GlobalSign Blog

Que sont les services de certification Active Directory

Que sont les services de certification Active Directory

Note de l'éditeur : Ce post a été initialement publié en septembre 2016 et a été mis à jour par Sebastian Schulz, chef de produit régional de GlobalSign, afin de fournir des détails supplémentaires sur les avantages d'AD CS.

D'innombrables organisations utilisent Windows Server comme base de leur infrastructure informatique. D'innombrables organisations utilisent également la PKI pour divers besoins de sécurité (tels que ; la sécurisation des serveurs web [SSL], l'authentification basée sur des certificats, les signatures numériques pour les documents, le cryptage des e-mails [S/MIME]). Cependant, nous sommes souvent surpris d'apprendre que de nombreuses personnes ne savent pas que les deux peuvent être liées. C'est le cas des services de certification Active Directory (AD CS).

Qu'est-ce que Active Directory Certificate Services (AD CS) ?

Selon Microsoft, AD CS joue le "rôle de serveur qui vous permet de construire une infrastructure à clé publique (PKI) et de fournir des fonctionnalités de cryptographie à clé publique, de certificats numériques et de signature numérique à votre organisation".

Il y a un peu de choses à décortiquer ici. Si vous vous êtes déjà frotté à l'infrastructure à clé publique (PKI), il y a de fortes chances que vous réalisiez que vous n'avez pas besoin d'AD CS pour créer une AC. Et les certificats pour les signatures ainsi que de nombreux autres cas d'utilisation sont facilement disponibles en ligne. Alors pourquoi s'embêter avec AD CS ? L'indice ici est le mot "fournir". En réalité, il est relativement simple de créer votre propre AC et de signer une poignée de certificats avec des outils tels qu'OpenSSL. Vous pouvez également acheter quelques certificats auprès d'une AC comme GlobalSign et les installer manuellement. Mais AD CS fait plus que cela. Il permet à votre organisation de distribuer des certificats à partir d'une AC à grande échelle, pour des entreprises comptant des milliers d'employés et encore plus de machines. Comment cela fonctionne ?

Comme son nom l'indique, Active Directory est un service d'annuaire pour les réseaux de domaines Windows. Par conséquent, la pierre angulaire de chaque mise en œuvre d'Active Directory sont les services de domaine Active Directory (AD DS). AD DS stocke des informations sur les utilisateurs, les ordinateurs et les groupes au sein d'un domaine (tel que globalsign.com), mais vérifie également leurs informations d'identification et définit les droits d'accès. De la même manière que chaque employé d'une entreprise est enregistré auprès des RH et dispose d'un dossier détaillant toutes ses informations pertinentes, AD DS conserve ces informations pour les membres du domaine. AD DS étant l'annuaire fondamental, les informations qui sont enregistrées dans cet annuaire peuvent être exploitées par d'autres services Active Directory - tels que AD CS. 

Avantages de l'utilisation d'AD CS

L'utilisation d'AD CS offre un certain nombre d'avantages, principalement en ce qui concerne l'administration des certificats.

  • Extraction à partir d'Active Directory - Exploiter les stratégies de groupe existantes - Vous pouvez configurer les stratégies de groupe AD (règles pour les groupes d'utilisateurs particuliers définis dans AD, par exemple tous les employés travaillant dans la comptabilité) pour déterminer quels utilisateurs et machines sont autorisés à utiliser tel ou tel type de certificat. Ceci est idéal pour mettre en œuvre un contrôle d'accès basé sur les rôles ou les affiliations.

  • Automatisation de l'approvisionnement en certificats et de la gestion du cycle de vie - Lorsqu'un terminal est mis en ligne pour la première fois, une demande est envoyée à AD pour vérifier à quels types de certificats (appelés modèles) le terminal a accès, en fonction de la stratégie de groupe. En fonction des résultats de cette demande, le point de terminaison demande les certificats appropriés, qui sont ensuite renvoyés au point de terminaison et installés. Les certificats peuvent être configurés pour être renouvelés automatiquement, aussi souvent que vous le souhaitez. Cela vous permet d'utiliser des certificats à courte durée de vie tout en éliminant le souci d'une expiration inattendue et de lacunes dans la couverture
  • Installation silencieuse - Comme indiqué ci-dessus, le processus d'installation est automatique et ne nécessite aucune intervention de l'utilisateur final (ou du service informatique). La PKI peut être un cauchemar à grande échelle, à moins que vous n'ayez vraiment mis au point votre automatisation. AD peut être d'une grande aide 

