Guide de mise en œuvre d`un Smartcard logon avec une carte CPS
Contents
1. Changer a uunsateur N Ga l utilisateur saisit son code porteur et son compte dans le champ hint COSIGN Cartel f La session s ouvre L ergonomie de ce sc nario n est pas aussi satisfaisante que celle associ e un compte pour lequel UPN du SAN est utilis Il est n cessaire de bien peser cet l ment au moment de la d finition du projet 184 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 15 Configuration de la strategie de d tection d arrachage de la carte e D marrer gt Ex cuter gt services msc e Localiser Strat gie de retrait de la carte puce iol Fichier Action Affichage acer m u mp CA Services local Services local Mom gt Description tat Type de d marrage a Strat gie de retrait de la carte puce Service Panneau de saisie Tablet PC Active les F Manuel LE Service SSTP Secure Socket Tunnel Prend en c Manuel RARE S5 Services Bureau distance Gutorise le D ma Manuel CE Services de base de module de plat Active lacc Manuel Description SA Services de certificats Active Directory Cr e g re D ma Automatique Autorise le syst me tre configure Pour EE Services de chiffrement Fournit qu D ma Automatique verrouiller le Bureau de l u2. Mod les de Propri t s du nouveau mod le Nom F Console1 Racine de la console Mod les d Nom du sujet Extensions G n ral Traitement de la demande Serveur Conditions d mission Mod les obsol tes S curit i Pour modifier une extension s lectionnez la et cliquez su LIL r o ET TR ET 0 Une strat gie d application nomm e utilisation de la cl am lior e dans Windows 2000 d finit la mani re dont un certificat peut tre utilis S lectionnez la strat gie d application n cessaire pour des signatures valides de certificats mis par ce mod le x Extensions inclues dans ce mod le Contraintes de base B Informations du mod le de certificat E Strat gies d application 4 uthe 4 uthe Strat gies d application a PKId T Autori Est shrine d missi ij Pt E Autori AOSE Comission Authentification de Agent SHA System Health 4 Mod l Dl chi Utilisation de la cl Authentification du client o El pts w Chiffri Nouvelle strat gie d application FX P Ci 4 Canne Gc amp contr Entrez le nom de la nouvelle strat gie d application puis modifiez Go E Echan l identificateur d objet le cas ch ant M D E EFS b Nom gm iB psec Description de Strat gies Remote Desktop Computer Services c 4 IPSEC 7 B ordi Authentification du client tes d obet Utilisa Ordin fAuthentification du serve ade E A Sites Points
3. ee D livr WIN LISFPOA3GLD9 pts psce fde Fr Actions WIN USFPOASGLD9 pts SSSR Autres actions WIN U9FPOA3GLD9 pts psce fde fr Autres actions Le magasin Remote Desktop contient 1 certificat Figure 112 Terminal Server Configuration 5 Outils d administration gt Services de bureau distance gt Configuration d h te de session Bureau distance 6 rdp tcp gt clic droit gt propri t s E Gestionnaire de serveur Fichier Affichage CL Alm Gestionnaire de serveur WIN LUISFPOA3SGLD9 E D R les Serveur d applications Serveur Web IIS E Services Bureau distance Gestionnaire RemoteApp WIN USFPOA3GLC amp Configuration d h te de session Bureau dis g Gestionnaire des services Bureau distance 3 Services de certificats Active Directory Action Configuration d h te de session Bureau distan Configuration du serveur h te de WIN USFPOASGLDS Vous pouvez utiliser l outil de configuration d h te de ses connexions modifier ceux des connexions existantes et connexion par connexion ou pour le serveur h te de se Connexions Nom de la connexion Type de connexion Tran ADP Tcp Microsoft RDP 7 1 tcp Services de domaine Active Directory Fonctionnalit s E g Diagnostics 3 Observateur d v nements Performance ay Gestionnaire de p riph riques 4 Configuration Stockage Modifier les param tr
4. Racine de la console D lvr D livr pa Nom convivial ql Certificats Utilisateur actuel Cg ASIP SANTE TECHNIQUE ASIP SANTE TECHNIQUE 31 12 2030 lt Tout gt lt Aucun gt Personnel 3 Baltimore CyberTrust Root Baltimore CyberTrust Root 13 05 2025 Authentification dus Baltimore CyberTrust _ Certificats EalClass 3 Public Primary Certification Class 3 Public Primary Certification A 02 08 2028 Messagerie lectroni VeriSign Class 3 Publi J Autorit s de certification racines de confiance E Class 3 Public Primary Certification Class 3 Public Primary Certification A 08 01 2004 Messagerie lectroni VeriSign leu Certificats ql Copyright c 1997 Microsoft Corp Copyright c 1997 Microsoft Corp 31 12 1999 Enregistrement desi Microsoft Timestamp Confiance de l entreprise oe ESIR Cgleu cosign ca eu cosign ca 30 06 2018 lt Tout gt lt Aucun gt Autorit s de certification interm diaires A i 30 06 2018 lt Tout gt cians Liste de r vocation des certificats ms pages ot 0 z Certificats ERlGIP CPS GIP CPS 31 12 2020 lt Tout gt lt Aucun gt 5 Objet utilisateur Active Directory Cl GIP CPS ANONYME GIP CPS ANONYME 31 12 2020 lt Tout gt lt Aucun gt E diteurs approuv s ERlGIP CPS PROFESSIONNEL GIP CPS PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt Gi Certificats non autoris s EIGIP CPS STRUCTURE GIP CPS STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt fi Autorit s de certific
5. lt Pr c dent Installer Annuler Figure 58 AD CS Installation du r le 85 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non comm ercial use on hy a mt g J Assistant Ajout de roles E Inscription de l autorit de certification via le Web _ R pondeur en ligne Service d inscription de p riph riques r seau Service Web Inscription de certificats Service Web Strat gie d inscription de certificats En savoir plus sur les ser ws Figure 59 AD CS service du r le Autorit de certification 86 229 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx ASIP Sant H W2008R2 Base VMware Player Non commercial use only paver iJ ch det iq x Assistant Ajout de roles Sp cifier le type d installation Avant de commencer Les autorit s de certification peuvent utiliser les donn es d Active Directory pour simplifier l mission et la gestion de certificats Indiquez si vous souhaitez tablir une autorit de certification d entreprise ou autonome R les de serveurs Le Entreprise Services de r le S lectionnez cette option si cette autorit de certification est un membre de domaine et peut utiliser le service d annuaire pour mettre et g rer des certificats Type d install
6. Param tres de s curit du contr leur de domaine gt options de s curit gt ouverture de session interactive gt n cessite l authentification par le contr leur de domaine pour le d verrouillage gt Activ Attention dans ce cas si le serveur est injoignable la session ne pourra pas s ouvrir 38 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 11 5 4 D sactivation de la v rification des CRLs A partir de Windows 2008 server il est possible de d sactiver la v rification des CRLs des certificats carte et serveur et donc de ne pas utiliser de provider de r vocation Cette option est d conseill e car elle diminue le niveau de s curit du SI pas de v rification sur l tat de r vocation des cartes utilis es mais elle peut tre utile par exemple 1 dans le but de faciliter les tests 2 pour valider des architectures r seau qui n ont pas forcement d acc s externes pour la r cup ration des CRLs Voici les cl s ajouter en base de registres sur le s contr leur s de domaine contenant le KDC HKEY_LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa Kerberos Parameters Cl UseCachedCRLOnlyAndignoreRevocationUnknownErrors type dword valeur 1 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services kdc cl UseCachedCRLOnlyAndignoreRevocationUnknownErrors type dword valeur 1
7. Importer WIN LISFPOA3GLD9 C Cor Affichage Aut ae eee a sce fde Fr pts WIN LSFPOASGLD9 Nouvelle Fen tre partir d ici Op rations avanc es a PE A T cer Nouvelle vue de la liste des taches pul Actualiser he Exporter la liste E Rer P Aide Racines de confiance de carte 4 puce Bai SPC P riph riques approuv s Demander Un nouveau certificat une autorit de certification de votre domaine Figure 106 Terminal Server Demande de certificat Terminal Server Ef Inscription de certificats Ioj x Inscription de certificats Demander des certificats Yous pouvez demander les types de certificats suivants S lectionnez les certificats que vous voulez demander puis cliquez sur Inscription Strategie d inscription Active Directory T Authentification du contr leur de domaine i Statut Disponible D tails G Contr leur de domaine i Statut Disponible D tails Gg RemoteDesktopComputer i Statut Disponible D tails x M R plication de la messagerie de l annuaire i Statut Disponible D tails 9 PF Afficher tous les mod les En savoir plus sur les certificats Figure 107 Terminal Server Demande de certificat Terminal Server S lection de RemoteDesktopComputer 125 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Ef Inscription de certificats 4 aa Strat g
8. FE el Gs Figure 55 Active Directory Configuration du r le mot de passe LDAP Conseil Noter le mot de passe saisi dans le dossier d exploitation 82 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Assistant In stallation des services de domaine Active Directory ay i Emplacement de la base de donn es des fichiers joumaux et de SYSVOL Spe citiez les dossiers qui contiendront la base de donn es du contr leur de domaine Active Directory les fichiers joumaux et SYSVOL C Windows NTDS r C Windows S YSVOL Figure 56 Active Directory Configuration du r le configuration des bases de donn es 83 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only PF LL re les utilisateurs et les sateur l authentification et les tee er l actualisation a fal Of Figure 57 Active Directory Configuration du r le Installation GPMC 84 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 5 Installation d un r le Certificate Server Sous Windows 2008R2 le r le Certificate Server s installe en ajoutant le r le Services de certificats Active Directory Conseil bien rev
9. HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa Kerberos Parameters LogToFile HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa Kerberos Parameters KerbDebugLevel HKEY_LOCAL_MACHINE System CurrentControlSet Services Kdc KdcDebugLevel En fusionnant le fichier suivant log kerberos reg debug smartcard logon kerberos deactivate reg Tableau 40 D sactivation des traces Kerberos activ es via la base de registre 202 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 17 2 2 Via Tracelog Tracelog exe est un outil Microsoft fourni avec Visual Studio ou avec le WDK fourni dans le r pertoire bin du Kit ASIP Sant Smartcard logon 12 17 2 2 1Activation Activation des traces Kerberos via Tracelog tracelog exe kd rt start ntlm guid 5BBB6C18 AA45 49b1 A15F 085F7ED0AA90 f ntim etl flags 0x15003 ft 1 En utilisant les tracelog exe kd rt start kerb guid 6B510852 3583 4e2d AFFE A67F9F223438 appels f kerb etl flags 0x43 ft 1 tracelog exe kd rt start kdc guid 1BBA8B19 7F31 43c0 9643 6E911F79A06B f kdc etl flags 0x803 ft 1 En fusionnant le fichier de commande log kerberos tracelog 02 asipsante smartcard logon kerberos tracelog cmd start Tableau 41 Activation des traces Kerberos via Tracelog 12 17 2 2 2G n ration Emplacement des traces Kerberos via Tracelog ntlm et
10. diteurs approuv s Certificats non autoris s Autorit s de certification racine tier i Personnes autoris es C Remote Desktop Demandes d inscription de certifical Racines de confiance de carte pe SPC P riph riques approuv s Be P i oy Certificats Utilisateur actuel Configuration d h te de session Burear Domaines et approbations Active Direc i Strat gie Default Domain Controllers Pi am Gestionnaire des services Bureau disl 33 PKI d entreprise EE Sites et services Active Directory Utilisateurs et ordinateurs Active Direc Figure 138 Active Directory Configuration Copie de certificats Racine Fen tre 7 P 01 asipsante smartcard logon console Racine de la console Certificats ordinateur local Autorit s de certification racines de confiance Certificats Fichier HA _ gt Am SE e HE D livr a dati par Ue SUS Een R les pr vus AC RACINE IGC SANTE ELEMENT RACINE IGC SAMTE FORT AC RACINE IGC SANTE STANDARD GalAddTrust External C4 Root ASIP SANTE TECHNIQUE el Baltimore CyberTrust Root EI L a Class 3 Public Primary Certification Galclass 3 Public Primary Certification a Copyright fc 1997 Microsoft Corp ClDigiCert Assured ID Root CA Gal Digicert Global Root CA a DigiCert High Assurance EV Root CA el Equifax Secure Certificate Authority Cgleu FR ASIPSANTE 00 C4 leu FR ASIPSANTE 00 C4 GalGeoTrust Global CA G
11. La Strat gies de comptes a CA Strat gies locales La Strat gie d audit CA Attribution des droits utilisater a Options de s curit F gt Pare feu Windows avec fonctions EH Ouverture de session interactive carte puce n cessaire Ouverture de session interactive comportement lorsque la car Aucune action Ouverture de session interactive contenu du message pour le Ouverture de session interactive ne pas afficher le dernier no D sactiv Ouverture de session interactive ne pas demander la combina D sactiv Ouverture de session interactive n cessite l authentification p Active C Strat gies du gestionnaire de listes A Strat gies de cl publique Ouverture de session interactive pr venir l utilisateur qul do 5 jours E Strat gies de restriction logicielle Ouverture de session interactive titre du message pour les util F Strat gies de contr le de l applicat Ouvertures de sessions interactives nombre d ouvertures des 10 Ouvertures de session 8 Strat gies de s curit IP sur Ording 7 Param tres syst me Sous syst mes optionnels Posi 4 ll F Param tres syst me utiliser les r gles de certificat avec les ex D sactiv Figure 15 Forcer l utilisation de la carte puce par strat gie locale Attention l utilisation de cette strat gie impacte tous les comptes dont les comptes administrateurs qui auront besoin d une carte puce pour se logger 37
12. Mettre jour ce serveur Mises jour Rapports Activer la mise jour et l envoi de rapports automatiques Mises jour recherch es amp T l charger et installer les mises Mises jour install es jour Personnaliser ce serveur ie Ajouter des r les P Ajouter des fonctionnalit s R les Fonctionnalites Bureau a distance a Activer le Bureau distance Pare feu WIN S2TJH90G 035 WORKGROLIP P Mise jour du serveur Windows Non configur Rapport d erreurs Windows d sactiv Ne pas participer au Programme d am lioration du produit Jamais Jamais lid Personnalisation du serveur Aucun Aucun D sactiv Public Activ iw Configurer le Parefeu Windows Ne pas afficher cette fen tre l ouverture de session Figure 36 Windows serveur Installation accueil Conseil D marrer gt panneau de configuration gt Petites ic nes Conseil D marrer gt panneau de configuration gt Options des dossiers gt d cocher les options Masquer 63 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Conseil Pour les tests la configuration du serveur avant la production d sactiver la s curit renforc e D marrer gt panneau de configuration gt Programmes et fonctionnalit s gt Activer ou d sactiver des fonctionnalit s de Windo
13. journaux des applications et des services Provider de r vocation V rification commande certutil verify cert cer commande certutil pulse cert cer certificat d authentification d une carte CPS Installation de AD CS sur le contr leur de domaine ou sur un autre serveur du domaine Cf annexe pour aper us d installation Gestionnaire de serveur gt R les gt Ajouter des r les gt Service de certificats Active Directory PKI Microsoft Service de certificats IGC Microsoft G n ration du certificat racine choisir autorit Identique Windows 2008 racine d entreprise g n ration du certificat serveur DC g n r automatiquement lors de l installation de la PKI sur tous les contr leurs de domaine du domaine Reboot du serveur contr leur s de domaine Tableau 13 Serveur Installation du serveur 40 229 ASIP Sant 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx Configuration Configuration de la strat gie de groupe du domaine Configuration du container NTAuth Active Directory Configuration des magasins de certificats du serveur Windows 2008 Server Ajout des autorit s racines client et serveur la strat gie de groupe du domaine Cf annexe pour aper us de configuration commande MMC gt Strat gie Default Domain Controllers policy gt Configuration ordinateur
14. nv TS Installer les Cryptolib CPS v5 0 8 c t AT 0090 0001075 a eee ee client et serveur Confirme Confirme apparait al atoirement 209 229 ASIP Sant AT_0100 AT_0110 AT_0120 AT_0130 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx Ticket s 0001047 0001097 OS Archi Limitation Env Citrix http support citrix com article CTX136248 http support citrix com article CTX136922 cf 4 ASIP PTS PSCE_Manuel Installation utilisation Cryptolib CPS 20140224 v5 0 2 pdf Env TSE Les utilisateurs ne peuvent pas utiliser une carte a puce pour se connecter a une session de Services Terminal Server sur un ordinateur qui execute Windows Server 2008 Available Updates for Remote Desktop Services Terminal Services on Windows Server 2008 R2 SP1 La s lection automatique des certificats carte en Smartcard logon ne marche pas lorsque 2 cartes sont pr sentes sur le poste client Il n est pas possible d ouvrir 2 sessions TSE automatiquement en parallele avec 2 cartes depuis un m me poste client Les 2 sessions s ouvrent sir la s lection est explicit e par l utilisateur 24 09 2014 Statut Alternative Statut Alternative A Probl me Installer W2008R2 SP1 ou le KB958596 http support microsoft com kb 95 8596 en http support microsoft com id 2 601888 http support microsoft com kb 25 21923 http blogs technet c
15. 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 11 5 2 Comportement du syst me au retrait de la carte puce Par d faut l extraction de la carte puce du lecteur pendant une session aucune action n est r alis e Mais pour plus de s curit il est possible de configurer le comportement de la session sur cet v nement d arrachage de carte Par strat gie de groupe Param tres de s curit locaux gt Strat gie locale gt Options de s curit gt Comportement lorsque la carte est retir e e Aucune action e Verrouille session verrouillage de la session e Force Logout fermeture de la session 11 5 3 Forcer l approbation du contr leur de domaine louverture de session Par d faut si le contr leur de domaine est injoignable ou indisponible une session cliente peut tre ouverte m me sans r ponse du serveur en utilisant les informations de session mises en cache Ceci est valable aussi bien en ouverture de session par login password qu en ouverture de session par carte puce Les informations de la derni re session ouverte sont alors utilis es ce pour un certain nombre d ouvertures de session sans contr leur de domaine d fini par strat gie de groupe Il est possible de modifier ce comportement en for ant l approbation du serveur de domaine a chaque ouverture de session par strat gie de groupe
16. ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx CN AC RACINE IGC SANTE FORT OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR CN AC RACINE IGC SANTE STANDARD OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR IssuerDN CN AC RACINE IGC SANTE FORT OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR CN AC RACINE IGC SANTE STANDARD OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR Fichier r p Thumbprint SHA 1 cer cer BBE 51C8B107ACD2 9F 7 D12EOQFCDD 17E 00138764 B6BA1D6D5224BCED A95A67F6F37B8689 6EDDO006 SubjectKeyldentifie 38430511002EE75 2C3E8974674F8A4 FB9CDCE5EE COAC89F12470D52 AuthorityKeyldent fier 38430511002EE75 2C3E8974674F8A AFBICDCESEE COAC89F12470D5 BE2D5D4B48405C0 2BE2D5D4B48405 810572539B C0810572539B LM Perso X LM inter 24 09 2014 Strat Ro Start Int 196 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx CN AC RACINE IGC SANTE ELEMENTAIRE OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR CN AC IGC SANTE FORT ORGANISATION S OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR IssuerDN CN AC RACINE IGC SANTE ELEMENTAIR E OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR CN AC RACINE IGC SANTE FORT OU IGC SANTE OU 0002 187512751
