Infrastructure de clés publiques DOD (Ministère de la Défense des États-Unis)
Cette section décrit comment installer, configurer et utiliser Reflection au sein du Ministère de la Défense des États-Unis (DOD, Department of Defense) ou tout autre environnement à infrastructure de clés publiques (PKI). La configuration de l'infrastructure de clés publiques affecte les connexions Secure Shell et SSL/TLS.
Exécution de Reflection en mode Infrastructure de clés publiques DOD
Par défaut, les applications Reflection permettent certaines configurations non conformes aux exigences de l'infrastructure de clés publiques DOD. Mais les administrateurs peuvent utiliser les stratégies de groupe de Reflection pour que toutes les sessions Reflection répondent à ces exigences.
Pour configurer le mode Infrastructure de clés publiques DOD
-
Exécutez l'Éditeur de stratégies de groupe de l'une des façons suivantes :
- Sur la ligne de commande, entrez
Gpedit.msc
.
-ou-
- Dans la console Utilisateurs et ordinateurs Active Directory, ouvrez les propriétés d'une unité organisationnelle, cliquez sur l'onglet Stratégie de groupe et modifiez ou créez un objet de stratégie.
- Sur la ligne de commande, entrez
-
Installez le modèle Reflection (ReflectionPolicy.adm), si ce n'est déjà fait.
Remarque
Pour plus d'informations sur le téléchargement et l'installation du modèle de stratégie de Reflection, reportez-vous à la note technique 2216.
-
Sous Stratégie de l'ordinateur local > Configuration utilisateur > Modèles d'administration > Paramètres de Reflection, désactivez le paramètre Autoriser le mode non-DoDPKI.
La configuration du mode Infrastructure de clés publiques DOD a les effets suivants :
-
Vous devez configurer Reflection pour qu'il vérifie les certificats au moyen de listes CRL ou d'un serveur OCSP. En mode Infrastructure de clés publiques DOD, il est impossible de n'utiliser aucune de ces vérifications. (Pour les connexions SSH, la configuration de la révocation des certificats se fait dans l'onglet Infrastructure de clés publiques de la boîte de dialogue Paramètres de Reflection Secure Shell ; pour les connexions SSL/TLS, dans la boîte de dialogue Configuration de l'infrastructure de clés publiques.)
-
Reflection applique des algorithmes de chiffrement conformes aux normes FIPS. Pour les connexions SSH, cela signifie que seules les options conformes aux normes FIPS sont disponibles dans l'onglet Chiffrement de la boîte de dialogue Paramètres de Reflection Secure Shell. Pour les connexions SSL/TLS, cela implique que vous ne pouvez pas sélectionner les valeurs 40 bits et 56 bits pour le paramètre Puissance de chiffrement.
-
Pour que la connexion s'établisse, le nom d'hôte du certificat doit correspondre exactement au nom d'hôte spécifié pour votre connexion Reflection. Cela signifie que le paramètre Le nom d'hôte du certificat doit correspondre au nom d'hôte contacté est automatiquement sélectionné et ne peut pas être modifié. (Pour les connexions SSH, cette configuration se fait dans l'onglet Infrastructure de clés publiques de la boîte de dialogue Paramètres de Reflection Secure Shell ; pour les connexions SSL/TLS, dans la boîte de dialogue Configuration de l'infrastructure de clés publiques.)
-
Les certificats intermédiaires des autorités de certification signés à l'aide du hachage MD2 ou MD5 ne sont pas pris en charge pour la validation de certificat.
Installation et suppression de points d'approbation
Un point d'approbation est un certificat d'une autorité de certification dans une chaîne de validation.
Pour ajouter un point d'approbation à la liste de certificats de Reflection :
-
Ouvrez le Gestionnaire de certificats de Reflection.
-
Cliquez sur l'onglet Autorités de certification de confiance.
-
Cliquez sur Importer et recherchez un certificat (en règle générale, un fichier
*.cer
ou*.crt
).
Pour supprimer un point d'approbation de la liste de certificats de Reflection :
-
Ouvrez le Gestionnaire de certificats de Reflection.
-
Cliquez sur l'onglet Autorités de certification de confiance.
-
Sélectionnez le certificat à supprimer et cliquez sur Supprimer.
