6.5.5 Infrastructure de clés publiques DOD (Ministère de la Défense des États-Unis)

Cette section décrit comment installer, configurer et utiliser Reflection au sein du Ministère de la Défense des États-Unis (DOD, Department of Defense) ou tout autre environnement à infrastructure de clés publiques (PKI). La configuration de l'infrastructure de clés publiques affecte les connexions Secure Shell et SSL/TLS.

Exécution de Reflection en mode Infrastructure de clés publiques DOD

Par défaut, les applications Reflection permettent certaines configurations non conformes aux exigences de l'infrastructure de clés publiques DOD. Mais les administrateurs peuvent utiliser les stratégies de groupe de Reflection pour que toutes les sessions Reflection répondent à ces exigences.

Pour configurer le mode Infrastructure de clés publiques DOD

  1. Exécutez l'Éditeur de stratégies de groupe de l'une des façons suivantes :

    • Sur la ligne de commande, entrez Gpedit.msc.

      -OU-

    • Dans la console Utilisateurs et ordinateurs Active Directory, ouvrez les propriétés d'une unité organisationnelle, cliquez sur l'onglet Stratégie de groupe et modifiez ou créez un objet de stratégie.

  2. Installez le modèle Reflection (ReflectionPolicy.adm), si ce n'est déjà fait.

    REMARQUE :Pour plus d'informations concernant le téléchargement et l'installation du modèle de stratégie de Reflection, reportez-vous à l'article 7021501 de la base de connaissances.

  3. Sous Stratégie de l'ordinateur local > Configuration utilisateur > Modèles d'administration > Paramètres de Reflection, désactivez le paramètre Autoriser le mode non-DoDPKI.

La configuration du mode Infrastructure de clés publiques DOD a les effets suivants :

  • Vous devez configurer Reflection pour qu'il vérifie les certificats au moyen de listes CRL Liste signée numériquement de certificats révoqués par l'autorité de certification. Les certificats identifiés dans une CRL ne sont plus valides. ou d'un serveur OCSP. Protocole (utilisant le canal HTTP) pouvant être utilisé en remplacement de la vérification CRL pour confirmer la validité d'un certificat. Un serveur OCSP répond aux demandes de statut des certificats avec l'une des trois réponses signées numériquement suivantes : « valide », « révocation » et « inconnu ». L'utilisation du protocole OCSP évite aux serveurs et/ou aux clients d'avoir à obtenir et à trier des listes CRL volumineuses. En mode Infrastructure de clés publiques DOD, il est impossible de n'utiliser aucune de ces vérifications. (Pour les connexions SSH, la configuration de la révocation des certificats se fait dans l'onglet Infrastructure de clés publiques de la boîte de dialogue Paramètres de Reflection Secure Shell ; pour les connexions SSL/TLS, dans la boîte de dialogue Configuration de l'infrastructure de clés publiques.)

  • Reflection applique des algorithmes de chiffrement conformes aux normes FIPS. Pour les connexions SSH, cela signifie que seules les options conformes aux normes FIPS sont disponibles dans l'onglet Chiffrement de la boîte de dialogue Paramètres de Reflection Secure Shell. Pour les connexions SSL/TLS, cela implique que vous ne pouvez pas sélectionner les valeurs 40 bits et 56 bits pour le paramètre Puissance de chiffrement.

  • Pour que la connexion s'établisse, le nom d'hôte du certificat doit correspondre exactement au nom d'hôte spécifié pour votre connexion Reflection. Cela signifie que le paramètre Le nom d'hôte du certificat doit correspondre au nom d'hôte contacté est automatiquement sélectionné et ne peut pas être modifié. (Pour les connexions SSH, cette configuration se fait dans l'onglet Infrastructure de clés publiques de la boîte de dialogue Paramètres de Reflection Secure Shell ; pour les connexions SSL/TLS, dans la boîte de dialogue Configuration de l'infrastructure de clés publiques.)

  • Les certificats intermédiaires des autorités de certification signés à l'aide du hachage MD2 ou MD5 ne sont pas pris en charge pour la validation de certificat.

