Vous trouverez ci-dessous une description de la fonction Enroll on Behalf Of ainsi qu'une délimitation par rapport aux autres méthodes de demande de certificats.
Fonctionnement
Demande de certificat régulière
Une demande de certificat régulière se présente généralement au format PKCS#10. La demande de certificat est signée avec la clé privée correspondant à la clé publique déposée dans la demande de certificat.
En tant que demandeur, l'identité Active Directory du compte est consignée dans la base de données de l'autorité de certification, qui envoie la demande de certificat à l'autorité de certification. Dans le cas d'un modèle en ligne, l'identité du certificat correspond à ce compte, dans le cas d'un modèle hors ligne, l'identité est reprise de la demande de certificat.
Demande de certificat signé
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Dans le cas d'une demande de certificat signée, la demande de certificat PKCS#10 est transformée en une Syntaxe du message cryptographique (CMS, RFC 5652, une évolution de la norme PKCS#7) ou Gestion des certificats via CMS (CMC, RFC 5272) Message conditionné.
Le message CMS est signé avec la clé privée d'un certificat pour un agent d'enregistrement de certificats (Enrollment Agent).
De cette manière, il est par exemple possible de réaliser un processus de validation - un agent d'enregistrement de certificat peut donner sa validation après avoir examiné la demande de certificat, l'autorité de certification peut s'assurer, à l'aide de la signature, que la demande de certificat a été vérifiée.
Un exemple populaire est le Service d'enregistrement des périphériques réseau (NDES), L'autorité de certification est l'autorité de certification qui signe les demandes de certificat entrantes avec un certificat correspondant avant de les transmettre à l'autorité de certification. L'autorité de certification peut alors vérifier la présence de cette signature dans la demande de certificat (ce qui n'est toutefois pas mentionné ou exigé dans les instructions de Microsoft).
Une configuration correspondante est effectuée dans le modèle de certificat dans l'onglet „Issuance Requirements“.
En tant que demandeur, l'identité Active Directory du compte est consignée dans la base de données de l'autorité de certification, qui envoie la demande de certificat à l'autorité de certification. Dans le cas d'un modèle en ligne, l'identité du certificat correspond à ce compte, dans le cas d'un modèle hors ligne, l'identité est reprise de la demande de certificat.
Enroll on Behalf of (EOBO) Demande de certificat
Une demande de certificat Enroll on Behalf of contient en outre un attribut RequesterName dans lequel est inscrite l'identité d'un compte différent de celui du demandeur.
En tant que demandeur, l'identité Active Directory du compte saisi dans l'attribut „RequesterName“ de la demande EOBO est consignée dans la base de données de l'autorité de certification. Dans le cas d'un modèle en ligne, l'identité du certificat correspond également à ce compte.
Un scénario d'utilisation typique serait le cas de la carte d'identité d'un collaborateur : celle-ci est établie par un collaborateur du service des ressources humaines ou de la sécurité du bâtiment avec un certificat au nom du collaborateur et ensuite remise à ce dernier, c'est-à-dire que dans un tel cas, il est nécessaire qu'un tiers jugé digne de confiance effectue la demande de certificat pour le collaborateur.
Conditions techniques pour EOBO
- L'autorité de certification qui a délivré le certificat d'agent d'inscription doit être membre de NTAuthCertificates. Pour plus d'informations, voir l'article „Modifier l'objet NTAuthCertificates dans Active Directory„ .
- Le modèle de certificat utilisé pour la demande doit exiger exactement un certificat d'agent d'affiliation. S'il n'y en a pas ou si plusieurs signatures sont configurées comme requises, le modèle de certificat ne sera pas disponible.
Déroulement de la demande de certificat
Le déroulement de la demande de certificat du point de vue de l'agent d'enregistrement des certificats est décrit ci-après. On part du principe qu'il dispose déjà à ce moment-là d'un certificat correspondant d'agent d'inscription.
L'agent ouvre la console d'administration pour les certificats d'utilisateur (cermgr.msc). Sous Personal, il fait un clic droit sur Certificates et sélectionne „All Tasks“ - „Advancd Operations“ - „Enroll On Behalf Of...“.
Dans le dialogue suivant, on continue en cliquant sur „Next“...
Dans la boîte de dialogue suivante, il faut (si elle existe) Directive de demande de certificat (Enrollment Policy) est sélectionné et on continue en cliquant sur „Next“.
Dans la boîte de dialogue suivante, l'agent choisit son certificat d'agent d'enregistrement de certificat.
Ensuite, on continue en cliquant sur „Next“...
Dans la boîte de dialogue suivante, l'agent choisit le modèle de certificat à utiliser. Seuls ceux qui nécessitent une signature par un agent d'enregistrement de certificats sont affichés.
Dans la boîte de dialogue suivante, l'agent choisit le compte d'utilisateur pour lequel il souhaite demander un certificat.
Dans l'exemple, le compte administrateur de domaine a été délibérément choisi afin de mettre en évidence un problème fondamental avec ce mécanisme : dans la configuration par défaut, les agents d'enregistrement de certificats peuvent demander des certificats pour chaque utilisateur dans Active Directory. Cela comprend aussi bien les membres de la direction que les comptes administratifs.
Cela permet à un agent d'enregistrement de certificats d'usurper facilement d'autres identités, ce qui est également possible avec le système de sécurité. peut conduire à une compromission complète de la structure globale d'Active Directory.
Pour restreindre ce vecteur, il convient de choisir très précisément, quelles autorités de certification sont incluses dans NTAuthCertificates, Il convient d'utiliser la fonction „Restricted Enrollment Agents“ pour restreindre, au niveau des autorités de certification concernées, les agents autorisés à demander des certificats pour tel ou tel compte.
Après avoir cliqué sur „Next“, le certificat est demandé pour l'utilisateur. Il est ensuite possible de terminer le processus ou de sélectionner l'utilisateur suivant.
Renouvellement autonome du certificat par l'utilisateur
Veuillez noter que les utilisateurs ne peuvent renouveler de manière autonome un certificat demandé par EOBO que s'ils y sont autorisés par la configuration du modèle de certificat. Pour cela, il faut configurer sous „Issuance Requirements“ que les utilisateurs obtiennent automatiquement un certificat lors d'un renouvellement s'ils disposent déjà d'un certificat valable du même modèle.
Liens complémentaires :
Sources externes
- [MS-CERSOD] : Exemple 6 : Enroll on Behalf of Request and Renewal (inscription à la demande et au renouvellement) (Microsoft)
- [MS-WCCE] : Enroll on Behalf of Certificate Requests (inscription en réponse à une demande de certificat) (Microsoft)
- RFC 5652 - Syntaxe de message cryptographique (CMS) (Internet Engineering Task Force)
Français 
Deutsch 
English
Les commentaires sont fermés.