Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Auteur Uwe GradeneggerPublié le Catégories Active Directory, Services d'information sur Internet (IIS), Protocole de statut des certificats en ligne (OCSP), Service d'enregistrement des périphériques réseau (NDES), Système d'exploitation Windows, Utilisation du certificat, Enregistrement web des autorités de certification (CAWE)Étiquettes , , , , , ,

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cas d'utilisationStatut
Contrôleur de domainePrise en charge par le système. Peut toutefois entraîner des problèmes de compatibilité du côté client.
De même, les services web Active Directory ne prennent pas en charge les fournisseurs de stockage de clésIl n'est donc pas possible d'utiliser des clés ECC pour ces certificats. Vous pouvez même empêcher l'utilisation d'autres types de certificats comme Remotedesktop avec des clés ECC.
Serveur webSoutenu.
Service d'enregistrement des périphériques réseau (NDES), Certificats d'autorité d'enregistrementNon pris en chargecar seuls les Fournisseur de services cryptographiques (CSP) qui ne supportent pas les clés ECC. Le site RFC pour le protocole SCEP elle-même n'exclut pas la prise en charge, mais dans l'implémentation Microsoft, elle n'est pas assurée en raison des restrictions techniques sous-jacentes.
Service d'enregistrement des périphériques réseau (NDES) , Certificats d'appareilsPrise en charge. Mis en œuvre dans PSCertificateEnrollment à partir de la version 1.0.7.
Hôte de session de bureau à distancePrise en charge par le système. Peut toutefois entraîner des problèmes de compatibilité du côté client.
Répondant en ligne (OCSP)Prise en charge par le système. Peut toutefois entraîner des problèmes de compatibilité du côté client.
Certificats d'autorité de certificationPrise en charge par le système. Peut toutefois entraîner des problèmes de compatibilité du côté client.
Enregistrement web des autorités de certification (CAWE), demande de certificatNon pris en chargeLes modèles de certificats des versions 1 et 2 sont utilisés, car ils ne peuvent être utilisés qu'avec les versions 1 et 2. Fournisseur de services cryptographiques (CSP) qui ne supportent pas les clés ECC.
Module de plate-forme de confiance (TPM) comme backend clé.Soutient, en combinaison avec Autoenrollment mais seulement à partir de Windows 10 21H2 ou Windows 11.
Microsoft IntuneNon pris en charge.
VMware Workspace One (AirWatch)Non pris en charge.
Contrôle des applications Windows Defender (WDAC)Non pris en charge. Il est explicitement indiqué ("ECDSA isn't supported.").

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais