Вы находитесь на странице: 1из 24

Philippe Logean logean@eig.unige.

ch 23 octobre 2002
Intégration de la CA Keon dans Active Directory

1 Introduction ...........................................................................................................................................2
1.1 CA Keon .............................................................................................................................................2
1.2 Topologie ............................................................................................................................................3

2 Structure PKI .........................................................................................................................................3

3 Préparation ............................................................................................................................................4
3.1 eToken Run Time Environement........................................................................................................4

4 Installation de la CA Keon....................................................................................................................5
4.1 Suppression des messages « Security Alert » ...................................................................................7
4.2 Installation de la Licence ....................................................................................................................7

5 Création d’une nouvelle juridiction.....................................................................................................8

6 Création et automatisation de la CRL ...............................................................................................10

7 Intégration de la CA Keon dans Active Directory ............................................................................11


7.1 Publication du certificat de la CA Keon dans AD..............................................................................11
7.2 Rafraîchir le Group Policy du domaine.............................................................................................11
7.3 Ajout du certificat de la CA dans les Trusted Root Certification Authorities .....................................11
7.4 Requête de certificat pour le DC.......................................................................................................12
7.5 Publication du certificat du DC..........................................................................................................13

8 Certificat pour Smart Card Logon .....................................................................................................17


8.1 Requête de certificat pour un utilisateur ...........................................................................................17
8.2 Approbation du certificat sur la console d’administration locale .......................................................18

9 Gestion des certificats .......................................................................................................................21

10 Démarrer la CA Keon ..........................................................................................................................22

11 Conclusion...........................................................................................................................................23

12 Documentations..................................................................................................................................23

13 Matériels...............................................................................................................................................24

Laboratoire de transmission de données / EIG 1


Philippe Logean logean@eig.unige.ch 23 octobre 2002
1 Introduction

Ce document aborde la problématique de l’authentification d’un utilisateur dans un domaine Windows 2000
en utilisant une infrastructure PKI basée sur une Autorité de Certification (CA) tierce. La CA choisie est la
Keon de RSA. Pour permettre cette authentification, on doit intégrer la CA Keon dans Active Directory (AD).
Le but de cette opération est que la CA fasse partie intégrante du domaine afin qu’elle puisse délivrer des
certificats permettant l’authentification des utilisateurs enregistrés dans AD. Pour cela, il faut que les
certificats délivrés par la CA soient reconnus comme autorisés (truster) par AD. Les utilisateurs stockent
leur certificat dans des eToken Aladdin.

eToken
CA Keon

Integration
Authentification
Client AD

L’installation et la configuration de la CA Keon est décrite dans les § 3 à 6.

Les opérations pour l’intégration de la CA Keon dans AD sont énumérées au § 7.

La méthode pour délivrer un certificat (ajout d’extensions MS) à un utilisateur est détaillée au § 8.

La gestion des certificats (publier, révoquer, supprimer, …) est expliquée dans le § 9.

1.1 CA Keon

La CA Keon utilise un browser Web comme interface utilisateur :

CA Keon
Web Server
Web Browser https
End-user
User
Enrollment
443
Server

Web Browser https Administration


444
Administrator Administrator Server

Remarque : L’architecture plus complète de la CA Keon est illustrée à la page 48 du RSA Keon
Certification Authority 6.0 Administrator’s Guide.

Chronologiquement :
• Installation de la CA sur Vectra 25 avec administration locale (§ 2)
• Création obligatoire d’une nouvelle juridiction (§ 5)
• Intégration dans AD (§ 7)
• Requête de certificat, depuis un poste équipé d’une eToken (§ 8.1)
Figure : depuis Web Browser End-user sur l’Enrollment Server
• Approbation du certificat sur la console d’administration locale (§ 8.2)
Figure : depuis Web Browser Administrator sur l’Administration Server
• L’utilisateur peut alors s’authentifier dans le domaine

Laboratoire de transmission de données / EIG 2


Philippe Logean logean@eig.unige.ch 23 octobre 2002
1.2 Topologie

La CA Keon communique avec AD en utilisant le protocole LDAP. En effet, AD possède une interface
conforme au standard LDAP, permettant de lire et d’écrire dans celui-ci. AD utilise le modèle de
dénomination LDAP pour désigner tout objet d’un serveur Windows 2000 :
• DC : Domain-Component
• CN : Common-Name
• OU : Organizational-Unit

dc1.telecomeig ca1.telecomeig ca2.telecomeig


Domain CA Keon CA Microsoft
Controller
DNS telecomeig

Win2K Server Win2K Server Win2K Server


Vectra24 Vectra25 Vectra28
10.5.1.1 10.5.1.2 10.5.1.3

Comme cela est expliqué au § 7, une CA Microsoft est nécessaire pour intégrer la CA Keon dans AD. Dans
notre configuration, les CAs et AD sont installés sur des machines différentes, mais il est possible de les
placer sur une même machine.