Remarque
-
Vous pouvez obtenir des points d'approbation intermédiaires à partir d'un serveur LDAP ou HTTP identifié par une URI explicite définie dans l'extension AIA (accès aux informations de l'autorité) du certificat, ou à partir du ou des serveurs LDAP spécifiés dans l'onglet LDAP du Gestionnaire de certificats de Reflection. Ces certificats sont enregistrés dans le fichier cert_cache qui se trouve dans
<Mes documents>\Attachmate\Reflection\.pki
ou dans\All Users\Application Data\Attachmate\Reflection
. -
Lorsque Reflection s'exécute en mode Infrastructure de clés publiques DOD, seuls les certificats racine que vous avez ajoutés au Gestionnaire de certificats de Reflection sont utilisés. Il est inutile de supprimer les certificats non conformes à l'infrastructure de clés publiques DOD éventuellement présents dans la liste de certificats de Windows.
Configuration de la vérification de la révocation des certificats
La valeur par défaut de Reflection pour la révocation des certificats dépend de votre paramétrage système actuel. Si votre système est configuré pour la vérification CRL, les sessions Reflection utiliseront par défaut les listes CRL pour vérifier la révocation des certificats. Vous pouvez également configurer Reflection pour qu'il utilise un serveur OCSP.
Reflection intègre également un paramètre pour désactiver la vérification CRL. Vous pouvez utiliser ce paramètre à des fins de test, mais il n'est pas disponible lorsque Reflection s'exécute en mode Infrastructure de clés publiques DOD.
attention
La désactivation de la vérification CRL compromet votre sécurité. N'utilisez cette option qu'à des fins de test.
Vous pouvez définir un ou plusieurs serveurs LDAP à partir desquels obtenir des CRL ou certificats intermédiaires.
Pour définir un serveur LDAP
-
Ouvrez le Gestionnaire de certificats de Reflection.
-
Cliquez sur l'onglet LDAP.
-
Cliquez sur Ajouter et spécifiez le serveur en respectant le format d'URL suivant :
ldap://nomhote:numerodeport
Par exemple :
ldap://serveurldap.monhote.com:389
Pour configurer un serveur OCSP :
-
Vous pouvez définir un ou plusieurs serveurs OCSP auxquels demander des informations sur la révocation des certificats.
-
Sous Révocation de certificats, sélectionnez Utiliser OCSP (Online Certificate Status Protocol). (Pour les connexions SSH, utilisez l'onglet Infrastructure de clés publiques de la boîte de dialogue Paramètres de Reflection Secure Shell ; pour les connexions SSL/TLS, la boîte de dialogue Configuration de l'infrastructure de clés publiques.)
Remarque
Les URL de serveurs OCSP requises par un certificat sont identifiées dans l'extension AIA du certificat. Si le certificat ne précise pas ces informations, vous pouvez suivre la procédure suivante pour configurer le serveur OCSP.
-
Ouvrez le Gestionnaire de certificats de Reflection.
-
Cliquez sur l'onglet OCSP.
-
Cliquez sur Ajouter et spécifiez le serveur en respectant le format d'URL suivant :
URL:numerodeport
Par exemple :
https://serveurocsp.hote.com:389
Utilisation d'URI pour les services d'infrastructure de clés publiques DOD
Reflection prend en charge l'utilisation d'URI pour la mise à jour et l'obtention automatiques de listes CRL, conformément à la section 4.2.1.14 du document RFC3280.
Si la vérification CRL est activée, Reflection procède de la façon suivante :
-
Il recherche des informations valides de révocation dans le fichier crl_cache. S'il n'en trouve pas, il passe à l'étape 2.
-
Il recherche les URI HTTP ou LDAP dans l'extension CDP du certificat et les interroge dans l'ordre spécifié (d'abord les adresses HTTP, puis LDAP). S'il s'avère que le certificat est révoqué, il met fin à la connexion. S'il ne trouve pas le certificat, il passe à l'étape 3.
-
Si un ou plusieurs serveurs LDAP sont spécifiés dans l'onglet LDAP du Gestionnaire de certificats de Reflection, il reconstitue le nom distinct de l'autorité de certification listée dans l'extension Émetteur du certificat et lui demande le fichier CRL. Si le certificat n'apparaît comme révoqué dans aucune liste CRL, il passe à l'étape de validation suivante.
Les mises à jour des CRL arrivées à expiration sont traitées automatiquement, sans intervention ni configuration de l'administrateur.