17. Hi Utilisateur de carte puce Windows 2000 11 1 Utilisateur Exchange ieee u 20 03 En j i i 100 Del a Remote Desktop Comp Figure 101 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur l AD CS 122 229 ASIP Sant Fichier P gt Ala ic Racine de la console W Mod les de certificats vv IN LISFF da Autorit de certification Local EI al obs wyTM LISFPOASGLO9 C4 Certificats r voqu s Certificats d livr s Demandes en attente Demandes ayant chou Mod les de certificats Action Affichage Favoris Pal ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx P Console1 Racine de la console Autorit de certification Local pts WIN U9FPOA3GLD9 CA Mod les de certificats Fen tre 7 m E 5 Authentification du contr leur de domaine re Agent de r cup ration EFS w EFS basique al Contr leur de domaine F Serveur Web i Ordinateur w Utilisateur Autorit de certification secondaire Hi Administrateur OL RE 24 09 2014 1 3 6 1 4 1 311 54 1 2 R plication de messages du service d annu Authentification du client Authentification R cup ration de fichiers Systeme de fichiers EFS Encrypting File Sy Authentification du client Authentification Authentification du serveur Authentification du client Authentification Systeme
18. IN USFPOA3GLOS PTS WIN USEPOAIGLDS 2 Administrateur BE Admins du domaine PT S4dmins du domaine LA Ordinateurs du domaine PTS Ordinateurs du domaine BE Administrateurs de l entreprise PTS VAadministrateurs de l entreprise Ajouter Supprimer Aubonser Refuser Autorisations pour WIN 0SFPO SG LOS Contr le total Lecture criture nacre ajajajaja Inscription automatique Pour les autorisations sp ciales et les param tres avanc s cliquez sur ete YANC Informations sur le contr le d acc s et les autorisations OK Annuler Saine Aide Figure 104 Terminal Server Droits sur le mod le de certificat Remote Desktop a Editeur de gestion des strat gies de groupe Fichier Action Affichage CLIENT IR Ci Sauvegarde L Serveur pour NIS Service dinstallation Activex Mod le de certificat Param tre tat Commentaire 11 Service Digital Locker d authentification serveur i Mod le de certificat d authentification serveur Activ Non E Service Journal des v nements LL cime Le miennes E ln mmmmmetnm T pin num cr Alam C Services ADFS Active Directory Federation Serv Modifier le param tre PRIS Graf A E E Ta Oj x C Services Bureau distance f C Client Connexion Bureau distance ral lint a F1 Mod le de certificat d authentification serveur gt Gestionnaire de licences des services Bureat El C H te de la session Bureau distance Descripti
19. O ASIP SANTE C FR Fichier r p cer cer Thumbprint SHA 1 4B23D44DC5CBDA23 OFCO52DFF52407ED AF373C69 7C3AF35B 6FE34699 FBC72C6A340BC7F1 AC4D854 SubjectKeyldentifie 8C6FEAD58B82FAF 9BE8 7DC7 730E2715 0747C49E2F EDE618D2E0FE7 34 5CBF8242F566BA6 O6E20F7331 AuthorityKeyldent fier SC6FEAD58B82FA FOBE8 DC730E27 150747C49E2F 38430511002EE75 2C3E8974674F8A AFBICDCESEE LM Perso LM inter 24 09 2014 Strat Ro Start Int 197 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx CN AC IGC SANTE FORT PERSONNES OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR CN AC IGC SANTE STANDARD ORGANISATION S OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR IssuerDN CN AC RACINE IGC SANTE FORT OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR CN AC RACINE IGC SANTE STANDARD OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR Fichier r p cer cer Thumbprint SHA 1 AA6131E7 760B95622 COF4C2AA9D985002 C21F3A0C EA87 752036E115EE8A A1653672289074A2 4B23994 SubjectKeyldentifie 800F918821797D5 555C65D6DD5938 D6ADE5SC2AA6 66B62D3DB8FCIE1 A13496882845873 24C4ACE5A0 AuthorityKeyldent fier 38430511002EE75 2C3E8974674F8A AFBICDCESEE COAC89F12470D5 2BE2D5D4B48405 C0810572539B LM Perso LM inter 24 09 2014 Strat Ro Start Int 1
20. a uw 7 T A P j _ e d i 4 a S bs Oy L Pr h p f d A j j we r de mise en oeuvre d un Smartcard logon avec une carte CPS ACNEE UES a Version 2 5 8 du 24 09 2014 PARTAG S DE SANT es SS NS asipsanie AGENCE DES SYSTEMES D INFORMATION _ PARTAGES DE SANTE Guide de mise en ceuvre d un Smartcard logon avec une Carte de Professionnel de Sante CPS ASIP Sant PTS PSCE Version 2 5 8 du 24 09 2014 Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 esante gouv fr Agir ensemble pour soigner mieux ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 20 14 Historique du document Version Date 03 12 2013 24 09 2014 Auteur Commentaires Suppression AT_0100 Citrix retrofit dans doc installation utilisation Cryptolib CPS Nouvelle 1 de couverture Paragraphe Configuration Smartcard logon sur comptes AD existants Paragraphe Projet Paragraphe Smartcard logon linux Paragraphe Smartcard logon Mac OS X Certificats ASIP Sant PFCNG R f rences a WSUS et au KRA D tails installation r le RDP V rifications des statuts de certificats online et offline Ajout d illustrations ouverture de session avec hint Pr cisions dans Configura
21. 1 361 41 311 541 2 El I si 4 R plic Fonctionnalit T Route Nouveau ee _ N Fi Observat T PS OK Annuler Performar ox __Anruler_ __ Gestionne Configuration zj ok Annuer Appliquer Aide Storkane Figure 100 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur l AD CS Consolei Racine de la console Mod les de certificats WIN U9FPOA3GLD9 pts psce fde fr Fichier Affichage gt Fil LE RE Ble version R les pr vus zl 1 IPSEC frequ te hors connexion Windows 2000 Action Favoris Fen tre 7 C Racine de la console W Mod les de certificats IN LISFF PS TeenstcDecltoncamputer Windows Server H Ordinateur Windows 2000 5 1 F Points de distribution de certificats crois s Windows Server 2003 Ent 105 0 T R plication de la messagerie de l annuaire Windows Server 2003 Ent 115 0 R plication de messag T Routeur requ be hors conn xion Windows 2000 4 1 ial Serveur RAS et 145 Windows Server 2003 Ent 101 0 Authentification du clie Fy Serveur Web Windows 2000 4 1 T Session authentifi e Windows 2000 3 1 4 Signature de l utilisateur uniquement Windows 2000 4 1 El Signature de liste d approbation Windows 2000 3 1 ry Signature de r ponse CSP Windows Server 2006 Ent 101 0 Signature OCSP T Signature du code Windows 2000 3 1 T Signature Exchange uniquement Windows 2000 6 1 al Utilisateur Windows 2000 3 1
22. A8E6E917A6791A14 A5E61F39 552C001B751B326A CCCDFE9A6F1148AD CC687816 E7A8FD8D3D09169 6AEFC7 563279023 795E5BD9B4 951EE95DC79A8E0 5EQAE 7DE13D8F5D 804D4C73861 FICFCF34D25A2F4 B2B7 7D4B01F082D BFO3C1FF77 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx OU GIP CPS PROFESSIONNEL O GIP CPS C FR OU GIP CPS STRUCTURE O GIP CPS C FR CN GIP CPS CLASSE O OU GIP CPS ANONYME O GIP CPS C FR CN GIP CPS CLASSE O OU GIP CPS ANONYME O GIP CPS C FR CN GIP CPS CLASSE 1 OU GIP CPS PROFESSIONNEL O GIP CPS C FR IssuerDN OU GIP CPS PROFESSION NEL O GIP CPS C FR OU GIP CPS STRUCTURE O GIP CPS C FR OU GIP CPS ANONYME O GIP CPS C FR OU GIP CPS ANONYME O GIP CPS C FR OU GIP CPS PROFESSION NEL O GIP CPS C FR Fichier r p cer cer 04 root GIP CPS PROFESION NEL cer 05 root GIP CPS STRUCTUR E cer 06 inter gip cps classO cer 07 inter gip cps classO cer 08 inter gip cps class1 cer Thumbprint SHA 1 9956634AD724F00A 18C479E56463C6FB1 C7A073D 514F46F3E278FBF6D 8268286E19ADEEOC C443642 148D663D3F75DED9 2B5CB2608EEA182C CFB1862E O52A8A966D4BF1E9 832D 1 7D98AD35C1 4EC9119C 48630CFA410034E00 4A9BDB75DOCCB9DF SEBA4AC SubjectKeyldentifie CA2386BD652FBF5 O7EB5B63A5D0C33 56297597F3 E7D8047AC370F8D CO2E4A00B2CB275 A59228FCBB AA6638EFC10C44E 1BA288
23. ADCS Choisir Cr er une nouvelle cl priv e 89 Figure 63 ADCS cle priv e gt Chiffir ement tin indie Rien 90 Figure 64 AD CS cl priv e Pr ciser le nom de FAC 91 Figure 65 AD CS cl priv e Pr ciser la p riode de validit 92 Figure 66 ADCS cl priv e Base de donn es de certificats 93 Figure 672 ADCS cie priv e ConfimatiOn s sainte ee RSR SM IN din 94 Figure 68 ADCS cl priv e resultats euir euler 95 Figure 69 AD CS Certificat AD CS c2n ieee iene donee es 96 Figure 702AD CS CertiticatAD CS nn nr nn NN ii 97 Figure 712 AD Certificat AD deliver par ADCS iara a E 98 Figure 72 AD Certificat AD DomainController d livr par AD CS 98 Figure 73 Terminal Server installation du role weiter ee ae 99 Figure 74 Terminal Server service de r le choisir H te de session Bureau distance 100 Figure 75 Terminal Server mode d authentification RDP Choisir Ne n cessite pas authentification AtAINeaU r seau rest ne M nd en ne 101 Figure 76 Terminal Server mode de licence Choisir Configurer ult rieurement 102 Figure 77 Terminal Server utilisateurs garder Administrateurs 103 Figure 78 Terminal Server exp rience Client 2522 88 etes Re ie ne ee ees 104 Figure 79 Terminal Server r sultat de l installation ss 105 Figure 80 Terminal Server Lancer le Gestionnaire des licences des services Bureau distance 106 Fig
24. Annuler FR 4 gt al Oy nes Figure 75 Terminal Server mode d authentification RDP Choisir Ne n cessite pas l authentification au niveau r seau L authentification au niveau r seau est une fonctionnalit r cente des serveurs RDP Microsoft Des tests sont en cours pour v rifier que les Cryptolib CPS supportent ce mode en Smartcard logon 101 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only z oj x Player O co Hw Assistant Ajout de roles Sp cifier le mode de licence Avant de commencer Le mode de licence des services Bureau distance d termine le type de licence d acc s cient aux services SE ON DRE Bureau distance qu un serveur de licences doit d livrer aux dients qui se connectent ce serveur H te de session Bureau distance Services Bureau distance Spedfiez le mode de licence des services Bureau distance que ce serveur Hote de session Bureau distance Services de r le doit utiliser Compatibilit des applications Cole ant SELLELT TE ET Me rappeler d utiliser l outil de configuration d h te de session Bureau distance ou la strat gie de groupe pour configurer le mode de licence dans les 120 jours suivants Mode de licence Groupes d utilisateurs Par p riph rique Exp rience client Une lice
25. L 1 Mod les de certificats E Services de domaine Active Directory ou Fonctionnalit s El Diagnostics b Observateur d v nements GS Performance Gestionnaire de p riph riques af Configuration m SE in Figure 71 AD Certificat AD deliver par AD CS Certificat xj General D tails Chemin d acc s de certification Lg Informations sur le certificat Ce certificat est con u pour les roles suivants garantit votre identit aupr s d un ordinateur distant garantit lidentit d un ordinateur distant D livr WIK LISFPOA3GL09 pts psce fde fr D livr par pbs WIM LISFPOAS6LD9 04 valide du 27 06 2013 au 27 06 2014 Declaration de lemetbeur En savoir plus sur les certificats Figure 72 AD Certificat AD DomainController d livr par AD CS Conseil exporter ce certificat dans un fichier USERPROFILE Desktop ad dc rootca cer 98 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 20 14 Sur un SI en production l autorit racine ACR ne doit pas d livr e de certificats end user directement on pr f rera cr er une autorit interm diaire ACI qui le fera Le r le AD CS est critique dans ce type de syst me Se posent en particulier les questions de continuit de service en cas de d faillance de la machine h bergeant ce service ou d expiration des certificats d ACRR ou d ACI En
26. Pour garantir que votre r le ou fonction r cemment install est automatiquement mis jour activez Windows Update dans le Panneau de configuration Services de domaine Active Directory Installation r ussie Les services de role suivants ont t install s Utilisez l Assistant Installation des services de domaine Active Directory depromo exe pour promouvoir le serveur en contr leur de domaine op rationnel Fermez cet Assistant et lancez l Assistant Installation des services de domaine Active Directory dcpromo exe Les fonctionnalit s suivantes ont t install es Imprimer envoyer ou enregistrer le rapport d installation Figure 43 Active Directory Installation du r le r sultat 70 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Promouvoir le serveur en tant que contr leur de domaine Active Directory en lancant l assistant dcpromo exe le serveur devra rebooter la fin de cette phase TT W2008R2 Base VMware Player Non commercial use only Payer iy com E Gestionnaire de serveur Services de domaine Active Directory sl Services de domaine Active Directory a Fonctionnalit s 1 Diagnostics Configuration H 8 Stockage Stocke les donn es d annuaire et g re les communications entre les utilisateurs et les domaines notamment les processus d ouverture de session utilisateur l authe
27. Racine de la console Mod les c Conditions d mission Mod les obsol tes Extensions S curit G n ral Traitement de la demande Nom du sujet Serveur Nom complet du mod le e gt El Li RemoteDesktopContraller a Gestiq Racine de la console Mom cam Autorit s de certification Confit W Mod les de certificats WIN USFF Sl authe minimales prises en Windows Server 2003 Enterprise a am Gestic T authe charge El Services c T Authe Hom du mod le Se PKI d J RemoteDesktopContoler SS El ag z W Autori RemoteDesktopController a Ma ss ial Autor E pts E Chiffi Cr al Conne P riode de validit P riode de renouvellement Ci Sant 1 ann es E semaines Cu F Echan a El EFS b M IPSec Publier le certificat dans Active Directory EU Servi IPSEC n F an f T E zi thik i a re Ne pas utiliser la reinecription automatique si un certificat dupligue J Utilisa ardin eriste dane Active Directory El A Sites H Points Si T R plic Pour le renouvellement automatique des certificats de carte puce Fonctionnalit E Route E utiliser la cl existante si la cr ation d une cl est impossible El Diagnostics l Serve jal Observati Tl aan E Performar A Gestionne et Confiqurati i Fair mn F Figure 98 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur AD CS 120 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un sma
28. VMware Player Non commercial use only thes de gestion de haut niveau et HHA eg au pare feu Windows er les mises jour er de nouveaux r les l Assistant Configuration rit rer la Configuration de renforc e d Internet RE TE Figure 38 Windows serveur Installation Param trage de la s curit renforc e Conseil Pour la production r activer la s curit renforc e 65 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Conseil Pour la production d sactiver les mises jour Windows Update automatique et ou utiliser WSUS Windows Server Update Services Les environnements serveur doivent tre des environnements qualifi s dont la configuration est maitris e et les changements de configuration d cid s et valid s Les mises jour doivent tre pr alablement effectu es et valid es sur des environnements de recette Une fois valid es elles peuvent tre propag es sur les environnements de production suivant une proc dure clairement d finie qui permet d anticiper les impacts pour les utilisateurs et sur les applications Ces bonnes pratiques concernent aussi bien Windows que les applications tierces Ceci concerne en particulier Java dont les mises jour automatiques doivent tre imp rativement d sactiv es sur les serveurs une veille des mises jour Java doit tre mise en place et les mises jour
29. e x Choisissez comment Windows installe les mises jour Lorsque votre ordinateur est en ligne Windows peut rechercher automatiquement les jour importantes et les installer en utilisant ces param tres Si des mises jour sont disponibles vous pouvez galement les installer avant d teindre votre ordinateur En quoi la mise jour automatique m aide t elle Mises jour importantes Ne jamais rechercher des mises jour non recommand Installer les nouvelles mises jour Tous les jours A 03 00 Mises jour recommand es Recevoir les mises jour recommand es de la m me fa on que vous recevez les mises jour importantes Qui peut installer les mises jour PF Autoriser tous les utilisateurs installer les mises jour sur cet ordinateur Remarque Windows Update peut se mettre jour automatiquement avant de rechercher d autres mises jour Consultez la d daration de confidentialit en ligne Figure 40 Windows serveur Configuration maitriser les mises jour 67 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 2014 Conseil A ce stade changer le nom de la machine Start click Run cmd control system Param tres syst me avanc s nom de l ordinateur M Domame Brioupe de traval et n est pas disponible sur cet changera en msserver apr sle Modifier les dinateur pa
30. e cer p7b 05 all root p7b o 10 certificats de production et de test Conseil les certificats de test ASIP Sant doivent tre supprim s des environnements de production ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Conseil ne pas utiliser le m canisme Microsoft de s lection automatique du magasin de certificats lors de l op ration d import V rifier le magasin Local machine interm diaire Les certificats ASIP Sant interm diaires doivent tre pr sents FS Console_cosign Racine de la console Certificats ordinateur local Autorit s de certification interm diaires Certificats l a x G Fichier Action Affichage Favoris Fen tre 2 181 x IEEE MEME Racine de la console Gl Certificats Utilisateur actuel E Personnel ERlAC CLASSE 4 GIP CPS 30 12 2020 Messagerie lectroni lt Aucun gt EQ AC CLASSE 4 TEST GIP CPS TEST 30 12 2020 Messagerie lectroni lt Aucun gt i Certificats EqlAC CLASSE 5 GIP CPS 30 12 2020 Messagerie lectroni lt Aucun gt en E i et racines de confiance ql AC CLASSE 5 TEST GIP CPS TEST 30 12 2020 Me LS ANS er ERI AC CLASSE 6 GIP CPS 30 12 2020 lt Tout gt lt Aucun gt el AC CLASSE 6 TEST GIP CPS TEST 30 12 2020 lt Tout gt lt Aucun gt nl eu cosign ca eu cosign ca 30 06 2018 lt Tout gt lt Aucun gt Egleu cosi
31. esemple avant de continuer Figure 85 Terminal Server Installation d un pack de licences 110 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 6 5 Configuration de l h te Terminal Server Services Bureau a distance Outils d administration Rechercher es programmes et fchers a Figure 86 Terminal Server Configuration d hdte de session Bureau distance 111 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx Modifier les param tres G n ral Supprimer les dossiers temporaires en quittant Qui Utiliser des dossiers temporaires par session Oui Restreindre chaque utilisateur une seule ses Oui Mode d ouverture de session de l utilisateur Autoriser toutes les connexions 2 Mode de licence des services Bureau dista Par utilisateur 12 Serveurs de licences des services Bureau d Sp cifi Service Broker pour les connexions Bureau distance Membre d une batterie dans le service Broker Non Virtualisation IP des services Bureau a distance 5 Virtualisation IP Non activ 24 09 2014 Figure 87 Terminal Server Configuration d hdte de session Bureau a distance gt mode de licence et serveurs de licences Propri t s ppliquer Figure 88 Terminal Server Configuration d h te de session Bure
32. expression de besoin Ecrit le sc nario de d monstration Veille aux jalons Assure la coh rence des tests Organise la d monstration Met jour les documents d architecture existants Ecrit et rapporte le project learning installe et configure 1 ou 2 postes clients reflet des postes de travail de l entreprise Teste unitairement ses installations Installe et configure la partie serveur Teste unitairement ses installations En fonction de l expression de besoin automatise les taches d dition de l annuaire de l entreprise pour l adapter au Smartcard logon A d faut identifie et documente les d veloppements n cessaires Teste unitairement ses d veloppements Ecrit le plan de test fonctionnel Passe le plan de test Donne son aval pour la d monstration qualit suffisante ad quation avec l expression de besoin DSI RSSI Chef de projet Technicien poste de travail Windows connaissant le poste de travail Sant amp Social Ing nieur Syst me pr sensibilis la PKI Ing nieur d veloppement id alement C PowerShell connaissant Active Directory et LDAP Testeur connaissant les uSages poste de travail Sant amp Social Tableau 16 Ressources maquette de Smartcard logon avec une carte CPx 0 5 jours 7 0 jours 2 0 jours 6 0 jours 3 0 jours 2 0 jours 45 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon av
