Certificat

Le
Gregoire
Bonjour,

Je ne comprends pas la notion de certificat.

J'ai vu qu'on peut se créer une CA racine d'entreprise donc gratuit et qu'il
existe des solutions payantes comme Verisign.
Pourquoi payer? Le CA racine ne serait valable qu'en interne est-ce bien ça?

Quand on parle de certificat, on parle obligatoirement de SSL? 128 bits est
le maximum autorisé en France? et aux Etats-Unis?

Merci de m'éclairer.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry MILLE [MVP]
Le #886915
"Gregoire" news:%23xHO004$
Bonjour,

Je ne comprends pas la notion de certificat.
Le certificat sur le serveur Web du serveur Exchange va permettre de

sécuriser les échanges entre les clients et le serveur. Cela permet aussi de
bénéficier de fonctionnalités comme l'authentification par formulaire, les
RPC dans HTTPS, ActiveSync en HTTPS, OMA en HTTPS.

J'ai vu qu'on peut se créer une CA racine d'entreprise donc gratuit et
qu'il existe des solutions payantes comme Verisign.
Pourquoi payer? Le CA racine ne serait valable qu'en interne est-ce bien
ça?


Une autorité d'entreprise est très intéressante dans la mesure où vous
pourrez modifier puis publier des modèles de certificats, il est possible de
réaliser des inscriptions automatiques (pratique pour EFS par exemple), les
certificats sont automatiquement mappés sur les comptes AD (onglet
Certificats publiés), il est possible de prévoir un agent de récupération
des certificats, etc. L'inconvénient majeur étant que le plus souvent les
autorités d'entreprises ne sont pas certifiées par des autorités racines qui
sont reconnues au niveau des navigateurs (accords entre Microsoft et les
autorités de certification généralement "mondiales"). il en résulte que par
défaut, seuls les utilisateurs, services et ordinateurs font confiance aux
certificats émis par des autorités de certification d'entreprise (racines ou
secondaires mais dont le certificat a été délivré par une autonome qui n'est
pas pour autant dans les magasins des autorités racines de confiance).

Une CA interne ne pose pas de problème si :
=> tous les clients sont membres du domaine
=> vous installez manuellement la chaîne de confiance de l'autorité de
certification sur les machines qui ne sont pas rattachées au domaine
(stations de travail, assistants personnels numériques, etc). Cette
opération ne nécessite pas de droits particuliers (utilisateur "de base"
suffit amplement et est très rapide).

La CA interne peut aussi être en partie "publique" (sans forcément délivrer
des certificats de manière publique) en publiant la liste de révocation des
certificats notamment sur un serveur Web public. Vous pouvez aussi laisser
en téléchargement l'installation de la chaîne de confiance de l'autorité de
certification.

Quand on parle de certificat, on parle obligatoirement de SSL? 128 bits
est le maximum autorisé en France? et aux Etats-Unis?


Les certificats sont utilisés de manière non exhaustives pour :
la protection du courrier électronique (signature ou cryptage), ouverture de
session, authentification réseau, authentification 802.1x (réseaux filaires
et sans fils), IPSec, signature de code (programmes et fichiers comme les
XPS par exemple), cryptage des fichiers (EFS), etc.

Pour le transport des données il existe SSL mais aussi TLS considére comme
plus sécurisé (vous pouvez installer un cetificat sur le serveur SMTP
virtuel par exemple pour sécuriser les échanges entre serveurs Exchange dans
une organisation par exemple)

128 bits est effectivement le maximum autorisé en France et aux USA pour la
transmission de données. Le site français de référence est celui ci :
http://www.ssi.gouv.fr/fr/reglementation/index.html

Cordialement

--
Thierry MILLE [MVP]

KHIYATI
Le #886300
Bonjour, et merci BCP pour ces explications;
Je veut des éclaircissements comment rendre la CA interne en partie public
en publiant la liste de révocation certificat sur le serveur Web public???


"Thierry MILLE [MVP]"
"Gregoire" news:%23xHO004$
Bonjour,

Je ne comprends pas la notion de certificat.
Le certificat sur le serveur Web du serveur Exchange va permettre de

sécuriser les échanges entre les clients et le serveur. Cela permet aussi
de bénéficier de fonctionnalités comme l'authentification par formulaire,
les RPC dans HTTPS, ActiveSync en HTTPS, OMA en HTTPS.

J'ai vu qu'on peut se créer une CA racine d'entreprise donc gratuit et
qu'il existe des solutions payantes comme Verisign.
Pourquoi payer? Le CA racine ne serait valable qu'en interne est-ce bien
ça?