L'inconvénient des services de certification Active Directory (AD CS) - gérer votre propre AC

Après avoir entendu les avantages décrits ci-dessus, vouspensez surement, "Signez-moi !". Cependant nous ne pouvons pas vraiment parler d'AD CS sans aborder l'autre élément essentiel de ce type de configuration PKI : l'autorité de certification interne (c'est-à-dire l'autorité de certification Microsoft) qui fournit les certificats. AD CS est en quelque sorte le serveur dans le scénario évoqué ci-dessus, qui reçoit les demandes des points d'extrémité et délivre les certificats appropriés - et c'est un excellent serveur ! C'est la "cuisine" (c'est-à-dire l'autorité de certification Microsoft) qui peut être un peu difficile à digérer.

Nous avons couvert les inconvénients de l'exécution d'une AC interne dans le passé, mais ils se résument généralement aux mêmes arguments que vous rencontrez toujours lorsque vous essayez de décider entre l'externalisation et la gestion interne. Pensez-y. Souhaitez vous consacrer du temps, de l'argent et des ressources au développement d'un CA interne ? Ou préférez-vous l'une des nombreuses options SaaS facilement disponibles et conçues par des experts ?

Et comme elle est beaucoup plus complexe qu'un CRM, la PKI apporte également des considérations supplémentaires à la discussion. En voici quelques exemples :

  • Coûts du matériel - Vous devez protéger et stocker votre racine et vos clés privées de signature sur du matériel sécurisé (par exemple, un module de sécurité matériel ou HSM).
  • Maintenance des services de validation - Vous devez vous assurer que vous disposez d'un moyen de vérifier la validité des certificats, par exemple en mettant à jour les LCR, en conservant les LCR et en exécutant les services OCSP. Ces éléments peuvent constituer un défi encore plus grand que la distribution et la gestion du cycle de vie des certificats. Si une autre partie souhaite vérifier la validité de vos certificats, les LCR et les répondeurs OCSP doivent être disponibles 24 heures sur 24 et 7 jours sur 7 dans le monde entier
  • Expertise interne en matière de PKI - La PKI est complexe et les meilleures pratiques sont en constante évolution. Les professionnels chevronnés, de la PKI, sont difficiles à trouver et ne sont pas forcément bon marché non plus. Comment vous assurer que votre PKI est sûre ? Comment vous assurer que vous respectez la conformité ? Comment vous adapter aux changements des normes cryptographiques 

Le meilleur des deux mondes : une intégration Active Directory à partir d'une AC tierce partie

Pendant longtemps (certaines personnes le pensent encore), la seule façon de tirer parti d'Active Directory pour la PKI, et de bénéficier de tous ces avantages géniaux, était d'utiliser AD CS et de faire fonctionner sa propre AC - mais les temps ont changé ! Quelques AC publiques, telles que GlobalSign, proposent désormais des intégrations avec AD qui vous offrent les mêmes avantages en termes d'administration et d'automatisation sans avoir à gérer une AC en interne.

Avec ces intégrations, vous pouvez toujours utiliser AD et la politique de groupe pour l'enregistrement et l'affectation des certificats, mais les demandes de certificats sont envoyées et traitées par l'AC publique basée sur le SaaS. Les certificats peuvent toujours être automatiquement provisionnés, renouvelés et installés silencieusement.Certaines organisations souhaitent conserver un contrôle total et disposent des ressources internes nécessaires pour prendre en charge une autorité de certification Microsoft. D'autres ne le souhaitent pas, auquel cas il est important de savoir que ces types d'intégrations d'AC publiques existent. Ce qu'il faut retenir, c'est qu'Active Directory peut être un outil très puissant pour déployer une infrastructure à clé publique, quelle que soit la façon dont on s'y prend.

Vous envisagez de souscrire à une solution Saas ? Lisez notre blog pour savoir quelles questions poser pour garantir la sécurité du Saas. 

Share this Post

Blogs récents