Installation et suppression de points d'approbation

Un point d'approbation est un certificat d'une autorité de certification Serveur, au sein d'une organisation approuvée, qui émet des certificats numériques. L'autorité de certification gère l'émission des nouveaux certificats et révoque les certificats dont la période d'authentification est échue. Par ailleurs, une autorité de certification peut déléguer l'autorité d'émission des certificats à au moins une autorité de certification intermédiaire, créant ainsi une chaîne de confiance. Le niveau de certificat « racine approuvée » correspond au niveau optimal défini par l'autorité de certification. dans une chaîne de validation.

Pour ajouter un point d'approbation à la liste de certificats de Reflection :

  1. Ouverture du Gestionnaire de certificats de Reflection.

  2. Cliquez sur l'onglet Autorités de certification de confiance.

  3. Cliquez sur Importer et recherchez un certificat (en règle générale, un fichier *.cer ou *.crt).

Pour supprimer un point d'approbation de la liste de certificats de Reflection :

  1. Ouverture du Gestionnaire de certificats de Reflection.

  2. Cliquez sur l'onglet Autorités de certification de confiance.

  3. Sélectionnez le certificat à supprimer et cliquez sur Supprimer.

REMARQUE :

  • Vous pouvez obtenir des points d'approbation intermédiaires à partir d'un serveur LDAP Protocole standard utilisé pour stocker des informations dans un emplacement centralisé et les distribuer aux utilisateurs. ou HTTP identifié par un URI explicite défini dans l'extension AIA (accès aux informations de l'autorité) du certificat, ou à partir du ou des serveurs LDAP spécifiés dans l'onglet LDAP du Gestionnaire de certificats de Reflection. Ces certificats sont enregistrés dans le fichier cert_cache qui se trouve soit dans <Mes documents>\Micro Focus\Reflection\.pki, soit dans \%programdata%\Micro Focus\Reflection\.pki.

  • Lorsque Reflection s'exécute en mode Infrastructure de clés publiques DOD, seuls les certificats racine que vous avez ajoutés au Gestionnaire de certificats de Reflection sont utilisés. Il est inutile de supprimer les certificats non conformes à l'infrastructure de clés publiques DOD éventuellement présents dans la liste de certificats de Windows.

Configuration de la vérification de la révocation des certificats

La valeur par défaut de Reflection pour la révocation des certificats dépend de votre paramétrage système actuel. Si votre système est configuré pour la vérification CRL, les sessions Reflection utiliseront par défaut les listes CRL Liste signée numériquement de certificats révoqués par l'autorité de certification. Les certificats identifiés dans une CRL ne sont plus valides. pour vérifier la révocation des certificats. Vous pouvez également configurer Reflection pour qu'il utilise un serveur OCSP Protocole (utilisant le canal HTTP) pouvant être utilisé en remplacement de la vérification CRL pour confirmer la validité d'un certificat. Un serveur OCSP répond aux demandes de statut des certificats avec l'une des trois réponses signées numériquement suivantes : « valide », « révocation » et « inconnu ». L'utilisation du protocole OCSP évite aux serveurs et/ou aux clients d'avoir à obtenir et à trier des listes CRL volumineuses. .

Reflection intègre également un paramètre pour désactiver la vérification CRL. Vous pouvez utiliser ce paramètre à des fins de test, mais il n'est pas disponible lorsque Reflection s'exécute en mode Infrastructure de clés publiques DOD.

ATTENTION :Désactiver la vérification CRL réduit le niveau de sécurité du système. N'utilisez cette option qu'à des fins de test.

Vous pouvez définir un ou plusieurs serveurs LDAP Protocole standard utilisé pour stocker des informations dans un emplacement centralisé et les distribuer aux utilisateurs. à partir desquels obtenir des CRL ou certificats intermédiaires.

Pour définir un serveur LDAP

  1. Ouverture du Gestionnaire de certificats de Reflection

  2. Cliquez sur l'onglet LDAP.

  3. Cliquez sur Ajouter et spécifiez le serveur en respectant le format d'URL suivant :

    ldap://hostname:portnumber

    Par exemple :

    ldap://ldapserver.myhost.com:389

Pour configurer un serveur OCSP :

  1. Vous pouvez définir un ou plusieurs serveurs OCSP auxquels demander des informations sur la révocation des certificats.

  2. Sous Révocation de certificats, sélectionnez Utiliser OCSP (Online Certificate Status Protocol). (Pour les connexions SSH, utilisez l'onglet Infrastructure de clés publiques de la boîte de dialogue Paramètres de Reflection Secure Shell ; pour les connexions SSL/TLS, la boîte de dialogue Configuration de l'infrastructure de clés publiques.)

    REMARQUE :Les URL de serveurs OCSP requises par un certificat sont identifiées dans l'extension AIA du certificat. Si le certificat ne précise pas ces informations, vous pouvez suivre la procédure suivante pour configurer le serveur OCSP.

  3. Ouverture du Gestionnaire de certificats de Reflection.

  4. Cliquez sur l'onglet OCSP.

  5. Cliquez sur Ajouter et spécifiez le serveur en respectant le format d'URL suivant :

    URL:portnumber

    Par exemple :

    https://ocspmachine.host.com:389

Utilisation d'URI pour les services d'infrastructure de clés publiques DOD

Reflection prend en charge l'utilisation d'URI Une chaîne de caractères qui représente l'emplacement ou l'adresse d'une ressource. Les URI peuvent être utilisées pour rechercher des ressources sur Internet ou sur un serveur LDAP. pour la mise à jour et l'obtention automatiques de listes CRL Liste signée numériquement de certificats révoqués par l'autorité de certification. Les certificats identifiés dans une CRL ne sont plus valides. , conformément à la section 4.2.1.14 du document RFC3280.

Si la vérification CRL est activée, Reflection procède de la façon suivante :

  1. Il recherche des informations valides de révocation dans le fichier crl_cache. S'il n'en trouve pas, il passe à l'étape 2.

  2. Il recherche les URI HTTP ou LDAP dans l'extension CDP du certificat et les interroge dans l'ordre spécifié (d'abord les adresses HTTP, puis LDAP). S'il s'avère que le certificat est révoqué, il met fin à la connexion. S'il ne trouve pas le certificat, il passe à l'étape 3.

  3. Si un ou plusieurs serveurs LDAP sont spécifiés dans l'onglet LDAP du Gestionnaire de certificats de Reflection, il reconstitue le nom distinct de l'autorité de certification listée dans l'extension Émetteur du certificat et lui demande le fichier CRL. Si le certificat n'apparaît comme révoqué dans aucune liste CRL, il passe à l'étape de validation suivante.

Les mises à jour des CRL arrivées à expiration sont traitées automatiquement, sans intervention ni configuration de l'administrateur.

Si la vérification OCSP est activée, Reflection interroge toujours tous les serveurs OCSP disponibles pour garantir l'échec de la connexion si l'un des serveurs indique que le certificat est révoqué. Pour établir la connexion, il faut qu'au moins un serveur OCSP soit disponible et qu'il signifie la validité du certificat. Reflection réalise ces vérifications de la façon suivante :

  1. Il recherche un ou plusieurs serveurs OCSP dans l'extension AIA du certificat et les interroge tous. Si l'un des serveurs répond que le certificat est révoqué, il met fin à la connexion.

  2. Il recherche un ou plusieurs serveurs OCSP définis par l'utilisateur dans l'onglet OCSP du Gestionnaire de certificats de Reflection et les interroge tous. Si l'un des serveurs répond que le certificat est révoqué, il met fin à la connexion.

  3. Si tous les serveurs indiquent que le certificat est inconnu, il met fin à la connexion. Si au moins l'un des serveurs OCSP interrogés renvoie un état valide, il passe à l'étape de validation suivante.