2 Structure PKI

La CA Keon définit des juridictions. Une juridiction est un ensemble de configurations qui décrit la forme et
le contenu des certificats délivrés dans cette dernière.

Lors de l’installation de la CA Keon, la juridiction « System CA » est automatiquement créé pour permettre
la sécurisation et l’authentification des connexions sur la CA. En effet, les connexions sur l’Enrollment
Server et sur l’Administration Server sont basées sur le protocole HTTPS. De plus l’administrateur doit
posséder un certificat pour s’authentifier sur l’Administration Server. Les certificats suivants sont créés lors
de l’installation de la CA :
• ca1.telecomeig System CA : Certificat root (auto signé) de la juridiction. Signe les certificats
délivrés dans la juridiction.
• Web Server : Certificat permettant l’authentification du serveur Web de la CA (https).
• CA Administrative : Certificat utilisateur nécessaire pour se connecter à l’Administration Server
(https avec authentification mutuelle).

ca1.telecomeig (Vectra25)

CA Keon
ca1.telecomeig
System CA
Subject:
ca1 System CA

Self-signed

Web Browser https


Web Server
End-user Issuer:
ca1 System CA
Web Server Subject:
ca1.telecomeig
CA
Administrative
Issuer:
ca1 System CA Enrollment
443
Subject: Server
CA Administrative
Web Browser https Administration
444
Administrator Server

Ainsi, les opérations de requête et de gestion des certificats sont effectuées localement sur la machine
ca1.telecomeig (figure ci-dessus), par l’administrateur du réseau. Pour chaque nouvel utilisateur,
l’administrateur crée un compte dans AD. Puis sur la CA, il effectue la requête de certificat et le publie dans
AD et dans la eToken (voir §8.1). Ainsi, l’administrateur contrôle tout le processus d’authentification.
Laboratoire de transmission de données / EIG 3
Philippe Logean logean@eig.unige.ch 23 octobre 2002

Toutefois, la CA est accessible par tous postes connectés au réseau. Donc, il est possible d’effectuer des
requêtes de certificat à distance sur l’Enrollment Server. Il est aussi envisageable d’administrer la CA
depuis un autre poste, en installant le certificat CA Administrative sur celui-ci.

La juridiction « System CA » ne doit pas être utilisée après l’installation, pour délivrer d’autres certificats.

Une deuxième juridiction doit être créée, afin de mettre en place l’infrastructure PKI nécessaire à
l’authentification des utilisateurs dans le domaine « telecomeig ». Cette juridiction est nommée
« TelecomeigRootCA ». Les certificats suivant y sont délivrés :
• TelecomeigRootCA : Certificat root (auto signé) de la juridiction. Signe les certificats délivrés dans
la juridiction.
• DC Certificate : Certificat utilisé par le DC pour signer sa réponse lors de PKINIT.
• User Certificate : Certificat présenté par les utilisateurs pour s’authentifier dans le domaine.

TelecomeigRoot
CA
Subject:
ca1.telecomeig

Self-signed

CA Keon

ca1.telecomeig
User Certificate (Vectra25)
DC Certificate
Issuer:
ca1.telecomeig Issuer:
Subject: ca1.telecomeig
Alice Subject:
dc1.telecomeig

Client DC
Active Directory
eToken
host.telecomeig dc1.telecomeig
(Vectra24)

La procédure d’authentification du client par le DC est décrite au paragraphe 7 du document


Installation_CA_Microsoft.doc .

3 Préparation

La CA Keon doit être installée sur une machine Win2k Server. Pour l’installation de ce serveur Win2k, voir
le chapitre 1 du document Installation_Win2Kserver.doc.

Vérifier la configuration minimum du système nécessaire à l’installation de la CA Keon (voir RSA Keon
Certification Authority Installation Guide p.17)

Vérifier les composants suivant pour Internet Explorer :


• Dans Tools – Internet Options – Advanced , la case JIT for virtual machine enabled doit être
cochée.
• Dans Internet Explorer, Wiew – Encoding, sélectionnez Unicode (UTF-8) et désélectionnez Auto-
Select.