33. g Utilisateurs et ordinateurs Active Director fe Informations du mod le de Mod le RemoteDesktopComp El ER Sites et services Active Directory WIM L Elu ilisation avanc e de la cl Remote Desktop Computer li s imal Sites trat gies d application ilstrat aie de certificats d ap Gelidentificateur de la cl du s dc e6 23 79 1F F0 13 db c1 71 fe Identificateur de cl de l aut ID de la cl fa F3 95 36 16 91 Points de distribution de la li 1 Point de distribution de la lis Subnets Inter Site Transports E Default First Site Name Si Fonctionnalit s El m Diagnostics Observateur d v nements E Performance A Gestionnaire de p riph riques air Configuration ea Stockage 1 Strat gie de certificats d application Identificateur de strat gies Remote Desktop Computer Figure 109 Terminal Server V rification du certificat Terminal Server mis sur l AD CS F Console_smartcard_login Racine de la console Certificats ordinateur local Personnel Certificats Fichier Action Affichage Favoris Fen tre ed Am 4 oX HE 1 Racine de la console ivi i 3 f PKI d entreprise EalGIP CPS GIP CPS 31 12 2020 lt Tout gt lt Aucun gt iq pts WIN U9FPOA3GLD9 CA V0 0 LAlGIP CPS ANONYME GIP CPS ANONYME 31 12 2020 lt Tout gt lt Aucun gt 4 Zf Strat gie Default Domain Controllers Policy
34. gt param tres Windows gt Param tres de s curit gt Strat gie de cl s publique gt Autorit de certification racines de confiance gt importer Ajout des certificats d autorit s client racine interm diaire serveur racine dans le magasin NTAuth Cf annexe pour aper us de configuration commande MMC gt PKI d entreprise gt g rer les conteneurs Active Directory gt Conteneur NTAuthCertificates gt Ajouter V rification commande Certutil viewstore enterprise NTAuth Configuration des magasins de certificats du serveur Cf annexe pour aper us de configuration Commande MMC gt certificats gt ordinateur local certificats racine ASIP certificat du contr leur de domaine mis par l AD CS Magasin Personnel Magasin Autorit s de certification racine de confiance certificats racine ASIP certificat du contr leur de domaine mis par l AD CS certificats client racine signeur Magasin de CRL Autorit s interm diaires certificats interm diaires client signeur de certificats et CRLs en cas de contr leurs de domaine multiple installer ces certificats sur chaque contr leur Windows 2003 Server Ajout des autorit s racines client et serveur gt Outils d administration gt Strat gie de s curit du domaine gt param tres de s curit gt Strat gie de cl s publique gt Autorit de certification racine de confiance gt importer
35. lt Avertissements sretnici innn aaa A a a aa saani 11 Tableau 4 Inconv nients du couple login mot de passe 14 Tableau 5 Avantages de la carte UCC eseesssssssesssesrererrsssrresrrrsstenstrrsrtesrtenstersrtesstenetiesrteseteesereeeeeseres 14 Tableau 6 Inconv nients de la carte puce face au couple login mot de passe 15 Tableau 7 Smartcard logon Principaux Composants Microsoft mis en uvre 18 Tableau 8 Smartcard logon Protocole Kerberos ss 20 Tableau 9 Smartcard logon Cin matique de l authentification par carte puce 21 Tableau 10 Smartcard logon Cin matique de l authentification par carte PUCE eseseeeeseresesrere 23 Tableau 11 Architecture Sc narios d impl mentation de PKI serveur 25 Tableau 12 CPSRev d sactivation de la v rification des CRES 39 Tableau 13 Serveur Installation du serveur sus unitaires 40 Tableau 14 Serveur COnNtIBUra ON ena a a a a aa a R dons tal 42 Tableau 15 Brief Project maquette de Smartcard logon avec une carte CPX D 44 Tableau 16 Ressources maquette de Smartcard logon avec une carte CPX eessessssrreserrererrrrsen 45 Tableau 17 Livrables maquette de Smartcard logon avec une carte CPX eessssssreeserrrresrreserreres 46 Tableau 18 Macro planning maquette de Smartcard logon avec une Carte CPX D 46 Tableau 19 Remarques maquette de Smartcard logon avec une Carte CPX esssesesreesrresrreeeen 48 Tableau 20 CPSRev Configurat
36. production 167 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 11 2 2 Ajout des autorit s interm diaires client et serveur 3 page 17 point 13 stipule de compl ter l action pr c dente par MMC gt Default Domain Controllers policy gt Configuration ordinateur gt Strat gies gt Param tres Windows gt Param tres de s curit gt Strat gie de cl publique gt Autorit de certification interm diaire gt importer Dans une configuration de base cette op ration n est apparemment pas n cessaire Elle peut l tre sur une infrastructure complexe 12 12 Cr ation des utilisateurs 12 12 1 Construction de l identifiant UPN L UPN Universal Principal Name est un identifiant unique pr sent dans le certificat d authentification de la carte CPS depuis Mars 2011 qui sert faire le lien avec un compte utilisateur dans un annuaire Active Directory sur un contr leur de domaine Cet UPN est construit de la mani re suivante pr fixeUPN suffixeUPN Le pr fixeUPN est la partie identifiant de mani re unique la carte CPS e l est construit de la mani re suivante e Format lt Type d identifiant gt lt Id registre national gt lt ld registre structure gt e Donn es correspondants au champ CN identifiant professionnel et personnel de sant du champ Objet pr sent dans les certificats de
37. rifier les noms de la machine et du domaine car ils ne pourront plus tre modifi s une fois le r le Certificate Server install FT W2008R2 Base VMware Player Non commercial use only oO x El Player DE cm amp Assistant Ajout de roles X S lectionnez un ou plusieurs r les installer sur ce serveur R les Description l Les services de certificats Active L Hyi i i Directory AD CS permettent de cr er Services de r le Serveur d oa des autorit s de certification et des Tyne d bon Serveur de t l copie services der leassoci s permettant EI Serveur DHCP d mettre et de g rer les certificats Type d autorit de certification Serveur DNS utilis s dans diverses applications Cle priv e L Bihon a Pr _ Services AD LDS Active Directory Lightweight Directory Services Chiffrement Services AD RMS Active Directory Rights Management Services Nom de l autorit de certifie Services ADFS Active Directory Federation Services P riode de validit L SERRES ns RE Services de certificats Active Directory Base de donn es de certificats Services de d ploiement Windows Confirmation _ Services de documents et d impression Se ee Services de domaine Active Directory Install AVAE Services de fichiers R sultats _ Services de strat gie et d acc s r seau Services WSUS Windows Server Update Services En savoir plus sur les roles de serveur
38. s de certification racines de confiance Confiance de l entreprise Autorit s de certification interm diaires diteurs approuv s Certificats non autoris s A eA HAE Le magasin Autorit s de certification racines de confiance contient 14 certificats Figure 143 Active Directory Configuration Strat gie de cl publique apr s import A minima 1 les 5 certificats racine de I IGC de production actuelle de l ASIP Sant 2 les 3 certificats racine de la future IGC de production de l ASIP Sant 3 le certificat du l autorit de certification de AD CS Doivent tre pr sents Si des cartes de test sont utilis es environnements de tests et d homologation les 5 certificats racines de l ASIP Sant doivent tre pr sents Il peut donc y avoir jusqu 13 certificats ASIP dans ce magasin et 1 certificat AD CS L import par fichier P7B est possible e cer p7b 01 prod root p7b o 8certificats de production e cer p7b 03 test root p7b o 5certificats de test e cer p7b 05 all root p7b o 13 certificats de production et de test Conseil Se reporter au chapitre D tails de certificat imprimer le tableau et mat rialiser la v rification en cochant la case Check Conseil les certificats de test ASIP Sant doivent tre supprim s des environnements de
39. 2014 W2008R2 Base VMware Player Non commercial use only z a Assistant Reprise de la configuration Services Bureau distance Installation r ussie Les services de r le suivants ont t install s Hote de session Bureau distance Activez les fonctionnalit s Windows 7 sur ce serveur Hote de session Bureau distance l aide de la fonctionnalit Exp rience Bureau A Utilisez l outil de configuration d h te de session Bureau a distance pour sp cifier un serveur de licences des services Bureau distance a utiliser par ce serveur Hote de session Bureau distance Pour plus d informations voir Configurer les param tres de licence pour un serveur H te de session Bureau distance Imprimer en ou enregistrer le rapport dinstalla Precegent B Figure 79 Terminal Server r sultat de l installation 105 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 6 2 Activation du serveur de licence RDP Une fois le r le install il faut activer le serveur de licences RDP via le Gestionnaire des licences des services Bureau distance Cette activation est gratuite Elle se fait aupr s de Microsoft Elle peut se faire ult rieurement Gestionnaire de licences des services Bureau distance F Gestionnail Assistant Activation du serveur pa Fichier Actior Aaciciant Aciwali M Services Bureau distance gt te
40. 21 11 2010 Windows Web Server 2008 R2 installation minimale 2111 2010 Description Cette option correspond l installation compl te de Windows Server Ce type d installation comprend l int gralit de l interface utilisateur et prend en charge l ensemble des r les serveur ii Collecte des informations 2 Installation de Windows Figure 31 Windows serveur Installation choix du type d installation Choisir Windows 2008R2 SP1 64bit Enterprise Full 58 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only Installation de Windows Toutes les informations requises ont t fournies Votre ordinateur red marrera plusieurs fois pendant l installation of Copie des fichiers de Windows D compression des fichiers Windows 95 Installation des fonctionnalit s Installation des mises jour Fin de l installation 1 Collecte des informations Installation de Windows Figure 32 Windows serveur Installation copie de fichier 59 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 FT W2008R2 Base VMware Player Non commercial use only Le mot de passe de l utilisateur doit tre modifi avant la premi re ouverture de session I Windows Server 2008 Entreprise Figure 33 Windows ser
41. ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx Cet enr lement est automatisable sans qu il soit n cessaire d extraire tous les certificats d authentification de tous les porteurs Le format choisi par d faut par Windows pour la chaine de caract re d identification est X509 lt l gt issuer dn dn de l metteur du certificat carte lt S gt subject dn dn du certificat de la carte L ensemble des possibilit s de mapping user certificat tant M thode altSecurityldentities Subject and Issuer fields Subject DN Subject Key Identifier Issuer and Serial Number SHA1 Hash RFC822 name X509 lt l gt issuer dn dn de l metteur du certificat carte lt S gt subject dn dn du certificat de la carte X509 lt I gt C FR O TEST OU TEST PROFESSIONNEL CN TEST CLASSE 1 lt S gt C FR O TEST OU Medecin CN 00B1051552 SN MAXIMAXIMAXIMAXIMAXIMAX5155 G MUMU MUMUMUMUMUMUMUMUMUMUMUM X509 lt S gt subject dn dn du certificat de la carte X509 lt S gt C FR O TEST OU Me decin CN 00B1051552 SN MAXIMAXIMAXIMAXIMAXIMAX5155 G MUMU MUMUMUMUMUMUMUMUMUMUMUM X509 lt SKI gt subject key identifier Identificateur de la cl du sujet X509 lt SKI gt b8b585887bd28b0276a58ee878d9f8bfda85fa89 X509 lt l gt issuer dn dn de l metteur du certificat carte lt SR gt reverse num ro de s rie serial number Serial number 4c 70 7d gt 7d704c X509 lt I gt C FR O TEST OU
42. Autoriser linteraction avec le D sactiv fournisseur de services de chiffrement P riode de validit du certificat 30 06 2018 00 04 Emplacement de la base de C Windows system32 CertLog donn es de certificats Emplacement du journal de la base C Windows system32 Cert og de donn es de certificats Imprimer envoyer ou enregistrer cette information SUIWanb ey Figure 67 AD CS cl priv e confirmation 94 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only A La fonctionnalit Mises jour automatiques de Windows n est pas activ e Pour garantir que votre r le ou fonction r cemment install est automatiquement mis jour activez Windows Update dans le Panneau de configuration salt LL rah el A Services de certificats Active Directory Installation r ussie Les services de r le suivants ont t install s Autorit de certificati Imprimer envoyer i SUWaAnt B Figure 68 AD CS cl priv e r sultats 95 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Gestionnaire de serveur Fichier Action Affichage e AmE Han Propri t s de pts WIN USFPOASGLD9 CA Agents d inscription Audit Agents de r cup ration S curit Gestionna
43. CPS_20140924_v2 5 8 docx 24 09 2014 Assistant Ajout de roles S lectionner les services de r le Avant de commencer S lectionner les services de r le installer pour Serveur Web IIS R les de serveurs Services de r le Description Serveur Web 115 Evtehcione S pl Lauthentification de mappage de certificats clients IIS utilise des Filtres ISAPI certificats clients pour authentifier les Services de role Canfirmati Fichiers Include cote serveur utilisateurs Un certificat client est une DE E M Int grit et diagnostics identification num rique dune source Etat d avancement Journalisation HTTP de confiance Les services Internet 115 offrent deux types ontis de jourmalsakian d authentification utilisant le mappage R sultats Observateur de demandes de certificat client Ce type utilise les LT Suivi services Internet 105 pour offrir un Journalisation personnalis e mappage de certificat un a un ou C Journal ODBC plusieurs un Le mappage natif de certificat des services Internet ITS il S curit al offre de meilleures performances Authentification de base Authentification Windows Authentification Digest Authentification du mappage de certificat client Autorisation URL Filtrage des demandes Restrictions IP et de domaine Performances oft q k En savoir plus sur les services de r le lt Pr c dent suivant gt Installer Ann
44. Descendre Objet de strat gie de groupe Defaut Domain Controllers Policy Autoriser la modification du composant logiciel enfichable de strat gi partir de la ligne de commande Ceci ne s applique que r si vous enregistrez la console en liaison avec un site Pr c dent Figure 134 Console Enfichable Strat gie de groupe du contr leur de domaine 157 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only i Console1 Racine de la conse all Certificats Utilisateur actuel ql Certificats ordinateur local GA Configuration d h te de session B 3 Domaines et approbations Active LE Strat gie Default Domain Controll a mn Gestionnaire des services Bureau 4 PKI d entreprise file Sites et services Active Directory gt Utilisateurs et ordinateurs Active LE Strat gie Default Domain Contre 3 PKI d entreprise fie Sites et services Active Director Utilisateurs et ordinateurs Activ Figure 135 Console Enfichable Liste des composants utilis s pour le Smartcard logon 158 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Fichier gt Enregistrer sous choisir console smartcard logon msc sur le bureau W2008R2 Base VMware Player Non c
45. INE IGC SAN ET Te RE CE ES Certificats Utilisateur actuel CQlAC RACINE IGC SANTE FORT AC RACINE IGC SAN Configuration d h te de session Bureau distance CalAC RACINE IGC SANTE STANDARD AC RACINE IGC SAN Autres actions Domaines et approbations Active Directory El ASIP SANTE TECHNIQUE ASIP SANTE TECHNIC Strat gie Default Domain Controllers Policy fr asipsante 00 eu cosign Caleu FR ASIPSANTE 00 CA eu FR ASIPSANTE 0C amp Configuration ordinateur alGIP CPS GIP CPS com aes CalGIP CPS ANONYME GIP CPS ANONYME Param tres du logiciel Param tres Windows EalGIP CPS PROFESSIONNEL GIP CPS PROFESSIOT Strat gie de r solution de noms CAlGIP CPS STRUCTURE GIP CPS STRUCTURE EN Scripts l rnerrace sr t CRIGIP CPS TEST GIP CPS TEST F5 Param tres de s curit ERlTEST ANONYME TEST ANONYME E Strat gies de comptes CQITEST PROFESSIONNEL TEST PROFESSIONNE El Strat gies locales CQITEST STRUCTURE TEST STRUCTURE cH Journal des v nements ERlTEST TECHNIQUE TEST TECHNIQUE Ca Groupes restreints L Services syst me L Registre Syst me de Fichiers 2 Strat gies de r seau filaire IEEE 802 3 Pare feu Windows avec Fonctions avanc es de s curit Strat gies du gestionnaire de listes de r seaux sa Strat gies de r seau sans Fil IEEE 802 11 Strat gies de cl publique Syst me de Fichiers EFS Encrypting File System Chiffrement de lecteur BitLocker _ Param tres de demande automatique de certificat BeAutorit
46. LM NTLM NTLMv2 faibles Syst mes de s curit logiciels cassables r cup ration des mots de passe dans la SAM KeyLoggers _0040 Multiplication des mots de passe Tableau 4 Inconv nients du couple login mot de passe Avantages er Description carte a puce _ 0090 Le certificat de l utilisateur devient son identit num rique Cette identit est standard elle suit des normes et des pr conisations normalis es reconnues et largement adopt es par ailleurs La phase de login fait intervenir 2 facteurs d authentification diff rents 1 ce que j ai la carte CPS 2 ce que je saisi le code porteur de la carte CPS L authentification est dite forte Tableau 5 Avantages de la carte a puce 14 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Inconv nients carte puce Description login mdp Architecture parfois d licate mettre en place PKI serveur acc s externe un annuaire installation mat rielle et logicielle du poste Ouverture de session un peu plus longue de l ordre de quelques secondes suppl mentaires en fonction de la vitesse d acc s et de calcul de la carte et du poste client Ces temps sont optimis s avec la Cryptolib CPS v5 via l utilisation d un cache de certificats Administration plus complexe de l architecture gestion des PKI gestion des flux exte
47. Liste Siderits i gt Utiisateurs et D tails ea Ps Requ tes RO 3 BQ eu cosign tal Sacer gd Bulin CARS MERE SE LA Comp Ope te Rea 2 Group E J Doma lt r ce group a A Fore Personnaliser a D LostAndFound Me Edteurs dec Groupe de s cu Les membres de ce group Managed Service Accoun Foren Deso Utiksateur Ga Program Data LG rent F LA System ces Groupe de s cu Les mots de passe des me Figure 150 Active Directory Configuration du Smartcard logon pour utilisateurs existants 178 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Clic droit sur le user F 01 asipsante smartcard logon console Racine de la console Utilisateurs et ordinateurs A Compte d utilisateur d adr Administrateurs d sign s Administrateurs d sign s Administrateurs d sign s Tous les contr leurs de d Les membres de ce grour Les membres de ce groug om SP maui 2 Wt mL La Mout 6 8R Ba Figure 151 Active Directory Configuration du Smartcard logon pour utilisateurs existants Choisir Mappages des noms Mappage des identit s de s curit Appliquer Figure 152 Active Directory Configuration du Smartcard logon pour utilisateurs existants 179 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2
48. Non commercial use only Assistant Installation des services de domaine Active Directory Cet Assistant vous aide installer les services de domaine ications entre les ullisateurs et les Active Directory AD DS sur ce serveur faisant du serveur ure de utilisateur l authentification et les un contr leur de domaine Active Directory Pour continuer cliquez sur Suivant A E M Utiliser l installation en mode avanc le domaine Ex cutez l Assistant ory dcpromo exe dans l installation en mode avanc e Acc der l Observateur d v nements E Filtrer les v nements En savoir plus sur les services de domaine Active Directory Propri t s ET lt Precedent Annuler 4 er l actualisation ne eee Figure 46 Active Directory Configuration du r le mode avanc 73 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only iF e de H Ajouter un contr leur de domaine un domaine existent M reer un nouveau domaine dans une tor t esistante Ee semeur va deveni le premier CONMGIEUT de domaie du mouveau domaltie E LEED une nouvelle mcme 0 eIbGlestence de domaine au leu d UA nouwveaU domaine enhart Acc der l Observateur d v nements amp Filtrer les v nements tee er l actualisation Figure 47 Active Directory Configur
