Les autorités de certification autonomes peuvent émettre des certificats destinés à être utilisés pour les signatures numériques, la sécurisation de messagerie électronique à l’aide des normes S/MIME (Secure/Multipurpose Internet Mail Extensions) et l’authentification sur un serveur Web sur des connexions SSL (Secure Sockets Layer) ou TLS (Transport Layer Security).

Une autorité de certification autonome possède les caractéristiques suivantes :

  • Contrairement à une autorité de certification d’entreprise, une autorité de certification autonome ne requiert pas l’utilisation des services de domaine Active Directory (AD DS, Active Directory Domain Services). Même si vous utilisez les services AD DS, les autorités de certification autonomes peuvent être utilisées en tant qu’autorités de certification racines de confiance dans une hiérarchie d’autorités de certification ou pour délivrer des certificats à des clients sur un extranet ou sur Internet.

  • Lorsque des utilisateurs soumettent une demande de certificat à une autorité de certification autonome, ils doivent fournir leurs informations d’identification et spécifier le type de certificat dont ils ont besoin. (Ceci n’est pas nécessaire pour une demande à une autorité de certification d’entreprise, car les informations utilisateur sont déjà présentes dans les services AD DS et le type de certificat est décrit par un modèle de certificat). Les informations d’authentification pour les demandes proviennent de la base de donnée SAM (Security Accounts Manager) de l’ordinateur local.

  • Par défaut, les demandes de certificat envoyées à l’autorité de certification autonome sont mises en attente jusqu’à ce que l’administrateur de l’autorité de certification autonome vérifie les informations soumises et approuve la demande. L’administrateur doit effectuer ces tâches, car les informations d’identification du demandeur de certificat ne sont pas vérifiées par l’autorité de certification autonome.

  • Les modèles de certificats ne sont pas utilisés.

  • L’administrateur doit distribuer explicitement le certificat de l’autorité de certification autonome dans le magasin racine de confiance de l’utilisateur du domaine, ou bien les utilisateurs doivent le faire eux-mêmes.

  • Si un fournisseur de chiffrement à courbe elliptique (ECC, Elliptic Curve Cryptography) est utilisé, l’autorité de certification respectera toute utilisation de clé pour la clé ECC. Pour plus d’informations, voir Cryptography Next Generation (https://go.microsoft.com/fwlink/?LinkID=85480) (éventuellement en anglais).

Lorsqu’une autorité de certification autonome utilise les services AD DS, elle possède les caractéristiques supplémentaires suivantes :

  • Si un membre du groupe Admins du domaine ou un administrateur disposant d’un accès en écriture sur un contrôleur de domaine installe une autorité de certification autonome racine, elle est ajoutée automatiquement au magasin de certificats Autorités de certification racines de confiance pour tous les utilisateurs et tous les ordinateurs du domaine. Pour cette raison, si vous installez une autorité de certification autonome racine dans un domaine Active Directory, vous ne devez pas modifier l’action par défaut de l’autorité de certification lors de la réception d’une demande de certificat (mise en attente de la demande). Autrement, vous obtiendrez une autorité de certification racine de confiance qui délivre automatiquement des certificats sans vérifier l’identité du demandeur de certificat.

  • Si une autorité de certification autonome est installée par un membre du groupe Admins du domaine du domaine parent dans l’entreprise, ou par un administrateur ayant un accès en écriture aux services AD DS, l’autorité de certification autonome publiera ses certificats d’autorité de certification et sa liste de révocation de certificat dans les services AD DS.

Références supplémentaires


Table des matières