3.1 eToken Run Time Environement

Pour pouvoir utiliser les eToken Aladdin sur une machine, il faut installer le « eToken Run Time
Environement ». Cela installe les drivers pour les eToken, le CSP « eToken Base Cryptographic Provider »
et remplace la DLL GINA afin que les lecteurs de cartes à puces soient supporté par Winlogon . Le
« eToken Run Time Environement » peux être téléchargé à l’adresse suivante :
http://www.ealaddin.com/etoken/downloads/rte.asp

Laboratoire de transmission de données / EIG 4


Philippe Logean logean@eig.unige.ch 23 octobre 2002
4 Installation de la CA Keon

La version installée est la CA Keon 6.0.2 build 107.

Sur le CD CA Keon 6.0.2 build 107, exécuter CA Keon 6.0.2 build 107 - Setup.exe.

A la question « Select browser », répondre Use default Browser.

Sélectionner New Install.

Il est possible d’utiliser un provider tiers pour générer la paire de clés de la CA. Cela n’est pas notre cas.
Répondre NO à la question « Search for provider now ».

Sélectionner le répertoire d’installation et cliquer sur Next pour lancer l’installation des fichiers.

Lorsque l’installation des fichiers se termine, cliquer sur Finish. Une fenêtre Keon est automatiquement
ouverte dans le browser.

Un message « Security Alert » apparaît, continuer en cliquant sur Yes.

Accepter le End User License Agreement.

La fenêtre General Configuration Information permet de configurer les ports du serveur Keon. Garder les
valeurs par défaut. Modifier uniquement le champ Webmaster E-mail Address et désélectionner Confirm
that SMTP server is reachable. Cliquer sur Next.

Laboratoire de transmission de données / EIG 5


Philippe Logean logean@eig.unige.ch 23 octobre 2002
Compléter la page User Information. Ces informations sont utilisées pour créer le certificat root du System
CA. Cliquer sur Next.

Deux paires de clé vont être générées par la CA (SSL keys et System keys). Dans la page SSL Information
et System Information donner un password permettant d’encrypter ces clés (dans notre cas, le même
password est utilisé pour les deux paires de clés). Cliquer sur Next.

Les clés sont générées. Cela peut prendre plusieurs minutes.

La page Server Setup apparaît lorsque la configuration est terminée. Cliquer sur Continue.

La page Install Administrative Certificate permet l’installation du certificat client d’administration (CA
Administrative). Ce certificat permet la connection à l’Administration Server de la CA Keon. Cliquer sur
Install Client Certificate puis Next.

Le browser se connecte à l’Administration Server de la CA. Sélectionner le certificat CA Administrative


Certificate, installé précédemment, pour s’authentifier au serveur. Un message « Security Alert » apparaît,
continuer en cliquant sur Yes.

La procédure d’installation est terminée.


• L’Administration Server se trouve à l’adresse https://ca1.telecomeig:444.
• L’Enrollment Server se trouve à l’adresse https://ca1.telecomeig:443.

Laboratoire de transmission de données / EIG 6


Philippe Logean logean@eig.unige.ch 23 octobre 2002
4.1 Suppression des messages « Security Alert »

Pour supprimer les messages « Security Alert », il faut placer le certificat root de la CA dans les Trusted
Root Cetification Authorities. Pour cela, se connecter sur la console d’administration
(https://ca1.telecomeig:444) puis cliquer sur CA Operations. Le certificat « ca1.telecomeig System CA »
est affiché. En bas de la page, dans CA Certificate Operation, faire : Download – Open this files from its
current location – Install Certificate… - Automatique Select the certificate store… - Finish - Yes .

4.2 Installation de la Licence

Après son installation, la CA Keon peut délivrer des certificats pour 20 utilisateurs. Pour augmenter ce
nombre, installer la licence se trouvant sur la disquette « RSA Keon Certificate Autority 6.0 License File »
fournit avec la Keon. Pour cela, copier le fichier « licence.p7 » de la disquette dans C:\Program Files\
RSA Security\RSA_KeonCA\Xudad\conf.

Redémarrer la CA Keon (voir RSA Keon Certification Authority Installation Guide p.67 et 69)

La licence peut être vérifiée en cliquant sur le logo RSA Keon de la console d’administration.

Laboratoire de transmission de données / EIG 7


Philippe Logean logean@eig.unige.ch 23 octobre 2002
5 Création d’une nouvelle juridiction

La CA « ca1.telecomeig System CA », créé lors de l’installation, est utilisé pour l’administration de la Keon
(Authentification lors de la connexion à l’Administration Server, etc…). Il ne faut donc pas délivrer de
certificat à partir de cette juridiction (juridiction de la CA « ca1.telecomeig System CA »).