49. Peripheriques et imprim Rechercher dans P riph riques et impr Fichier Edition Affichage Outils Ajouter un p riph rique Ajouter une imprimante Parcourir les fichiers a n intel Copieurs_couleu Envoyer a Fax Microsoft XPS PDFCreator r sur ASIP15007 OneNote 2010 Document Writer 4 P riph riques 8 Parcourir les fichiers Ejecter Pararn tres de r seau Param tres audio Param tres de la souris Param tres du clavier m My Passport Smart Card Reader USB R gion et langue USB OPTI stallati MOUSE Ee Options d alimentation z Windows Update nnage n cessaire Cr er un raccourci R soudre les probl mes Pronri t Figure 30 Poste client P riph riques et imprimantes Param tres d installation de p riph riques et Windows Update 57 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 3 Installation de Windows 2008 R2 SP1 W2006R25P1 VMware Player O Gm Windows 21 11 2010 ms n 27 E C semences irar om em Levee LE rie i HELTE LI LL at n Windows Server 2008 R2 Entreprise installation minimale x54 21 11 2010 Windows Server 2008 R2 Datacenter installation compl te 21 11 2010 Windows Server 2008 R2 Datacenter installation minimale 21 11 2010 Windows Web Server 2008 R2 installation compl te
50. Root Local machine 141 Figure 124 CPSRev v rification du magasin Intermediate CA Local machine 142 Figure 125 CPSRev v rification du magasin Root CA User 143 Figure 126 CPSRev v rification du magasin Intermediate CA User 144 Figure 127 CPSRev v rification des statuts de certificats offline consultation du magasin de CRL SE Se a ae Pete 147 Fistir 128 Console Entichable MM SSS ns SR ant RRO 151 Figure 129 Console Enfichable Ajout de composants enfichables 152 Figure 130 Consol Entichabl C rtitiI als sn Rs tartines eiaectee ee 153 Figure 131 Console Enfichable Certificats utilisateur 154 Figure 132 Console Enfichable Certificats Local Machine 155 Figure 133 Console Enfichable Certificats Local Machine ss 156 Figure 134 Console Enfichable Strat gie de groupe du contr leur de domaine sessies 157 Figure 135 Console Enfichable Liste des composants utilis s pour le Smartcard logon 158 Figure 136 Console ENfichable SAUVE BAFA nn RS Un tie dites 159 Figure 137 Active Directory Configuration Certificat Local Machine personnel 160 224 229 ASIP Sant Figure 138 Figure 139 Figure 140 Figure 141 Figure 142 Figure 143 Figure 144 Figure 145 Figure 146 Figure 147 Figure 149 Figure 150 Figure 151 Figure 152 Figure 153 Active Directory Active Directory Active Directory Figure 148 Param trage du Smar
51. Smartcard logon Il est bas sur les exp riences de l ASIP Sant dans ce domaine Il regroupe les diff rentes techniques de configuration standard au Smartcard logon adapt es l utilisation de la carte CPS Il contient des tableaux r capitulatifs qu il est utile d imprimer afin d appliquer au mieux le param trage requis 8 2 Pr sentation g n rale du Smartcard logon Il est possible depuis Microsoft Windows 2000 de remplacer la saisie du couple login mot de passe par une authentification par carte puce au moment de r aliser une ouverture de session Windows dite interactive Tout r seau utilisant Active Directory et un contr leur de domaine Microsoft Windows Server 2000 2003 ou 2008 peut b n ficier de la technologie Smartcard logon en standard Ce m canisme d ouverture de sessions Windows par carte puce est par ailleurs compatible avec les sessions Terminal Services TSE voir chapitre Smartcard logon et les services de terminal Le principe de base de ce m canisme est une authentification mutuelle entre la carte pr sente dans un lecteur du poste client et le serveur du domaine partir de certificats lectroniques X 509 Le lecteur de carte doit imp rativement tre de type PC SC Bienvenue a Windows Copyright 1985 2001 Microsoft Corporation s _ Ins rez votre carte ou appuyez sur Ctrl 4lt Suppr pour 7 d marrer L utilisation de cette combinaison de touches au d marrage pe
52. TEST PROFESSIONNEL CN TEST CLASSE 1 lt SR gt 7d704c X509 lt SHA1 PUKEY gt thumbprint empreinte num rique X509 lt SHA1 PUKEY gt 2bbafed16923267e1a0d205557749691d7829103 X509 lt RFC822 gt adresse email pr cis e dans le SAN du certificat M thode non disponible avec les certificats de l IGC de Sant CPS2Ter actuellement en production pas de champ email dans le SAN Tableau 31 Liste des possibilit s de mapping user certificat pour l authentification par certificat 181 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 14 3 Cas n to m D sactivation de l utilisation du subjectAltName SAN Par contre dans le cas du Smartcard logon authentification par certificat venant d une carte puce l utilisateur va soumettre son certificat par l interm diaire des couches carte puce de Windows qui va chercher par d faut exploiter le subjectAltName SAN du certificat pour authentifier l utilisateur il faut donc d sactiver l usage du subjectAltName SAN L usage du subjectAltName SAN se d sactive en appliquant les param tres de base de registre suivants Windows Registry Editor Version 5 00 HKEY_LOCAL _MACHINE SYSTEM CurrentControlSet Services kdc UseSubjectA ltName dword 00000000 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa Kerberos Parameters UseSubjectAltName dword 00000000
53. Tableau 12 CPSRev d sactivation de la v rification des CRLs Il suffit de repasser les valeurs des cl s O pour r activer la v rification des CRLs Aucun red marrage du serveur concern n est n cessaire pour la prise en compte des modifications 39 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 20 14 11 6 Exemple pratique d une configuration de serveur Cf aper us cran en annexe Conseils D imprimer ces 2 tableaux imprimer les aper us en annexe gt annoter les impressions papier au fur et mesure de l avancement D faire des impressions d crans gt alimenter le dossier d exploitation Exemple de proc dure de configuration minimale d un contr leur de domaine pour une utilisation Smartcard logon Installation Windows 2008 Server Windows 2003 Server Installation du provider de r vocation Cf annexe pour apercus d installation et documentation du provider 1 Lancement de l installeur CPSRevSetup msi 2 configuration de la base de registres 3 configuration des magasins de certificats 3 Identique Windows 2008 En cas de contr leurs de domaine multiple installation sur chaque contr leur Remarque le journal 5 Acc s internet requis pour r cup ration des CRLs CPSRev se trouve A directement dans l observateur Journal CPSRev install dans l observateur d v nements d v nements gt
54. WIN U9FPOA3GL GIp cps PROFESSIONNEL GIP CPS PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt Gi Certificats ordinateur local QIGIP CPS STRUCTURE GIP CPS STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt gt D oe Yalpts WIN LISFPOASGLD9 CA pts WIN U9FPOASGLD9 CA 27 06 2018 lt Tout gt lt Aucun gt Ag ee eeu DR YQIWIN USFPOA3GLD9 WIN USFPOA3GLD9 10 09 2013 Authentification du serveur lt Aucun gt E GBB Confiance de l entreprise Zal WIN USFPOASGLDI pts psce fde fr pts WIN U9FPOA3GLD9 CA 27 06 2014 Authentification du client Authentification du serveur lt Aucun gt F pe Autorit s de certification interm diaires WIN LISFPOA3GLD9 pts psce fde fr pts WIN U9FPOA3GLD9 CA 05 07 2014 Remote Desktop Computer lt Aucun gt 3 M diteurs approuv s EJwMSvc WIN U9FPOA3GLD9 WMSvc WIN U9FPOA3GLDS 10 03 2023 Authentification du serveur lt Aucun gt Certificats non autoris s Autorit s de certification racine tierce partie Personnes autoris es A Namaka Nacktan Figure 110 Terminal Server V rification du certificat Terminal Server mis sur le Terminal Serveur Conseil sauvegarder ce certificat sous le nom USERPROFILE Desktop rd rootca cer 127 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 R Gestionnaire de serveur Fichier Action Affichage 7 ee ENS En Gestionnaire de serveur WIN USFPOASGLD9 Configuration d h te de
55. carte CPS_20140924_v2 5 8 docx 24 09 2014 12 3 Installation de Windows 2008 R2 SP1 cece ceeecccseccceeeccceecsceeceeeneeeeesseseeeceseueceeeueseeeneeees 58 12 4 Installation d un r le Active Directory esssessseeseseeesesreresrrressreresrrresereessrrressrereseeresereeseerese 69 12 5 Installation d un r le Certificate Serve ennnen a N 85 12 6 Installation d un r le Terminal SOrVel iicccsssccdsesconssvadevesssevcesasvcacesedsvasdavacesaverssesdeevectesevadavevers 99 12 6 1 Installation des composants du r le Terminal Server 99 12 6 2 Activation du serveur de licence RDP ins rer 106 12 6 3 Configurations des comptes Serveurs de licences des services Terminal Serveur 108 12 6 4 Installation des licences sur le serveur de licences 108 12 6 5 Configuration de l h te Terminal Server 111 1226 65 Parametrace dU serveur DP ses SR ne vansbeaelasidaeseeewerans 113 12 6 7 Configuration du certificat du serveur RDP 120 120 AUNES GROS eme ce Lise ne este eee a en eee 132 127 MASCAN ATION CN Un roles RE RU baie aies hote tie ions de 134 12 8 Installation de la Cryptolib CPS sur le serveur 138 12 8 1 D sactivation du CCM au lancement cccccecccseccccseccceneceeenseseeeceeeeeceteueceseneceeeneeees 138 12 8 2 Activation du CCM l ouverture de session au cas par cas 138 12 8 3 Remarque sur le provisionning des magasins de certificats ccccccesececeeeseceeeeeeees 138 12 9 Installation du P
56. carte a puce passage en automatique 186 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 211 x Fichier Action Affichage esmou m u p CA Services local Mom gt Description tat Type de d marrage a Strategie de retrait de la carte a puce Service Panneau de saisie Tablet PC Active les F Manuel LE Service SSTP Secure Socket Tunnel Prend en c Manuel poe Eee LE Services Bureau distance Gutorise le Derma Manuel CE Services de base de module de plat Active acc Manuel Description CE Services de certificats Active Directory Cr e g re D ma Automatique Autorise le syst me tre configure pour EE Services de chiffrement Fournit qu D ma Automatique verrouiller le Bureau de l utilisateur au hy moment du retrait de la carte puce A Services de domaine Active Directory Service de De ma Automatique Le Services Web Active Directory Ceservice D ma Automatique CE Spouleur d impression Charge les D ma Automatique Station de travail ET eee Strat gie de retrait de la carte puce Autorise le se Automatique SE Systeme d v nement COM Frend en c D ma Automatique CE Syst me de couleurs Windows Le service Manuel CE Systeme de fichiers EFS Encrypting Fournit la t Manuel CE T l phonie Frend en c Manuel CE
57. d faut L ajout d autres nome de domaines augmente la s curit des sessions et simplifie les noms d ouverture de session des utilisateurs Mom Gi vous voulez que d autres suttives UPN apparaissent lors de la cr ation d utilisateurs apoutez les la liste suivante Autres suffises UPN Ajouter T CDS ees netics einen ne Hanne Supprimer Annuler Appliquer Figure 14 Active Directory Approbation du suffixe UPN carte cps fr Remarque le nom de domaine DNS carte cps fr a t r serv par ASIP Sante 35 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 11 4 Configuration du serveur de certificats PKI Microsoft Ce chapitre explique comment installer configurer une PKI Microsoft avec le composant Microsoft Certificate Server Certificate Server est un composant gratuit int gr aux versions Server de Windows Comme expliqu pr c demment il pourra donc tre install sur une machine serveur pr sente sur le domaine Il peut tre install directement sur le serveur faisant office de contr leur de domaine par exemple dans le cas d un petit r seau qui ne peut pas d dier un serveur cette t che uniquement Il est cependant pr f rable pour des raisons 1 de s curit 2 de fiabilit du r seau de l installer sur une autre machine du domaine qui sera d di e ce r le L i
58. d installation d un r le Active Directory Sur le contr leur primaire PDC Primary Domain Controller gt Ajout des autorit s racine de confiance client et serveur la strat gie de groupe du domaine par interface graphique Outils d administration gt Strat gie de s curit du domaine gt Param tres de s curit gt Strat gie de cl s publique gt Autorit de certification racines de confiance gt importer Ajout des autorit s racine de confiance et interm diaire au container NTAuth d Active Directory dans le but de diffuser ces autorit s aux machines d clar es sur le domaine pour permettre une v rification du certificat serveur par les postes client En fonction de la version du serveur cette op ration se fera soit par fichiers de script Windows 2000 Server soit par interface graphique partir de Windows 2003 Server 33 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Sur chaque contr leur primaire et secondaires si pr sents gt Installation du provider de r vocation de l ASIP Sant pour v rifier que les CRLs correspondant la cha ne de certification du certificat client sont non r voqu es Ce provider peut tre r cup r l adresse suivante http www microsoft com france interop ressources gip cps aspx gt Ajout des autorit s racine et interm diaires dans les diff rents
59. distance F 01 asipsante smartcard logon console Racine de la console Certificats ordinateur local Personnel Certificats Fichier Action Affichage Favoris Fen tre pen _ ie gt Am sXe ible Racine de la console R les pr vus E Gall Certificats ordinateur local Jeu FR ASIPSANTE 00 CA eu FR SIPSANTE 00 C 30 09 2019 lt Tout gt lt Aucun o 0 Personnel lfr ssipsante 00 eu cosiqn eu FR ASIPSANTE 00 CA 30 09 2015 Authentification du cl lt 4ucun Les ER E AC RACINE IGC SANTE ELEMENT AC RACINE IGC SANTE ELEMENTAIRE 25 06 2033 lt Tout gt E Lo Autorit s de certification racines de maeva Ean ol CET SSI a AC RACINE IGC SANTE FORT z lt Tout gt cere SAAC RACINE IGC SANTE STANDARD AC RACINE IGC SANTE STANDARD 2 3 lt Tout gt L Confiance de l entreprise BA ASIP SANTE TECHNIQUE ASIP SANTE TECHNIQUE 3 0 lt Tout gt C Autorit s de certification intermedi CR i EE ee my LL p Se GIF PS alP CFPS a I lt Toutz Editeurs approuv s VS Horse a i a Si IP CPS ANONYME GIP CPS AMONYME 3 I lt Tout Certificats non autoris s pr a Re NT UE ee 3 K j i Autorit s de certification racine tie f GIP CPS PROFESSIONNEL GIF CPS PROFESSIONNEL 3 i lt Tout gt B Personnee trees EN GIP CPS STRUCTURE GIP CPS STRUCTURE ai i Tout M Remote Desktop EA GIP CPS TEST GIP CPS TEST 31 0 lt Tout gt Demandes d inscription de certifical EEE 2 TEST ANONYME 3 0 lt Tout gt ia Racines de confiance de carte pL EH TEST PROFES
60. docx 24 09 2014 Les changes de donn es entre le client et le serveur se font par des messages de requ tes r ponses normalis s suivant le protocole Kerberos suivant Etape Code KRB_AS_REQ KRB_AS_REP KRB_TGS_REQ KRB_TGS_REP KRB_AP_REQ KRB_AP_REP Communication Client gt Serveur Serveur gt Client Client gt Serveur Serveur gt Client Client gt Serveur Serveur gt Client Description Requ te de service d authentification Kerberos V rification de l identit du client Le certificat d authentification pr sent dans la carte est sursign par sa propre cl priv e et envoy accompagn de donn es relatives au client du poste client vers le serveur R ponse du serveur Le serveur envoie au client en cas d authentification r ussie une cl de session cl sym trique et un TGT Ticket d acc s au service de d livrement de ticket limit dans le temps Le tout chiffr avec la cl publique du client envoy e dans le message de requ te Requ te de ticket de session au serveur de ticket Chiffr e par la cl de session Envoi du TGT dans la requ te R ponse du serveur Envoi du ticket de session au client Ticket d acc s au serveur Requ te applicative Envoi du ticket de session R ponse du serveur La session peut tre ouverte Les changes peuvent se poursuivre entre le client et le serveur Tableau 8 Smartcard logon Protoco
61. doivent tre pr alablement recett es avant mise en production FT W2008R2 Base VMware Player Non commercial use only Page d accueil du panneau de configuration Rechercher des mises jour Modifier les param tres te Activer les mises jour automatiques Saat Les mises a jour ne sont pas install es automatiquement Afficher l historique des mises jour Activez la mise jour automatique pour am liorer la s curit et les Restaurer les mises jour performances de l ordinateur et autoriser les utilisateurs standard pou installer masqu es les mises jour sur l ordinateur Mises jour forum aux questions Activer les mises jour automatiques Me laisser choisir mes param tres Derni re recherche de mises jour Jamais Des mises jour ont t install es Jamais Vous recevez les mises jour Pour Windows seulement Obtenir des mises jour pour d autres produits Microsoft En savoir plus Voir aussi Mises jour install es cotmre E Figure 39 Windows serveur Configuration maitriser les mises jour 66 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Modifier les param tres T W2008R2 Base VMware Player Non commercial use only Payer fi co E A 2 Panneau de configuration Tous les Panneaux de configuration Windows Update Modifier les pihamet
62. ee tanins tente den use 125 Figure 108 Terminal Server Demande de certificat Terminal Server 126 Figure 109 Terminal Server V rification du certificat Terminal Server mis sur PAD CS 127 Figure 110 Terminal Server V rification du certificat Terminal Server mis sur le Terminal Serveur rites ane doi el idees diem die 127 Figure 111 Terminal Server Installation du certificat Terminal Server 128 Figure 112 Terminal Server Configuration cccccccessccceesececeesececeesecceeeuseceseuecessuneceeseneceeseneeeenen 129 Figure 113 Terminal Server Installation du certificat Terminal Server 129 Figure 114 Terminal Server Installation du certificat Terminal Server 130 Figure 115 Terminal Server V rifier l installation du certificat Terminal Server 131 Figure 116 US Installaton duU Trolle nn ee E R 134 Figure 117 IIS Installation du r le s lection des options de s curit 135 Figure 118 IIS Installation du r le tat d avancement ss 136 Figure 119 WS Installation du role R SUITAt nes NS Me ne ut ete 137 Figure 120 CCM lancement du CCM au d marrage des sessions utilisateurs sur un serveur Windows MEE PE ATE E T TEE EE EEA EEE E de net T Gad oe Oo S S ng tou NE cd nie 138 Figure 121 CPSRev repertoire d installation nie nine nn ae ode ne 139 Figure 122 CPSR V r sultat cd INStallatlO ncis cnn ee A ne nn se tin 140 Figure 123 CPSRev v rification du magasin
63. en us library e78byta0 v vs 110 aspx 146 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx 24 09 2014 Le magasin est consultable visuellement en utilisant la mmc autorit de certification interm diaire gt Liste de r vocation des certificats Console1 Racine de la console Certificats ordinateur local Autorit s de certification interm diaires r Fichier Action Affichage Favoris Fen tre Racine de la console El Certificats ordinateur local Personnel Confiance de l entreprise Dea Liste de r vo Certificats diteurs approuv s Certificats non autoris s Personnes autoris es Remote Desktop SPC P riph riques approuv s HE e gt AlE ol is Bee Autorit s de certification ra Autorit s de certification inl ration des Autorit s de certification ra Racines de confiance de ca E AC CLASSE 4 GIP CPS FR E AC CLASSE 4 GIP CPS FR E At_ CLASSE 4 TEST SIP CPS TES E AC CLASSE 4 TEST GIP CPS TES E AC CLASSE 5 GIP CPS FR E AC CLASSE 5 GIP CPS FR E AC CLASSE S TEST GIP CPS TES E AC CLASS5E 5 TEST GIP CPS TES E AC CLASSE 6 GIP CPS FR E AC CLASSE 6 GIP CPS FR E AC CLASSE 6 TEST GIP CPS FR E AC CLASSE 6 TEST GIP CPS FR E GIP CPS ANONYME GIP CPS FR E GIP CPS ANONYME GIP CPS FR El GIP CPS CLASSE 0 GIP CPS OW E alP PS CL