Une autorité d'entreprise est très intéressante dans la mesure où vous
pourrez modifier puis publier des modèles de certificats, il est possible
de réaliser des inscriptions automatiques (pratique pour EFS par exemple),
les certificats sont automatiquement mappés sur les comptes AD (onglet
Certificats publiés), il est possible de prévoir un agent de récupération
des certificats, etc. L'inconvénient majeur étant que le plus souvent les
autorités d'entreprises ne sont pas certifiées par des autorités racines
qui sont reconnues au niveau des navigateurs (accords entre Microsoft et
les autorités de certification généralement "mondiales"). il en résulte
que par défaut, seuls les utilisateurs, services et ordinateurs font
confiance aux certificats émis par des autorités de certification
d'entreprise (racines ou secondaires mais dont le certificat a été délivré
par une autonome qui n'est pas pour autant dans les magasins des autorités
racines de confiance).

Une CA interne ne pose pas de problème si :
=> tous les clients sont membres du domaine
=> vous installez manuellement la chaîne de confiance de l'autorité de
certification sur les machines qui ne sont pas rattachées au domaine
(stations de travail, assistants personnels numériques, etc). Cette
opération ne nécessite pas de droits particuliers (utilisateur "de base"
suffit amplement et est très rapide).

La CA interne peut aussi être en partie "publique" (sans forcément
délivrer des certificats de manière publique) en publiant la liste de
révocation des certificats notamment sur un serveur Web public. Vous
pouvez aussi laisser en téléchargement l'installation de la chaîne de
confiance de l'autorité de certification.

Quand on parle de certificat, on parle obligatoirement de SSL? 128 bits
est le maximum autorisé en France? et aux Etats-Unis?


Les certificats sont utilisés de manière non exhaustives pour :
la protection du courrier électronique (signature ou cryptage), ouverture
de session, authentification réseau, authentification 802.1x (réseaux
filaires et sans fils), IPSec, signature de code (programmes et fichiers
comme les XPS par exemple), cryptage des fichiers (EFS), etc.

Pour le transport des données il existe SSL mais aussi TLS considére comme
plus sécurisé (vous pouvez installer un cetificat sur le serveur SMTP
virtuel par exemple pour sécuriser les échanges entre serveurs Exchange
dans une organisation par exemple)

128 bits est effectivement le maximum autorisé en France et aux USA pour
la transmission de données. Le site français de référence est celui ci :
http://www.ssi.gouv.fr/fr/reglementation/index.html

Cordialement

--
Thierry MILLE [MVP]



Thierry MILLE [MVP]
Le #886297
"KHIYATI" news:
Bonjour, et merci BCP pour ces explications;
Je veut des éclaircissements comment rendre la CA interne en partie public
en publiant la liste de révocation certificat sur le serveur Web public???

Par sécurité, vous pouvez choisir de ne pas publier l'autorité de

certification interne sur Internet. Par contre, vous devriez modifier les
chemins de publication de la liste de révocation des certificats (CDP) et
des points d'accès aux informations de l'autorité de certification (AIA).
Typiquement, cela peut être réalisé par modification du fichier
%systemroot%capolicy.inf AVANT l'installation du service de certificat
(généralement utilisé sur une autorité secondaire).
Par exemple, il est possible de vous assurer que les extensions CDP et AIA
ne sont pas incluses dans l'autorité de certification en utilisant les
entrées :
[CRLDistributionPoint]
Empty=True
[AuthorityInformationAccess]
Empty=True
dans le fichier CAPolicy.inf.

Si vous pouvez et souhaitez copier la liste de révocation des certificats,
vous devriez modifier le chemin de publication en utilisant certutil -setreg
CACRLPublishingURLS:http://www.votresite.com/Cert/liste.crl
Ensuite, vous devrez manuellement copier la liste du serveur sur votre
serveur Web Public.

Cordialement

--
Thierry MILLE [MVP]

"Thierry MILLE [MVP]"
"Gregoire" news:%23xHO004$
Bonjour,

Je ne comprends pas la notion de certificat.
Le certificat sur le serveur Web du serveur Exchange va permettre de

sécuriser les échanges entre les clients et le serveur. Cela permet aussi
de bénéficier de fonctionnalités comme l'authentification par formulaire,
les RPC dans HTTPS, ActiveSync en HTTPS, OMA en HTTPS.

J'ai vu qu'on peut se créer une CA racine d'entreprise donc gratuit et
qu'il existe des solutions payantes comme Verisign.
Pourquoi payer? Le CA racine ne serait valable qu'en interne est-ce bien
ça?