Une nouvelle CA doit être créée. Sur la console d’administration, faire CA Operation – create.
Compléter les champs comme suit :
• Issuer : Self
• Jurisdiction : Create new Jurisdiction

• Next

Dans le menu déroulant Sections, sélectionner Extension profiles, puis compléter comme suit :
• General Profile Policy : sélectionner Vettor Can Override
• Profile Choices : sélectionner Basic PKIX-compilant CA

Dans le menu déroulant Sections, sélectionner Certificates Attributes. Dans Certificates Attributes
Configuration, sélectionner E-Mail Address puis cocher la case Include in DN.

Cliquer sur Save and Exit.

Laboratoire de transmission de données / EIG 8


Philippe Logean logean@eig.unige.ch 23 octobre 2002
Compléter les champs de la page Create a new CA.
• Signing Algorithm and Key Size : choisir RSA/SHA1 2048.
• Profile : Basic PKIX-compilant CA.

• Next

Dans la page CA Certificate Extension Values, laisser les options par défaut, puis Next.

Dans la page Pass Phrases for new CA, entrer le password permettant d’encrypter les clés de la nouvelle
CA, puis cliquer sur Create CA.

Une fois la nouvelle CA créée, redémarrer la CA Keon (voir RSA Keon Certification Authority Installation
Guide p.67 et 69)
Laboratoire de transmission de données / EIG 9
Philippe Logean logean@eig.unige.ch 23 octobre 2002
6 Création et automatisation de la CRL

Pour automatiser la génération de la CRL (Certificate Revocation list) de la CA, il faut ajouter les lignes
suivantes à la fin du fichier C:\Program Files\RSA Security\RSA_KeonCA\Xudad\conf\xudad.conf :
# Generat CRL every day at 23h00
crltimer md5=* 86400 23:00:00

Pour plus d’information sur cette commande, voir RSA Keon Certification Authority Installation Guide p.234.

Redémarrer la CA Keon pour que le changement soit prit en compte.

Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur CRL
Publishing. Sélectionner Enable local CRL publishing et Publish to HTTP server, puis cliquer sur
Modify Configuration.

Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Generate
CRL.

La CRL est publiée dans C:\Program Files\RSA Security\RSA_KeonCA\WebServer\crl-server. Vérifier


que le champ Next update est bien présent. Si ce n’est pas le cas, contrôler le fichier xudad.conf modifié
précédemment. Si ce champ n’est pas présent, la procédure d’authentification des utilisateurs échoue.

Laboratoire de transmission de données / EIG 10


Philippe Logean logean@eig.unige.ch 23 octobre 2002
7 Intégration de la CA Keon dans Active Directory

Pour pouvoir intégrer la CA Keon dans AD, il est nécessaire d’installer une Entreprise Root CA Microsoft
dans le domaine. Cette installation a pour effet de modifier le schéma d’AD afin que les PKI soient
supportées par le DC. Pour installer la CA Microsoft, voir le document Installation_CA_Microsoft.doc
(§1 & 2).

7.1 Publication du certificat de la CA Keon dans AD

Afin de permettre à la CA Keon de délivrer des certificats, pour l’authentification des utilisateurs dans le
domaine, elle doit être reconnue par le DC. Pour cela, le certificat root de la CA (TelecomeigRootCA) doit
être placer dans l’objet NTAuth d’AD. NTAuth se trouve dans :
LDAP://dc1.telecomeig/CN=NTAuthCertificates,CN=Public KeyServices,CN=Services,
CN=Configuration, DC=telecomeig

Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Configure.
Dans le menu déroulant Sections, sélectionner external publishing.

Dans Publishing Controls, sélectionner Publish Authorities.

Dans Publishing Configuration, configurer les champs comme suit :


• Host : 10.5.1.1
• Port : 389
• Bind DN : CN=Administrator,CN=Users,DC=telecomeig
• Bind Password : ********
• Base DN : CN=Public Key Services,CN=Services,CN=Configuration,DC=telecomeig
• Authority DN : CN
• DN Mapping: CN=ca1.telecomeig ! CN=NTAuthCertificates
• Authority Class : organizationalUnit
• Authority Certificate Field : cACertificate

Cliquer sur Save and Exit.

Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Publish.

7.2 Rafraîchir le Group Policy du domaine

Après la publication du certificat de la CA Keon dans NTAuth, il faut que la mise à jour de la Policy du
domaine se fasse sur toutes les machines clientes. Par défaut, cela se fait toues les 8 heures. Il est
possible de forcer cette mise à jour avec la commande :
dsstore -pulse

L’utilitaire dsstore se trouve sur le CD « Windows 2000 Server Ressource Kit ».

7.3 Ajout du certificat de la CA dans les Trusted Root Certification Authorities

Afin que la chaîne de certification soit valide, il faut ajouter le certificat de la CA Keon dans les Trusted Root
Certification Authorities.

Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur
Download.

Sauvegarder le certificat de la CA sur le disque.

Copier le fichier sur le DC.

Sur la DC, aller dans Active Directory Users and Computers. Sélectionner telecomeig puis :
Properties – Group Policy – Default Domain Policy – Edit – Computer Configuration – Windows
Settings – Security Settings – Public Key Policies - Trusted Root Certification Authorities – All
Tasks – Import…

Importer le certificat de la CA Keon.

Laboratoire de transmission de données / EIG 11


Philippe Logean logean@eig.unige.ch 23 octobre 2002
7.4 Requête de certificat pour le DC

Un certificat doit être généré pour le DC. Le DC utilise ce certificat pour signer ses paquets lors de la
procédure d’authentification d’un utilisateur (voir Installation_CA_Microsoft.doc §7). Afin d’avoir un certificat
possédant le bon format, la requête de celui-ci se fait sur la CA Microsoft. Par contre, il doit être signer par
la CA Keon.

Le Certificate template « Router (Offline request) » doit être présent dans la CA Microsoft. Pour cela il faut
aller dans Start – Programs – Administrative Tools – Certification Authority – Policy Settings – New –
Certificate to Issue et ajouter Router (Offline request).

Sur la station d’enrollment de la CA Microsoft (http://ca2.telecomeig/certsrv): Request a certificate –


Advanced Request - Submit a certificate request to this CA using a form.

Laboratoire de transmission de données / EIG 12


Philippe Logean logean@eig.unige.ch 23 octobre 2002
Remplir la demande comme suit :
• Certificate Template : Router (Offline request).
• Name : dc1.telecomeig (les autres champs n’ont pas besoin d’être remplies).
• CSP : Microsoft RSA Schannel Cryptographic Provider.
• Sélectionner Use local machine store.
• Sélectionner Save request to a PKCS #10 file est donner un nom de fichier.

Cliquer sur Save puis copier le fichier sur la CA Keon.

7.5 Publication du certificat du DC

Le certificat du DC doit être stocké dans l’objet Domain Controller d’AD. Cet objet se trouve dans :
LDAP://dc1.telecomeig/OU=Domain Controllers, DC=telecomeig

Sur la Keon, dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer
sur Configure. Dans le menu déroulant Sections, sélectionner external publishing.

Dans Publishing Controls, sélectionner Publish Certificates et désélectionner Publish Authorities.

Dans Publishing Configuration, configurer les champs comme suit :


• Host : 10.5.1.1
• Port : 389
• Bind DN : CN=Administrator,CN=Users,DC=telecomeig
• Bind Password : ********
• Base DN : OU=Domain Controllers,DC=telecomeig
• Certificate DN : CN
• DN Mapping: CN=dc1.telecomeig ! CN=dc1
• End Entity Class : strongAuthentificationUser
• End Entity Certificate Field : userCertificate

Remarque : Pour le DN Mapping, le CN doit correspondre au nom de l’objet se trouvant dans Active
Directory Users and Computers – Domain Controllers. Dans notre cas, « dc1 ».

Cliquer sur Save and Exit.

Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Configure.
Dans le menu déroulant Sections, sélectionner Extension profiles, puis compléter comme suit :
• General Profile Policy : sélectionner Vettor Can Override
• Profile Choices : sélectionner MS Domain Controller Cert

Cliquer sur Save and Exit.

Sur l’Enrollment Server de la Keon (https://ca1.telecomeig:443), sélectionner TelecomeigRootCA Initial


Jurisdiction dans le menu déroulant puis cliquer sur Continue – Make a PKCS # 10 Certificate request –
Browse… et sélectionner le fichier créer au § 7.4.

Cliquer sur Submit PKCS # 10 Request.

Sur la console d’administration, faire Certificate Operations et sélectionner TelecomeigRootCA Initial


Jurisdiction.

Lister les requêtes actives (Status : Active – Liste all Active) et ouvrir la requête de certificat pour le DC.

Laboratoire de transmission de données / EIG 13


Philippe Logean logean@eig.unige.ch 23 octobre 2002

Compléter les champs comme ci-dessus et sélectionner MS Domain Controller Cert dans Profile. Vérifier
que les extensions Mandatory sont bien présentes :
• Extended Key Usage
• Key Usage
• Subject Alternative Names
• Certificate Template Name

Cliquer sur Issue Certificate.

La fenêtre Client Certificate Extension Values apparaît :


• Dans extKeyUsage, indiquer que 2 object identifiers sont inclus dans l’extension.
• Dans subjectAltNames, indiquer que 2 noms sont inclus dans l’extension.

