Les paramètres de validation du chemin d’accès de certificat dans Windows Server 2008 R2 et Windows Server 2008 vous permettent de gérer les paramètres de découverte et de validation du chemin d’accès de certificat pour tous les utilisateurs dans un domaine. Vous pouvez utiliser la Stratégie de groupe pour configurer et gérer facilement ces paramètres de validation de certificat. Ces paramètres vous permettent d’effectuer notamment les tâches suivantes :

  • déployer des autorités de certification intermédiaires ;

  • bloquer les certificats non approuvés ;

  • gérer les certificats utilisés pour la signature de code ;

  • configurer les paramètres de récupération de certificats et de listes de révocation de certificats (CRL).

Les paramètres de validation du chemin d’accès sont disponibles dans la Stratégie de groupe à l’emplacement suivant : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique.

Lorsque vous double-cliquez sur Paramètres de validation du chemin d’accès du certificat à cet emplacement, des options supplémentaires sont disponibles en sélectionnant les onglets suivants :

  • Magasins

  • Éditeurs approuvés

  • Récupération du réseau

  • Révocation

La procédure suivante explique comment configurer les paramètres de validation du chemin d’accès du certificat. Les sections suivant cette procédure décrivent les paramètres dans chacune de ces zones.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Admins du domaine ou à un groupe équivalent. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.

Pour configurer la Stratégie de groupe de validation de chemin d’accès pour un domaine

  1. Sur un contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d’administration et cliquez sur Gestion des stratégies de groupe.

  2. Dans l’arborescence de la console, double-cliquez sur Objets de stratégie de groupe dans la forêt et le domaine qui contiennent l’objet de stratégie de groupe Stratégie de domaine par défaut que vous souhaitez modifier.

  3. Cliquez avec le bouton droit sur l’objet Stratégie de domaine par défaut, puis cliquez sur Modifier.

  4. Dans la Console de gestion des stratégies de groupe, accédez à Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, puis cliquez sur Stratégies de clés publiques.

  5. Double-cliquez sur Paramètres de validation du chemin d’accès du certificat, puis cliquez sur l’onglet Magasins.

  6. Activez la case à cocher Définir ces paramètres de stratégie.

  7. Configurez les paramètres facultatifs que vous devez appliquer.

  8. Lorsque vous avez fini de modifier les paramètres, vous pouvez sélectionner un autre onglet pour modifier des paramètres supplémentaires ou cliquer sur OK pour appliquer les nouveaux paramètres.

Onglet Magasins

Certaines organisations souhaitent empêcher les utilisateurs du domaine de configurer leur propre jeu de certificats racine de confiance et souhaitent décider quels certificats racines peuvent être approuvés dans l’organisation. L’onglet Magasins peut être utilisé pour cela.

Les options suivantes sont disponibles sous l’onglet Magasins :

  • Autoriser l’utilisation des autorités de certification racine approuvées des utilisateurs pour valider les certificats. La désactivation de cette case à cocher empêche les utilisateurs de décider quels certificats d’autorités de certification racines doivent être utilisés pour valider les certificats. Bien que cette option permette d’empêcher les utilisateurs d’approuver et de valider des certificats d’une chaîne non sécurisée, elle peut également entraîner des erreurs d’application ou inciter les utilisateurs à ignorer les certificats racines de confiance comme moyen de valider les certificats qui leur sont présentés.

  • Autoriser les utilisateurs à approuver les certificats de confiance entre homologues. La désactivation de cette case à cocher empêche les utilisateurs de décider à quel certificat homologue faire confiance. Bien que cette option empêche les utilisateurs de faire confiance à des certificats dont la source n’est pas sécurisée, elle peut également entraîner des erreurs d’application ou inciter les utilisateurs à ignorer les certificats comme un moyen d’établir une confiance. Vous pouvez aussi sélectionner les rôles de certificats, tels que la signature ou le chiffrement, pour lesquels les certificats de confiance entre homologues peuvent être utilisés.

  • Autorités de certification racines auxquelles les ordinateurs clients peuvent faire confiance. Dans cette section, vous pouvez identifier des autorités de certification racines spécifiques qui peuvent être approuvées par les utilisateurs dans le domaine :

    • Autorités de certification racines tierces et d’entreprise. En incluant des autorités de certification racines non fournies par Microsoft et des autorités de certification racines d’entreprise, vous étendez la plage de certificats d’autorités de certification racines auxquels les utilisateurs peuvent se fier.