Si la vérification OCSP est activée, Reflection interroge toujours tous les serveurs OCSP disponibles pour garantir l'échec de la connexion si l'un des serveurs indique que le certificat est révoqué. Pour établir la connexion, il faut qu'au moins un serveur OCSP soit disponible et qu'il signifie la validité du certificat. Reflection réalise ces vérifications de la façon suivante :
-
Il recherche un ou plusieurs serveurs OCSP dans l'extension AIA du certificat et les interroge tous. Si l'un des serveurs répond que le certificat est révoqué, il met fin à la connexion.
-
Il recherche un ou plusieurs serveurs OCSP définis par l'utilisateur dans l'onglet OCSP du Gestionnaire de certificats de Reflection et les interroge tous. Si l'un des serveurs répond que le certificat est révoqué, il met fin à la connexion.
-
Si tous les serveurs indiquent que le certificat est inconnu, il met fin à la connexion. Si au moins l'un des serveurs OCSP interrogés renvoie un état valide, il passe à l'étape de validation suivante.
Utilisation d'URI pour obtenir des certificats intermédiaires
Conformément à la section 4.2.2.1 du document RFC3280, Reflection peut utiliser des URIs pour obtenir des certificats intermédiaires d'une autorité de certification de la façon suivante :
-
Il recherche dans le fichier cert_cache le certificat intermédiaire requis. S'il ne le trouve pas, il passe à l'étape 2.
-
Si des URI HTTP ou LDAP sont définies dans l'extension AIA (accès aux informations de l'autorité) du certificat, il tente de récupérer des certificats intermédiaires de ces adresses (d'abord HTTP, puis LDAP).
-
En cas d'échec, il reconstitue un nom distinct à partir du nom du sujet du certificat d'émission et demande au serveur LDAP défini le contenu de l'attribut CACertificate.
Étant donné que Reflection n'applique pas l'extension stratégie de sécurité d'un certificat, il est inutile de configurer la stratégie de sécurité.
Configuration et protection de certificats et de clés privées
Pour configurer l'authentification client à l'aide de certificats :
-
Ouvrez le Gestionnaire de certificats de Reflection.
-
Dans l'onglet Personnel, cliquez sur Importer, puis recherchez un certificat (en règle générale, un fichier
*.pfx
ou*.p12
). Le système vous demande de créer une phrase de chiffrement qui sera nécessaire à chaque utilisation de la clé. Il est conseillé de créer cette phrase de chiffrement pour protéger la clé sur votre système. -
Pour les connexions Secure Shell, ouvrez la boîte de dialogue Paramètres de Reflection Secure Shell, cliquez sur l'onglet Clés utilisateur et sélectionnez le ou les certificats à utiliser pour authentifier le client auprès de l'hôte actuellement spécifié. (Cette procédure est inutile pour les connexions SSL/TLS.)
Protection des clés privées
S'il dérobe la clé privée d'un client, un utilisateur mal intentionné peut accéder aux fichiers sur tous les serveurs auxquels le client en question a accès. Pour limiter les risques, chaque utilisateur client doit toujours protéger sa clé privée à l'aide d'une phrase de chiffrement. Ainsi, seule la personne connaissant la phrase de chiffrement peut s'authentifier avec cette clé. Les utilisateurs doivent créer et protéger leurs phrases de chiffrement conformément à la stratégie de sécurité mise en place par votre société en matière de mots de passe.
Actions à effectuer si une clé présente des risques de sécurité
Considérez qu'une clé privée est à risque si une entité non autorisée entre en sa possession ou si vous avez des raisons de vous méfier des actions d'une personne ayant accès à cette clé.
Dans ce cas, révoquez le certificat du client.
Pour remplacer une clé à risque :
-
Générez une nouvelle clé privée et un nouveau certificat et importez la clé dans le Gestionnaire de certificats de Reflection.
-
Sur le serveur, mettez à jour la ligne du mappage de fichier du client si les informations d'identification ont été modifiées.
Pour supprimer la clé à risque d'un ordinateur client :
-
Supprimez la clé de l'onglet Personnel du Gestionnaire de certificats de Reflection. Cette opération supprime la clé du fichier identity_store.p12.
-
Si le fichier initial contenant l'ancien certificat et l'ancienne clé (fichier .pfx ou .p12) est encore présent sur l'ordinateur client, supprimez-le à l'aide d'un utilitaire de suppression conforme aux prescriptions du DOD.
Pour plus d'informations