questions sur les PKI

questions sur les PKI - Windows & Software

Marsh Posté le 30-03-2006 à 11:20:53    

bonjour,  
 
Il y a des chances que je doive mettre en place une PKI dans un premier temps uniquement afin d'utiliser EFS sur le domaine de ma boite.
Mais comme je manque pas mal d'experience dans ce domaine et je me pose donc quelques questions, j'espere que vous pourrez m'apporter quelques reponses.  
 
Je me demandais deja quel serait l'impact sur la PKI si le serveur faisant office d'autorité de certification racine crashe, est ce que la pki devient invalide ou est ce que les autorités de certification secondaires peuvent prendre son role ? Je voulais aussi savoir si autorité racine peut etre restorée a partir de sauvegardes ou autre.  
 
Je me demandais aussi quel serait a la louche le temps que consomme l'exploitation d'une pki en comptant a peu pres qu'il y aurait 200 pc qui vont avoir besoin d'EFS et donc de certificats EFS.  
 
Et enfin est ce qu'il est possible d'attribuer des certificats EFS de facon automatisée aux clients ou est ce que les utilisateurs doivent faire manuellement une demande de certificat ?
 
Merci

Reply

Marsh Posté le 30-03-2006 à 11:20:53   

Reply

Marsh Posté le 24-05-2006 à 16:42:32    

Salut collègue inconnu. On a pas le cul sorti des ronces ici j'ai l'impression.
Moi je dois monter une PKI pour émettre des certificats IPSec. C'est moins critique que toi en cas de crash.
Tu as avancé depuis le mois de mars?
J'aimerais bien pouvoir discuter de PKI en français avec des gens qui seraient au moins un peu en avance sur moi.
Bye


Message édité par Bybeu le 24-05-2006 à 16:43:01
Reply

Marsh Posté le 30-07-2006 à 23:59:25    

salut,
je suis chargé de mettre en place une PKI pour securiser la messagerie,alors j'ai installé une CA racine sur win 2003 server, j'ai cree deux comptes de messagerie sur echnage server 2003. avec ceci je suis arrive a signer et a crypter mon email avant de l'envoyer, mais ce que je comprend pas pour le moment c'est comment ca se passe?? ou est ce ma cle privée est enregistrée??
merci pour votre aide

Reply

Marsh Posté le 31-07-2006 à 09:05:19    

bonjour godshifter
la ca racine est critique.
il faut la sauvegarder absolument
si elle tombe en panne tu ne peux plus délivrer de certificats.
les autres certificats restent valident dans la limite de la durée de validité et a condition que tu aies des autorités de certif secondaire.
temps d'exploitation quasi nulle
les certificats tu les délivres automatiquement a l'aide d'une gpo

Reply

Marsh Posté le 31-07-2006 à 09:06:54    

Reply

Marsh Posté le 01-08-2006 à 13:10:33    

salut
merci pour ton aide, j'ai une question a vous poser svp, bon dans un premier temps j'ai installé une autorité racine d'entreprise sur mon pc (executant windows server 2003, il est un controleur de domaine), je faisais des testes, maintenant j'ai voulu refaire le meme travail mais sur un pc executant aussi windows sever 2003 mais il n'est pas un controleur de domaine, il appartient a un domaine, alors lorsque j'ai voulu installer une autorité de certification racine d'entreprise j'y arriverai pas, on m'affiche juste une autorité racine autonome.
le question est la suivante: pour pouvoir installer une autorité de certification racine d'entreprise sur un pc, est ce que ce dernier doit etre lui meme un controleur de domaine? sinon comment faire pour pouvoire installer cette autorité?
j'espere que ma question est claire
merci pour votre aide :)

Reply

Marsh Posté le 01-08-2006 à 13:44:57    

obligé dc pour ca enterprise
car une ca entreprise se repose sur le nom de domaine et sur l'ad pour faire ses certificats

Reply

Marsh Posté le 01-08-2006 à 14:20:43    

salut
 je viens de lire ceci sur un site de microsoft :
 Pour la sélection de l'Autorité de certification racine d'entreprise, l'ordinateur hôte doit être membre d'un domaine et utiliser le service d'annuaire Active Directory. L'administrateur qui installe une Autorité de certification d'entreprise doit posséder une autorisation d'accès à Active Directory en écriture.
Alors je pense qu on peut creer une CA entreprise sur un pc qui appartient a un domaine, mais maintenant c'est comment donner le droit a ce pc d'acceder a active directory??
merci pour ta reponse

