7.4. Cliquer sur Submit PKCS # 10 Request. Sur la console d’administration, faire Certificate Operations et sélectionner TelecomeigRootCA Initial Jurisdiction. Lister les requêtes actives (Status : Active – Liste all Active) et ouvrir la requête de certificat pour le DC.
Laboratoire de transmission de données / EIG
13
Philippe Logean
11 juin 2003
Compléter les champs comme ci-dessus et sélectionner MS Domain Controller Cert dans Profile. Vérifier que les extensions Mandatory sont bien présentes : • Extended Key Usage • Key Usage • Subject Alternative Names • Certificate Template Name Cliquer sur Issue Certificate. La fenêtre Client Certificate Extension Values apparaît : • Dans extKeyUsage, indiquer que 2 object identifiers sont inclus dans l’extension. • Dans subjectAltNames, indiquer que 2 noms sont inclus dans l’extension. Cliquer sur Next. Une deuxième page Client Certificate Extension Values apparaît. Cette page indique que les noms otherName et dNSName sont inclus dans l’extension subjectAltNames. Cliquer sur Next. Une troisième page Client Certificate Extension Values apparaît. Spécifier l’extension extKeyUsage comme not critical et entrer les OIDs 1.3.6.1.5.5.7.3.2 et 1.3.6.1.5.5.7.3.1 . Spécifier l’extension keyUsage comme not critical et sélectionner digital signature et key encipherment. Spécifier l’extension subjectAltNames comme not critical et compléter le champ type-id avec la valeur 1.3.6.1.4.1.311.25.1 . Si le champ Value n’est pas automatiquement généré, procéder comme suit : • Sur le DC, installer les Administration Tools (CD Win2k server /support/tools/setup.exe). • Dans Start – Run… exécuter ldp. • Dans ldp faire Connection – Connect (Server : dc1.telecomeig, Port : 389) - OK. • Connection – Bind (User : Administrator, Password : ********, Domain : telecomeig) – OK. Laboratoire de transmission de données / EIG
14
Philippe Logean
• • •
11 juin 2003
View – Tree (Base DN : DC=telecomeig). Cliquer sur CN=DC1,OU=Domain Controllers,DC=telecomeig. Copier la valeur de l’objectGUID, dans le champ Value de l’extension subjectAltNames, en respectant la syntaxe (ex : 4f6bbbb4-8f7c-4afs-8a99-dc3cb119ada5).
Dans le champ dNSName entrer le nom DNS du DC : dc1.telecomeig Spécifier l’extension msCertTemplateName comme not critical et compléter le champ Certificate Template Name avec la valeur DomainController.
Laboratoire de transmission de données / EIG
15
Philippe Logean
11 juin 2003
Cliquer sur Next. Le certificat est généré et publier dans l’objet Domain Controller d’AD. Vérifier dans l’Event Viewer que le certificat à bien été publié (Start – Program – Administrative Tools – Event Viewer – Application Log).
Laboratoire de transmission de données / EIG
16
Philippe Logean
8
11 juin 2003
Certificat pour Smart Card Logon La CA doit être configurée pour publier les certificats utilisateurs dans le bon objet d’active directory. Si la CA est déjà configurée correctement, passée au paragraphe 8.1 pour délivrer un certificat à un utilisateur. Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Configure. Dans le menu déroulant Sections, sélectionner Extension profiles, puis compléter comme suit : • General Profile Policy : sélectionner Vettor Can Override • Profile Choices : sélectionner MS Logon Cert Cliquer sur Save. Dans le menu déroulant Sections, sélectionner external publishing. Dans Publishing Controls, sélectionner Publish Certificates. Dans Publishing Configuration, configurer les champs comme suit : • Host : 10.5.1.1 • Port : 389 • Bind DN : CN=Administrator,CN=Users,DC=telecomeig • Bind Password : ******** • Base DN : CN=Users,DC=telecomeig • Certificate DN : CN • End Entity Class : strongAuthentificationUser • End Entity Certificate Field : userCertificate Cliquer sur Save and Exit. Remarque : Dans le champ Base DN, la valeur « CN=Users,DC=telecomeig » est valable uniquement si les comptes utilisateurs du domaine sont stocker dans le CN Users d’AD. Si ils sont placés dans un OU, modifier la champ Base DN avec la bonne valeur (ex : OU=test,DC=telecomeig ). Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Download. Sauvegarder le certificat de la CA dans le répertoire : C:\Program Files\RSA Security\RSA_KeonCA\ WebServer\crl-server. Ainsi, le certificat de la CA est accessible en utilisant l’URL http://ca1.telecomeig:447/TelecomeigRootCA.crt
8.1
Requête de certificat pour un utilisateur Pour effectuer une requête de certificat pour un utilisateur du domaine, aller sur l’Enrollment Server de la Keon (https://ca1.telecomeig:443), sélectionner TelecomeigRootCA Initial Jurisdiction dans le menu déroulant puis cliquer sur Continue – Make an End-Entity certificate request.
