SG-PKI Classe E

Les certificats de classe E sont émis par une autorité de certification intégrée à Microsoft Active Directory. Les titulaires de ces certificats sont des systèmes informatiques internes intégrés au domaine Active Directory de l'administration fédérale (forêts INTRA, ADR).

Les systèmes informatiques extérieurs à la forêt UNIX ou faisant partie d'un groupe de travail peuvent également obtenir un certificat de cette autorité au moyen d'un enregistrement manuel, dans la mesure où ils ne sont pas réputés de confiance publique. Les modèles mis à disposition à cet effet sont énumérés sous le point «Certificats système». L'algorithme de hachage sha256 / RSA est généralement utilisé pour les signatures. Le CDF et le DFAE disposent chacun d'une autorité de certification émettrice dans leur forêt. 

Les certificats de classe E font partie des systèmes qui les utilisent. Ils ne peuvent pas être commandés à l'unité selon la procédure standard, cette option n'étant disponible que dans le portail Atlantica (voir la fiche d'information «Windows Server virtuel»). 

• Certificats système
  Pour les certificats avec utilisation de clé améliorée (EKU): trois modèles de certificats sont mis à disposition pour l'authentification client, l'authentification serveur et l'authentification client-serveur:
  auto:              enregistrement automatique de certificats;
  ManAPP:        enregistrement manuel de
                         certificats avec approbation du gestionnaire;
  noManAPP:    enregistrement manuel de
                        certificats sans approbation du gestionnaire.
  Vous trouverez ci-après un lien vers le guide relatif à l'enregistrement manuel des certificats système de classe E.
  Ce document offre aussi un aperçu des divers certificats de cette classe.
• Authentification au moyen de Kerberos (contrôleur de domaine)
  Ces certificats permettent aux contrôleurs de domaine de s'authentifier auprès d'autres ordinateurs et utilisateurs. Ils sont utilisés avant tout pour l'enregistrement par carte à puce dans le domaine Active Directory.
• Serveur SSL (pas réputé de confiance publique)
  Vous trouverez de plus amples informations sur la page Certificats de classe C standard.
  
  
• Authentification auprès d'une station de travail
  Vous trouverez de plus amples informations sur la page Certificats de classe C standard.
  
  
• Déploiement OS de Configuration Manager
  Vous trouverez de plus amples informations sur la page Certificats de classe C standard.
• Serveur NPS (network policy server)
  Vous trouverez de plus amples informations sur la page Certificats de classe C standard.
• Bureau à distance
  Les clés et les certificats conformes à ces directives de certification offrent un niveau de sécurité TLS 1.0, qui permet de vérifier l'identité du serveur avec l'hôte des sessions de bureau à distance et de chiffrer les communications entre l'hôte des sessions de bureau à distance et le client.
• Activation par jeton d'armasuisse
  Les clés et les certificats conformes à ces directives de certification permettent d'activer, au moyen d'un jeton, des produits Windows et Office dans des environnements spéciaux.
• IPSec pour les contrôleurs de domaine
  Les clés et les certificats conformes à ces directives de certification permettent de transmettre les données de sauvegarde des contrôleurs de domaine au moyen d'une connexion au réseau chiffrée.

• Signature de code
  Les clés et les certificats conformes à ces directives de certification permettent de signer des fichiers binaires. Ils préviennent ainsi l'installation de logiciels non autorisés.
• Solution EFS de base pour les contrôleurs de domaine
  Les clés et les certificats conformes à ces directives de certification permettent de chiffrer les données de sauvegarde de certains contrôleurs de domaine.
• Agent de récupération de solution EFS pour les contrôleurs de domaine
  Les clés et les certificats conformes à ces directives de certification permettent, en cas d'urgence, de déchiffrer les données de sauvegarde de certains contrôleurs de domaine.

 Moyenne (procédure administrative)

 Machines / utilisateurs

Certificat enregistré dans le profil de la machine ou de l'utilisateur

Aucune

La demande de certificat figure implicitement dans la demande de création ou de modification d'un compte ou dans la demande d'enregistrement d'un système informatique dans un domaine Windows Active Directory de l'administration fédérale (forêts INTRA et DFAE).

La fonctionnalité PKI de Microsoft Enterprise forme la base du processus d'émission et permet de lancer automatiquement les processus d'enregistrement et d'émission. Les autorisations relatives aux modèles de certificats définis ainsi que les affiliations aux groupes et les objets de stratégie de groupe définissent précisément quels utilisateurs et quels systèmes informatiques doivent obtenir tel ou tel certificat.

Pour des raisons de désignation, seuls les certificats SSL et le déploiement OS de Configuration Manager doivent faire l'objet d'une requête électronique distincte de l'administrateur du serveur.

Un processus d'enregistrement manuel est mis à disposition pour l'acquisition de certificats système destinés aux systèmes informatiques extérieurs aux forêts mentionnées ci-après, aux serveurs UNIX ou aux serveurs des groupes de travail. Ces systèmes informatiques ne peuvent toutefois pas être réputés de confiance publique. Lesdits certificats sont émis exclusivement par l'autorité de certification Admin-CCE-Intra01.

L'émission et la gestion de certificats de classe E s'appuient sur une infrastructure comprenant deux niveaux:

l'autorité de certification racine Admin-CC-Root01 a pour tâche de valider au premier niveau les certificats émis par les autorités de certification du deuxième niveau;

Les autorités de certification émettrices, à savoir

• Admin-CCE-Intra01 pour la forêt INTRA
• Admin-CCE-EDA01 pour la forêt DFAE
• Admin-CCE-EFK01 pour la forêt CDF, et
• Admin-CCE-ADR01 pour la forêt ADR,

génèrent, valident, publient et gèrent les certificats des titulaires au deuxième niveau.