Utilisation d'URI pour obtenir des certificats intermédiaires

Conformément à la section 4.2.2.1 du document RFC3280, Reflection peut utiliser des URIs Une chaîne de caractères qui représente l'emplacement ou l'adresse d'une ressource. Les URI peuvent être utilisées pour rechercher des ressources sur Internet ou sur un serveur LDAP. pour obtenir des certificats intermédiaires d'une autorité de certification Serveur, au sein d'une organisation approuvée, qui émet des certificats numériques. L'autorité de certification gère l'émission des nouveaux certificats et révoque les certificats dont la période d'authentification est échue. Par ailleurs, une autorité de certification peut déléguer l'autorité d'émission des certificats à au moins une autorité de certification intermédiaire, créant ainsi une chaîne de confiance. Le niveau de certificat « racine approuvée » correspond au niveau optimal défini par l'autorité de certification. de la façon suivante :

  1. Il recherche dans le fichier cert_cache le certificat intermédiaire requis. S'il ne le trouve pas, il passe à l'étape 2.

  2. Si des URI HTTP ou LDAP sont définies dans l'extension AIA (accès aux informations de l'autorité) du certificat, il tente de récupérer des certificats intermédiaires de ces adresses (d'abord HTTP, puis LDAP).

  3. En cas d'échec, il reconstitue un nom distinct à partir du nom du sujet du certificat d'émission et demande au serveur LDAP défini le contenu de l'attribut CACertificate.

Étant donné que Reflection n'applique pas l'extension stratégie de sécurité d'un certificat, il est inutile de configurer la stratégie de sécurité.

Configuration et protection de certificats et de clés privées

Pour configurer l'authentification client à l'aide de certificats :

  1. Ouverture du Gestionnaire de certificats de Reflection

  2. Dans l'onglet Personnel, cliquez sur Importer et recherchez un certificat (en règle générale, un fichier *.pfx ou *.p12). Le système vous demande de créer une phrase de chiffrement qui sera nécessaire à chaque utilisation de la clé. Il est conseillé de créer cette phrase de chiffrement pour protéger la clé sur votre système.

  3. Pour les connexions Secure Shell, ouvrez la boîte de dialogue Paramètres de Reflection Secure Shell, cliquez sur l'onglet Clés utilisateur et sélectionnez le ou les certificats à utiliser pour authentifier le client auprès de l'hôte actuellement spécifié. (Cette procédure est inutile pour les connexions SSL/TLS.)

Protection des clés privées

S'il dérobe la clé privée d'un client, un utilisateur mal intentionné peut accéder aux fichiers sur tous les serveurs auxquels le client en question a accès. Pour limiter les risques, chaque utilisateur client doit toujours protéger sa clé privée à l'aide d'une phrase de chiffrement. Ainsi, seule la personne connaissant la phrase de chiffrement peut s'authentifier avec cette clé. Les utilisateurs doivent créer et protéger leurs phrases de chiffrement conformément à la stratégie de sécurité mise en place par votre société en matière de mots de passe.

Actions à effectuer si une clé présente des risques de sécurité

Considérez qu'une clé privée est à risque si une entité non autorisée entre en sa possession ou si vous avez des raisons de vous méfier des actions d'une personne ayant accès à cette clé.

Dans ce cas, révoquez le certificat du client.

Pour remplacer une clé à risque :

  1. Générez une nouvelle clé privée et un nouveau certificat et importez la clé dans le Gestionnaire de certificats de Reflection.

  2. Sur le serveur, mettez à jour la ligne du mappage de fichier du client si les informations d'identification ont été modifiées.

Pour supprimer la clé à risque d'un ordinateur client :

  1. Supprimez la clé de l'onglet Personnel du Gestionnaire de certificats de Reflection. Cette opération supprime la clé du fichier identity_store.p12.

  2. Si le fichier initial contenant l'ancien certificat et l'ancienne clé (fichier *.pfx ou *.p12) est encore présent sur l'ordinateur client, supprimez-le à l'aide d'un utilitaire de suppression conforme aux prescriptions du DOD.

Rubriques connexes