Laboratoire de transmission de données / EIG
17
Philippe Logean
11 juin 2003
Vérifier qu’une eToken est bien connectée sur la station d’enregistrement. • Dans Common Name, entrer le nom du compte utilisateur. • Compléter le champ E-mail Address. • Sélectionner le CSP eTocken Base Cryptographic Provider. • Cliquer sur Submit. Remarque : Il n’est pas nécessaire de remplir les autres champs. Le PIN code de la eToken est demandé afin de pouvoir mémoriser la paire de clés générée. 8.2
Approbation du certificat sur la console d’administration locale Les comptes utilisateurs doivent être créés dans AD avant d’effectuer cette procédure. Après acceptation de la requête, aller sur la console d’administration (https://ca1.telecomeig:444), faire Certificate Operations et sélectionner TelecomeigRootCA Initial Jurisdiction. Lister les requêtes actives (Status : Active – Liste all Active) et ouvrir la requête de certificat de l’utilisateur.
Compléter les champs, comme ci-dessus, et sélectionner MS Logon Cert dans Profile. Vérifier que les extensions suivantes sont bien sélectionnées : • Extended Key Usage • Key Usage • Subject Alternative Name • Authority Information Access • Authority Key Identifier • Subject key Identifier • Certificate Template Name Laboratoire de transmission de données / EIG
18
Philippe Logean
11 juin 2003
Cliquer sur Issue Certificate. La fenêtre Client Certificate Extension Values apparaît : • Dans authInfoAccess, indiquer que 1 AccessDescription sera inclus dans l’extension • Dans extKeyUsage, indiquer que 3 object identifiers sont inclus dans l’extension. • Dans subjectAltNames, indiquer que 2 noms sont inclus dans l’extension. Cliquer sur Next. Une deuxième page Client Certificate Extension Values apparaît. • Pour l’extension authInfoAccess, sélectionner uRL. • Pour l’extension subjectAltNames, sélectionner otherName et rfc822Name. Cliquer sur Next. Une troisième page Client Certificate Extension Values apparaît. Spécifier l’extension authInfoAccess comme not critical, entrer l’OID 1.3.6.1.5.5.7.48.2 et l’uRL http://ca1.telecomeig:447/TelecomeigRootCA.crt Spécifier l’extension msCertTemplateName comme not critical, entrer le nom SmartcardUser. Spécifier l’extension extKeyUsage comme not critical et entrer les OIDs 1.3.6.1.4.1.311.20.2.2, 1.3.6.1.5.5.7.3.4 et 1.3.6.1.5.5.7.3.2 . Spécifier l’extension keyUsage comme not critical et sélectionner digital signature et key encipherment. Spécifier l’extension subjectAltNames comme not critical et compléter le champ type-id avec la valeur 1.3.6.1.4.1.311.20.2.3 , le champ Value avec alice@telecomeig (username@domain) et le champ rfc822Name avec l’adresse e-mail de l’utilisateur.
Laboratoire de transmission de données / EIG
19
Philippe Logean
11 juin 2003
Cliquer sur Next – Download. Le certificat est généré, publier dans l’objet Alice d’AD et chargé dans la eToken. Vérifier dans l’Event Viewer que le certificat à bien été publié (Start – Program – Administrative Tools – Event Viewer – Application Log). A présent, l’utilisateur peut utiliser la eToken pour s’authentifier dans le domaine.
Laboratoire de transmission de données / EIG
20
Philippe Logean
9
11 juin 2003
Gestion des certificats La gestion des certificats se fait sur la console d’administration (https://ca1.telecomeig:444), dans Certificate Operations.
Sélectionner TelecomeigRootCA Initial Jurisdiction et cliquer sur Certificates : active – Liste all Active. La liste des certificats actifs, publiés par le CA, est affichée. Sélectionner un certificat pour le visualiser (ex : alicecert).
Les opérations sur le certificat se font dans cette fenêtre : • Downloader le certificat dans un fichier • Publier (cette opération ce fait automatiquement dans AD, lors de la création du certificat) • Suspendre • Révoquer • Supprimer (Attention, révoquer le certificat avant de le supprimer, sinon, il n’apparaît pas dans la CRL) • Prolonger la date de validité.
Laboratoire de transmission de données / EIG
21
Philippe Logean
11 juin 2003
Par exemple, pour révoquer le certificat d’Alice, cliquer sur Revoke. Confirmé l’opération. A présent, le certificat apparaît avec le statu Revoked.
En retournant dans Certificate Operations, cliquer sur Certificates : revoked – Liste all Revoked. La liste des certificats révoqués est affichée.
