.
Sous Certificats : Bibliothèque de formulaires et de documents, vous trouverez tous les formulaires et documents.
Description
Les certificats de classe E sont émis par une autorité de certification intégrée à Microsoft Active Directory. Les titulaires de ces certificats sont des systèmes informatiques internes intégrés au domaine Active Directory de l'administration fédérale (forêts INTRA, ADR).
Les systèmes informatiques extérieurs à la forêt UNIX ou faisant partie d'un groupe de travail peuvent également obtenir un certificat de cette autorité au moyen d'un enregistrement manuel, dans la mesure où ils ne sont pas réputés de confiance publique. Les modèles mis à disposition à cet effet sont énumérés sous le point «Certificats système». L'algorithme de hachage sha256 / RSA est généralement utilisé pour les signatures. Le CDF et le DFAE disposent chacun d'une autorité de certification émettrice dans leur forêt.
Les certificats de classe E font partie des systèmes qui les utilisent. Ils ne peuvent pas être commandés à l'unité selon la procédure standard, cette option n'étant disponible que dans le portail Atlantica (voir la fiche d'information «Windows Server virtuel»).
Fonction: certificats machine
- Certificats système
Pour les certificats avec utilisation de clé améliorée (EKU): trois modèles de certificats sont mis à disposition pour l'authentification client, l'authentification serveur et l'authentification client-serveur:
auto: enregistrement automatique de certificats;
ManAPP: enregistrement manuel de
certificats avec approbation du gestionnaire;
noManAPP: enregistrement manuel de
certificats sans approbation du gestionnaire.
Vous trouverez ci-après un lien vers le guide relatif à l'enregistrement manuel des certificats système de classe E.
Ce document offre aussi un aperçu des divers certificats de cette classe. - Authentification au moyen de Kerberos (contrôleur de domaine)
Ces certificats permettent aux contrôleurs de domaine de s'authentifier auprès d'autres ordinateurs et utilisateurs. Ils sont utilisés avant tout pour l'enregistrement par carte à puce dans le domaine Active Directory. - Serveur SSL (pas réputé de confiance publique)
Vous trouverez de plus amples informations sur la page Certificats de classe C standard.
- Authentification auprès d'une station de travail
Vous trouverez de plus amples informations sur la page Certificats de classe C standard.
- Déploiement OS de Configuration Manager
Vous trouverez de plus amples informations sur la page Certificats de classe C standard. - Serveur NPS (network policy server)
Vous trouverez de plus amples informations sur la page Certificats de classe C standard. - Bureau à distance
Les clés et les certificats conformes à ces directives de certification offrent un niveau de sécurité TLS 1.0, qui permet de vérifier l'identité du serveur avec l'hôte des sessions de bureau à distance et de chiffrer les communications entre l'hôte des sessions de bureau à distance et le client. - Activation par jeton d'armasuisse
Les clés et les certificats conformes à ces directives de certification permettent d'activer, au moyen d'un jeton, des produits Windows et Office dans des environnements spéciaux. - IPSec pour les contrôleurs de domaine
Les clés et les certificats conformes à ces directives de certification permettent de transmettre les données de sauvegarde des contrôleurs de domaine au moyen d'une connexion au réseau chiffrée.
Fonction: certificats utilisateurs
- Signature de code
Les clés et les certificats conformes à ces directives de certification permettent de signer des fichiers binaires. Ils préviennent ainsi l'installation de logiciels non autorisés. - Solution EFS de base pour les contrôleurs de domaine
Les clés et les certificats conformes à ces directives de certification permettent de chiffrer les données de sauvegarde de certains contrôleurs de domaine. - Agent de récupération de solution EFS pour les contrôleurs de domaine
Les clés et les certificats conformes à ces directives de certification permettent, en cas d'urgence, de déchiffrer les données de sauvegarde de certains contrôleurs de domaine.
Qualité des certificats émis
Moyenne (procédure administrative)
Utilisateurs
Machines / utilisateurs
Support de stockage
Certificat enregistré dans le profil de la machine ou de l'utilisateur
Conditions
Aucune
Acquisition
La demande de certificat figure implicitement dans la demande de création ou de modification d'un compte ou dans la demande d'enregistrement d'un système informatique dans un domaine Windows Active Directory de l'administration fédérale (forêts INTRA et DFAE).
La fonctionnalité PKI de Microsoft Enterprise forme la base du processus d'émission et permet de lancer automatiquement les processus d'enregistrement et d'émission. Les autorisations relatives aux modèles de certificats définis ainsi que les affiliations aux groupes et les objets de stratégie de groupe définissent précisément quels utilisateurs et quels systèmes informatiques doivent obtenir tel ou tel certificat.
Pour des raisons de désignation, seuls les certificats SSL et le déploiement OS de Configuration Manager doivent faire l'objet d'une requête électronique distincte de l'administrateur du serveur.
Un processus d'enregistrement manuel est mis à disposition pour l'acquisition de certificats système destinés aux systèmes informatiques extérieurs aux forêts mentionnées ci-après, aux serveurs UNIX ou aux serveurs des groupes de travail. Ces systèmes informatiques ne peuvent toutefois pas être réputés de confiance publique. Lesdits certificats sont émis exclusivement par l'autorité de certification Admin-CCE-Intra01.
Réalisation et implémentation
L'émission et la gestion de certificats de classe E s'appuient sur une infrastructure comprenant deux niveaux:
l'autorité de certification racine Admin-CC-Root01 a pour tâche de valider au premier niveau les certificats émis par les autorités de certification du deuxième niveau;
Les autorités de certification émettrices, à savoir
- Admin-CCE-Intra01 pour la forêt INTRA
- Admin-CCE-EDA01 pour la forêt DFAE
- Admin-CCE-EFK01 pour la forêt CDF, et
- Admin-CCE-ADR01 pour la forêt ADR,
génèrent, valident, publient et gèrent les certificats des titulaires au deuxième niveau.
Formulaire et passation de commande
- Antragsformular für Code Signing Zertifikate der Swiss Government PKI Klasse E (Windows PKI) (PDF, 719 kB, 19.01.2024)
- Revokationsantrag für Code Signing Zertifikate der Swiss Government PKI Klasse E (Windows PKI) (PDF, 78 kB, 19.01.2024)
- Ticketformular Revokation Klasse E Maschinenzertifikate (DOC, 221 kB, 19.01.2024)
Documentation
Autorisation pour les certificats de classe E
Pour commander une autorisation de classe E, veuillez ouvrir un ticket en indiquant les informations suivantes:
- Domaine (ADR, INTRA, …)
- Nom de groupe (par ex. US-intraCA-nonManApp-BIT-BS-BSC-BA)
- Utilisateur de référence (utilisateur disposant déjà de cette autorisation)
- Autorisation pour: personne ou machine (serveur ou client)