Reply

Marsh Posté le 01-08-2006 à 14:32:16    

pour moi  
"et utiliser le service d'annuaire Active Directory."
cela veut dire qu'il faut qu'il y ait ad dessus
sur un serveur membre le service ad ne tourne pas

Reply

Marsh Posté le 01-08-2006 à 14:32:41    

je vérifierai dans mes books pour etre sur

Reply

Marsh Posté le 01-08-2006 à 14:32:41   

Reply

Marsh Posté le 01-08-2006 à 17:29:02    

ok, une autre question conernant la demande de certificat:
supposons qu'un client veuille envoyer un email  crypté et signé a un autre client, il doit alors demander un certificat auprés de l'autorité CA puis il peut signer son email. Au niveau du destinataire, comment celui-ci  pourrai recuperer la clé public de l'émetteur pour pouvoir verifier la signature?
meme chose pour l'émetteur, lorsqu'il a voulu crypter l'email, comment il a pu recuperer la clé public du destinataire?
merci bien

Reply

Marsh Posté le 02-08-2006 à 09:12:37    

1)dans les bouquins ils disent bien qu'a chaque fois qu'il y a une ca d'entreprise, c'est sur un cd. Y a peut etre une astuce pour le mettre sur un cd de domaine mais je ne la connais pas.
 
2)tu as un user A et B
explication d'un mail de A vers B  
 
-A demande a B qui il est
-B montre son certificat ou ezt indiqué (entre autre) la ca qu'il lui a donné ce certificat et la clef publique de B
-A demande a la ca si B est bien celui qui dit etre.
-B fait les trois étapes précedentes aussi
A ce stade A est sur que B est bien B  et B est sur que A est bien A
 
A fait une empreinte du message
on msgA+Empreinte
A crypte avec sa clef privée
on a msgACrypté+EmpreinteCrypté
A envoie a B
B décrypte msgACrypté+EmpreinteCrypté avec la clef publique de A
B a donc msgA+Empreinte
Il utilise le meme algo de hachage (sha,md5) et calcule l'empreinte du message a partir du msgA qu'il vient de recevoir
Si l'empreinte equ'il vient de calculer est la meme que celle qu'il a recu par A alors le message n'a pas été mofifié en cours de route
Pour finir lecture msgA par B
 
conclusion
-on sait qui est qui grace au certificat
l-le message est crypté grace aux clef privées et publique
-on est sur qu'il n'y a personne qui a modifié le message en cours de route grace aux hachage(prise d'empreinte) du msg
 
 
 

Reply

Marsh Posté le 02-08-2006 à 11:13:23    

Bonjour bondu merci beaucoup pour ton explication c'est bien claire:), je sais que grace a ce mecanisme on assure la confidentialite,l'integrite et l'authentification.
Mais ce que je sais pas c'est comment A demande a B qui il est.
Et meme lorsque tu dis que :  
B montre son certificat ou ezt indiqué (entre autre) la ca qu'il lui a donné ce certificat et la clef publique de B  
-A demande a la ca si B est bien celui qui dit etre.  
comment A demande a la CA la clef publique de B?
je suppose que lorsqu'on click sur le boutton signer+ crypter( la je parle d'un email que je veux crypter via outlook) tout ceci se fait d'une maniere transparente??? c'est a dire que le logiciel recupere la clef publique du destinataire et tous ce que tu viens de citer ???
Merci beaucoup et excuse moi pour ces questions

Reply

Marsh Posté le 02-08-2006 à 12:00:16    

bon, pour les mails
je n'ai jamais mis en place "des mails securisés"
donc je peux te donner des grosses suppositions mais pas une certitude.
 
 
On suppose que A envoie un mail a B.
A et B ne se connaisse pas.
 