Pour plus de détails sur l’utilisation de la CA Keon, se référer au manuel RSA Keon Certification Authority 6.0 Administrator’s Guide. 10
Démarrer la CA Keon Après le démarrage de Win2k, la CA Keon n’est pas activée. Il est nécessaire de démarrer manuellement les services suivant : • RSA Keon CA Secure Logging Server 6.0.2 build 107 • RSA Keon CA 6.0.2 build 107 (Secure Directory) • RSA Keon CA 6.0.2 build 107 (Administration) • RSA Keon CA CMP Server 6.0.2 build 107 La procédure complète de démarrage et d’arrêt de la CA est décrite dans RSA Keon Certification Authority Installation Guide p.67 et 69
Laboratoire de transmission de données / EIG
22
Philippe Logean
11
11 juin 2003
Automatisation du démarrage de la CA Keon Il est possible d’automatiser le démarrage de la CA Keon. Pour cela, les password nécessaires pour le démarrage de la CA doivent être stockés dans deux fichiers : • startup.conf à créer dans C:\Program Files\RSA Security\RSA_KeonCA\conf • xudad.conf à modifier dans C:\Program Files\RSA Security\RSA_KeonCA\Xudad\conf Dans startup.conf ajouter « SSL-passphrase value » où value correspond au password pour démarrer le serveur SSL. SSL-passphrase xxxxxxxx
Dans xudad.conf ajouter le password correspondant à chaque Certificate Authority identifié par le Certificate ID (MD5).
Le format est « setpin md5=CertificateID value » où CertificateID est le hash MD5 du Certificate Authority et value le password correspondant à cet Certificate Authority. Voici un exemple du fichier xudad.conf : ####################################################################### # ldbm database definitions ####################################################################### database caoperations suffix "o=ca,o=services" sslonly 1 setpin md5=74fc553ea14d61cf37b7288d852ea6f8 xxxxxxxx setpin md5=a7af45194f9d8fbda8a974e4a37d55d0 yyyyyyyy setpin md5=b30f710c02580c77d4f5e7c359e5b500 zzzzzzzz
Laboratoire de transmission de données / EIG
23
Philippe Logean
12
11 juin 2003
Conclusion L’authentification des utilisateurs, dans un domaine Win2k, en utilisant une infrastructure PKI basée sur une CA tierce, fonctionne. Cette intégration a été rendue difficile par le manque de documentation traitant de ce sujet. En effet, aucun exemple d’utilisation de la CA Keon pour l’authentification des utilisateurs dans un monde Microsoft n’était disponible au début du projet. Un premier document publier par RSA donnait quelques indications sur la manière d’intégrer la CA dans AD (Documentations\Pki\Microsoft_ActiveDirectory_Keon_60.pdf). Malheureusement ces indications n’étaient pas fonctionnelles. Les premier testes ont été effectués avec la CA Keon 6.0 . Cette version ne possédait pas encore tous les éléments (format des certificats, extensions,…) permettant une authentification dans le monde Win2k. Cela a été résolu dans la version 6.0.2 de la CA Keon. Suite à la sortie de la CA Keon 6.0.2, un nouveau document, traitant de l’intégration de la CA dans AD, a été publié par RSA (Documentations\Pki\W2K Integration Admin Guide1.pdf). Ce document donnait les bons éléments pour réussir l’intégration. Malheureusement, certains points étaient incomplets. Le plus gros problème rencontré a été causé par la CRL. Comme expliqué dans le document Installation_CA_Microsoft.doc au § 7.1, lors de l’authentification d’un utilisateur, le DC vérifie la CRL. Par défaut, le CRL de la CA Keon est générée à la main. En faisant cela, la CRL ne possède pas le champ Next update indiquant la date de la prochaine mise à jour. Sans ce champ, la procédure d’authentification des utilisateurs échoue. Ce problème a été résolu en automatisant la publication de la CRL, ce qui a pour effet d’ajouter le champ Next update. Ce document contient tous les éléments permettant d’utiliser la CA Keon pour permettre l’authentification par PKI des utilisateurs dans un domaine Win2k.
13
Documentations
•
Using RSA Keon CA with Microsoft Windows 2000 – Administrator’s Guide Documentations\Pki\W2K Integration Admin Guide1.pdf
•
RSA Keon Ready Implementation Guide For Directory Server Products Documentations\Pki\Microsoft_ActiveDirectory_Keon_60.pdf
•
Windows 2000 Identification (p. 19 - 24) Mémoire du travail de diplôme de Mario Pasquali Session 2001
•
Construire un annuaire d’entreprise avec LDAP (p.54-66, 91-136) Marcel Rizcallah Editions Eyrolles 2000, ISBN 2-212-09154-0
•
Flux Applicatifs (p.76-101) Mémoire du travail de diplôme de Pascal Gaio Session 2001
•
Public Key Infrastructure Mémoire du travail de diplôme de Denis Cotte Session 2001
•
Tutorial LDAP en français http://www-sop.inria.fr/semir/personnel/Laurent.Mirtain/ldap-livre.html
Laboratoire de transmission de données / EIG
24
Philippe Logean
14
11 juin 2003
Matériels Materiels fournis par RSA : • RSA Keon Certification Authority 6.0 Installation Guide • RSA Keon Certification Authority 6.0 Administrator’s Guide • CD CA Keon 6.0.2 build 107 • Disquette RSA Keon Certificate Autority 6.0 License File Autres matériels nécessaires : • CD Windows 2000 Server • CD Windows 2000 Server Ressource Kit • eToken Run Time Environement : A télécharger à l’adresse suivante : http://www.ealaddin.com/etoken/downloads/rte.asp
Laboratoire de transmission de données / EIG
25