Cliquer sur Next.

Une deuxième page Client Certificate Extension Values apparaît. Cette page indique que les noms
otherName et dNSName sont inclus dans l’extension subjectAltNames.

Cliquer sur Next.

Une troisième page Client Certificate Extension Values apparaît.

Spécifier l’extension extKeyUsage comme not critical et entrer les OIDs 1.3.6.1.5.5.7.3.2 et
1.3.6.1.5.5.7.3.1 .

Spécifier l’extension keyUsage comme not critical et sélectionner digital signature et key encipherment.

Spécifier l’extension subjectAltNames comme not critical et compléter le champ type-id avec la valeur
1.3.6.1.4.1.311.25.1 .

Si le champ Value n’est pas automatiquement généré, procéder comme suit :


• Sur le DC, installer les Administration Tools (CD Win2k server /support/tools/setup.exe).
• Dans Start – Run… exécuter ldp.
• Dans ldp faire Connection – Connect (Server : dc1.telecomeig, Port : 389) - OK.
• Connection – Bind (User : Administrator, Password : ********, Domain : telecomeig) – OK.
Laboratoire de transmission de données / EIG 14
Philippe Logean logean@eig.unige.ch 23 octobre 2002
• View – Tree (Base DN : DC=telecomeig).
• Cliquer sur CN=DC1,OU=Domain Controllers,DC=telecomeig.
• Copier la valeur de l’objectGUID, dans le champ Value de l’extension subjectAltNames, en
respectant la syntaxe (ex : 4f6bbbb4-8f7c-4afs-8a99-dc3cb119ada5).

Dans le champ dNSName entrer le nom DNS du DC : dc1.telecomeig

Spécifier l’extension msCertTemplateName comme not critical et compléter le champ Certificate


Template Name avec la valeur DomainController.

Laboratoire de transmission de données / EIG 15


Philippe Logean logean@eig.unige.ch 23 octobre 2002

Cliquer sur Next.

Le certificat est généré et publier dans l’objet Domain Controller d’AD. Vérifier dans l’Event Viewer que le
certificat à bien été publié (Start – Program – Administrative Tools – Event Viewer – Application Log).

Laboratoire de transmission de données / EIG 16


Philippe Logean logean@eig.unige.ch 23 octobre 2002
8 Certificat pour Smart Card Logon

La CA doit être configurée pour publier les certificats utilisateurs dans le bon objet d’active directory. Si la
CA est déjà configurée correctement, passée au paragraphe 8.1 pour délivrer un certificat à un utilisateur.

Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur Configure.
Dans le menu déroulant Sections, sélectionner Extension profiles, puis compléter comme suit :
• General Profile Policy : sélectionner Vettor Can Override
• Profile Choices : sélectionner MS Logon Cert

Cliquer sur Save.

Dans le menu déroulant Sections, sélectionner external publishing.

Dans Publishing Controls, sélectionner Publish Certificates.

Dans Publishing Configuration, configurer les champs comme suit :


• Host : 10.5.1.1
• Port : 389
• Bind DN : CN=Administrator,CN=Users,DC=telecomeig
• Bind Password : ********
• Base DN : CN=Users,DC=telecomeig
• Certificate DN : CN
• End Entity Class : strongAuthentificationUser
• End Entity Certificate Field : userCertificate

Cliquer sur Save and Exit.

Remarque : Dans le champ Base DN, la valeur « CN=Users,DC=telecomeig » est valable uniquement si
les comptes utilisateurs du domaine sont stocker dans le CN Users d’AD. Si ils sont placés
dans un OU, modifier la champ Base DN avec la bonne valeur (ex : OU=test,DC=telecomeig ).

Dans CA Operations, sélectionner TelecomeigRootCA dans le menu déroulant puis cliquer sur
Download.

Sauvegarder le certificat de la CA dans le répertoire :


C:\Program Files\RSA Security\RSA_KeonCA\ WebServer\crl-server.
Ainsi, le certificat de la CA est accessible en utilisant l’URL
http://ca1.telecomeig:447/TelecomeigRootCA.crt

8.1 Requête de certificat pour un utilisateur

Pour effectuer une requête de certificat pour un utilisateur du domaine, aller sur l’Enrollment Server de la
Keon (https://ca1.telecomeig:443), sélectionner TelecomeigRootCA Initial Jurisdiction dans le menu
déroulant puis cliquer sur Continue – Make an End-Entity certificate request.

