Guides des bonnes pratiques pour l’autorité de certification Microsoft avec AD CS

pki Microsoft ADCS

ADCS Microsoft : Active Directory Certificate Service

Guides des bonnes pratiques pour l’autorité de certification Microsoft avec ADCS

N’installez pas une PKI Microsoft sans un plan détaillé. Demandez-vous ce dont vous avez besoin, quelles fonctionnalités utiliserez-vous et seriez-vous suffisamment évolutif à l’avenir ?

Construction de la PKI Microsoft (ADCS)

  1. Utilisez un fichier CAPolicy.inf lors de l’installation. Vous pouvez y définir des attributs tels que l’extension des contraintes de base, la longueur et la durée de la clé de renouvellement, la période des CRL, etc.
  2. La dénomination du serveur et le nom de l’autorité de certification (CA) doivent être standardisés. Créez une convention de dénomination qui inclut en outre la dénomination des objets de stratégie de groupe, des modèles et des comptes liés à l’infrastructure à clé publique. L’autorité de certification racine ne doit pas suivre le modèle et être nommée différemment des autres serveurs de l’organisation.
  3. Ne modifiez surtout pas le nom du serveur de l’autorité de certification après l’installation du rôle AD CS. Il est possible de renommer le serveur et de reconfigurer l’infrastructure, mais pas recommandé. Les certificats inscrits cesseront de fonctionner.
  4. Ne pas utiliser de CA racine pour émettre des certificats directement aux utilisateurs finaux.
  5. Ne pas installer de CA sur un contrôleur de domaine. C’est techniquement possible, mais pas recommandé. CA doit fonctionner sur une machine distincte.
  6. Créer un CPS (Certificate Practice Statement) et un CP (Certificate Policy). La structure de ces deux documents devrait être basée sur les recommandations du RFC 3647. Cela permet aux abonnés et aux parties utilisatrices de comparer avec d’autres documents similaires publiés par d’autres organisations.
  7. Créez une architecture multi-niveaux. Pour les grandes entreprises, en fonction de la structure Active Directory et du nombre de forêts et de domaines, utilisez une architecture à 2 ou 3 niveaux.
  8. Dans l’architecture à trois niveaux, les autorités de certification subordonnées situées dans le deuxième niveau sont appelées autorités de certification de stratégie. Ces autorités de certification ne doivent s’inscrire que pour les autres autorités de certification et aucun utilisateur. Placez le fichier CAPolicy.inf dans la section suivante de l’autorité de certification émettrice de la stratégie:
    1. [BasicConstraintsExtension]
      
      Longueur de cheminement = 1
      
      Critical = true
      
      Après l'installation, exécutez la commande suivante:
      
      certutil –setreg Stratégie \ CAPathLength
    2. Ce paramètre «Pathlength =» spécifie la longueur du chemin, le nombre maximal de certificats de l'autorité de certification pouvant être émis en tant que subordonné à l'autorité de certification. Pathlength avec la valeur définie sur «1» signifie que l'établissement CA à deux (ou plus) niveaux sous l'autorité de certification n'est pas possible.
      
  9. Ne rejoignez pas l’autorité de certification racine ou l’autorité de certification secondaire. Permettez à ces autorités de certification les plus importantes de rester dans le groupe de travail.
  10. N’utilisez pas d’autorités de certification racine et de stratégie en ligne, en particulier si les clés privées ne sont pas protégées par HSM (Hardware Security Module). Les disques durs ou les fichiers de disques virtuels des autorités de certification hors ligne doivent être placés dans un centre de sauvegarde sécurisé jusqu’à ce qu’un certificat de CA doive être émis ou qu’une nouvelle liste de révocation de certificats doive être publiée et publiée.
  11. Si vous utilisez un HSM situé dans une salle de serveur distante, NE PAS redémarrer le serveur CA ou le service certsrv. Vous pouvez découvrir que vous devez insérer les jeux de cartes de l’opérateur dans HSM pour redémarrer le service. Parfois, il faut impliquer beaucoup de gens.
  12. Si vous n’utilisez pas HSM, les clés de CA sont générées avec le logiciel CSP. Utilisez au moins 4096b keylength pour l’autorité de certification racine. 

