none
Mise en place d'une PKI enfant RRS feed

  • Discussion générale

  • Bonjour,

    Je voulais savoir si il est possible de mettre en place une extension de pki qui sera dédié et intégré à un domaine.

    Je trouve tres peu de documention sur les heritages possibles Pki Racine > Autorité de certification 1 > "Autorité de certification fille qui signe les certificats au sein du domaine 2 sans faire la demande auprès de l'autorité de certification 1"

    Est ce que cela est possible? Si oui comment le mettre en place?

    Ps: Je n'ai pas pu mettre mon shema parceque mon compte n'est pas activé...


    Merci beaucoup!

    mardi 29 octobre 2019 09:03

Toutes les réponses

  • Bonjour,

    Cela s'appelle une autorité de certification à plusieurs niveau.

    Voici de la documentation : https://blogs.technet.microsoft.com/askds/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning/

    PS : Si vous ne connaissez pas je vous déconseille fortement d'implémenter ça en prod rapidement. Cela nécessite vraiment de bien comprendre le fonctionnement des différents composant et de gérer non seulement l'implémentation, mais également la maintenance (notament le renouvellement des CRL + certificat des autorité parentes).


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    mardi 29 octobre 2019 09:10
  • Merci matteu, 

    J'explique le contexte : 

    Un nouveau SI d'un client a été mis en place. Ce SI doit totalement être isolé de tout autre SI ou d'internet. Le client a voulu utiliser la PKI d'un autre domaine. Sauf qu'aujourd'hui, ils souhaitent des avis pour avoir, soit une extension de cette PKI qui sera interne au nouveua SI, soit mettre en place une nouvelle chaine de certification totale, soit rester sur la pki externe.

    Choix 1 :La mise en place d'une extension de la pki qui sera hebergé en interne

    Dans ce cas là il faudra que les demandent et les signatures de certificats restent en interne.

    C'est possible?

    Si je comprend bien la documention transmise. Il est possible de permettre à l'extension pki de signer certains type de certificats mais il reside toujours un lien constant nottament pour l'emission de la crl?

    Est ce possible de rajouter cette autorité ou faut il le penser à la conception de chaine de certification?

     Choix 2 : La mise en place d'une nouvelle chaine de certification totale

    Hierarchie à deux niveaux 

    Installation d'une pki racine + autorité de certification émettrice. On répond aux exigences avec une chaine de certification totalement dédiée.

    Choix 3 : Garder la pki externe pour signer les certificats 

    Dans ce cas là un lien constant est mis en place entre la PKI externe et tous les services du nouveau SI qui necessitent des certificats... On est clairement pas dans l'isolement d'un nouveau domaine.... 

    Selon vous le choix 1 et faisaible?

    Merci par avance

    mardi 29 octobre 2019 09:48
  • Ce SI doit totalement être isolé de tout autre SI ou d'internet.

    Quand je lis ça, je me dis qu'il faut surtout avoir une infra PKI dédié dans ce domaine.

    Le fait d'avoir une hierarchie crée une dépendance avec les CA parentes. Il faut avoir accés aux CRL des certifications parentes.

    https://social.technet.microsoft.com/wiki/contents/articles/19160.how-to-publish-new-certificate-revocation-list-crl-from-offline-root-ca-to-active-directory-and-inetpub.aspx


    Merci de marquer comme reponses les interventions qui vous ont ete utile.



    mardi 29 octobre 2019 10:15
  • Dans le cas ou les exigences de cloisonnement permettrai de faire une exception pour les certificats on est bien d'accord que l'extension de la PKI tout comme les autres organes du nouveau SI devront communiquer une CRL ?

    L'extension de la pki peut elle éditer sa CRL pour son domaine sans etre en contact constant avec la pki parente ? Tout comme editer ses certificats sans lien constant avec la pki parente?

    Lors d'une révocation de certificat par l'extension, une ouverture de flux sur un moment donnée entre les deux pki et une mise a jour de la crl peut permettre de mettre a jours les informations de la pki parente?

    mardi 29 octobre 2019 10:58
  • Il est nécessaire de pouvoir atteindre une des localisation ou la CRL est présente afin de valider un certificat émis par l'autorité racine OU une autorité enfant.

    Toute la chaine doit pouvoir être validée. Lors de la vérification d'un certificat, le client cherche donc à joindre les CRL de toutes les autorités de certifications ayant contribués à l'émission de ce certificat.

    Il n'est pas question d'ouverture temporaire. Si le client parvient à joindre les CRL c'est ok sinon le certificat sera vu comme invalide (et heureusement). La CRL permet au client de vérifier que le certificat n'est pas révoqué. S'il ne parvient pas à la consulter, il considère donc que le certificat n'est pas valide.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mardi 29 octobre 2019 11:23
  • ok , merci pour tes epxlications claires matteu,

    Donc si on par sur une organisation hirearchique à trois tiers

    ( Pki racine <> Autorité Certification_1 <> Extension_autorité_2 de certification sur autre domaine)

     il faudra que toutes les machines qui auront à valider l'authenticité du certificats  emis par Extension_autorité_2, puisse acceder la CRL Autorité certification_1, CRL Extension_autorité, CRL Pki racine (offline) ? 

    Dans ce cas le fais de rajouter une extension de l'autorité n'isole en rien d'un point de vue flux réseau, et cela à cause de la CRL si j'ai bien compris?

    mardi 29 octobre 2019 12:51
  • Tout a fait

    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mardi 29 octobre 2019 13:06
  • Mais comment sa se passe pour la pki racine qui elle est offline pour contacter sa CRL?

    On ne pourrait pas faire porter la CRL de la pki racine + autorité de certification_1 à l'extension_autorité_2 seulement pour la validation des certificat de l'extension ? Ainsi chaque fois que qqun tente de verifier le certificat 2 , il peut simplement contacter l'extension_autorité_2 pour avoir la vidation de toute la chaine... Je sais pas si je suis tres claire.... 

    • Modifié Cu8itus mardi 29 octobre 2019 13:38 update
    mardi 29 octobre 2019 13:29
  • La pki racine on la paramètre pour délivrer les CRL à une URL spécifique / un share / ldap /... puis on s'en sert pour délivrer le certificat a une pki enfant puis on l'éteint.

    Elle aura alors publier ces CRL et son certificat aura été déployé sur les machines clientes donc il n'y aura pas de problème.

    Encore une fois, vous ne semblez pas vraiment à l'aise sur ce genre de problèmatique, je vous recommande de vous faire accompagner. Les autorisées de certifications sont loin d'être facile à installer et maintenir sans avoir de problème...


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mardi 29 octobre 2019 14:33
  • Merci en tout cas de m'avoir aiguillé sur le fonctionnement d'une pki à 3 tiers ne relevant pas du meme domaine. Effectivement c'est un sujet sensible et je cherche à recueillir un maxixmum d'information pour comprendre les besoins de la chaine de certifications ( besoin de liaison entre service microsoft, besoin d'accèssibilité de la pki etc...)
    mardi 29 octobre 2019 16:16