Les types d’autorité de certification
Sommaire
I. Présentation
Avant de parler de choix d'architecture AD CS, il est nécessaire de bien comprendre les types d'autorités de certification. Voici quelques explications.
II. Les types de CA que vous pouvez rencontrer
A. Autorité de certification racine
Placé au niveau le plus haut de la hiérarchie de la chaîne de confiance, son certificat est de type autosigné. La protection de sa clé privée est critique. En revanche, la partie publique de son certificat est distribuée largement sur les machines clientes pour établir la chaîne de confiance.
B. Autorité de certification intermédiaire
Situé au niveau en dessous d'une autorité racine, et parfois juste après une autorité intermédiaire de niveau supérieur, sa vocation est de délivrer des certificats aux postes clients, serveurs ou utilisateurs du réseau.
Note : il existe des cas d'usage, notamment sur des équipements de sécurité qui font de l'inspection/déchiffrement SSL, où le certificat d'autorité intermédiaire est délivré au pare-feu et non à un serveur Windows qui héberge le rôle AD CS. Ainsi, le pare-feu peut générer des certificats à la volée, reconnus par les postes clients.
C. Autorité éteinte
Afin d'éviter son exposition et une compromission, le serveur d'autorité est éteint (on parle d’ « offline CA »). Habituellement, il s'agit d'une autorité de certification racine utilisée uniquement pour délivrer un ou plusieurs certificats d'autorité intermédiaire.
La machine doit toutefois être allumée ponctuellement (une à deux fois par an) pour installer les mises à jour du système d'exploitation et publier une nouvelle version de la liste de révocation des certificats.
D. Autorité délivrante
En anglais, elle est appelée « Issuing CA ». Son attribution principale consiste à répondre aux requêtes des clients afin de leur fournir le ou les certificats demandés. Elle héberge la base de données de certificats et elle est plus vulnérable puisqu’elle est allumée en permanence.
E. Autorité de certification autonome
Un serveur d'autorité autonome (Standalone CA) a pour particularité de ne pas être joint au domaine Active Directory. Son risque de compromission est donc plus faible, en cas d'attaque de l'annuaire AD.
Son administration s'opère donc depuis un compte local. Bien que le certificat d'une autorité autonome puisse être ajouté à l'Active Directory pour distribution automatique sur les machines membres du domaine, la fonctionnalité de modèles de certificats n'est pas disponible.
F. Autorité de certification d'Entreprise
Une autorité de certification d'entreprise (Enterprise CA) est une machine intégrée à l'Active Directory. Bien que soumise au niveau de sécurité variable de l'Active Directory, elle offre des fonctionnalités supplémentaires par rapport à une autorité autonome :
- Les modèles de certificats,
- L'inscription automatique de certificats (auto-enrollment),
- Archivage de clés privées,
- Administration via groupes de délégation Active Directory.
III. Conclusion
Les types d’autorités décrits précédemment sont cumulables. Cela signifie qu’une autorité de certification racine peut être à la fois Enterprise et éteinte. Ou encore qu’une autorité de certification intermédiaire existe de type Enterprise et délivrante.
Ces points étant éclaircis, nous pouvons à présent parler de choix d'architecture, dans le chapitre suivant.
