La gestion des permissions sur un environnement AD CS est un élément crucial. L'utilisation d'un produit comme AD CS commence souvent par le besoin de répondre à une exigence applicative d'utilisation de certificat, comme un certificat pour un serveur Web.
Un certificat peut permettre l'authentification d'un client, la sécurité apportée à son utilisation a le même niveau d'importance que celle apporté à votre annuaire Active Directory et à vos protocoles d'authentification.
La volonté de mettre en œuvre rapidement une solution de certificat afin de répondre à un besoin représente une source d'insécurité dans vos systèmes d'authentification. En débutant sur les services de certificats, nous pouvons être tentés par nous rassurer sur ces mécanismes en autorisant l'exportation de la clé privée, en la stockant systématiquement dans Active Directory Domain Services. Il est préférable de limiter ce type d'usage au strict nécessaire. Il est également préférable de renouveler les certificats finaux à des durées de vie raisonnable. Un certificat pour l'authentification d'un utilisateur avec une durée de vie de 10 ans est un risque.
Dans pas mal de situation, il est préférable de générer un nouveau certificat avec une nouvelle paire de clé privée / publique plutôt que de vouloir récupérer un certificat.
La sécurité des systèmes de certificat nécessite la réflexion sur l'utilisation possible de la clé, ainsi que sur les champs personnalisables sur le certificat. Les paramètres tels que la durée de vie des certificats, les procédures de renouvellement, l'utilisation ou l'exportation de la clé privée, les mécanismes de validation du demandeur devraient faire l'objet d'une définition dans une politique de certification. Cette politique est rarement mise en œuvre dans les petites structures. |
Parmi les différents usages des certificats, nous retrouvons :
- Identifier ou authentifier une personne ou un service (serveur Web par exemple)
- Signer un élément afin de garantir qu'il n'a pas été modifié ou altéré
- Chiffrer un élément pour en garantir la confidentialité
Pour l'authentification et la signature, il n'est pas vraiment utile de sauvegarder la clé privée et de pouvoir restaurer le certificat. En cas de perte, d'expiration ou de compromission, il est préférable d'en générer un nouveau et de révoquer l'ancien.
Dans le cas de certificats utilisés pour le chiffrement de données, il vous faudra sans doute prévoir une méthode de récupération des données en cas de perte du certificat et de la clé privée.
Dans l'exemple du chiffrement de fichier avec EFS, il vous faudra récupérer le certificat et la clé privée utilisée pour le chiffrement ou un certificat d'agent de récupération EFS afin de récupérer le contenu.
Il est recommandé de s'assurer de disposer d'un agent de récupération EFS. Le compte administrateur par défaut d'un domaine Active Directory joue un rôle d'agent de récupération EFS, mais sa clé privée n'existe que sur le premier contrôleur de domaine qui a servi à la création du domaine. Si vous ne sauvegardez pas cette clé ou que vous ne définissez pas un agent de récupération EFS, vous risquez de perdre des informations. |
Si la mise en œuvre d'une solution AD CS n'est pas extrêmement compliquée, assurer sa sécurité peut devenir un casse-tête. Les bonnes pratiques ne sont pas toujours bien documentées sur Internet. Par exemple utiliser, des certificats avec la possibilité d'ajouter des noms alternatifs (SAN :Subject Alternative Name) sont fréquents sur des certificats de services Web. Comme elle dispose du rôle d'authentifier, il est préférable de soumettre ce modèle de certificat à une approbation par un gestionnaire de certificat.