locked
ADCS - extensions du profil par défaut "SmartCard Logon" et problèmes potentiels RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Dans AD CS, le profil par défaut "SmartCard Logon" contient par défaut :

    • Le keyUsage "keyEncryption" (en plus de celui attendu "digitalSignature" correspondant à l'authentification)
    • Des "capacités S/MIME"  (dont les OID semblent tous désigner des algorithmes cryptographiques)

    J'ai pu vérifier que ce profil de certificat fonctionne pour le SmartCard Logon.

    Par contre je crains des conflits avec le certificat de chiffrement que je vais aussi mettre dans la carte à puce pour faire de la messagerie sécurisée. Ce certificat aura le keyUsage "keyEncryption", probablement des capacité S/MIME, et le keyUsage "Messagerie électronique" (que le certificat "SmartCard Logon" n'a pas).

    Savez-vous vous si :

    1/ Le keyUsage "keyEncryption" est absolument nécessaire pour le SmartCard Logon ?

    2/ S'il faut s'attendre à des conflits avec la messagerie sécurisée S/MIME ? Du fait de l'usage du keyEncryption (et des capacités S/MIME) dans 2 certificats accessibles.

    Cordialement,

    David MARTIN

    lundi 18 février 2013 09:08

Réponses

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Dans tous les cas, la bonne pratique souhaite que tu dupliques les modèles de certificats.

    Vu que tu as déjà validé le modèle par défaut "SmartCard Logon", tu peux donc dupliquer le SmartCard logon et supprimer/ajuster les EKU. Ensuite tu enrolles une carte et tu vérifies que cela marche. Normalement, tu as besoin uniquement de Client Authentication comme l'indiques cet article :

    http://technet.microsoft.com/fr-fr/library/ff404293(v=ws.10).aspx

    Pour ton deuxième point, en effet si deux certificats peuvent avoir le même rôle pour une fonction, alors l'utilisateur sera invité à choisir le certificat correspondant. Il faut donc bien séparer les rôles. De plus concernant le chiffrement des mails, il est conseillé d'avoir un certificat pour le sign et un autre distinct pour le crypt.

    N'hésite pas à consulter le site Technet, qui a l'ensemble des informations pour ce type de besoins.

    Alex

    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.

    • Marqué comme réponse Florin Ciuca lundi 25 février 2013 12:43
    jeudi 21 février 2013 02:45