64. la carte CPS e Cet identifiant PS est aussi inscrit physiquement sur le recto de la carte CPS sur la premi re ligne imprim e sous la puce lectronique e Un point est rajout en deuxi me position pour s parer le premier chiffre code du type d identifiant PS sur un caract re du reste de l identifiant PS e Un point remplace chaque caract re sp cial de cet identifiant PS e l identifiant sur le registre de la structure est optionnel en fonction du type d identifiant Le suffixeUPN correspond un nom de domaine g n rique g r par l ASIP Sant e il est fixe e ila pour valeur carte cps fr 168 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Exemples d UPN identifiant PS num ro de SIRET code 5 num ro de registre 51871275100020 0000000137 num ro interne a la structure 5 18751275100020 0000000137 carte cps fr num ro FINESS code 3 num ro de registre 30B0018289 CPETO003 structure 3 0B0018289 CPETO003 carte cps fr num ro ADELI code 0 00B6010140 0 0B6010140 carte cps fr num ro RPPS code 8 899700011143 8 99700011143 carte cps fr Tableau 27 D ploiement UPN Construction de UPN 169 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 12 3 D claration du suffixe carte cps fr dans
65. les certificats de test ASIP Sant doivent tre supprim s des environnements de production 142 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 2014 Conseil ne pas utiliser le m canisme Microsoft de s lection automatique du magasin de certificats lors de l op ration d import V rifier les magasins Utilisateur actuel Certificats racines Les certificats ASIP Sant racine doivent tre pr sents ils sont normalement provisionn s partir du moment o le magasin local machine correspondant l a correctement t cf tapes pr c dentes F Console_cosign Racine de la console Certificats Utilisateur actuel Autorit s de certification racines de confiance Certificats e 9 0 a Hja iv lim Fichier Action Affichage Favoris Fen tre 2 LS Racine de la console D livr sd D lvr par Date d expiration R les pr vus Nom convivial Actions E Gi Certificats Utilisateur actuel EJASIP SANTE TECHNIQUE ASIP SANTE TECHNIQUE 31 12 2030 lt Tout gt lt Aucun gt A Personnel Eq Baltimore CyberTrust Root Baltimore CyberTrust Root 13 05 2025 Authentification dus Baltimore CyberTrust DE Certificats ql Class 3 Public Primary Certification Class 3 Public Primary Certification A 02 08 2028 Messagerie lectroni VeriSign Class 3 Publi Autres
66. logon ASIP Sant AE E a 5 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 4 Sommaire K REIO O CS a a a a dave aaceapamoneeednanaiantout es 4 RS E E A A ee eee ore 5 A SOMME a a E T A AT A A 6 BY NGIOSS Al oee a a a a a a 9 6 LISTES enep estil C ES Bite a E tete a 10 E ANES E N ar E AATE O T E 11 o TTC OQUCIONS de NAG 12 8 1 DDEC a a nt debate en fers en ere ese ree 12 8 2 Pr sentation g n rale du Smartcard logon ss 12 8 3 PERCE GU Smartcard O60 ss Rd en teens tee ei 14 9 Architecture et fonctionnement g n ral tn ne te a ni tisse 16 9 1 Sch ma de PINCD E maeneno SU CU MR Ed CP NN en ee 16 9 2 FONCtiOnn MeNnte N rlE RS ASS Re Rd tnt rte 19 9 2 1 Protocole Kerer OS enr a aise te awa ase claw ale aaa a Ce ores aes aaah 19 9 2 2 P OLOCO SPRINT nec etes eme te oeil Lol den cata 21 9 2 3 CHATS Mate INIER eet ela atahae een 21 9 3 Smartcard logon t services de terminal sun ten ete tatin 22 10 Sp cifications mat ri ll set hr requis is en a a Nat RE n 23 TOA Architecture Server ES ARR RSR NN ER de SR nie 23 TO COMPOSANT nd de AA eine ee in desc ncc run 23 10 1 2 PKI et Autorit s de certification suisses a 25 102 Architecture chent ss int aa US tie 27 102 t MATTER ns ee RS ni A lande 27 10 22 HLOBICI lEs ESA ieee Gh Re a id in ir 27 10 23 Cartes t COminGats M MER AR NAN Le A Re earess les 27 CON TPE RS de die D
67. logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Il est possible d ajouter cet endroit le groupe Utilisateur du Bureau distance Propri t s de Autoriser l ouverture de session par les servic Administrateurs Utilisateurs du Bureau distance S UpETIMET Appliiguer Figure 97 Terminal Server Droits d ouverture de session distance pour le groupe Utilisateur du Bureau distance 119 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 6 7 Configuration du certificat du serveur RDP Sur une infrastructure de production le lien RDP doit tre correctement param tr En particulier si le r le AD CS est install sur un serveur du Sl il est possible de faire signer le certificat serveur du lien RDP par l autorit de certification racine de AD CS De fait ceci est m me conseiller dans la mesure o le certificat racine de l AD CS est provisionn via l AD dans les magasins de certificats des postes clients Malheureusement documentation assez incompl te un peu compl t e ici i Gestionnaire de serveur Fichier ction Affichage 7 gt Alf a s H Sa Sestiomare de serveur WIN USFPOASGLDS SE D R le Propri t s du nouveau mod le X El ia Serveur d Norn i Servic El LE Serveur V a Fichier Action Affichage Favoris Fen ti Wy Gestic El Gy Services E F Console1
68. magasins correspondants voir le document d installation configuration du provider de r vocation de l ASIP Sant pour permettre au provider de r vocation de v rifier la validit des CRLs Cf annexe d installation du provider de r vocation ASIP Sant Cf annexe de configuration du Contr leur de domaine certificats Cf tableau 11 et tableau 12 ci apr s r capitulatifs des tapes d installation et de configuration dans un sc nario d impl mentation de serveur all g Il est aussi n cessaire de rattacher les comptes utilisateur leurs cartes CPS respectives Dans Active Directory pour chaque compte utilisateur du domaine on rajoutera l UPN de la carte CPS associ a ce compte au champ nom d ouverture de session de l utilisateur une seule carte possible par compte Login du couple login password standard du compte Suffixe de UPN de la carte associer ce compte Pr fixe de l UPN de la carte associer ce pompte Propri t s de userl 1xl Environnement Sessions Cntr le distance Profil de services Terminai Server OC A G n ral Adesse Compte Ffoil T l phones Organization Membre de Appel e trant Nom d ouverture de session de utilisateur 5 18003000900039 WINLOGONOT carke cps tr a Nom d ouverture de session de l utilisateur ant rieur Windows 2000 GIP CPS user Horaires d acc s Se connecter 4 le compte est yerrou
69. production il faut donc pr voir une sauvegarde de ces environnements et ventuellement de mettre en uvre le s questre Microsoft KRA Key Recovery Agent 12 6 Installation d un r le Terminal Server 12 6 1 Installation des composants du r le Terminal Server Terminal Server s installe en ajoutant le r le Service de bureau a distance Le serveur doit rebooter la fin de l installation du r le FT W2008R2 Base VMware Player Non commercial use only e oj x Payer iy ch let G lt Assistant Ajout de roles Services Bureau a distance Avant de commencer Introduction aux services Bureau a distance Trees Les services Bureau distance anciennement Services Terminal Server int grent des technologies qui l permettent aux utilisateurs d acc der des programmes Windows install s sur un serveur Hote de session Services Bureau distance Bureau distance d acc der tout le Bureau Windows d un serveur Hote de Bureau distance ou ee j d acc der un ordinateur virtuel Grace aux services Bureau distance les utilisateurs peuvent acc der un Services de r le serveur H te de session Bureau distance ou un ordinateur virtuel partir de votre r seau d entreprise ou Confirmation d internet tat d avancement noter R aultats i Pour autoriser les connexions distance des fins d administration uniquement vous n avez pas besoin d installer le service Hote de Bureau dista
70. puce OK sur un login TSE les Cryptolib CPS sont install es V rifier le magasin de certificat D marrer gt Rechercher Programmes et fichiers gt inetcpl cpl gt entrer Family Safety Control the Internet content thatcan 9 Family Safety be viewed Certificates cs Cas mie AutoComplete a AutoComplete previous entries Settings ee 0 Feeds and Web Slices FA Feeds and Web Slices provide updated Settings content from websites that can be read in Internet Explorer and other programs Figure 26 Poste client V rifier le magasin de certificats 53 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Identifier le certificat d authentification et noter l UPN Contenu gt Certificats gt Magasin Personnel F bet LL wt LA Ep certificate information This certificate is intended for the following purpose s Proves your identity to a remote computer Smart Card Logon 05 01 2013 3fdScSaa29b7c5 Issued to 0081055421 Issued by TEST CLASSE 1 Valid from 01 02 2013 to 29 02 2016 You have a private key that corresponds to this certificate Issuer Statement a E Figure 27 Poste client V rifier le certificat d authentification 54 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 2014
71. s rie du certificat 4c8ddd dwFlags CA_VERIFY_FLAGS_CONSOLE_TRACE 0x20000000 dwFlags CA_VERIFY_FLAGS_DUMP_CHAIN 0x40000000 ChainFlags CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT 0x40000000 HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE ChainContext dwinfoStatus CERT_TRUST_HAS_PREFERRED_ISSUER 0x100 ChainContext dwRevocationFreshnessTime 17 Hours 5 Minutes 45 Seconds SimpleChain dwInfoStatus CERT_TRUST_HAS_PREFERRED_ISSUER 0x100 SimpleChain dwRevocationFreshnessTime 17 Hours 5 Minutes 45 Seconds CertContext 0 0 dwinfoStatus 102 dwErrorStatus 0 Issuer CN TEST CLASSE 2 OU TEST STRUCTURE O TEST C FR NotBefore 01 02 2013 02 00 NotAfter 29 02 2016 23 59 Subject CN 500000000018119 CPATO001 SN RESPONSABLE0000018110001 G CHARLES OU 300000000018119 L Paris 75 O TEST C FR Serial 4c8ddd SubjectAltName Autre nom Nom principal 5 00000000018119 CPATO001 carte cps fr cc 8c f7 e3 Oc 7b 6f 62 7f 66 76 5a 32 92 ac e1 a2 95 d7 65 Element dwinfoStatus CERT_ TRUST HAS _KEY_MATCH_ISSUER 0x2 Element dwinfoStatus CERT TRUST HAS PREFERRED_ISSUER 0x100 148 229 AS P Sa nte ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx Pas d URL Aucun Heure 0 CDP de certificat Emetteur incorrect Liste de r vocation des certificats de base 108f Heure 0 0 0 http annuaire gip cps fr crl test TEST CLASSE
72. se connecte un serveur Hote de session Bureau distance Avec l authentification au niveau du r seau Services Bureau distance authentification de l utilisateur intervient avant l tablissement d une connexion Bureau distance au serveur H te de session Bureau distance R les de serveurs Services de r le Compatibilit des applications Sp dfiez si l authentification au niveau du r seau est requise M thode d authentification Exiger l authentification au niveau du r seau Mode de licence Seuls les ordinateurs qui ex cutent une version de Windows et une version du dient Connexion Bureau Groupes d utilisateurs distance prenant en charge l authentification au niveau du r seau peuvent se connecter ce serveur Hote de session Bureau distance Si vous tes connect distance ce serveur v rifiez que votre ordinateur Exp rience dient prend en charge l authentification au niveau du r seau pour permettre une reconnexion ce serveur Confirmation Ne n cessite pas l authentification au niveau du r seau tat d avancement Les ordinateurs qui ex cutent une des versions du dient Connexion Bureau distance peuvent se R sultats connecter ce serveur Hote de session Bureau distance P Cette option est moins s curis e que l authentification au niveau du r seau car l authentification intervient plus tard dans le processus de connexion lt Pr c dent suivant gt Installer
73. session Bureau distance WIN U9FPOA3GLD9 El a R les Serveur d applications Connexions meee wea tS Transport Chiffrement Fl 3 Services Bureau distance dd Gestionnaire Remotedop CAIN USFPO SGLE El iz Configuration d h te de session Bureau dis og Diagnostic des licences O g Gestionnaire des services Bureau distance T WIN USFPO SSLOS El Services de certificats Active Directory 45 PEI d entreprise El Mod les de certificats CWIN USFPO SGLOS F ROP Tep Microsoft ADP 71 top Compatible client Modifier les param tres El gg pts WIN USFPOASGLD9 CA G n ral a Ee Supprimer les dossiers temporaires en quittant Dui ales S Utiliser des dossiers temporaires par session Qui Demandes en attente Demandes ayant chou Mod les de certificats Services de domaine Active Directory aul Fonctionnalit s El m Diagnostics ja Observateur d v nements E Performance A Gestionnaire de p riph riques ai Configuration Stockage Restreindre chaque utilisateur une seule ses Oui 2 Mode d ouverture de session de l utilisateur Autoriser toutes les Connexions Gestionnaire de licences oo Mode de licence des services Bureau dista Non sp cifi oo Serveurs de licences des services Bureau d Non sp cifi Service Broker pour les connexions Bureau distance o gt Membre d une batterie dans le service Broker Noni Virtualisation IP des services Bureau a di
74. session apres qu une premi re session ait t ouverte pr alablement AT_0020 0001075 Confirm ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Ticket s OS Archi Limitation Alternative an Sek Probl me Alternative Env TSE Installer les Cryptolib CPS v5 0 8 AT 0030 0001074 Sur une session verrouill e l introduction c t client et serveur Confirm d un mauvais code porteur d verrouille la session Confirm Env TSE 7 V rifier le comportement lorsque la GPO de propagation du certificat est d sactiv e Non reproduit 0001071 Lors d une ouverture de session le login 0001073 reste bloqu sur lecture de la carte puce si on retire la carte juste apr s son insertion AT 0040 205 229 ASIP Sante ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx Ticket s OS Archi 0001071 ee 0001073 0001071 ane 0001073 Limitation Env TSE Le service de propagation de certificat se bloque sur on retire la carte lors d une lecture avec les Cryptolib CPS Env TSE L ouverture de session reste bloqu e sur Bienvenue lors d authentification simultan es Alternative V rifier le comportement lorsque la GPO de propagation du certificat est d sactiv e le CCM assure la propagation des certificats Contrairement au Service de propagation
75. supportent ce m canisme Peu de modifications sont donc n cessaires pour faire fonctionner le Smartcard logon Le pr sent paragraphe d taille les conditions requises pour utiliser une carte puce CPS en ouverture d une session Windows 10 2 1 Mat riel Au moins un lecteur de type PC SC doit tre install pilotes sp cifiques install s et pr sent sur le poste client le protocole PC SC tant une architecture int gr e nativement dans OS et qui permet de prendre en compte l insertion de la carte comme d clencheur de l ouverture de session e Le poste client doit tre connect physiquement un r seau priv et tre d clar sur un domaine de ce r seau L authentification par carte a puce est une authentification forte tablie obligatoirement entre un client et un serveur une authentification locale sur le poste n est pas possible Remarque si ces deux pr requis ne sont pas respect s l cran d accueil du poste client GINA sous Windows XP ne proposera pas l insertion carte 10 2 2 Logiciel La GINA Graphical Identification and Authentication d origine Pour pouvoir ainsi g rer l v nement insertion carte Toute autre GINA d velopp e sp cifiquement d sactivera la d tection carte par exemple une GINA de gestion biom trique d empreinte digitale Ce pr requis est valable uniquement pour Windows 200 et XP A partir de Windows Vista la GINA n est plus modifiable seuls d
76. veill par le service ScardSvr C 0040 Winlogon envoie une commande de demande d ATR la carte via le gestionnaire de cartes Winlogon re oit l ATR et recherche en base de registres s il existe une association avec un CSP dans la table de correspondance ATR lt gt CSP Si un CSP est trouv Winlogon va demander via GINA sous Windows XP le code porteur l utilisateur Il va ensuite demander r cup rer le certificat d authentification de la carte en passant la carte le code porteur rentr par l utilisateur via le CSP associ Winlogon peut alors lancer le processus Kerberos via LSA qui va ex cuter la proc dure d authentification v rification du client par le serveur de domaine par carte puce protocole PKINIT et lui renvoyer le certificat d authentification r cup r dans la carte Si toute la proc dure s est d roul e correctement identification authentification correcte C 0090 de l utilisateur par le contr leur de domaine l utilisateur est alors autoris ouvrir une session sur le poste client Tableau 9 Smartcard logon Cin matique de l authentification par carte puce 21 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 20 14 9 3 Smartcard logon et services de terminal Le m canisme d ouverture Windows par carte puce Smartcard logon est compatible avec les sessions Terminal Se
77. veulent v rifier la non r vocation du certificat serveur et depuis son autorite 36 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 11 5 Configuration des options de s curit Ce chapitre explique quelques r glages de base du Smartcard logon pour une meilleure s curit du domaine g r 11 5 1 Forcer l utilisation de la carte puce Par d faut un compte configur pour ouvrir une session par carte puce pourra aussi ouvrir une session par login mot de passe Pour augmenter la s curit du r seau il sera recommand d imposer l ouverture de session uniquement par carte puce Pour cela 2 possibilit s D Soit partir d un compte utilisateur s lection de l attribut Carte puce n cessaire pour ouvrir une session interactive Dans ce cas le mot de passe du compte utilisateur sera modifi automatiquement une valeur inconnue Soit par strat gie de groupe secpol msc Param tres de s curit locaux gt Strat gie locale gt Options de s curit gt Interactive Login Smart Card Required e Valeur activated Requiert au minimum Windows XP SP2 pour les postes client Ne modifie pas le mot de passe du des compte s utilisateur impact s par la strat gie Sa Strat gie de s curit locale eel Fichier Action Affichage e 7G Xo isle me a Parame tres de s curit Strat gie
78. 0 6 x64 si l Go User Account Control i i Do you want to allow the following program to install software on this 7 computer n Program name 47bf1b msi Verified publisher AGENCE NATIONALE DES SYSTEMES D INFORMATION PARTAGES DE SANTE 1 File origin Hard drive on this computer gt show detais o Le when these notifications ap Installshield Precedent Suivant Annuler Figure 23 Poste client Installation Cryptolib CPS x64 Fen tre d UAC Certains antivirus peuvent n cessiter des acquittements o avast avast has finished analysis of the program We did not find enough evidence to identify the file as malware However you should still use extreme caution when accessing it File C Program Files santesocial CPS CCM exe Reason The file prevalence reputation is low Duration 0 00 01 Continue execution Figure 24 Poste client Installation Cryptolib CPS x64 avec AVAST 52 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Une fois l installation termin e les erreurs carte puces disparaissent Windows Security x These credentials will be used to connect to cosign florent desgrippes Use another account 0081055421 Smart card credential 0 08 1055421 carte cps ff PIN Remember my credentials Figure 25 Poste client Driver carte a
79. 014 30 09 2014 o 10 2014 30 09 2014 06 10 2014 30 09 2014 06 10 2014 30 09 2014 o 10 2014 30 09 2014 06 10 2014 30 09 2014 06 10 2014 30 09 2014 o6 10 2014 05 08 2003 07 08 2003 05 08 2003 07 08 2003 30 09 2014 06 10 2014 30 09 2014 06 10 2014 30 09 2014 06 10 2014 30 09 2014 o 10 2014 30 09 2014 06 10 2014 30 09 2014 06 10 2014 30 09 2014 o 10 2014 30 09 2014 06 10 2014 30 09 2014 06 10 2014 30 09 2014 O6 10 2014 30 09 2014 06 10 2014 30 09 2014 06 10 2014 30 09 2014 o 10 014 30 09 2014 06 10 2014 30 09 2014 O6 10 2014 30 09 2014 o 10 2014 30 09 2014 06 10 2014 74 03 2001 06 01 7004 Figure 127 CPSRev v rification des statuts de certificats offline consultation du magasin de CRL 147 229 AS P Sa nte ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 9 6 Test du Provider de r vocation ASIP Sant Microsoft en v rifiant le statut d un certificat Ex certutil verify urlfetch 03 asipsante cpsrev test cer Les messages renvoy s par certutil diff rent entre une v rification online et une v rification offline Dans les 2 cas le message V rification de r vocation du certificat feuille r ussie final doit s afficher metteur CN TEST CLASSE 2 OU TEST STRUCTURE O TEST C FR Objet CN 500000000018119 CPATO001 SN RESPONSABLEO000018110001 G CHARLES OU 300000000018119 L Paris 75 O TEST C FR Num ro de