Optimisation de la configuration et de la sécurité de votre infrastructure PKI

  1. MODIFIEZ les comptes système par défaut. Le nom de l’administrateur local doit être modifié, les autorisations par défaut du groupe Administrateurs d’entreprise et de domaine pour l’autorité de certification doivent être supprimées et le groupe Administrateurs de domaine doit être supprimé du groupe d’administrateurs locaux sur tous les systèmes appartenant à l’infrastructure à clé publique.
  2. Utilisez un mot de passe administrateur local long et complexe et assurez-vous qu’il est conservé en lieu sûr.
  3. Ne laissez pas les URL AIA (Access Information Access) par défaut avec le nom d’hôte de l’AC dans les certificats émis.
    1. La valeur par défaut est « % windir%\system32\CertSrv\CertEnroll\%% 1_%%3%%4.crt ».
    2. La partie «%% 1_» dans le certificat de CA sera remplacée par « _», ce qui révélera la convention de nommage interne et la structure.
    3. « %% 1_” devrait être supprimé.
    4. Il est important de se rappeler que lors du processus de renouvellement, le fichier .crt étant généré avec le préfixe %% 1_, il doit être supprimé manuellement après l’opération de renouvellement.

Modèles O.I.D.

Si vous les implémentez dans des organisations, utilisez des modèles OID pour différencier les objets de stratégie de l’entreprise de l’arborescence d’objets de stratégie Microsoft par défaut. Vous devez demander le numéro PEN (Private Enterprise Number) auprès de l’organisation IANA (Internet Assigned Numbers Authority). Les OID de modèles doivent être créés avec PREFIX (obtenu de IANA) et les numéros créés individuellement pour la structure du modèle.

Configuration finale ADCS (publication, renouvellement, synchronisation)

  1. Après l’installation d’ADCS, utilisez les commandes suivantes pour publier des listes de révocation de certificats et des .crts dans Active Directory : certutil -dspublish -f « name_of_root_ca_cert.CRT » RootCA certutil -dspublish -f « name_of_ca_crl.CRL »délai horloge heure
  2. Assurez-vous que l’heure système sur les ordinateurs CA est correctement définie. Le meilleur moyen (mais pas bon marché) est d’utiliser le protocole NTP (Network Time Protocol).
  3. Renouvelez le certificat de l’autorité de certification avec une réserve de temps afin que la durée de vie des certificats émis par l’autorité de certification soit inférieure à la durée de vie restante du certificat de l’autorité de certification.

 

jounralisation, audit

Audit et journalisation AD CS

  1. Activez tous les événements d’audit pour l’autorité de certification lors de la configuration de Microsoft ADCS : certutil -setreg CA \ AuditFilter 127
  2. Également, activez «Audit Object Access» dans la stratégie de groupe (pour «Success» et / ou «Failure» si nécessaire) pour que tous les événements Cert Services soient enregistrés.
  3. Faites un bilan de santé de l’infrastructure PKI. Si vous utilisez Microsoft ADCS, utilisez l’outil PKIView. De plus, les événements PKI sont enregistrés dans le journal des événements de sécurité sur le serveur CA. Utilisez l’observateur d’événements pour vérifier les événements, en particulier ceux en rouge et jaune.
  4. Si nécessaire pour augmenter le niveau de journalisation, modifiez la valeur «3» à «4» dans le chemin de registre suivant : HKLM \ CurrentControlSet \ Services \ certsrv \ configuration \ Autorité de certification subordonnée \ Loglevel

Sauvegardez votre PKI !

  1. Créez la sauvegarde CA, y compris la clé privée, le certificat CA, la base de données de certificats et le journal de la base de données de certificats, le fichier CAPolicy.inf et les modèles CA exportés. Faites une copie du dossier « Database » incluant les fichiers certpkxp.dat, edb * .log et .edb. Exportez également les paramètres du chemin de registre: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc
  2. Assurez-vous que la sauvegarde du système est effectuée régulièrement. Les sauvegardes doivent être protégées par mot de passe et conservées en lieu sûr (coffre-fort).

 

Sources

Microsoft doc

http://kazmierczak.eu/itblog/2012/08/22/the-dos-and-donts-of-pki-microsoft-adcs/

Posted in PKI

One thought on “Guides des bonnes pratiques pour l’autorité de certification Microsoft avec AD CS”

  1. I added a new blog post yesterday. There’s a smaller list than usual in it.
    I’m currently working on a bigger list.
    It’s going to take some time to compile it. I hope all of
    you are having a good week. I’m planning on doing some design changes to my
    site. I’m also thinking about adding some new things too.
    I’ll talk more about that in the days and weeks to come.

Laisser un commentaire