    • Uniquement les autorités de certification racines d’entreprise. En limitant la confiance uniquement aux autorités de certification racines d’entreprise, vous limitez effectivement la confiance aux certificats émis par une autorité de certification d’entreprise interne qui obtient les informations d’identification à partir des services de domaine Active Directory (AD DS) et qui publie les certificats dans les services AD DS.

  • Les autorités de certification doivent également être conformes aux contraintes de nom d’utilisateur principal. Ces paramètres limitent également la confiance aux autorités de certification d’entreprise internes. De plus, la contrainte de nom d’utilisateur principal les empêchera de faire confiance à des certificats d’authentification ne se conformant pas aux conditions de noms d’utilisateurs principaux.

De plus, certaines organisations peuvent vouloir identifier et distribuer des certificats racine de confiance afin d’établir des scénarios commerciaux qui exigent des relations de confiance supplémentaires. Pour identifier les certificats racines de confiance que vous souhaiteriez distribuer à des clients dans votre domaine, voir Utiliser une stratégie pour distribuer des certificats.

Onglet Éditeurs approuvés

La signature de logiciel est utilisée par un nombre croissant d’éditeurs de logiciels et de développeurs d’applications pour vérifier que leurs applications proviennent d’une source de confiance. Cependant, de nombreux utilisateurs ne comprennent pas ou ignorent la signature des certificats associés aux applications qu’ils installent.

Les options de stratégie sous l’onglet Éditeurs approuvés de la stratégie de validation du chemin d’accès de certificat vous permettent de contrôler qui prend les décisions à propos des éditeurs approuvés :

  • Administrateurs et utilisateurs

  • Seulement les administrateurs

  • Seulement les administrateurs d’entreprise

De plus, les options de stratégie sous cet onglet vous permettent de demander à ce qu’il soit vérifié que les certificats des éditeurs approuvés :

  • n’ont pas été révoqués ;

  • ont des horodatages valides.

Onglet Récupération du réseau

Pour être efficace, les données de certificat telles que les listes CRL et les certificats dans le programme de certificat racine Microsoft doivent être régulièrement mises à jour. Toutefois, des problèmes peuvent survenir si la vérification de validation et la récupération des données de révocation de certificats et des certificats croisés sont interrompues car le volume de données transférées est supérieur au volume prévu à l’origine.

Les paramètres de récupération du réseau permettent aux administrateurs d’effectuer les tâches suivantes :

  • Mettre automatiquement à jour les certificats dans le programme de certificat racine Microsoft.

  • Configurer des valeurs de délai d’expiration de récupération pour les listes CRL et la validation du chemin d’accès (des valeurs par défaut plus étendues peuvent s’avérer utiles si les conditions du réseau ne sont pas optimales).

  • Activer la récupération de certificat d’émetteur lors de la validation du chemin d’accès.

  • Définir la fréquence de téléchargement des certificats croisés.

Onglet Révocation

Pour prendre en charge la vérification de révocation, les services AD DS prennent en charge l’utilisation des listes CRL et CRL delta ainsi que les réponses OCSP (Online Certificate Status Protocol) distribuées par des répondeurs en ligne.

Les paramètres de stratégie de groupe de validation du chemin d’accès permettent aux administrateurs d’optimiser l’utilisation des listes CRL et des répondeurs en ligne, en particulier dans les cas où des listes CRL extrêmement volumineuses ou les conditions du réseau portent atteinte aux performances.

Les paramètres suivants sont disponibles :

  • Toujours privilégier les listes de révocation de certificats par rapport aux réponses OCSP (Online Certificate Status Protocol). En général, les clients doivent utiliser les données de révocation les plus récentes disponibles, qu’elles proviennent d’une liste de révocation de certificats ou d’un répondeur en ligne. Si cette option est sélectionnée, la vérification de révocation depuis un répondeur en ligne n’est utilisée que si aucune liste CRL ou CRL delta n’est disponible.

  • Autoriser une validité des réponses de liste de révocation de certificats et de protocole OCSP supérieure à leur durée de vie. Il est généralement déconseillé d’autoriser la validité des listes de révocation de certificats et des réponses OCSP au-delà de leur durée de vie. Cependant, cette option peut être nécessaire dans les cas où des clients seraient dans l’incapacité de se connecter à un point de distribution de liste CRL ou à un répondeur en ligne pour une durée prolongée. Cependant, la durée au-delà de la période de validité indiquée pendant laquelle une liste CRL ou une réponse OCSP peut être utilisée est également configurable avec ce paramètre de stratégie.

Références supplémentaires

Table des matières