Laboratoire de transmission de données / EIG 17


Philippe Logean logean@eig.unige.ch 23 octobre 2002
Vérifier qu’une eToken est bien connectée sur la station d’enregistrement.
• Dans Common Name, entrer le nom du compte utilisateur.
• Compléter le champ E-mail Address.
• Sélectionner le CSP eTocken Base Cryptographic Provider.
• Cliquer sur Submit.

Remarque : Il n’est pas nécessaire de remplir les autres champs.

Le PIN code de la eToken est demandé afin de pouvoir mémoriser la paire de clés générée.

8.2 Approbation du certificat sur la console d’administration locale

Les comptes utilisateurs doivent être créés dans AD avant d’effectuer cette procédure.

Après acceptation de la requête, aller sur la console d’administration (https://ca1.telecomeig:444), faire


Certificate Operations et sélectionner TelecomeigRootCA Initial Jurisdiction.

Lister les requêtes actives (Status : Active – Liste all Active) et ouvrir la requête de certificat de l’utilisateur.

Compléter les champs, comme ci-dessus, et sélectionner MS Logon Cert dans Profile. Vérifier que les
extensions suivantes sont bien sélectionnées :
• Extended Key Usage
• Key Usage
• Subject Alternative Name
• Authority Information Access
• Authority Key Identifier
• Subject key Identifier
• Certificate Template Name
Laboratoire de transmission de données / EIG 18
Philippe Logean logean@eig.unige.ch 23 octobre 2002
Cliquer sur Issue Certificate.

La fenêtre Client Certificate Extension Values apparaît :


• Dans authInfoAccess, indiquer que 1 AccessDescription sera inclus dans l’extension
• Dans extKeyUsage, indiquer que 3 object identifiers sont inclus dans l’extension.
• Dans subjectAltNames, indiquer que 2 noms sont inclus dans l’extension.

Cliquer sur Next.

Une deuxième page Client Certificate Extension Values apparaît.


• Pour l’extension authInfoAccess, sélectionner uRL.
• Pour l’extension subjectAltNames, sélectionner otherName et rfc822Name.

Cliquer sur Next.

Une troisième page Client Certificate Extension Values apparaît.

Spécifier l’extension authInfoAccess comme not critical, entrer l’OID 1.3.6.1.5.5.7.48.2 et l’uRL
http://ca1.telecomeig:447/TelecomeigRootCA.crt

Spécifier l’extension msCertTemplateName comme not critical, entrer le nom SmartcardUser.

Spécifier l’extension extKeyUsage comme not critical et entrer les OIDs 1.3.6.1.4.1.311.20.2.2,
1.3.6.1.5.5.7.3.4 et 1.3.6.1.5.5.7.3.2 .

Spécifier l’extension keyUsage comme not critical et sélectionner digital signature et key encipherment.

Spécifier l’extension subjectAltNames comme not critical et compléter le champ type-id avec la valeur
1.3.6.1.4.1.311.20.2.3 , le champ Value avec alice@telecomeig (username@domain) et le champ
rfc822Name avec l’adresse e-mail de l’utilisateur.

Laboratoire de transmission de données / EIG 19


Philippe Logean logean@eig.unige.ch 23 octobre 2002

Cliquer sur Next – Download.

Le certificat est généré, publier dans l’objet Alice d’AD et chargé dans la eToken. Vérifier dans l’Event
Viewer que le certificat à bien été publié (Start – Program – Administrative Tools – Event Viewer –
Application Log).

A présent, l’utilisateur peut utiliser la eToken pour s’authentifier dans le domaine.

Laboratoire de transmission de données / EIG 20


Philippe Logean logean@eig.unige.ch 23 octobre 2002
9 Gestion des certificats

La gestion des certificats se fait sur la console d’administration (https://ca1.telecomeig:444), dans


Certificate Operations.

Sélectionner TelecomeigRootCA Initial Jurisdiction et cliquer sur Certificates : active – Liste all
Active. La liste des certificats actifs, publiés par le CA, est affichée.

Sélectionner un certificat pour le visualiser (ex : alicecert).

Les opérations sur le certificat se font dans cette fenêtre :


• Downloader le certificat dans un fichier
• Publier (cette opération ce fait automatiquement dans AD, lors de la création du certificat)
• Suspendre
• Révoquer
• Supprimer (Attention, révoquer le certificat avant de le supprimer, sinon, il n’apparaît pas dans la
CRL)
• Prolonger la date de validité.

Laboratoire de transmission de données / EIG 21


Philippe Logean logean@eig.unige.ch 23 octobre 2002
Par exemple, pour révoquer le certificat d’Alice, cliquer sur Revoke. Confirmé l’opération. A présent, le
certificat apparaît avec le statu Revoked.