80. 0924 v2 5 8 docx fa Certificate Subject Key Identifier Enhanced Key Usage Certificate Policies Basic Constraints E CRL Distribution Points i Freshest CRL Tj Ja 17 31 7e 1a 7b 2e 8e da 09 0a Client Authentication 1 3 6 1 1 Certificate Policy Policy Ide Subject Type End Entity Pat 1 CRL Distribution Point Distr Other I SSL Client Authentication 80 Principal Name 0 08 105542 1 carte cps fr Figure 28 Poste client identifier UPN du certificat d authentification Dans cet exemple l UPN est 0 0B1055421 carte cps fr srmo Oriri Alara Jame P1 cipal dan IE i P 24 09 2014 55 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 V rifier les chaines de signatures les certificats des chaines de certificats concern s par le parc de carte vis devront tre correctement provisionn s cot serveur fa Certificate Wiel GerhihiGabe Figure 29 Poste client identifier UPN du certificat d authentification 56 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Conseil pour les postes clients Win7 d un parc il est conseill de 1 d sactiver la rechercher automatique de drivers de cartes puces 2 de maitriser la politique de mises jour Windows Update des postes a a F K a E Mat
81. 1373A94D00 49025F3483F2E965 5353FFCFBD8E638 615008AA0 AuthorityKeyldent fier CA2386BD652FBF 507EB5B63A5D0C 3356297597F3 E7D8047AC370F8 DCO2E4A00B2CB2 75A59228FCBB E7D8047AC370F8 DCO2E4A00B2CB2 75A59228FCBB E7D8047AC370F8 DCO2E4A00B2CB2 75A59228FCBB LM Perso LM inter 24 09 2014 Strat Ro Start Int 190 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx CN GIP CPS CLASSE 3 OU GIP CPS STRUCTURE O GIP CPS C FR O GIP CPS C FR OU AC CLASSE 4 O GIP CPS C FR OU AC CLASSE 5 O GIP CPS C FR OU AC CLASSE 6 O GIP CPS C FR OU GIP CPS ANONYME O GIP CPS C FR OU GIP CPS PROFESSIONNEL O GIP CPS C FR IssuerDN OU GIP CPS STRUCTURE O GIP CPS C FR O GIP CPS C FR O GIP CPS C FR O GIP CPS C FR O GIP CPS C FR OU GIP CPS ANONYME O GIP CPS C FR OU GIP CPS PROFESSION NEL O GIP CPS C FR Fichier r p cer cer 13 inter gip cps class3 cer 14 inter gip cps cer 15 inter ac class4 cer 16 inter ac class5 cer 17 inter ac class6 cer 18 inter gip cps anonyme c er 19 inter gip cps professione l cer Thumbprint SHA 1 9FO2BECBF FC61EBE A76F63ADD8D54C1A C2DDFB8 4AC2FC4B4AD07766 9A9A6C4ACF8FA718 10717407 3182462F180AE880B 6F43FA040CEC025D C2F2042 5F3C2C90B974FE9FA 8F9D2BDE11338C4D 2681E37 08C053B382E9D794 FD7A9C446
82. 2 5 8 docx 24 09 2014 ji Composants Cryptographiques CPS v5 0 6 x64 asiPSANT Wee aaa Pour modifier les param tres d installation d une fonction diguez sur l ic ne correspondante dans S lectionnez les fonctions du programme que vous souhaitez ins Description de la fonction Installation des composants cryptographiques de la carte CPS2ter utilisant la couche PC Sc p ESI Composants CPS3 H W Composants CPS2ter Galss oe Composants CPS2ter Full PC SC Cette fonction n cessite 3949ko d espace disque InstallShield Aide Espace iis Composants Cryptographiques CPS v5 0 6 x64 L installation du programme peut commencer aSIPSA nT tt Cliquez sur Installer pour commencer l installation Pour revenir au d but de l installation diquez sur Pr c dent Pour quitter l assistant sans installer le programme diquez sur Annuler Merci de quitter les applications utilisant les Composants i e Cryptographiques CPS navigateurs logiciels m dicaux Installshield lt Pr c dent L Installer Annuler Figure 22 Poste client Installation Cryptolib CPS x64 Installer 51 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Si FUAC est activ e sur le poste il faut accepter l installation du MSI fourni par l ASIP Sant iy Composants Cryptographiques CPS v5
83. 2 crl Emetteur incorrect Liste de r vocation des certificats de base 108f Heure 0 1 0 Idap annuaire gip cps fr cn test classe 2 ou test structure o test c fr certificaterevocationlist binary CDP de liste de r vocation des certificats de base Pas d URL Aucun Heure 0 CRL 108f Issuer CN TEST CLASSE 2 OU TEST STRUCTURE O TEST C FR 91 77 dO b2 82 bc 7d 55 36 8b 32 cb 1a Oc 4f 92 Ob d2 e9 Oe Delta CRL 108f Issuer CN TEST CLASSE 2 OU TEST STRUCTURE O TEST C FR d5 34 f9 02 93 a9 c5 e6 56 21 01 76 14 33 5b 01 74 eb 88 2b Application 0 1 3 6 1 5 5 7 3 2 Authentification du client Application 1 1 3 6 1 4 1 311 20 2 2 Ouverture de session par carte puce CertContext 0 1 dwinfoStatus 102 dwErrorStatus 0 Issuer OU TEST STRUCTURE O TEST C FR NotBefore 11 10 2004 02 00 NotAfter 31 12 2020 23 59 Subject CN TEST CLASSE 2 OU TEST STRUCTURE O TEST C FR Serial 1212 54 df ee 1a c4 cd 8d 5a cf 32 f7 ae 12 1e f2 6a 33 8f f1 3d Element dwinfoStatus CERT_TRUST_HAS_KEY_MATCH_ISSUER 0x2 Element dwinfoStatus CERT TRUST HAS PREFERRED_ISSUER 0x100 Pas d URL Aucun Heure 0 CDP de certificat Emetteur incorrect Liste de r vocation des certificats de base 108f Heure 0 0 0 Idap annuaire gip cps fr ou test structure o test c fr certificaterevocationlist binary CDP de liste de r vocation des certificats de
84. 35A ABF 733FEEAB542 C9B7A9D647 5BOEC162BE14E88 F872 7F96BBD84AC O8F5FC7 952 AuthorityKeyldent fier 54B7A98F06847D B 7B 79C35FB8FAE 695D73D59375 54B7A98F06847D B7B79C35FB8FAE 695D73D59375 AF3B167480F5D9 547A21C738E625 FA24FE34D504 AF3B167480F5D9 547A21C738E625 FA24FE34D504 AF3B167480F5D9 547A21C738E625 FA24FE34D504 AF3B167480F5D9 547A21C738E625 FA24FE34D504 97BF4F0C6226425 292B9FA2673857 014B55B243D LM Perso LM inter 24 09 2014 Strat Ro Start Int 194 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx OU TEST PROFESSIONNEL O TEST C FR OU TEST STRUCTURE O TEST C FR IssuerDN OU TEST PROFESSION NEL O TEST C FR OU TEST STRUCTURE O TEST C FR Fichier r p cer cer 39 inter test professionn el cer 40 inter test structure c er USERPRO FILE Desk top ad cs rootca cer USERPRO FILE Desk top ad dc rootca cer USERPRO FILE Desk top rd rootca cer Thumbprint SHA 1 D7EO70C9C5D64595 8317E023C855DC48 FDB49FOC BD5976486680623C 98B15F64C2884E265 4E54446 SubjectKeyldentifie 254BDDOF8A5D08B 05BBA312076A002 55C08A0183 9DAAO4AFF9307FE 3719DE1FFA62FOC 8A242CO5B8 AuthorityKeyldent fier 75C14776C4AD28 2F67AA568B0322 000C7AC38584 54B7A98F06847D B 7B 79C35FB8FAE 695D73D59375 LM Perso LM inter 24 09 2014 Strat Ro Start Int 195 229
85. 4 09 2014 H W2008R2 Base VMware Player Non commercial use only Configurer le nom de l autorit de certification Avant de commencer Tapez un nom commun pour identifier cette autorit de certification Ce nom est ajout tous les certificats M emis par l autorit de certification Des valeurs de suffixe de nom uniques sont automatiquement g n r es R les de serveurs mais ne peuvent pas tre modifi es ADCS De ast Nom commun de cette autorit de certification Jeu cosign ca l Type dinstallation Type d autorit de certification Suffixe du nom unique DC eu DC cosign Cl priv e Chiffrement Nom de l autorit de certific Aper u du nom unique P riode de validit CN eu cosign ca DC eu DC cosign Base de donn es de certificats Confirmation Etat d avancement R sultats En savoir plus sur la configuration d un nom d autorit de certification lt Pr c dent suivant gt Installer Annuler Figure 64 AD CS cl priv e Pr ciser le nom de l AC 91 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only Avant de commencer Un certificat sera mis par cette autorit de certification pour s curiser les communications avec d autres M autorit s de certification et avec des dients demandant des certificats La p riode d
86. 40924_v2 5 8 docx 24 09 2014 11 2 Configuration Serveur all g e Cf Annexe pour des aper us d installation d un serveur Windows 2008R2 Server Afin de s approprier les t ches de param trage li es la configuration de la fonction de Smartcard logon il est utile d installer un unique serveur offrant les fonctionnalit s suivantes e Active Directory sans DNS si un DNS est d j pr sent sur le r seau local o Cf annexe d installation d un r le Active Directory e Certificate Serveur o Cf annexe d installation d un r le Certificate Server AD CS e Remote desktop facultatif mais utile o Cf annexe d installation d un r le Remote Desktop e IIS facultatif mais utile o Cf annexe d installation d un r le IIS 11 3 Configuration d un controleur de domaine Cf Annexe pour des apercus d installation d un serveur Windows 2008R2 Server Les postes clients devant tre d clar s sur un domaine du r seau au moins un contr leur de domaine doit tre pr sent sur le r seau interne Les syst mes d exploitation possibles pour un contr leur de domaine sont e Windows 2003R2 SP1 Server e Windows 2008R2 SP1 Server e Windows 2012 Les rdles install s sur le s serveur s de domaine sont e contr leur de domaine bas sur Active Directory de Microsoft o Tout autre annuaire d identification r seau peut tre utilis mais la configuration du Smartcard logon sera beaucoup plus complexe Cf annexe
87. 5 8 docx 24 09 2014 Ajouter le certificat carte Mappage des identit s de s curit fa PA Pa PA fn fn VUUS U FA 4 A A A Figure 153 Active Directory Configuration du Smartcard logon pour utilisateurs existants Cela correspond en fait a une alimentation des attributs de l utilisateur dans l AD v a A 2 T T D XX HER FEU Ww F DK FF SF WW Propri t s de Florent FDE Desgrippes og B 2x G n ral Adresse Compte Profi T l phones Omanisation Castificate nibh s Membre de R plicationde mot de passe Appelentrant Objet S curit Environnement Sessions Contr le distance Profil des services Bureau distance Bureau vituel person CSI EEE EEE Xf Attributs Attribut aktSecuntyidentities Valeur ajouter lt non d fini gt Ane aCSPolicyName lt non d fini gt Valeurs adminCount lt non d fini gt X509 lt I gt C FR O GIPCPS OU GIPCPS STRUCTL Suppe admin Description lt non d fini gt admin Display Name lt non d fini gt alt Secuntyidentities X509 lt 1 gt C FR O GIP CPS OU C assistant lt non d fini gt attributeCertificateAttn lt non d fini gt audio lt non d fini gt badPasswordTime jamais badPwdCount 0 businessCategory lt non d fini gt lt non d fini gt OK Annuler Appliquer Ade Figure 154 Active Directory Configuration du Smartcard logon pour utilisateurs existants 180 229 ASIP Sant 24 09 2014
88. 510 Elle intervient aussi bien dans une ouverture de session standard avec logon mot de passe que dans une ouverture par carte puce PKINIT Key Distribution Center Centre de distribution des cl s Module serveur impl ment par le protocole Kerberos pour l authentification et l autorisation des utilisateurs distants Privilege attribute certificate contient les informations destination du client telles que le SID User security ID les droits de l utilisateur sur le domaine Tableau 7 Smartcard logon Principaux Composants Microsoft mis en ceuvre Mettre en uvre le Smartcard logon revient a configurer chaque acteur impliqu dans ce m canisme 18 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 9 2 Fonctionnement g n ral 9 2 1 Protocole Kerberos L ouverture de session Windows repose sur le protocole d authentification r seau Kerberos qui g re aussi bien via le protocole PKINIT l authentification par login password que par carte puce Voici sch matiquement le fonctionnement du protocole Kerberos V5 lors de l ouverture de session Un syst me Kerberos fait intervenir les trois sous protocoles suivants 1 AS Authentication Service 2 TGS Ticket Granting Service 3 CS Client Server 19 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8
89. 5100020 0000000311 SN NOM GN PRENOM diter etc pam_pkcs11 subject_mapping sudo vi etc pam_pkcs11 subject_mapping ajouter une ligne du type C FR O GIP CPS L Paris 75 OU 318751275100020 CN 518751275100020 0000000311 SN NOM GN PRENOM gt scl chaine DN gt nom du compte tester le mapping avec pklogin_ finder 219 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 15Smartcard logon sous Mac OS X http www charismathics com fileadmin files pdf manuals Mac_Logon pdf La fonctionnalit de Smartcard logon est a priori offerte par Mac OS X Elle tait bien support e et document e sur Mac OS X 10 4 Tiger Ce n est plus forc ment le cas sur les Mac OS X r cents La proc dure d crite ci apr s a t test e sous Mac OS X 10 9 Mavericks 15 1 Pr requis CR Pr requis au Smartcard logon sous Mac OS X Certificats AC racine dans trousseau AC Racines CPS ne fait pas Lecteur et carte fonctionnent Tableau 46 Pr requis au Smartcard logon sous Mac OS X Certificats AC interm diaires dans trousseau Syst me ce que l installeur de la Cryptolib 15 2 M thode R cup rer les hash de cl S sc_auth hash retour lt cert_auth_hash gt AABB8F7E3E94D924E46550A1A5EEB8DD6F14XXYY par exemple Ajouter un hash pour l authentification voir man pour la suppression d un hash S sudo s
90. 79B95E5 C6B21B84 BED257C7AC336AA2 AC6DDE832B2EA3D2 E10FD6EB 307E5E5CB30966F05 DF1670927A6154E9 1719EF3 SubjectKeyldentifie 16E5E9F2E7246988 DA3B7F2AF6690FC 49BEFBE85 ED5AOA4E712B0E5 C4FA1E48B916254 9675C 3B18 25AFIS5AFC24AAE4 8D1CF241B14B8FC 7DOFO41FEB A2CB0165BA5C408 5F3FB071C3014C8 5EEF3C2A26 9691F5B5F398DF1 4B370E777A31B2F 7E26B6FFB9 19ADD26C1AC9C7F C1AD8C4308563E5 7702F0D7E2 C3692C6AC8592E8 638779AEB1F055B E2F112EA92 AuthorityKeyldent fier E7D8047AC370F8 DCO2E4A00B2CB2 75A59228FCBB E7A8FD8D3D0916 96AEFC 5632790 23795E5BD9B4 E7A8FD8D3D0916 96AEFC 5632790 23795E5BD9B4 E7A8FD8D3D0916 96AEFC 5632790 23795E5BD9B4 E7A8FD8D3D0916 96AEFC 5632790 23795E5BD9B4 FICFCF34D25A2F 4B2B 7 7D4B01F08 2DBFO3C1FF 7 CA2386BD652FBF 507EB5B63A5D0C 3356297597F3 LM Perso LM inter 24 09 2014 Strat Ro Start Int 191 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx OU GIP CPS STRUCTURE O GIP CPS C FR O GIP CPS TEST C FR OU TEST ANONYME O TEST C FR OU TEST PROFESSIONNEL O TEST C FR OU TEST STRUCTURE O TEST C FR OU TEST TECHNIQUE O TEST C FR CN TEST CLASSE O OU TEST ANONYME O TEST C FR IssuerDN OU GIP CPS STRUCTURE O GIP CPS C FR O GIP CPS TEST C FR OU TEST ANONYME O TEST C FR OU TEST PROFESSION NEL O TEST C FR OU TEST STRUCTURE O TEST C FR
91. 98 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx CN AC IGC SANTE STANDARD PERSONNES OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR CN AC IGC SANTE ELEMENTAIRE ORGANISATION S OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR IssuerDN CN AC RACINE IGC SANTE STANDARD OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR CN AC RACINE IGC SANTE ELEMENTAIR E OU IGC SANTE OU 0002 187512751 O ASIP SANTE C FR Fichier r p cer cer Thumbprint SHA 1 EOD6E1D8481FED62 C65C53ED9DFCDA94 9C3D1D81 2CBFA991750AF778 348B3156C21609A1 AB45A848 SubjectKeyldentifie r 19F276D58D7A17C A829BE97B5AEF3F O5A690D4F3 D 7FBFADCD5027FE 7C153864D4BE8A4 4A1EOBBB63 AuthorityKeyldent fier COAC89F12470D5 2BE2D5D4B48405 C0810572539B S8C6FEAD58B82FA FOBE8 DC730E27 150747C49E2F LM Perso LM inter 24 09 2014 Strat Ro Start Int 199 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Fichier IssuerDN r p Thumbprint SHA 1 cer cer SubjectKeyldentifie AuthorityKeyldent r ifier LM Perso LM inter Strat Ro Start Int CN AC ieee RACINE IGC SANTE ELEMENTAIRE An PERSONNES E OU IGC 86AODE3D866E2DB5 CEAF9B1C194A6B5 gc6FFAD58B82FA OU IGC SANTE SANTE O95F6785A57FD5CC 3A7A8C9D81FDB6T F9
92. A3GLD9 pts psce fde fr l Configurationuti isat ol x Actions Options Ct Parametre D sactiver la modification du mot de passe Autres Fe D sactiver le verrouillage de l ordinateur ed D sa Dre CE Supprimer le Gestionnaire des t ches Autres CS Supprimer la Fermeture de session Figure 163 Workaround D sactivation verrouillage de session sur Ctrl Alt Suppr 212 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 F Console_smartcard_login Racine de la console Strat gie Default Domain Controllers Policy WIN USFPOA3GLDS pts psce fde fr Configuration ordinateurs Strateg la x Fichier Action Affichage Favoris Fen tre ep 5 OS Gestion de l communication Internet Gestionnaire de serveur 2 E z Installation de p riph riques Masquer les points d entr e pour le _Param tre Etat B Ouverture de session Actions Ouverture de session Installation de pilotes changement rapide d utilisateur Affecter un domaine par d faut pour louverture de session Non configur Autres actions M scs 2 Exclure les fournisseurs d informations didentificati Non configur oe ies gear ie eee E ae i Exclure les Fournisseurs d informations d identification on configur A EEE ET UT ES KROME parametre de ege a A 5 ae 2 SER E Kerb EE Ne pa
93. AD Windows Security x Enter your credentials These credentials will be used to connect to cosign florent desgrippes Use another account 0081055421 Smart card credential 0 08 1055421 carte cps ff 7 Remember my credentials Figure 147 Active Directory Configuration Smartcard logon en TSE 172 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 C cosign B389 Remote Desktop Connection e LE en Corbeille CPS GESTION ersion 06 03 Gestion carte Services CPS Gestion lecteur Afficher 4 propos BBE Gestionnaire de la carte CPS IDENTIFICATION DU PORTEUR Monsieur MAxIMA IMAI MASI MAST MAKII 42 MUMUMUMUMUMUMUMUMUMUM UML KAL 0061055421 IDENTIFICATION DE LA CARTE Carte de Professionnel de Sante CPS n 2400158480 de test Expire fin 02 2016 LECTEUR EN COURS OMNIREY CardMan 3x21 0 Figure 148 Active Directory Configuration Bureau a distance et CPS Gestion apres Smartcard logon 173 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 13 Param trage du Smartcard logon sur des nouveaux comptes AD Le param trage d montr pr c demment permet de configurer des comptes nouvellement cr s pour le cas d usage sp cifique du Smartcard logon Le cas d utilisation le plus fr quent concerne cependant l ajout d
94. ASSE 0 GIP CPS AMG E IP CPS CLASSE 1 GIP CPS PRO E GIP CPS CLASSE 1 GIP CPS PRO E GIP CPS CLASSE 2 GIP CP5 STR E IP CPS CLASSE 2 GIP CP5 STR E GIP CPS CLASSE 3 GIP CP5 STR E alP CPS CLASSE 3 GIP CP5 STR E GIP CPS PROFESSIONNEL GIP C E GIP CPS PROFESSIONNEL GIP C E GIP CPS STRUCTURE GIP CPS FR E GIP CPS STRUCTURE GIP CPS FR E GIP CPS FR E GIP CPS FR E GIP CPS FR E GIP CPS FR E GIP CPS TEST FR E GIP CPS TEST FR E TEST ANONYME TEST FR E TEST ANONYME TEST FR E TEST CLASSE 0 TEST ANONYME E TEST CLASSE O TEST ANONYME E TEST CLASSE 1 TEST PROFESSI E TEST CLASSE 1 TEST PROFESSI E TEST CLASSE 2 TEST STRUCTUR E TEST CLASSE 2 TEST STRUCTUR E TEST CLASSE 3 TEST STRUCTUR E TEST CLASSE 3 TEST STRUCTUR E TEST PROFESSIONNEL TEST FR E TEST PROFESSIONNEL TEST FR E TEST STRUCTURE TEST FR E TEST STRUCTURE TEST FR E Verisign Commercial Software Pub 30 09 2014 7 10 2014 30 09 2014 07 10 2014 30 09 2014 07 10 2014 30 09 2014 7 10 2014 30 09 2014 07 10 2014 30 09 2014 07 10 2014 30 09 2014 7 10 2014 30 09 2014 07 10 2014 30 09 2014 07 10 2014 30 09 2014 7 10 2014 30 09 2014 07 10 2014 30 09 2014 07 10 2014 30 09 2014 o 10 014 30 09 2014 06 10 2014 30 09 2014 06 10 2014 30 09 2014 o 10 2014 30 09 2014 06 10 2014 30 09 2014 O6 10 2014 30 09 2014 06 10 2014 30 09 2014 06 10 2
95. Authentification dus Messagerie lectroni lt Touk gt lt Touk gt Authentification dus Tout lt Touk lt Tout lt Touk lt Tout Authentification dus Messagerie lectron Authentification dus Messagerie lectron lt Touk gt lt Touk gt Enregistrement des i lt Tout lt Touk lt Aucun lt Aucun lt 4ucun USER Tri lt 4ucun Baltimor Verisign Verisign Microsol DigiCert Digicert DigiCert GeaTru lt ALUCUN lt 4ucun GeaTru lt 4ucun lt 4ucun lt ALCUN lt ALCUN lt ALCUN Globalsi GTE Cyt Secreta Microsol Microsol Microsol Verisign al Thawte Premium Server Ay a Thawte Premium Server C Galthawte Primary Root CA el Thawte Timestamping CA EQ IUTN DATACorp SGC al verisign Class 3 Public Primary Cer LI Thawte Premium Server CA Thawte Premium Server CA thawte Primary Root CA Thawte Timestamping TA UTN DATACorp SGC VeriSign Class 3 Public Primary Certifi oz 01 2021 01 01 2021 17 07 2036 01 01 2021 24 06 2019 17 07 2036 Authentification du s Authentification dus Authentification dus Enregistrement des i Authentification dus Authentification dus Thawte thawte thawte Thawte USER Tri verisign _ j 161 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 E 192 168 7 14 Connexion Bureau
