Vous pouvez utiliser l’administration basée sur les rôles pour organiser les administrateurs de l’Autorité de certification en rôles de l’Autorité de certification prédéfinis et distincts, chacun doté d’un jeu de tâches qui lui est propre. Les rôles sont affectés à l’aide des paramètres de sécurité de chaque utilisateur. Vous affectez un rôle à un utilisateur en lui affectant les paramètres de sécurité spécifiques associés à ce rôle. Un utilisateur qui possède un type d’autorisation, telle que l’autorisation Gérer l’Autorité de certification, peut effectuer des tâches d’Autorité de certification spécifiques qui ne sont pas accessibles à un utilisateur qui possède un autre type d’autorisation, telle que l’autorisation Émettre et gérer des certificats.

Le tableau suivant décrit les rôles, les utilisateurs et les groupes qui servent à implémenter l’administration basée sur les rôles. Pour affecter un rôle à un utilisateur ou à un groupe, vous devez affecter les autorisations de sécurité du rôle, les appartenances à un groupe ou les droits d’utilisateur correspondants à l’utilisateur ou au groupe. Ces autorisations de sécurité, appartenances à un groupe et droits d’utilisateur permettent de distinguer la répartition entre les rôles et les utilisateurs.

Rôles et groupes Autorisation de sécurité Description

Administrateur de l’Autorité de certification

Gérer l’autorité de certification

Configurer et maintenir l’Autorité de certification. Il s’agit d’un rôle de l’Autorité de certification qui permet d’affecter tous les autres rôles de l’Autorité de certification et de renouveler le certificat de l’Autorité de certification. Ces autorisations sont affectées à l’aide du composant logiciel enfichable Autorité de certification

Gestionnaire de certificats

Émettre et gérer des certificats

Approuver le renouvellement de certification et les demandes de révocation. Il s’agit d’un rôle de l’Autorité de certification. Ce rôle est parfois appelé officier de l’Autorité de certification. Ces autorisations sont affectées à l’aide du composant logiciel enfichable Autorité de certification

Opérateur de sauvegarde

Sauvegarder des fichiers et des répertoires

Restaurer des fichiers et des répertoires

Effectuer la sauvegarde et la récupération système La sauvegarde est une fonctionnalité du système d’exploitation.

Auditeur

Gérer le journal d’audit et de sécurité

Configurer, afficher et maintenir les journaux d’audit. L’audit est une fonctionnalité du système d’exploitation. L’auditeur est un rôle du système d’exploitation.

Candidats à l’inscription

Lecture

Inscription

Les candidats à l’inscription sont des clients qui sont autorisés à effectuer des demandes de certificats auprès d’une Autorité de certification. Il ne s’agit pas d’un rôle de l’Autorité de certification.

Tous les rôles de l’Autorité de certification sont affectés et modifiés par des membres des groupes locaux Administrateurs, Administrateurs de l’entreprise ou Admins du domaine. Dans les Autorités de certification d’entreprise, les administrateurs locaux, les administrateurs d’entreprise et les administrateurs de domaine sont des administrateurs d’Autorité de certification par défaut. Seuls les administrateurs locaux sont des administrateurs de l’Autorité de certification par défaut dans une Autorité de certification autonome. Si une Autorité de certification autonome est installée sur un serveur qui est rattaché à un domaine Active Directory, les administrateurs du domaine sont aussi les administrateurs de l’Autorité de certification.

Les rôles d’administrateur de l’Autorité de certification et du gestionnaire des certificats peuvent être affectés à des utilisateurs Active Directory ou des utilisateurs locaux dans le Gestionnaire de comptes de sécurité (SAM) de l’ordinateur local qui correspond à la base de données de compte de sécurité locale. La méthode conseillée consiste à affecter des rôles aux comptes de groupe au lieu des comptes d’utilisateurs individuels.

Seul l’administrateur de l’Autorité de certification, le gestionnaire de certificats, l’auditeur et l’opérateur de sauvegarde sont des rôles de l’Autorité de certification. Les autres utilisateurs décrits dans le tableau concernent l’administration basée sur les rôles et doivent être connus avant d’affecter les rôles de l’Autorité de certification.

Seuls les administrateurs de l’Autorité de certification et les gestionnaires de certificats sont affectés à l’aide du composant logiciel enfichable Autorité de certification. Pour modifier les autorisations d’un utilisateur ou d’un groupe, vous devez modifier les autorisations de sécurité de l’utilisateur, l’appartenance à un groupe ou les droits de l’utilisateur.

Pour définir les autorisations de sécurité de l’administrateur de l’Autorité de certification et du gestionnaire de certificats pour une Autorité de certification
  1. Ouvrez le composant logiciel enfichable Autorité de certification.

  2. Dans l’arborescence de la console, cliquez sur le nom de l’Autorité de certification.

  3. Dans le menu Action, cliquez sur Propriétés.

  4. Cliquez sur l’onglet Sécurité et spécifiez les autorisations de sécurité.

Rôles et activités

Chaque rôle de l’Autorité de certification possède une liste spécifique des tâches d’administration de l’Autorité de certification qui lui sont associées. Le tableau suivant répertorie toutes les tâches d’administration de l’Autorité de certification et les rôles au sein desquels elles s’effectuent.

