Une Autorité de certification (CA) traite chaque demande de certificat en faisant appel à jeu défini de règles. L’Autorité de certification peut émettre certains certificats sans preuve d’identification et exiger une preuve d’identification avant d’émettre d’autres types de certificats. De cette manière, il existe différents niveaux d’assurance pour différents certificats. Ces niveaux d’assurance sont représentés dans des certificats sous la forme de stratégies d’émission.
Une stratégie d’émission (également appelée stratégie de certificat ou d’inscription) est un groupe de règles administratives implémentées lorsque les certificats sont émis. Ces règles sont représentées dans un certificat par un identificateur d’objet (également appelé un OID) défini au niveau de l’Autorité de certification. Cet identificateur d’objet est inclus dans le certificat délivré. Lorsqu’un sujet présente son certificat, ce dernier peut être examiné par le destinataire pour vérifier la stratégie d’émission et déterminer si le niveau de cette stratégie est suffisant pour exécuter l’action demandée.
Windows Server 2008 R2, Windows Server 2008 et Windows Server 2003 incluent quatre stratégies d’émission prédéfinies :
-
Émission (2.5.29.32.0). Cette stratégie indique que la stratégie d’émission contient toutes les autres stratégies d’émission. Généralement, cet identificateur d’objet est réservé aux certificats de l’Autorité de certification.
-
Garantie faible (1.3.6.1.4.1.311.21.8.x.y.z.1.400). L’identificateur d’objet Garantie faible sert à représenter des certificats qui sont émis sans conditions de sécurité supplémentaires.
Remarques La portion x.y.z de l’identificateur d’objet est une séquence numérique générée de manière aléatoire qui est unique à chaque forêt Active Directory.
-
Garantie moyenne (1.3.6.1.4.1.311.21.8.x.y.z.1.401). L’identificateur d’objet Garantie moyenne sert à représenter des certificats qui sont émis avec des conditions de sécurité supplémentaires pour l’émission. Par exemple, un certificat de carte à puce émis dans une réunion face à face avec un émetteur de carte à puce peut être considéré comme un certificat de garantie moyenne et contenir l’identificateur d’objet Garantie moyenne.
-
Garantie élevée (1.3.6.1.4.1.311.21.8.x.y.z.1.402). L’identificateur d’objet Garantie élevée sert à représenter des certificats qui sont émis avec la sécurité la plus élevée. Par exemple, l’émission d’un certificat de l’agent de récupération de clé peut nécessiter des vérifications d’arrières-plans supplémentaires et une signature numérique émanant d’une autorité d’approbation désignée dans la mesure où la personne en possession de ce certificat peut récupérer des éléments de la clé privée d’une Autorité de certification d’entreprise.
Vous pouvez aussi créer vos propres identificateurs d’objet pour représenter les stratégies d’émission personnalisées.
Lorsque des sujets envoient des demandes de certificat à une Autorité de certification, la demande peut être soit approuvée automatiquement, soit placée dans un état d’attente. Un état d’attente est normalement utilisé pour les certificats qui nécessitent un niveau supérieur de garantie et par conséquent une administration et des vérifications accrues de la demande. Il existe un nombre de paramètres qui peuvent configurer les critères d’authentification et de signature pour les certificats d’émission basés sur un modèle.
Paramètre | Description |
---|---|
Approbation du gestionnaire de certificat de l’Autorité de certification |
Tous les certificats sont placés dans le conteneur en attente pour être émis ou refusé par un gestionnaire de certificats. |
Ce nombre de signatures autorisées |
Ce paramètre nécessite que la demande de certificat soit signée numériquement par un ou plusieurs sujets avant d’être émise. Cette opération active plusieurs autres paramètres de configuration. |
Type de stratégies nécessaire dans la signature |
Les signatures requises pour l’émission d’un certificat doivent contenir soit une stratégie d’application spécifique, soit une stratégie d’émission, ou les deux. De cette manière, l’Autorité de certification détermine si la signature permet d’autoriser l’émission du certificat du sujet. Cette option est activée lorsque Ce nombre de signatures autorisées est défini. |
Stratégie d’application |
Spécifie la stratégie d’application à vérifier lors de la signature d’une demande de certificat. Cette option est activée lorsque l’option Type de stratégies nécessaire dans la signature est définie sur Stratégie d’application ou L’application et la stratégie d’émission. |
Stratégie d’émission |
Spécifie les stratégies d’émission à vérifier lors de la signature d’une demande de certificat. Cette option est activée lorsque l’option Type de stratégies nécessaire dans la signature est définie sur Stratégie d’émission ou L’application et la stratégie d’émission. |
La possibilité de modifier ou de créer de nouvelles stratégies d’application n’est disponible que dans les modèles de certificats version 2 et version 3. Pour plus d’informations, voir Modèles de certificats par défaut.
Les clients doivent être réinscrits pour recevoir un certificat basé sur un modèle modifié s’ils possèdent déjà un certificat valide basé sur le modèle précédent. Pour plus d’informations sur la réinscription des clients, voir Réinscrire tous les propriétaires de certificats.
Pour effectuer cette procédure, vous devez appartenir au minimum au groupe Admins du domaine ou Administrateurs de l’entreprise ou à un compte équivalent. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.
Pour modifier une stratégie d’émission |
Ouvrez le composant logiciel enfichable Modèles de Certificats.
Dans le volet d’informations, cliquez avec le bouton droit sur le modèle de certificat à modifier, puis cliquez sur Propriétés.
Cliquez sur l’onglet Conditions d’émission.
Entrez les informations demandées.