Une autorité d'entreprise est très intéressante dans la mesure où vous
pourrez modifier puis publier des modèles de certificats, il est possible
de réaliser des inscriptions automatiques (pratique pour EFS par
exemple), les certificats sont automatiquement mappés sur les comptes AD
(onglet Certificats publiés), il est possible de prévoir un agent de
récupération des certificats, etc. L'inconvénient majeur étant que le
plus souvent les autorités d'entreprises ne sont pas certifiées par des
autorités racines qui sont reconnues au niveau des navigateurs (accords
entre Microsoft et les autorités de certification généralement
"mondiales"). il en résulte que par défaut, seuls les utilisateurs,
services et ordinateurs font confiance aux certificats émis par des
autorités de certification d'entreprise (racines ou secondaires mais dont
le certificat a été délivré par une autonome qui n'est pas pour autant
dans les magasins des autorités racines de confiance).

Une CA interne ne pose pas de problème si :
=> tous les clients sont membres du domaine
=> vous installez manuellement la chaîne de confiance de l'autorité de
certification sur les machines qui ne sont pas rattachées au domaine
(stations de travail, assistants personnels numériques, etc). Cette
opération ne nécessite pas de droits particuliers (utilisateur "de base"
suffit amplement et est très rapide).

La CA interne peut aussi être en partie "publique" (sans forcément
délivrer des certificats de manière publique) en publiant la liste de
révocation des certificats notamment sur un serveur Web public. Vous
pouvez aussi laisser en téléchargement l'installation de la chaîne de
confiance de l'autorité de certification.

Quand on parle de certificat, on parle obligatoirement de SSL? 128 bits
est le maximum autorisé en France? et aux Etats-Unis?


Les certificats sont utilisés de manière non exhaustives pour :
la protection du courrier électronique (signature ou cryptage), ouverture
de session, authentification réseau, authentification 802.1x (réseaux
filaires et sans fils), IPSec, signature de code (programmes et fichiers
comme les XPS par exemple), cryptage des fichiers (EFS), etc.

Pour le transport des données il existe SSL mais aussi TLS considére
comme plus sécurisé (vous pouvez installer un cetificat sur le serveur
SMTP virtuel par exemple pour sécuriser les échanges entre serveurs
Exchange dans une organisation par exemple)

128 bits est effectivement le maximum autorisé en France et aux USA pour
la transmission de données. Le site français de référence est celui ci :
http://www.ssi.gouv.fr/fr/reglementation/index.html

Cordialement

--
Thierry MILLE [MVP]







Gregoire
Le #886294
J'avoue que j'ai dû bien m'y reprendre à 3 reprises à la lecture de cette
réponse de haut niveau (à mon sens) dont nous fait part Thierry MILLE ici,
vraiment un grand merci.

Cependant, tu dis :
________________________________________
[quote]Une CA interne ne pose pas de problème si :
=> tous les clients sont membres du domaine[/quote]

Cela signifie donc que personne ne doit s'y connecter depuis l'extérieur?

_______________________________________________________________
[quote]Pour le transport des données il existe SSL mais aussi TLS considére
comme
plus sécurisé[/quote]

SSL et TLS est-ce la même chose? Quelles différences (abus de language?)

_______________________________________________________________
[quote]128 bits est effectivement le maximum autorisé en France et aux USA
pour la
transmission de données. Le site français de référence est celui ci
:[/quote]

J'aurais pourtant juré avoir vu une valeur de 1024 bits aux USA, ou alors
dans un autre contexte.
Thierry MILLE [MVP]
Le #886092
"Gregoire" news:e1buVo%
J'avoue que j'ai dû bien m'y reprendre à 3 reprises à la lecture de cette
réponse de haut niveau (à mon sens) dont nous fait part Thierry MILLE ici,
vraiment un grand merci.
S'il y a fallu relire à trois fois cela signifie que c'était mal formulé.



Cependant, tu dis :
________________________________________
[quote]Une CA interne ne pose pas de problème si :
=> tous les clients sont membres du domaine[/quote]

Cela signifie donc que personne ne doit s'y connecter depuis l'extérieur?


Si cela est possible, enfin généralement on ne publie sur Internet que la
CRL (CDP) et les informations sur l'autorité de certification (AIA).

_______________________________________________________________
[quote]Pour le transport des données il existe SSL mais aussi TLS
considére comme
plus sécurisé[/quote]

SSL et TLS est-ce la même chose? Quelles différences (abus de language?)


Si SSL est la même chose que TLS d'après certaines littératures, il s'agit
en effet d'un abus de langage.
Vous pouvez utiliser cet article Wikipedia comme base :
http://fr.wikipedia.org/wiki/Transport_Layer_Security

_______________________________________________________________
[quote]128 bits est effectivement le maximum autorisé en France et aux USA
pour la
transmission de données. Le site français de référence est celui ci
:[/quote]

J'aurais pourtant juré avoir vu une valeur de 1024 bits aux USA, ou alors
dans un autre contexte.
Cela concerne la longueur des clés asymétriques (publiques).

http://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique

Cordialement

--
Thierry MILLE [MVP]

Publicité
Poster une réponse
Anonyme