96. B1ABOD4C2 72E7B49730 FC3D7599995F2A1 DDE244F7DF7AF30 FCDE3C8CE3 3CBA21D0CD3D5E 3EE335080A193EC BA9CBB24EBC AuthorityKeyldent fier FICFCF34D25A2F 4B2B 7 D4B01F08 2DBFO3C1FF 7 FICFCF34D25A2F 4B2B7 D4B01F08 2DBFO03C1FF77 CA2386BD652FBF 507EB5B63A5D0C 3356297597F3 LM Perso LM inter 24 09 2014 Strat Ro Start Int 189 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx CN GIP CPS CLASSE 1 OU GIP CPS PROFESSIONNEL O GIP CPS C FR CN GIP CPS CLASSE 2 OU GIP CPS STRUCTURE O GIP CPS C FR CN GIP CPS CLASSE 2 OU GIP CPS STRUCTURE O GIP CPS C FR CN GIP CPS CLASSE 3 OU GIP CPS STRUCTURE O GIP CPS C FR IssuerDN OU GIP CPS PROFESSION NEL O GIP CPS C FR OU GIP CPS STRUCTURE O GIP CPS C FR OU GIP CPS STRUCTURE O GIP CPS C FR OU GIP CPS STRUCTURE O GIP CPS C FR Fichier r p cer cer 09 inter gip cps class1 cer 10 inter gip Cps class2 cer 11 inter gip cps class2 cer 12 inter gip cps class3 cer Thumbprint SHA 1 46934C7CDAD63C04 B3FE76FSFFBF 512E 55B8F7E S8A94BBBB12BD5567 318FCF191B349B8FF D8A992D 3E85E5F32C4C2E6F2 D82884228C515AE7 3A5C8D7 BA33690A8AC857D5 E5514AC5FD817EE8 CA1F7819 SubjectKeyldentifie 726C14AEAD8384A D2B174AC0239593 31DF256735 F34F6B F90A2AST F1F46A687AD8615 B1010A62D6 935920931D30024 DD1BB2D2DD105B F
97. BE87DC730E27 OU 0002 OU 0002 53B2F049 14CDO7F22E 150747C49E2F 187512751 O ASIP SANTE 187512751 C FR 5 SANTE C FR Tableau 36 Liste de certificats 200 229 asipsanie LCL AGENCE DES SYST MES D INFORMATION _ PARTAG S DE SANT 12 17 Debugging 12 17 1 Traces Cryptolib CPS Gestion des traces Cryptolib CPS Activation en fusionnant le ProgramFiles santesocial CPS activation_traces reg fichier Traces g n r es ALLUSERSPROFILE santesocial CPS log dans le r pertoire D sactivation en fusionnant le fichier ProgramFiles santesocial CPS desactivation_traces reg Tableau 37 Activation des traces Kerberos via la base de registre 12 17 2 Traces Kerberos 2 m thodes sont disponibles 12 17 2 1 Via la base de registre 12 17 2 1 1Activation Les traces Kerberos s activent en fusionnant les parametres suivants en base de registre Activation des traces Kerberos via la base de registre HKEY_ LOCAL MACHINE System CurrentControlSet Control Lsa MSV1 0 NtLmInfoLevel dword c0015003 HKEY LOCAL MACHINE System CurrentControlSet Control Lsa Kerberos En LogToFile dword 00000001 modifiant HKEY LOCAL MACHINE System CurrentControlSet Control Lsa Kerberos Parameters les cl s LogToFile dword 00000001 suivantes HKEY LOCAL MACHINE System CurrentControlSet Control Lsa Kerberos Parameters KerbDebugLevel dword cO000043 HKEY_LOCAL_MACHINE System CurrentControlSet Services Kdc
98. Bureaux 4 distance 4a gt SSISTAN cuvalion 4nalyseur de performances Sie Configuration d h te de session Bureau distance a Assistant Configuration de la s curit amp Configuration de l acc s Web des services Bureau distance ta Gestionr E A E amp R le 4 J Pour installer de mani re s curis e Lal Autorit de certification Gestionnaire de licences des services Bureau distance m mnsssm mn le snm mes lonbmen mm mt She i fe Centre d administration Active Directory Gh Gestionnaire des services Bureau distance ad Bloc notes gt a gt Configuration du syst me m Gestionnaire RemoteApp TE d 4 Diagnostic de m moire Windows Pour tre autoris effectuer cette proc dure y Invite de commandes mee A DNS du groupe Administrateurs local ou un grot P bati R licences Bureau a distance 4 configurer Consull eerie at aie Sa Domaines et approbations Active Directory l utilisation des comptes et des appartenances a Internet Explorer ls Explorateur de stockage suivant http go microsoft com fwlink LinkId y A Gactionida fordna Documents 2 Gestion de l ordinateur gt Pour activer automatiquement un serv i estion de lordinateur 1 Gestion des strat gies de groupe services Bureau a distance Ordinateur Sz Gestion du partage et du stockage 1 Sur le serveur de licences ouvrez le Ges cz Windows PowerShell Modules gt i ce services Bureau distance Pour ouvrir Gestionnaire de serve
99. C Demandes d inscription de certificat 9 Racines de confiance de carte puce C P riph riques approuv s 2 Configuration d h te de session Bureau distance Domaines et approbations Active Directory S Strat gie Default Domain Controllers Policy WIN 9 gy Gestionnaire des services Bureau distance 3 PKI d entreprise BE Sites et services Active Directory WIN 92TJH90G0 E Utilisateurs et ordinateurs Active Directory WIN 9 E amp BAe amp E Le magasin Autorit s de certification interm diaires contient 35 certificats Figure 124 CPSRev v rification du magasin Intermediate CA Local machine A minima les 15 certificats interm diaires de production de l ASIP Sant doivent tre pr sents Si des cartes de test sont utilis es environnements de tests et d homologation les 15 certificats interm diaires de test de ASIP Sant doivent tre pr sents Il peut donc y avoir jusqu 30 certificats interm diaires ASIP dans ce magasin L import par fichier P7B est possible et conseill e cer p7b 02 prod inter p7b o 15 certificats de production e cer p7b 04 test inter p7b o 15certificats de test e cer p7b 06 all inter p7b o 30 certificats de production et de test Conseil Se reporter au chapitre D tails de certificat et imprimer ce tableau et mat rialiser la v rification en cochant la case Check Conseil
100. CPS v5 Identique Windows 2008 gt commande Dsstore pulse au lieu de certutil pulse Ex cuter sur le contr leur de domaine certutil pulse pour propager les autorit s et a installer Dsstore pour strat gies sur les postes clients Windows 2003 Red marrer une machine cliente et tester l ouverture de session par carte CPS Tableau 14 Serveur Configuration 42 229 24 09 2014 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 11 7 Exemples d architecture r seau Exemple d une architecture r seau volu e un client sur un domaine A se connecte distance sur un domaine B via un canal VPN sur un serveur TSE ou CITRIX via une carte CPS Contr leur de domaine Certificate Server Domaine priv A Poste client Lecteur PC SC Serveur TSE Citrix Contr leur de domaine secondaire Figure 16 Architecture Exemple d architecture r seau volu e 43 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12Annexes Ces annexes pr sentent la mise en uvre simplifi e du Smartcard logon avec une carte CPx maquette Cette maquette a pour principaux int r ts 1 de d montrer la configuration de tous les l ments n cessaires au Smartcard logon avec une carte CPx 2 dele prendre en mains
101. E_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 7 S lectionner gt retrouver le certificat Remote Desktop Propri t s de RDP Tcp 7 Contr le distance Param tres du cle G n ral Param tres d ouverture de sess Type ROF Tcp Bi Transport tcp irr l p Commentaire S cunte Couche de S curit Ne La couche la plus s curis e prise en chal le protocole SSL TLS 1 0 est pris en che Niveau de chiffrement Ce Toutes les donn es envoy es entre le cli par un chiffrement base sur la puissance client Autoriser les conh sions uniquement FU es cutant le Bureau distance avec u du r seau Certificat G n r automati S lectionner Par d faut 3 En savoir plus sur la configuration des pa EE me ne i 7 Securit de Windows i X S lectionner un certificat o WMS ee MAT OISE POAS EL Emetteur WMSyvc 4vTN LISFPOA3GLD9 Valide partir du 12 03 2013 au 10 0 pts WIN USFPOASGLDS CA P Emetteur pts WIM USFPOA3GLDS CA Valide partir du 27 06 2013 au 27 0 WINM USFPOASGLDY pts pS metteur pts WIN LISFPOA3GLD9 C4 Valide partir du 05 07 2013 au 05 0 Cliquez ici pour afficher les propri t s WIN UJSFFDAS OLDS pts p5 Emetteur pts WIM USFPOA3GLDS9 CA Valide partir du 27 06 2013 au 2710 OF Annuler Appliquer i Ca ee rite Figure 114 T
102. GH G rer le journal d audit et de s curit cul Interdire l acc s cet ordinateur partir du r seau oi Interdire l ouverture d une session locale cul Interdire l ouverture de session en tant que service cul Interdire l ouverture de session en tant que t che Lu Interdire l ouverture de session par les services Bureau distance al Modifier l heure syst me H Modifier les valeurs de l environnement du microprogramme Le Modifier un nom d objet kil Ouvrir une session en tant que service H Ouvrir une session en tant que tache Sa Derfarmanre evet me du nenfil e session par les services Bureau a distance Administrateurs Utilisateurs SERVICE LOCAL Administr Administrateurs Op rateu Tout le monde Utilisateurs Administrateurs SERVICE LOCAL SERVICE Administrateurs Administrateurs Administrateurs SERVICE LOCAL SERVICE Administrateurs Ope rateu SERVICE LOCAL SERVICE Administrateurs SERVICE LOCAL Administr Administrateurs Administrateurs Ope rateu Ariminictr ataurre AT SED VT Param tre de s curit locale Autoriser l ouverture de session parles services Bureau distance Supprimer Propri t s de Autoriser l ouverture de session p Figure 96 Terminal Server Droits d ouverture de session a distance pour un utilisateur pr cis 118 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard
103. IP CPS el GlobalSign Root CA ES IGTE CyberTrust Global Root Coca GalMicrosoft 4uthenticodettr Root al Microsoft Root Authority GalMicrosoft Root Certificate Authority EQ INO LIABILITY ACCEPTED c 97 V ey Eo ANONYME C RACINE IGi S MTE ELEMENTAIRE AC RACINE Ie ANTE FORT AC RACINE IGC SAMNTE STANDARDO AddTrust External CA Root 45IP S4NTE TECHNIQUE Baltimore CyberTrust Root Class 3 Public Primary Certification 4 Class 3 Public Primary Certification 4 Copyright ci 1997 Microsoft Corp DigiCert Assured ID Root TA DigiCert Global Root CA Gigicert High Assurance EW Root CA Equifax Secure Certificate Authority eu FR ASIPSANTE 00 CA eu FR ASIFSANTE 00 CA GeoTrust Global TA GIP CPS GIP CPS ANONYME GIF CPS PROFESSIONNEL GIP CPS STRUCTURE GlobalSign Root TA GTE CyberTrust Global Root IGC A Microsoft Authenticodeftm Root ou Microsoft Root Authority Microsoft Root Certificate Authority MO LIABILITY ACCEPTED c 9 Veri TEST ANONYME TEST PROFESSIONNEL 13 05 2025 02 08 2075 08 01 2004 31 12 1999 10 11 2031 10 11 2031 10 11 2031 22 08 2018 30 09 2019 30 09 2019 RIRE 31 12 2020 28 01 2028 14 08 2018 17 10 2020 01 01 2000 31 12 2020 10 05 2021 TELE lt Toutz lt Touk Tout Authentification dus Tout Authentification dus Messagerie lectroni Messagerie lectroni Enregistrement des i Authentification dus Authentification dus
104. Identique Windows 2008 installation pr alable de Rktools pour Windows 2003 pour avoir le module PKIView enterprise PKI Identique Windows 2008 41 229 ASIP Sant Configuration Cr ation d une relation d approbation pour le suffixe UPN des cartes CPS Configuration d un compte utilisateur sur Active Directory Test de la configuration ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx Windows 2008 Server Windows 2003 Server Ajouter dans la liste le suffixe de UPN de la carte CPS Outils d administration gt Domaine et approbations AD gt Clic Droit gt Propri t s gt Suffixes UPN identique Windows 2008 Ajouter dans la liste le suffixe de l UPN de la carte CPS carte cps fr pour les cartes CPS compatible Smartcard logon Attacher l identifiant de la carte CPS Il UPN present dans le certificat d authentification de la carte CPS a un compte utilisateur Active Directory Ouvrir les propri t s d un compte utilisateur du domaine Onglet Compte dans le champ nom identique Windows 2008 d ouverture de session de l utilisateur ajouter UPN de la carte associer ce compte V rification le suffixe de l UPN cr auparavant par relation d approbation appara t dans la liste des suffixes Test de la configuration Configuration poste client minimal un lecteur PC SC son driver Cryptolib
105. KdcDebugLevel dword cO000803 En fusionnant le fichier suivant log kerberos reg debug smartcard logon kerberos activate reg Tableau 38 Activation des traces Kerberos via la base de registre Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 esante gouv fr Agir ensemble pour soigner mieux ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 17 2 1 2G n ration Emplacement des traces Kerberos via la base de registre systemroot system32 Isass log R pertoires systemroot tracing msv1_O suivants systemroot tracing kerberos systemroot tracing kdcsvc Tableau 39 Emplacement des traces Kerberos apr s activation via la base de registre 12 17 2 1 3D sactivation Les traces Kerberos se d sactivent en fusionnant les parametres suivants en base de registre D sactivation des traces Kerberos via la base de registre HKEY_ LOCAL MACHINE System CurrentControlSet Control Lsa MSV1_0 NtLmInfoLevel HKEY_ LOCAL MACHINE System CurrentControlSet Control Lsa Kerberos LogLevel HKEY_ LOCAL MACHINE System CurrentControlSet Control Lsa Kerberos LogToFile En HKEY_ LOCAL MACHINE System CurrentControlSet Control Lsa Kerberos modifiant KerbDebugLevel les cl s HKEY_ LOCAL MACHINE System CurrentControlSet Control Lsa Kerberos Parameters suivantes LogLevel
106. MS il assure le retrait des certificats du magasin lors du retrait carte 24 09 2014 Statut Statut Probl me Alternative Non reproduit Non reproduit 206 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Statut Statut Probl me Alternative Ticket s OS Archi Limitation Alternative Installer les Cryptolib CPS v5 0 8 sur Env TSE le poste client cf Annexe 6 AT _ 0070 0001075 installation du poste client Confirm Confirm L ouverture de session signale des erreurs 207 229 ASIP Sant Ticket s ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx OS Archi Limitation Alternative 24 09 2014 Statut Statut Probl me Alternative AT_0080 Env TSE Il n est pas possible d ouvrir une session lorsque l option SSL du service NLA Network Level Authentication SSL est activ e Cf 6 5 Installation d un r le Terminal Server Non reproduit 20130731 Cette fonctionnalit est nouvelle dans W2008R2 noyaux Vista et RDP 6 0 n a pas encore t test e et n est pas encore support e 208 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Statut Statut Probl me Alternative Ticket s OS Archi Limitation Alternative Env TSE t
107. OU GetObject LDAP localhost 389 CN Users amp DomainPath for i 1 to 10 Ajout ici de 10 utilisateurs automatiquement Set objUSER objOU Create User cn testUSERnum amp i objUser Put givenName test_givenName amp i objUser Put sn test_surName amp i objUser Put displayName test_DisplayName amp i objUser Put SAMAccountName USER test amp i objUser Put UserPrincipalName UPNtest amp i amp carte cps fr objUser Put mail test mail asipsante fr objUser Put initials asip amp i objUser Setinfo objUser AccountDisabled FALSE activation du compte objUser Setinfo Next wscript echo FIN script ajout utilisateur OK Tableau 30 D ploiement UPN Exemple de script VBS permettant la cr ation d utilisateurs dans un annuaire Active Directory 176 229 ASIP Sant 12 14 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx preexistants 12 14 1 Cas 1 to 1 un compte existant une carte 24 09 2014 Param trage du Smartcard logon sur des comptes AD Dans le cas bijectif un compte existant une carte l id e est de ramener la d claration de compte de Propri t s de Carte6 Carte6 Carte Environnement Sessions Contr le distance Profil des services Bureau 4 distance Bureau virtuel personnel COM G n ral Adresse Compte Profil T l phones Organisatio
108. OU TEST TECHNIQUE O TEST C FR OU TEST ANONYME O TEST C FR Fichier r p cer cer 20 inter gip Cps structure c er 21 root GIP CPS TEST cer 22 root TEST ANONYME cer 23 root TEST PROFESSIO NEL cer 24 root TEST STRUCTUR E cer 25 root TEST TECHNIQU E cer 26 inter test classO cer Thumbprint SHA 1 D031C6132A5345BC BC52C499B89B87E4 OAO77BFE 717E472799B45FF 5 5A97AOF2F2B30245 C7FE379 B8B9576489E0D294 145C2016F61469E71 CBF323F 71E9ACO3FCE331770 7C7FS5D5D429EA209 ECA2305 9ODA3E6D021FA378 D55CEEEA3CE B82C A7C8756B 42111D850BB4E3B4 D30A920ACCB6D64B D9CA3F98 D367C327413DAEA6 82681C388C1C8DE3 560BD841 SubjectKeyldentifie ACE6F2C855B2CE3 50304710C119F50 70545D4F06 AF3B167480F5D95 47A21C738E625FA 24FE34D504 97BF4F0C6226425 292B9FA26738570 14B55B243D 75C14776C4AD282 F67AA568B032200 0C7AC38584 54B7A98F06847DB 7B 9C35FB8FAE69 5D73D59375 26ECC1EBBD3B9CC EAFF32FED04200D 698593223D 4DB168E2C11E74F AuthorityKeyldent fier E7D8047AC370F8 DCO2E4A00B2CB2 75A59228FCBB 97BF4F0C6226425 9FE368173340687E 292B9FA2673857 6D940F5B0 014B55B243D LM Perso LM inter 24 09 2014 Strat Ro Start Int 192 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx CN TEST CLASSE O OU TEST ANONYME O TEST C FR CN TEST CLASSE 1 OU TEST PROFESSIONNEL O TEST C F
109. PS v4 permettait de g rer le Smartcard logon avec des cartes CPS La Cryptolib CPS v5 apporte un nouveau CSP faisant abstraction des fili res GALSS ou PC SC la Cryptolib CPS v5 adresse le lecteur PC SC n cessaire pour le Smartcard logon directement en PC SC sans passer par le GALSS L insertion de la carte CPS dans un lecteur de type PC SC reste requis pas de drivers PC SC requis pour les lecteurs PSS Important Sur les postes clients 64 bit il est n cessaire d installer les Cryptolib CPS x64 iz Composants Cryptographiques CPS v5 0 6 x64 Bienvenue dans l assistant d installation des aSIPSANT Composants Cryptographiques CPS v5 0 6 Goes lus ul il l assistant d installation va installer les Composants Cryptographiques CPS v5 0 6 x64 sur votre syst me Pour continuer diguez sur Suivant InstallShield Precedent Figure 19 Poste client Installation Cryptolib CPS x64 ig Composants Cryptographiques CPS v5 0 6 x64 eee asipsant S lectionnez le type d installation voulu IT i Be T T Permet d effectuer une installation s lective et de d finir l emplacement cible des fonctions choisies S adresse aux utilisateurs plus exp riment s InstallShield Figure 20 Poste client Installation Cryptolib CPS x64 installation perso avec la fili re CPS2Ter Full PC SC 50 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v
110. Parametre ES Reconnexion automatique EE Autoriser les utilisateurs se connecter distance l aic Refuser la d connexion d un administrateur connect EE Configurer lintervalle de conservation des connexions ES Limiter le nombre de connexions EE D finir les r gles pour le contr le distance des session i M autoriser qu une session de services Bureau distance Autoriser le d marrage distant de programmes non r pe m a J D sactiver la planification de r partition de charge quilil y tendu A Standard param trefs 133 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 7 Installation d un r le IIS W2008R2 Base VMware Player Non commercial use only d Assistant Ajout de r les k L Services AD RMS Active Directory Rights Management Services _ Services ADFS Active Directory Federation Services Services Bureau distance Install Services de certificats Active Directory Install Services de d ploiement Windows Services de documents et d impression Services de domaine Active Directory Install _ Services de fichiers _ Services de strat gie et d acc s r seau Services WSUS Windows Server Update Services Figure 116 IIS Installation du r le 134 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte
111. R CN TEST CLASSE 1 OU TEST PROFESSIONNEL O TEST C FR CN TEST CLASSE 2 OU TEST STRUCTURE O TEST C FR CN TEST CLASSE 2 OU TEST STRUCTURE O TEST C FR IssuerDN OU TEST ANONYME O TEST C FR OU TEST PROFESSION NEL O TEST C FR OU TEST PROFESSION NEL O TEST C FR OU TEST STRUCTURE O TEST C FR OU TEST STRUCTURE O TEST C FR Fichier r p cer cer 27 inter test classO cer 28 inter test classi cer 29 inter test classi cer 30 inter test class2 cer 31 inter test class2 cer Thumbprint SHA 1 4443FCO599A80C3A 61C416A9CD174BB9 D42C61BF 933D2D2BD62FFFDO CCE7FA092COD34C3 B64E69E7 2438CFC8F2756CBB2 6850273F7A0E47C57 B2233E BO27E0O2F33FODC128 47CDE8BOBCOAC5B7 67E0473 54DFEE1LAC4CD8D5A CF32F7AE121EF26A3 38FF13D SubjectKeyldentifie 898C2D 53B73969 C3BA1B1599868ED C1999E92EE 0A26371072F587F CA7A0C4713D77F0 BB235FEE4A 76103543B48B7F8 C6EO0B792A69082 B3C14BD2EA DB39068C884F434 D60505B3996737C D3A2DE5694 44721289C272779 BDBOA3B8F4A32AE 4E2CAF5876 AuthorityKeyldent fier 97BF4F0C6226425 292B9FA2673857 014B55B243D 75C14776C4AD28 2F67AA568B0322 000C7AC38584 75C14776C4AD28 2F67AA568B0322 000C7AC38584 54B7A98F06847D B 7B 79C35FB8FAE 695D73D59375 54B7A98F06847D B7B 79C35FB8FAE 695D73D59375 LM Perso LM inter 24 09 2014 Strat Ro Start Int 193 229 ASIP Sant ASIP PTS PSCE_Guide de mise