En retournant dans Certificate Operations, cliquer sur Certificates : revoked – Liste all Revoked. La
liste des certificats révoqués est affichée.

Pour plus de détails sur l’utilisation de la CA Keon, se référer au manuel RSA Keon Certification Authority
6.0 Administrator’s Guide.

10 Démarrer la CA Keon

Après le démarrage de Win2k, la CA Keon n’est pas activée. Il est nécessaire de démarrer manuellement
les services suivant :
• RSA Keon CA Secure Logging Server 6.0.2 build 107
• RSA Keon CA 6.0.2 build 107 (Secure Directory)
• RSA Keon CA 6.0.2 build 107 (Administration)
• RSA Keon CA CMP Server 6.0.2 build 107

La procédure complète de démarrage et d’arrêt de la CA est décrite dans RSA Keon Certification Authority
Installation Guide p.67 et 69

Laboratoire de transmission de données / EIG 22


Philippe Logean logean@eig.unige.ch 23 octobre 2002
11 Conclusion

L’authentification des utilisateurs, dans un domaine Win2k, en utilisant une infrastructure PKI basée sur une
CA tierce, fonctionne.

Cette intégration a été rendue difficile par le manque de documentation traitant de ce sujet. En effet, aucun
exemple d’utilisation de la CA Keon pour l’authentification des utilisateurs dans un monde Microsoft n’était
disponible au début du projet.

Un premier document publier par RSA donnait quelques indications sur la manière d’intégrer la CA dans
AD (Documentations\Pki\Microsoft_ActiveDirectory_Keon_60.pdf). Malheureusement ces indications
n’étaient pas fonctionnelles.

Les premier testes ont été effectués avec la CA Keon 6.0 . Cette version ne possédait pas encore tous les
éléments (format des certificats, extensions,…) permettant une authentification dans le monde Win2k. Cela
a été résolu dans la version 6.0.2 de la CA Keon.

Suite à la sortie de la CA Keon 6.0.2, un nouveau document, traitant de l’intégration de la CA dans AD, a
été publié par RSA (Documentations\Pki\W2K Integration Admin Guide1.pdf). Ce document donnait les
bons éléments pour réussir l’intégration. Malheureusement, certains points étaient incomplets.

Le plus gros problème rencontré a été causé par la CRL. Comme expliqué dans le document
Installation_CA_Microsoft.doc au § 7.1, lors de l’authentification d’un utilisateur, le DC vérifie la CRL. Par
défaut, le CRL de la CA Keon est générée à la main. En faisant cela, la CRL ne possède pas le champ
Next update indiquant la date de la prochaine mise à jour. Sans ce champ, la procédure d’authentification
des utilisateurs échoue. Ce problème a été résolu en automatisant la publication de la CRL, ce qui a pour
effet d’ajouter le champ Next update.

Ce document contient tous les éléments permettant d’utiliser la CA Keon pour permettre l’authentification
par PKI des utilisateurs dans un domaine Win2k.

12 Documentations

• Using RSA Keon CA with Microsoft Windows 2000 – Administrator’s Guide


Documentations\Pki\W2K Integration Admin Guide1.pdf

• RSA Keon Ready Implementation Guide For Directory Server Products


Documentations\Pki\Microsoft_ActiveDirectory_Keon_60.pdf

• Windows 2000 Identification (p. 19 - 24)


Mémoire du travail de diplôme de Mario Pasquali
Session 2001

• Construire un annuaire d’entreprise avec LDAP (p.54-66, 91-136)


Marcel Rizcallah
Editions Eyrolles 2000, ISBN 2-212-09154-0

• Flux Applicatifs (p.76-101)


Mémoire du travail de diplôme de Pascal Gaio
Session 2001

• Public Key Infrastructure


Mémoire du travail de diplôme de Denis Cotte
Session 2001

• Tutorial LDAP en français


http://www-sop.inria.fr/semir/personnel/Laurent.Mirtain/ldap-livre.html

Laboratoire de transmission de données / EIG 23


Philippe Logean logean@eig.unige.ch 23 octobre 2002

13 Matériels

Materiels fournis par RSA :


• RSA Keon Certification Authority 6.0 Installation Guide
• RSA Keon Certification Authority 6.0 Administrator’s Guide
• CD CA Keon 6.0.2 build 107
• Disquette RSA Keon Certificate Autority 6.0 License File

Autres matériels nécessaires :


• CD Windows 2000 Server
• CD Windows 2000 Server Ressource Kit
• eToken Run Time Environement : A télécharger à l’adresse suivante :
http://www.ealaddin.com/etoken/downloads/rte.asp

Laboratoire de transmission de données / EIG 24