Classe E (Windows PKI)

Les certificats de classe E sont émis par une autorité de certification intégrée à Microsoft Active Directory. Les titulaires de ces certificats sont des systèmes informatiques internes intégrés au domaine Active Directory de l'administration fédérale (forêts INTRA).
Les systèmes informatiques extérieurs à la forêt UNIX ou faisant partie d'un groupe de travail peuvent également obtenir un certificat de cette autorité au moyen d'un enregistrement manuel, dans la mesure où ils ne sont pas réputés de confiance publique. Les modèles mis à disposition à cet effet sont énumérés sous le point «Certificats système». L'algorithme de hachage sha256 / RSA est généralement utilisé pour les signatures. Le DFAE exploite sa propre autorité de certification dans sa forêt.

Les certificats de classe E font partie des systèmes qui les utilisent. Ils ne peuvent pas être commandés à l'unité selon la procédure standard, cette option n'étant disponible que dans le portail Atlantica (voir la fiche d'information Serveur Windows virtuel).

• Bibliothèque de formulaires et de documents

  Dans la bibliothèque de formulaires et de documents, vous trouverez tous les formulaires et documents de la classe E accessibles au public.

Lifecycle

Acquisition

La demande de certificat figure implicitement dans la demande de création ou de modification d'un compte ou dans la demande d'enregistrement d'un système informatique dans un domaine Windows Active Directory de l'administration fédérale (forêts INTRA et DFAE).

La fonctionnalité PKI de Microsoft Enterprise forme la base du processus d'émission et permet de lancer automatiquement les processus d'enregistrement et d'émission. Les autorisations relatives aux modèles de certificats définis ainsi que les affiliations aux groupes et les objets de stratégie de groupe définissent précisément quels utilisateurs et quels systèmes informatiques doivent obtenir tel ou tel certificat.

Pour des raisons de désignation, seuls les certificats SSL et le déploiement OS de Configuration Manager doivent faire l'objet d'une requête électronique distincte de l'administrateur du serveur.

Un processus d'enregistrement manuel est mis à disposition pour l'acquisition de certificats système destinés aux systèmes informatiques extérieurs aux forêts mentionnées ci-après, aux serveurs UNIX ou aux serveurs des groupes de travail. Ces systèmes informatiques ne peuvent toutefois pas être réputés de confiance publique. Lesdits certificats sont émis exclusivement par l'autorité de certification CA SwissGovernment-E-Intra01.

Réalisation et implémentation

L'émission et la gestion de certificats de classe E s'appuient sur une infrastructure comprenant deux niveaux:

l'autorité de certification racine SwissGovernment-E-Root01 a pour tâche de valider au premier niveau les certificats émis par les autorités de certification du deuxième niveau;

Les autorités de certification émettrices, à savoir:

• SwissGovernment-E-Intra01 pour la forêt INTRA
• SwissGovernment-E-EDA01 pour la forêt DFAE

génèrent, valident, publient et gèrent les certificats des titulaires au deuxième niveau.

Certificats machine

• Certificats système

  Pour les certificats avec utilisation de clé améliorée (EKU): trois modèles de certificats sont mis à disposition pour l'authentification client, l'authentification serveur et l'authentification client-serveur:

  • auto:              enregistrement automatique de certificats
  • ManAPP:        enregistrement manuel de certificats avec approbation du gestionnaire
  • noManAPP:    enregistrement manuel de certificats sans approbation du gestionnaire

  Vous trouverez ci-après un lien vers le guide relatif à l'enregistrement manuel des certificats système de classe E.
  Ce document offre aussi un aperçu des divers certificats de cette classe.

• Authentification au moyen de Kerberos (contrôleur de domaine)

  Ces certificats permettent aux contrôleurs de domaine de s'authentifier auprès d'autres ordinateurs et utilisateurs. Ils sont utilisés avant tout pour l'enregistrement par carte à puce dans le domaine Active Directory.

• Déploiement OS de Configuration Manager

  Vous trouverez de plus amples informations sur la page Certificats de classe C standard.

• Serveur NPS (network policy server)

  Vous trouverez de plus amples informations sur la page Certificats de classe C standard.

• Bureau à distance

  Les clés et les certificats conformes à ces directives de certification offrent un niveau de sécurité TLS 1.0, qui permet de vérifier l'identité du serveur avec l'hôte des sessions de bureau à distance et de chiffrer les communications entre l'hôte des sessions de bureau à distance et le client.

• Activation par jeton d'Armasuisse

  Les clés et les certificats conformes à ces directives de certification permettent d'activer, au moyen d'un jeton, des produits Windows et Office dans des environnements spéciaux.

• IPSec pour les contrôleurs de domaine

  Les clés et les certificats conformes à ces directives de certification permettent de transmettre les données de sauvegarde des contrôleurs de domaine au moyen d'une connexion au réseau chiffrée.

Certificats utilisateurs

• Signature de code

  Les clés et les certificats conformes à ces directives de certification permettent de signer des fichiers binaires. Ils préviennent ainsi l'installation de logiciels non autorisés.

• Solution EFS de base pour les contrôleurs de domaine

  Les clés et les certificats conformes à ces directives de certification permettent de chiffrer les données de sauvegarde de certains contrôleurs de domaine.

• Agent de récupération de solution EFS pour les contrôleurs de domaine

  Les clés et les certificats conformes à ces directives de certification permettent, en cas d'urgence, de déchiffrer les données de sauvegarde de certains contrôleurs de domaine.