Renforcement cryptographique des transactions SCEP pour le service d'inscription des périphériques réseau (Network Device Enrollment Service, NDES)

Le site Protocole simple d'inscription de certificats (SCEP) Il s'agit d'un protocole très ancien datant du début des années 2000. Il ne fait pas appel au protocole TLS (Transport Layer Security). Les messages du protocole sont donc chiffrés au niveau de la couche de transport.

Lors de l'envoi de la demande de certificat au serveur NDES, le client effectuera cette demande à l'aide du certificat de chiffrement CEP du serveur NDES (qui lui a été communiqué auparavant via le message GetCACert).

À la réception du certificat émis, le serveur NDES chiffrera la réponse à l'aide d'un certificat auto-signé généré temporairement par le client SCEP.

Dans les deux cas, on utilise un algorithme de chiffrement symétrique.

Continuer la lecture de « Kryptographische Härtung der SCEP-Transaktionen für den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) »

Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)

Le Simple Certificate Enrollment Protocol (SCEP) a été développé par Verisign pour Cisco au début des années 2000 afin de pouvoir utiliser une méthode simplifiée pour demander des certificats. Auparavant, il fallait générer manuellement une demande de certificat pour chaque appareil du réseau, la transmettre à une autorité de certification, puis réinstaller manuellement le certificat délivré sur l'appareil correspondant.

Continuer la lecture de « Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) »

Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)

Le service d'inscription des périphériques réseau (Network Device Enrollment Service, NDES) utilise deux modèles de certificats pour sa fonction interne afin de fonctionner comme une autorité d'inscription (Registration Authority, RA). Ceux-ci sont publiés sur l'autorité de certification configurée pendant la configuration des rôles du service NDES et des certificats sont demandés :

  • CEP Encryption
  • Agent d'inscription Exchange (demande hors ligne)

Ces modèles de certificats sont des modèles standard issus du monde Windows 2000 (modèles de la version 1), c'est-à-dire qu'ils ne peuvent pas être modifiés. De plus, le modèle Exchange Enrollment Agent (Offline Request) est marqué comme modèle utilisateur, c'est-à-dire que pendant la configuration des rôles NDES, le certificat est demandé dans le contexte de l'utilisateur qui l'installe et est ensuite importé dans le magasin de la machine. Les choses se compliquent ici au plus tard lorsque les certificats doivent être renouvelés au bout de deux ans.

Il est donc préférable d'utiliser ses propres modèles de certificats pour NDES. Ceux-ci peuvent par exemple être adaptés en ce qui concerne la longueur de la clé. Il est également possible d'utiliser des modules de sécurité matériels (HSM) de cette manière. Il est même possible de configurer un renouvellement automatique.

Continuer la lecture de « Eigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden »
fr_FRFrançais