Activité Administrateur de l’autorité de certification Gestionnaire de certificats Auditeur Opérateur de sauvegarde Administrateur local Remarque

Installer les Autorités de certification

 

 

 

 

X

 

Configurer les modules de stratégie et de sortie

X

 

 

 

 

 

Arrêter et démarrer le service AD CS (Active Directory Certificate Services)

X

 

 

 

 

 

Configurer les extensions

X

 

 

 

 

 

Configurer les rôles

X

 

 

 

 

 

Renouveler les clés de l’Autorité de certification

 

 

 

 

X

 

Définir les agents de récupération de clés

X

 

 

 

 

 

Configurer les restrictions du gestionnaire de certificats

X

 

 

 

 

 

Supprimer une ligne unique dans la base de données de l’Autorité de certification

X

 

 

 

 

 

Supprimer plusieurs lignes dans la base de données de l’Autorité de certification (suppression en bloc)

X

X

 

 

 

L’utilisateur doit être à la fois un administrateur de l’Autorité de certification et un gestionnaire des certificats. Cette activité ne peut pas s’effectuer si la séparation des rôles s’applique.

Activer la séparation des rôles

 

 

 

 

X

 

Émettre et approuver des certificats

 

X

 

 

 

 

Refuser des certificats

 

X

 

 

 

 

Révoquer des certificats

 

X

 

 

 

 

Réactiver des certificats placés en attente

 

X

 

 

 

 

Renouveler des certificats

 

X

 

 

 

 

Activer, publier ou configurer les calendriers des listes de révocation de certificats

X

 

 

 

 

 

Récupérer les clés archivées

 

X

 

 

 

Seul un gestionnaire de certificats peut récupérer la structure des données de clés chiffrées dans la base de données de l’Autorité de certification. La clé privée d’un agent de récupération de clés valides est nécessaire pour déchiffrer la structure des données de clés et générer un fichier PKCS #12.

Configurer les paramètres d’audit

 

 

X

 

 

Par défaut, l’administrateur local possède le droit d’utilisateur audit système.

Journaux d’audit

 

 

X

 

 

Par défaut, l’administrateur local possède le droit d’utilisateur audit système.

Effectuer une sauvegarde du système

 

 

 

X

 

Par défaut, l’administrateur local possède le droit d’utilisateur sauvegarde du système.

Restaurer le système

 

 

 

X

 

Par défaut, l’administrateur local possède le droit d’utilisateur sauvegarde du système.

Lire la base de données de l’Autorité de certification

X

X

X

X

 

Par défaut, l’administrateur local possède les droits d’utilisateur audit système et sauvegarde du système.

Lire les informations de configuration de l’Autorité de certification

X

X

X

X

 

Par défaut, l’administrateur local possède les droits d’utilisateur audit système et sauvegarde du système.

Considérations supplémentaires

  • Les candidats à l’inscription sont autorisés à lire les propriétés de l’autorité de certification et les listes de révocation de certificats ; en outre, ils peuvent demander des certificats. Dans une Autorité de certification d’entreprise, un utilisateur doit posséder les autorisations de lecture et d’inscription sur le modèle de certificat pour demander un certificat. Les administrateurs de l’Autorité de certification, les gestionnaires de certificats, les auditeurs et les opérateurs de sauvegarde ont des autorisations implicites de lecture.

  • Un auditeur possède le droit d’utilisateur audit système.

  • Un opérateur de sauvegarde possède le droit d’utilisateur sauvegarde du système. De plus, l’opérateur de sauvegarde peut démarrer et arrêter le service AD CS (Active Directory Certificate Services).

Attribution des rôles

L’administrateur de l’Autorité de certification pour une Autorité de certification affecte les utilisateurs aux rôles séparés de l’administration basée sur les rôles en appliquant au compte de l’utilisateur les paramètres de sécurité requis par un rôle. L’administrateur de l’Autorité de certification peut affecter plusieurs rôles à un utilisateur, mais l’Autorité de certification est plus sécurisée si un seul rôle est affecté à chaque utilisateur. Si cette stratégie de délégation est utilisée, un nombre plus restreint de tâches de l’Autorité de certification peut être compromis si un compte d’utilisateur est compromis.

Questions relatives à l’administrateur

Le paramètre de l’installation par défaut pour une autorité de certification autonome consiste à faire des membres du groupe local Administrateurs des administrateurs de l’autorité de certification. Le paramètre de l’installation par défaut pour une autorité de certification d’entreprise consiste à faire des membres du groupe local Administrateurs, Administrateurs de l’entreprise et Admins du domaine des administrateurs de l’autorité de certification. Pour limiter le pouvoir de ces comptes, il est recommandé de les supprimer des rôles de l’administrateur de l’Autorité de certification et du gestionnaire de certificats lorsque tous les rôles de l’Autorité de certification ont été affectés.

La méthode conseillée consiste à s’assurer que les comptes de groupes auxquels ont été affectés des rôles de gestionnaire de certificats et d’administrateur de l’autorité de certification n’appartiennent pas au groupe local de sécurité Administrateurs. De plus, les rôles de l’Autorité de certification ne doivent être affectés qu’aux comptes de groupe, pas aux comptes d’utilisateur individuels.

Remarques

L’appartenance au groupe local Administrateurs dans l’autorité de certification est nécessaire pour renouveler un certificat de l’autorité de certification. Les membres de ce groupe peuvent assumer l’autorité administrative sur tous les autres rôles de l’Autorité de certification.


Table des matières