Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. PKI sous Windows Server 2016
  3. Révocation de certificat dans l'entreprise
Extrait - PKI sous Windows Server 2016 Sécurité, cryptographie et certificats
Extraits du livre
PKI sous Windows Server 2016 Sécurité, cryptographie et certificats Revenir à la page d'achat du livre

Révocation de certificat dans l'entreprise

Introduction

La révocation de certificats permet de rendre un certificat invalide, avant sa date de fin de validité, et permet donc d’interdire immédiatement son usage dans le service de l’applicatif associé.

Pour révoquer des certificats, vous devez disposer de l’autorisation d’émettre et de gérer les certificats sur l’autorité de certification.

Liste de révocation

Une liste de révocation (CRL Certificate Revocation List) est un fichier, créé par une autorité de certification, qui inclut les numéros de série des certificats révoqués. 

Ces listes de révocation sont stockées et visibles sur disque mais on peut également les consulter à travers l’interface graphique.

images/09EP01.PNG

Les listes de révocation contiennent les numéros de série des certificats révoqués ainsi que la date de la révocation.

1. Type de liste de révocation

Il existe deux types de listes de révocation, les listes de révocation complètes (CRL - Certificate Revocation List) qui contiennent la liste de tous les certificats révoqués et les listes de révocation Delta (Certificate Revocation List Delta - CRL Delta) qui n’incluent que les nouveaux certificats révoqués depuis la publication de la dernière liste de révocation complète.

Les listes de révocation Delta sont supportées depuis Windows 2000/XP et requièrent au préalable la génération d’une première liste de révocation complète. 

Les listes de révocation étant téléchargées par les clients, les listes révocation Delta permettent d’envoyer moins de données...

Processus de validation des certificats

Le contrôle de la validité d’un certificat est réalisé par l’application, service ou protocole qui l’utilise.

La validation de chaque certificat implique les étapes suivantes :

  • Vérifier qu’il n’est pas endommagé ou mal formé.

  • Vérifier que la signature du certificat est valide.

  • Vérifier que le certificat n’a pas dépassé sa période de validité.

  • Vérifier l’état de révocation du certificat.

Cette validation s’exécute sur le certificat utilisé mais également sur tous les certificats des autorités de certification de la chaîne de certification.

Si l’un des certificats de la chaîne de validation (certificat final ou certificats des autorités de certification) échoue, le certificat final n’est pas validé.

La vérification de la révocation est à la charge de l’application.

Le service EFS ne prend pas en charge la révocation (le chiffrement reste opérationnel même après révocation du certificat EFS).

Validation de la révocation

Lors du processus de vérification de la révocation d’un certificat, l’applicatif récupère le numéro de série du certificat puis le compare à tous les numéros...

Révocation d’un certificat

Lors de la révocation d’un certificat, l’administrateur doit indiquer le motif de révocation (non spécifié, clé compromise, autorité de certification compromise, modification de l’affiliation, certificat remplacé, cessation de l’opération, certificat retenu).

L’administrateur doit ensuite publier à nouveau la liste de révocation mise à jour (complète ou delta) dans l’Active Directory.

Cette nouvelle publication peut s’effectuer immédiatement de façon manuelle, ou automatiquement, selon une planification.

Le motif de révocation Certificat retenu est le seul motif qui permet l’annulation de la révocation.

Dépannage des listes de révocation

Les deux points importants dont il faut tenir compte lors d’une révocation de certificats dans l’entreprise sont la fréquence de publication dans l’Active Directory et la mise en cache locale des listes de révocation.

1. Fréquence de publication

La fréquence de publication est la fréquence avec laquelle l’autorité de certification publie automatiquement les nouvelles listes de révocation dans l’Active Directory.

Les listes de révocation complètes et les listes de révocation delta sont généralement publiées avec des fréquences différentes. Ces fréquences sont paramétrables dans les propriétés du conteneur Certificats révoqués de la console de gestion Autorité de certification.

images/09EP04.PNG

Les propriétés du dossier Certificats révoqués dévoilent les fréquences de publication automatique des listes de révocation complète et Delta.

Augmenter la fréquence de publication permet une détection plus rapide, côté clients, des certificats révoqués mais augmente également la charge réseau nécessaire à une récupération plus fréquente des listes de révocation.

2. Mise en cache des listes de révocation...

Emplacement des listes de révocation dans Active Directory

Il est possible, à l’aide de la console de gestion Modifications ADSI (menu Outils du Gestionnaire de serveur), de vérifier que les informations de révocation sont bien publiées dans l’Active Directory.

Ces informations sont stockées dans la partition de configuration. Cette partition étant répliquée au niveau de la forêt, les listes de révocation sont disponibles pour tous les ordinateurs de la forêt.

images/09EP05.PNG

Dans la console Modification ADSI, il faut faire un clic droit à la racine de la console (sur Modification ADSI), sélectionner le menu Connexion puis sélectionner la partition (contexte d’attribution de noms) Configuration.

Les listes de révocation sont stockées dans le conteneur :

Configuration[s1.corp.lan]\CN=Configuration,DC=Corp,DC=Lan\ CN=Services\CN=Windows NT\CN=Public Key Services\CN=CDP

Un conteneur est créé pour chaque autorité de certification.

images/09EP06.PNG

La liste complète de l’autorité de certification s2 est visible dans la partition de configuration !

Atelier : Révocation de certificats

1. Objectif

Dans l’atelier pratique de ce chapitre nous allons révoquer des certificats, paramétrer et publier des listes de révocation et valider la révocation. Nous annulerons également la révocation d’un certificat.

Les ordinateurs virtuels utilisés dans cet atelier sont les suivants :

S1 : contrôleur de domaine (Corp.lan)

S2 : autorité de certification (CorpRootCA)

S3 : serveur web du domaine (Corp.lan)

W10 : client du domaine (Corp.lan)

2. Modifier les durées de publication

 Connectez-vous sur l’autorité de certification s2 en tant que Corp\Admin.

 Ouvrez la console de gestion Autorité de certification et développez CorpRootCA. 

 Faites un clic droit sur le dossier Certificats révoqués et sélectionnez le menu Propriétés.

 Dans la zone Intervalle de publication de la liste de révocation des certificats, saisissez 6 (Mois).

 Cochez Publier la liste de révocation des certificats delta.

 Dans la zone Intervalle de duplication, saisissez 3 (jours) et cliquez sur le bouton OK.

3. Révocation d’un certificat de site web

Attention, cet atelier est un complément de l’atelier du chapitre Sites web sécurisés. Vous devez déjà avoir réalisé cet atelier (ou restauré son point de contrôle final nommé SitesWebSécurisé) avant de pouvoir réaliser ce complément d’atelier.

a. Révoquer le certificat du serveur web

Nous allons révoquer le certificat du serveur web puis publier la nouvelle liste de révocation.

Révocation du certificat

 Connectez-vous sur l’autorité de certification s2 en tant que Corp\Admin.

 Ouvrez la console de gestion Autorité de certification.

 Développez CorpRootCA\Certificats délivrés.

 Dans la partie centrale de la fenêtre, localisez le certificat qui correspond au certificat délivré pour la signature de code (aidez-vous pour localiser le bon certificat de la colonne Nom commun d’émission qui correspond au nom convivial donné au certificat lors de son inscription).

 Faites un clic droit sur ce certificat puis sélectionnez les menus Toutes...