1)A ne va pas vérifier le certificat de B car A sait qu'il envoie un mail a B
2)je pense que le fait de signer un message rajoute tout simplement le certificat de A a la suite du mail de A.
Ainsi B lorsqu'il recoit le mail il a le certificat de A donc la clef publique de A  
Et lors de la reception du mail de A par B
      -soit le certificat est une ca connu pas de probleme(transparent)
      -soit un certificat fait a la mano  
        (windows de B va demander a installer le certificat de A sur B)

Reply

Marsh Posté le 02-08-2006 à 12:19:45    

d'accord, merci beaucoup pour tes explications :)

Reply

Marsh Posté le 03-08-2006 à 23:43:14    

salut
j'ai reussi a installer la CA puis je me connecte sur un poste client et je demande le certificat, je l'installé.meme chose sur un deuxieme poste client.Alors j'ai envoyé un email signé+crypté et ca marche, mais le probleme se pose lorsque je veux envoyer un email signé+crypté a plusieurs personnes dont l'une n'a pas encore de certificat(pas de clé),outlook me dit que c'est pas possible de crypter l'email pour cette personne et que si je continue cette personne ne pourra pas le decrypter.ok,chose qui est evidente, mais comment outlook crypte l'email pour cette personne alors qu'elle na pas encore de clé publique???
car d'aprés mes connaissances, on signe avec la cle privée de l'emetteur puis on crypte a l'aide de la clé public de chaque destinataire...alors comment l'email est crypté meme pour la personne qui n'a pas encore de clé?!?!?
est ce possible que les emails sont tous cryptés a l'aide de la clé privée de la CA?
si vous avez une idee aidez moi svp
merci bcp

Reply

Marsh Posté le 04-08-2006 à 09:01:32    

A envoie a B
 
pour signer un email il suffit que A est un certificat.
pour crypter un email il a besoin de la clef publique de B car B quand il le recoit va le décrypter avec la clef privée de B
Ses deux opérations sont indépendantes.
 
La solution:
Il faut que B envoie un email signé a A
Comme je l'ai dit plus haut A va stocker le certificat de B(et recup la clef publique par la meme occasion)
 
Ensuite A pourras envoyer un email a B crypté tout plein et/ou signé
 
http://support.globalsign.net/fr/P [...] s_body.htm

Reply

Marsh Posté le 04-08-2006 à 12:25:35    

merci pour ta response.
oui ta raison, mais bon ma question c'etait :
lorsqu'on veut envoyer un email signé+crypté  a plusieurs personne en meme temps, ces personnes ont chacune un certificat sauf une qui ne l'a pas encore demandé !
alors pour les autres personnes ya pas un probleme, on peux signer et crypter mais pour la personne qui n'a pas de certificat ca va pas marcher.
Dans ce cas outlook me dit que c'est pas possible car si vous continuez, la personne qui n'a pas de certificat ne pourrai pas decrypter l'email, alors la on voit bien que outlook a meme crypté l'email pour une personne dont il n'a pas sa clé!!!
ce que je souhaite moi c'est que lorsque l'une des personnes n'a pas de certificat, outlook doit signer et crypter l'email pour tous ceux qui ont de clé ,et pour le contact qui n'a pas de clé outook doit seulement signer et non pas crypter l'emai vers  cette personne
 
car si outlook crypte l'email a une personne qui n'a pas de clé la question qui se pose c'est avec quelle clé outlook a pu crypter cet email
j'espere que c'est claire maintenant.
merci pour ton aide :)

Reply

Marsh Posté le 04-08-2006 à 14:21:36    


oui mais j'ai pas outlook chez moi.
et pour etre franc je ne sais pas
est-ce qu'il le fait vraiment crypter le message?
la c'est de l'utilisation d'outlook, va voir dans la doc microsoft  

Reply

Marsh Posté le 04-08-2006 à 14:23:07    

et t'as essayez avec des autres logiciels de messageries genre thunderbird voir si lui aussi y crypte avec une clef sorti d'on ne sait où.

Reply

Marsh Posté le 04-08-2006 à 15:25:13    

oui il le fait vraiment crypter !!!!
non j'ai pas essaye d'autre, car je suis charge de le faire dans une organisation qui utlise exchange server 2003+AD....outlook 2003.
je vais essayer de trouver qlq chose sur la doc de microsoft
merci beaucoup pour ton aide :)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed