Nous étudions la mise en place d'une architecture PKI au seins de
notre société ( 600 collaborateurs répartis sur 30 sites).
Dans un premier temps nous aimerions authentifier l'acces a notre
portail Intranet(IIS6) et a notre messagerie (Exchange 2003), nous
avons exclusivement des OS Windows, avec une active directory.
Nous sommes intéressé par une solution d'authentification par token
USB ou carte a puce, mais avec les certificate serveur de windows,
peut-on gérer ce type de support ? ou existe t-il des outils de
gestions ?
Avec une token USB, il n'est pas n'écessaire, d'installer un logiciel
sur le poset client ? suffit-il d'inserer la clef pour acceder au
portail ?
Et peut-on uniquement acheter un certificat pour notre domaine et
ensuite delivrés des certificats X5009v3 a nos collaborateurs pour
qu'ils puissent signer des messages electronique valide vis a vis des
clients qui ne font pas partie de notre systeme de messagerie ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sylvain
Bonjour,
Nous étudions la mise en place d'une architecture PKI au seins de notre société ( 600 collaborateurs répartis sur 30 sites).
Dans un premier temps nous aimerions authentifier l'acces a notre portail Intranet(IIS6) et a notre messagerie (Exchange 2003), nous avons exclusivement des OS Windows, avec une active directory.
- soit vous évoquez un usage sur site et les utilisateurs sont déjà
authentifiés (durant le log-in via le controleur de domaine et AD) lorsqu'ils se connectent au serveur exchange, - soit vous évoquez un usage type VPN et l'accès aux serveurs exchange comme http se fera via ce VPN.
Nous sommes intéressé par une solution d'authentification par token USB ou carte a puce, mais avec les certificate serveur de windows, peut-on gérer ce type de support ? ou existe t-il des outils de gestions ? les 2 se gérent via leur driver lecteur (si présent) et middleware (dont
CSP) à ce niveau ce ne sont que des "périphériques" avec n'importe quelle donnée.
si vous enrollez (délivrez des certs) via un CA Server synchronisé avec votre base Act.Direct., les certs seront valides pour réaliser le log-in (à partir de controleur sous serveur 2000 et +), le "jeton" d'accès aux resources du réseau controlés par ce controleur (dont le serveur exchange) profiteront alors de cette authentification.
Avec une token USB, il n'est pas n'écessaire, d'installer un logiciel sur le poset client ? suffit-il d'inserer la clef pour acceder au portail ?
un token USB, si l'on de clé de stockage passive sera insuffisante, le *token cryptographique* doit pouvoir délivrer une signature digitale pour être utilisé par le mécanisme d'authentification ms-kérébos cité,
une carte avec interface UBS, ou un lecteur USB (qui acceuille la carte ISO) exige des drivers USB pour être géré par le système; l'utilisation de ce device par des opérations crypto (hors EFS qui n'est pas ouvert) exige un module CSP (qui interface les demandes crypto du service en requêtes adressées au token).
l'accès direct à un portail n'est pas lié aux points précédents - le montage d'un device USB (pas l'insertion d'une carte ISO dans un lecteur) génère un event plug-n-pray qui peut être intercepté par un deamon à écrire pour provoquer l'ouverture d'une page ouèbe.
Et peut-on uniquement acheter un certificat pour notre domaine et ensuite delivrés des certificats X5009v3 a nos collaborateurs pour qu'ils puissent signer des messages electronique valide vis a vis des clients qui ne font pas partie de notre systeme de messagerie ?
si vous basez votre PKI sur un Win CA Server root, les certs ne sont
valides qu'au sein de votre entité, dans ce cas vous n'achetez pas de certs (vous avez déjà payé votre licence MS CA Server).
si vous initialisez votre CA Server avec un certificat de signature de cert acheté auprès d'un CA public, vous ne payez (généralement) que ce cert (pas les certs end-user émis). dans ce cas les fonctionnalités d'administration interne en liaison avec l'AD seront plus limitées.
ceci posé, le choix ne se limite pas à cette exclusion et vous voudrez surement disposer de 2 certs end user, un cert de votre entité (CA Server maitre couplé à AD) pour vos besoins internes (intra ou extra), un venant directement (achat de cert end user) ou indirectement (achat d'un cert de signature de cert) d'un CA public pour vos besoins de courrier (inter).
Merci.
Philippe AURIOU [MCP ASP.NET]
Sylvain.
Bonjour,
Nous étudions la mise en place d'une architecture PKI au seins de
notre société ( 600 collaborateurs répartis sur 30 sites).
Dans un premier temps nous aimerions authentifier l'acces a notre
portail Intranet(IIS6) et a notre messagerie (Exchange 2003), nous
avons exclusivement des OS Windows, avec une active directory.
- soit vous évoquez un usage sur site et les utilisateurs sont déjà
authentifiés (durant le log-in via le controleur de domaine et AD)
lorsqu'ils se connectent au serveur exchange,
- soit vous évoquez un usage type VPN et l'accès aux serveurs exchange
comme http se fera via ce VPN.
Nous sommes intéressé par une solution d'authentification par token
USB ou carte a puce, mais avec les certificate serveur de windows,
peut-on gérer ce type de support ? ou existe t-il des outils de
gestions ?
les 2 se gérent via leur driver lecteur (si présent) et middleware (dont
CSP) à ce niveau ce ne sont que des "périphériques" avec n'importe
quelle donnée.
si vous enrollez (délivrez des certs) via un CA Server synchronisé avec
votre base Act.Direct., les certs seront valides pour réaliser le log-in
(à partir de controleur sous serveur 2000 et +), le "jeton" d'accès aux
resources du réseau controlés par ce controleur (dont le serveur
exchange) profiteront alors de cette authentification.
Avec une token USB, il n'est pas n'écessaire, d'installer un logiciel
sur le poset client ? suffit-il d'inserer la clef pour acceder au
portail ?
un token USB, si l'on de clé de stockage passive sera insuffisante, le
*token cryptographique* doit pouvoir délivrer une signature digitale
pour être utilisé par le mécanisme d'authentification ms-kérébos cité,
une carte avec interface UBS, ou un lecteur USB (qui acceuille la carte
ISO) exige des drivers USB pour être géré par le système; l'utilisation
de ce device par des opérations crypto (hors EFS qui n'est pas ouvert)
exige un module CSP (qui interface les demandes crypto du service en
requêtes adressées au token).
l'accès direct à un portail n'est pas lié aux points précédents - le
montage d'un device USB (pas l'insertion d'une carte ISO dans un
lecteur) génère un event plug-n-pray qui peut être intercepté par un
deamon à écrire pour provoquer l'ouverture d'une page ouèbe.
Et peut-on uniquement acheter un certificat pour notre domaine et
ensuite delivrés des certificats X5009v3 a nos collaborateurs pour
qu'ils puissent signer des messages electronique valide vis a vis des
clients qui ne font pas partie de notre systeme de messagerie ?
si vous basez votre PKI sur un Win CA Server root, les certs ne sont
valides qu'au sein de votre entité, dans ce cas vous n'achetez pas de
certs (vous avez déjà payé votre licence MS CA Server).
si vous initialisez votre CA Server avec un certificat de signature de
cert acheté auprès d'un CA public, vous ne payez (généralement) que ce
cert (pas les certs end-user émis). dans ce cas les fonctionnalités
d'administration interne en liaison avec l'AD seront plus limitées.
ceci posé, le choix ne se limite pas à cette exclusion et vous voudrez
surement disposer de 2 certs end user, un cert de votre entité (CA
Server maitre couplé à AD) pour vos besoins internes (intra ou extra),
un venant directement (achat de cert end user) ou indirectement (achat
d'un cert de signature de cert) d'un CA public pour vos besoins de
courrier (inter).
Nous étudions la mise en place d'une architecture PKI au seins de notre société ( 600 collaborateurs répartis sur 30 sites).
Dans un premier temps nous aimerions authentifier l'acces a notre portail Intranet(IIS6) et a notre messagerie (Exchange 2003), nous avons exclusivement des OS Windows, avec une active directory.
- soit vous évoquez un usage sur site et les utilisateurs sont déjà
authentifiés (durant le log-in via le controleur de domaine et AD) lorsqu'ils se connectent au serveur exchange, - soit vous évoquez un usage type VPN et l'accès aux serveurs exchange comme http se fera via ce VPN.
Nous sommes intéressé par une solution d'authentification par token USB ou carte a puce, mais avec les certificate serveur de windows, peut-on gérer ce type de support ? ou existe t-il des outils de gestions ? les 2 se gérent via leur driver lecteur (si présent) et middleware (dont
CSP) à ce niveau ce ne sont que des "périphériques" avec n'importe quelle donnée.
si vous enrollez (délivrez des certs) via un CA Server synchronisé avec votre base Act.Direct., les certs seront valides pour réaliser le log-in (à partir de controleur sous serveur 2000 et +), le "jeton" d'accès aux resources du réseau controlés par ce controleur (dont le serveur exchange) profiteront alors de cette authentification.
Avec une token USB, il n'est pas n'écessaire, d'installer un logiciel sur le poset client ? suffit-il d'inserer la clef pour acceder au portail ?
un token USB, si l'on de clé de stockage passive sera insuffisante, le *token cryptographique* doit pouvoir délivrer une signature digitale pour être utilisé par le mécanisme d'authentification ms-kérébos cité,
une carte avec interface UBS, ou un lecteur USB (qui acceuille la carte ISO) exige des drivers USB pour être géré par le système; l'utilisation de ce device par des opérations crypto (hors EFS qui n'est pas ouvert) exige un module CSP (qui interface les demandes crypto du service en requêtes adressées au token).
l'accès direct à un portail n'est pas lié aux points précédents - le montage d'un device USB (pas l'insertion d'une carte ISO dans un lecteur) génère un event plug-n-pray qui peut être intercepté par un deamon à écrire pour provoquer l'ouverture d'une page ouèbe.
Et peut-on uniquement acheter un certificat pour notre domaine et ensuite delivrés des certificats X5009v3 a nos collaborateurs pour qu'ils puissent signer des messages electronique valide vis a vis des clients qui ne font pas partie de notre systeme de messagerie ?
si vous basez votre PKI sur un Win CA Server root, les certs ne sont
valides qu'au sein de votre entité, dans ce cas vous n'achetez pas de certs (vous avez déjà payé votre licence MS CA Server).
si vous initialisez votre CA Server avec un certificat de signature de cert acheté auprès d'un CA public, vous ne payez (généralement) que ce cert (pas les certs end-user émis). dans ce cas les fonctionnalités d'administration interne en liaison avec l'AD seront plus limitées.
ceci posé, le choix ne se limite pas à cette exclusion et vous voudrez surement disposer de 2 certs end user, un cert de votre entité (CA Server maitre couplé à AD) pour vos besoins internes (intra ou extra), un venant directement (achat de cert end user) ou indirectement (achat d'un cert de signature de cert) d'un CA public pour vos besoins de courrier (inter).