112. SIONNEL TEST PROFESSIONNEL 3 i lt Tout gt A SPC E TEST STRI 5 1 31 lt Tout gt P riph riques approuv s TES Q TEST TECHNIQUE a x Touk gt Certificats Utilisateur actuel Configuration d h te de session Burear Domaines et approbations Active Direc Strat gie Default Domain Controllers Pi eg Gestionnaire des services Bureau dis a PKI d entreprise BR Sites et services Active Directory Utilisateurs et ordinateurs Active Direc E Figure 139 Active Directory Configuration Collage de certificats Racine dans le magasin personnel Le certificat racine ASIP SANTE TECHNIQUE doit aussi tre pr sent A minima les 5 certificats root de production de l ASIP Sant doivent tre pr sents les 5 root de l IGC de sant de production actuelle Si des cartes de test sont utilis es environnements de tests et d homologation les 5 certificats root de test de l ASIP Sant doivent tre pr sents Les 3 certificats root de production de la future IGC de sant peuvent tre d ploy s Il peut donc y avoir jusqu 13 certificats root ASIP dans ce magasin L import par fichier P7B est aussi possible e cer p7b 01 prod root p7b o 8 certificats de production e cer p7b 03 test root p7b o 5 certificats de test e cer p7b 05 all root p7b o 13 certificats de production et de test 162 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924
113. SL TLS 1 0 est utilis pour Pn Windows Installer poet A apaja s curiser les communications entre un client et un serveur Hate LI windows Mail ah pu es de la session Bureau distance pendant des connexions RDP Windows Media Center E OSa SESSO igs ET win Un certificat est s lec Remote Desktop Protocol ES Windows Meccenaer aps tendu_ Standard Si ce param tre de strat gie est activ vous devez sp cifier un 7 parame tre s nom de mod le de certificat Seuls les certificats cr s l aide du ii i oe ed i p Figure 105 Terminal Server D ploiement du mod le de certificat Remote Desktop sur les postes clients via l AD 124 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 F Console_smartcard_login Racine de la console Certificats ordinateur local Personnel Certificats Fichier Action Affichage Favoris Fen tre e Almli ab ele Racine de la console D lisr Actions qj PKI d entreprise ERlGIP CP5S GIP CPS EJ Strat gie Default Domain Controllers Policy WWIN UISFPOA3GL Ca IGIP CPS ANONYME GIP CPS ANONYME El Er Certificats ordinateur local E_larp cps PROFESSIONNEL GIP CPS PROFESSIONNE Autres actions a E Lu Personnel BlGiP CPS STRUCTURE GIP CPS STRUCTURE mimm Demander un nouveau certificat pts WTN USFPO SLD Toutes les t ches
114. Tableau 32 D sactivation de l utilisation du SubjectAltName SAN Cette d sactivation doit tre effectu e sur tous les KDC 12 14 4 Cas n to m Activation du hint Il faut aussi modifier la GPO Default Domain Policy pour activer la politique MMC gt Default Domain Policy gt Computer Configuration gt Administrative Templates gt Windows Components gt Smart Card gt Allow user name hint MMC gt Default Domain Policy gt Configuration ordinateur gt Strat gies gt Mod les d administration gt Carte puce gt Autoriser l indication du nom d utilisateur Tableau 33 Activation du hint Afin que de permettre au KDC de retrouver le compte AD 182 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 g diteur de gestion des strat gies de groupe Fichier Action Affichage el Ame H mT Strat gie Default Domain Policy FR ASI E Configuration ordinateur Strat gies gt Param tres du logiciel S lectionnez un l ment pour obtenir une _Param tre tat description J Autoriser les certificats sans attribut d utilisation avanc e de la cl Activ M Param tres Windows Autoriser l affichage de l cran de d blocage int gr lors de l ouvert Non configur E LA Mod les d administration d Autoriser les cl s d
115. Temps Windows Conservel D ma Automatique LE Th mes Fournit un D ma Automatique CE TP AutoConnect Service ThinPrint Derma Manuel TP YC Gateway Service ThinPrint c Manuel CE VMware Snapshot Provider VMWare Sn Manuel ck VMware Tools Fournit un D ma Automatique LE WebClient Permet u Manuel ce Windows CardSpace Active en t Manuel Windows Defender Protection Derma Automatique fd ebu tendu D Figure 161 Configuration de la Strat gie de retrait de la carte puce automatique 187 229 asipsanie AGENCE DES SYSTEMES D INFORMATION _ PARTAGES DE SANTE 12 16 D tails des certificats ASIP Sante Abr viation Local Machine R le dans l infrastructure Fonction D tails LM Root Local Machine Domain Controller Magasin de certificats Racine Strat Int Local Machine Domain Controller Strat gie de cl publique Interm diaire Fichier r p cer cer SubjectKeyldentifie AuthorityKeyldent IssuerDN Thumbprint SHA 1 e r ifier LM Perso LM inter Strat Ro Start Int O GIP CPS C FR OU ASIP SANTE TECHNIQUE O ASIP SANTE C FR OU GIP CPS ANONYME O GIP CPS C FR O GIP CPS C FR OU ASIP SANTE TECHNIQUE O ASIP SANTE C FR OU GIP CPS ANONYME O GIP CPS C FR 01 root GIP CPS cer 02 root ASIPSANTE TECHNIQU E cer 03 root GIP CPS ANONYME cer 8E4471D30842B54B C7E2582770009469 ABDO2CC7 4AAA2092B960A4D9
116. _Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only services de domaine Active Directory Nom de domaine NetBIOS Il s agit du nom que les utilisateurs des versions ant rieures de Windows utiliseront pour identifier le nouveau domaine entre les utilisateurs et les ssion utilisateur l authentification et les cutez l Assistant Acc der l Observateur rr r d v nements E Filtrer les v nements ana er l actualisation Figure 50 Active Directory Configuration du r le NetBIOS 77 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only ications entre les utilisateurs et les session utilisateur l authentification et les Ex cutez l Assistant IMO EXE Acc der l Observateur rr r d v nements Ep Filtrer les v nements te er l actualisation a fal Figure 51 Active Directory Configuration du r le V rif NetBIOS 78 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only TE g D finir le niveau fonctionnel de la foret S lectionnez le niveau fonctionnel de la for t entre les utilisateurs et
117. _v2 5 8 docx 24 09 2014 Conseil Se reporter au chapitre D tails de certificat et imprimer le tableau et mat rialiser la v rification en cochant la case Check Conseil les certificats de test ASIP Sant doivent tre supprim s des environnements de production 12 11 1 2 Magasins Certificats Racine et interm diaires Cf CPSRev S assurer que le certificat racine de l AD CS est provisionn dans la magasin racine fait par d faut sur VAD CS est sur le contr leur de domaine 12 11 1 3 Magasin NTAuth Ajout des certificats d autorit s client racine interm diaire serveur racine dans le magasin NTAuth MMC gt PKI d entreprise gt Clic droit gt g rer les conteneurs Active Directory gt Conteneur NTAuthCertificates gt Ajouter G rer les conteneurs Active Directory x Conteneur des autorit s de certification Conteneur des services d inscription Conteneur NTAuthCertficates Conteneur AIA ConteneurCDP Conteneur KRA Supprimer AhiCHer Figure 140 Active Directory Configuration Magasin NTAUTH avant import 163 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 20 14 G rer les conteneurs Active Directory Ea Conteneur des autorit s de certification Conteneur des services d inscription Conteneur HT AuthCertiticates Conteneur Ala Conteneur COF Conteneur KAA Stat
118. actions gt E E Autorit s de certification racines de confiance E Class 3 Public Primary Certification Class 3 Public Primary Certification A 08 01 2004 Messagerie lectroni VeriSign _ oj Cons f EN Copyright c 1997 Microsoft Corp Copyright c 1997 Microsoft Corp 31 12 1999 Enregistrement desi Microsoft Timestamp C Confiance de l entreprise amp l i 30 06 2018 pies uns A 1 Autorit s de certification interm diaires basis be iG Liste de r vocation des certificats Fleu cosign ca eu cosign ca 30 06 2018 lt Tout gt lt Aucun gt I Certificats ERlGIP CPS GIP CPS 31 12 2020 lt Tout gt lt Aucun gt C Objet utilisateur Active Directory EalGIP CPS ANONYME GIP CPS ANONYME 31 12 2020 lt Tout gt lt Aucun gt iG diteurs approuv s ERIGIP CPS PROFESSIONNEL GIP CPS PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt E B Certificats non autoris s EQ GIP CPS STRUCTURE GIP CPS STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt A Autorit s de certification racine tierce partie E GIP CPS TEST GIP CPS TEST 31 12 2020 lt Tout gt lt Aucun gt 7 gt Personnes autoris es GIGTE CyberTrust Global Root GTE CyberTrust Global Root 14 08 2018 Messagerie lectroni GTE CyberTrust Glob Racines de confiance de carte puce EglMicrosoft Authenticode tm Root Microsoft Authenticode tm Root Au 01 01 2000 Messagerie lectroni Microsoft Authentico E Gl Certificats ordinateur local Eq Microsoft Root Author
119. agasin NTAuth Cot client aucune autorit n est obligatoire le Winlogon se base uniquement sur le magasin NTAuth aliment par le serveur Remarque les cartes CPS poss dant des certificats compatibles Smartcard logon sont diffus es depuis mars 2011 cartes CPS3 29 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 11Configuration Cette partie donne les bases pour configurer les diff rents composants client et serveur d crits pr c demment afin de mettre en place et d administrer le Smartcard logon 11 1 Configuration du poste client Cf Annexe pour des aper us d installation du poste de travail Les composants logiciels n cessaires sur le poste client sont e Les Cryptolib CPS v5 de l ASIP Sant devront tre install es e Le CSP de l ASIP Sant compatible avec le Smartcard logon devra tre install e Configuration en base de registres du mapping entre l ATR d une carte CPS et le CSP ASIP Sant permettant l acc s la carte CPS e HKEY LOCAL MACHINE SOFTWARE Microsoft Cryptography Calais SmardCards La Cryptolib CPS v5 apporte un nouveau CSP faisant abstraction des fili res GALSS ou PC SC la Cryptolib CPS v5 adresse le lecteur PC SC n cessaire pour le Smartcard logon directement en PC SC m me si le GALSS est pr sent Le Setup d installation de cette version de la Cryptolib CPS installe l ensemble d
120. al Utilisateurs et ordinateurs Active Directory WIN LGFPOASGLI Gere sinar ok annrah skinne Mckiss Mirackoarss FANTAIL cronni E 4 Etendu 11 param tre s mll ale IFprec aia m Figure 164 Workaround D sactivation changement d utilisateur Ne pas oublier la commande gpupdate pour propager les nouvelles policies REE 213 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx 13Contenu du Kit Smartcard logon ASIP Sante 1 Pack SCL 0001 Pack_SCL_ 0002 Pack SCL_ 0003 Pack SCL_ 0004 Pack SCL 0005 Pack SCL_ 0006 Pack SCL 0007 Pack SCL_ 0008 Pack SCL_ 0009 R pertoire bin bin bin bin msi 5 x y cer cer cer p7b cer p7b cer p7b cer p7b Description R pertoire Fichiers binaires ou ex cutables Installation Cryptolib CPS 40 certificats ASIP Sant au format cer certificats ASIP Sant au format P7B Fichier 00 asipsante smartcard logon ntauth manage cmd 01 asipsante smartcard logon console msc tracelog exe Cryptolib CPS txt XX yy cer 01 prod root p7b 02 prod inter p7b 03 test root p7b 04 test inter p7b 24 09 2014 Description Fichier Script de peuplement du magasin NTAuth Console MMC centralisant les principaux snap in n cessaires la configuration des serveurs MS requis pour le Smartcard logon Outils de prise de traces MS Lien vers les i
121. aquette Proje 05 03 Initialisation du projet Figure 17 Macro planning maquette de Smartcard logon avec une carte CPx asipsanie AGENCE DES SYSTEMES D INFORMATION _ PARTAGES DE SANTE 12 1 5 Remarques Remarques Ces l ments sont donn s titre indicatif Ils correspondent aux retours d exp rience de ASIP Sant sur le sujet Ils sont fournis pour aider la d cision et pour viter les d convenues Ils n engagent en aucune mani re l ASIP Sant quant la r ussite du projet techniquement en co ts ou en d lais Chacun verra au final midi sa porte afin de mener bien ce projet 1 Le temps pass en sp cification 2 La charge de travail du chef de projet Sont proportionnellement plus importants que sur un projet d int gration classique du fait de la nature du projet et de ses objectifs e bilan de l existant e organisation de la d mo en elle m me et project learning o i e composition des pi ces qui alimenteront le projet d finitif La charge de travail de chacun peut augmenter ou diminuer en fonction des profils finalement retenus Les r les peuvent tre confondus ex PROJET 1 et INTEG SERVER 1 ou INTEG SERVER 1 DEVEL_ SERVER 1etINTEG CLIENT 1 Il est cependant recommand de garder un testeur QA_1 ind pendant afin de garantir la qualit du d monstrateur et l int r t pour le management d assister la d mo prise de d cision possible S agissant d une maquette l
122. ateur du Bureau distance 117 Figure 95 Terminal Server Droits d ouverture de session distance 118 Figure 96 Terminal Server Droits d ouverture de session distance pour un utilisateur pr cis 118 Figure 97 Terminal Server Droits d ouverture de session distance pour le groupe Utilisateur du Bane GIS CaN E aa utocracsce cies sie ns sale cto atsa oases sot ese stosted a dendt cena 119 Figure 98 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur l AD CS 120 Figure 99 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur VAD CS 121 Figure 100 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur l AD CS 122 Figure 101 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur AD CS 122 Figure 102 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur AD CS 123 Figure 103 Terminal Server Droits sur le mod le de certificat Remote Desktop 123 Figure 104 Terminal Server Droits sur le mod le de certificat Remote Desktop 124 Figure 105 Terminal Server D ploiement du mod le de certificat Remote Desktop sur les postes cients via PAD Re MR Et ae EE Rite 124 Figure 106 Terminal Server Demande de certificat Terminal Server 125 Figure 107 Terminal Server Demande de certificat Terminal Server S lection de REMOLTEDESIKTOD COMPUTER Ds nn A M dt tete
123. ation Type d autorit de certification eo S lectionnez cette option si cette autorit de certification n utilise pas les donn es du service d annuaire pour mettre ou g rer des certificats Une autorit de certification autonome peut tre membre d un Cl priv e Ch firement domaine Nom de l autorit de certific P riode de validit Base de donn es de certificats Confirmation tat d avancement R sultats En savoir plus sur les diff rences entre l installation d entreprise et autonome lt Pr c dent Installer Annuler Figure 60 AD CS Type d installation Choisir Entreprise S lectionner obligatoirement entreprise pour permettre la propagation automatique de cette autorit sur toutes les machines du domaine 87 229 24 09 2014 ASIP Sante ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx H W2008R2 Base VMware Player Non commercial use only Une combinaison d autorit s de certification racines et secondaires peut tre configur e pour cr er une infrastructure hi rarchique d publique PKI Une autorit de certification racine est une autorit qui met R les de serveurs son propre certificat auto sign Une autorit de certification secondaire re oit son certificat d une autre autorit de certification Indiquez si vous souhaitez installer une autorit de certification racine ou secondaire Avant de
124. ation du r le nouvelle for t 74 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only 6 services de domaine Active Directory Nommez le domaine racine de la foret Le premier domaine de la for t est le domaine racine de la for t I porte galement le nom de la for t ications entre les utilisateurs et les session utilisateur l authentification et les cutez l Assistant Acc der l Observateur rr r d v nements Ep Filtrer les v nements ana er l actualisation Figure 48 Active Directory Configuration du r le nom de domaine 75 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only wa iF L 1 Nommez le domaine racine de la foret Le premier domaine de la for t est le domaine racine de la for t I porte galement le nom de la for t entre les utilisateurs et les ssion utilisateur l authentification et les Ex cutez l Assistant Imo exe Acc der l Observateur d v nements amp biter les v nements tee er l actualisation a H qe ik Figure 49 Active Directory Configuration du r le v rification de la disponibilit du nom de la for t 76 229 ASI P Sa nt ASIP PTS PSCE
125. ation racine tierce partie EnIGIP CPS TEST GIP CPS TEST 31 12 2020 lt Tout gt lt Aucun gt F Personnes autoris es El GTE CyberTrust Global Root GTE CyberTrust Global Root 14 08 2018 Messagerie lectroni GTE CyberTrust Glob 4 1 Racines de confiance de carte puce EglMicrosoft Authenticode tm Root Microsoft Authenticode tm Root Au 01 01 2000 Messagerie lectroni Microsoft Authentico Gl Certificats ordinateur local Fal Microsoft Root Authority Microsoft Root Authority 31 12 2020 lt Tout gt Microsoft Root Auth E Personnel EalMicrosoft Root Certificate Authority Microsoft Root Certificate Authority 10 05 2021 lt Tout gt Microsoft Root Certif Certificats ERINO LIABILITY ACCEPTED c 97 V NO LIABILITY ACCEPTED c 97 Veri 08 01 2004 Enregistrement desi VeriSign Time Stampi E Autorit s de certification racines de confiance QI TEST ANONYME TEST ANONYME 31 12 2020 lt Tout gt lt Aucun gt P Certificats ERITEST PROFESSIONNEL TEST PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt ii Confiance de l entreprise aI TEST STRUCTURE TEST STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt a ec certification ae QI TEST TECHNIQUE TEST TECHNIQUE 31 12 2030 lt Tout gt lt Aucun gt ql Thawte Timestamping CA Thawte Timestamping CA 01 01 2021 Enregistrement desi Thawte Timestampin a m rience Eq VeriSign Class 3 Public Primary Cer VeriSign Class 3 Public Primary Certifi 17 07 2036 Authentificati
126. ations Active Directory S Strat gie Default Domain Controllers Policy WIN 3 ES TEST PROFESSIONNEL TEST PROFESSIONNEL a Gestionnaire des services Bureau distance EQITEST STRUCTURE TEST STRUCTURE iq PKI d entreprise ql www verisign com CPS Incorp by Class 3 Public Primary Certification A BE Sites et services Active Directory WIN 92TJH90GO D Utilisateurs et ordinateurs Active Directory WIN 9 lt Tout gt lt Tout gt lt Tout gt lt Tout gt lt Tout gt lt Tout gt lt Tout gt lt Tout gt lt Tout gt lt Tout gt lt Tout gt lt Tout gt Authentification du s Root Agency TEST ANONYME TEST ANONYME TEST ANONYME TEST PROFESSIONNEL TEST PROFESSIONNEL TEST STRUCTURE TEST STRUCTURE TEST STRUCTURE TEST STRUCTURE PROBA AH 25 10 2016 f fe Gf Ge MHMMMA Le magasin Autorit s de certification interm diaires contient 35 certificats Figure 126 CPSRev v rification du magasin Intermediate CA User Conseil les certificats de test ASIP Sant doivent tre supprim s des environnements de production 144 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 9 3 Configuration du Provider de r vocation ASIP Sant Microsoft Mettre jour la base de registre avec les param tres CPSRev cf documentation du provider de r vocation ASIP Sant en particulier si des cartes de tests sont u
127. au distance gt mode de licence et serveurs de licences 112 229 ASIP Sant 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 12 6 6 Param trage du serveur RDP Une fois le r le install le param trage du serveur RDP et des comptes se font de la fa on suivante E Gestionnaire de serveur LEE Ha Gestionnaire de serveur WIN 92TJH90G03S E Ed R les Gestionnaire RemoteApp WIN 92TJH90G03S eu cosign Gestionnaire RemoteApp WIN 92TJH 4 Gy Serveur Web IIS Gestionnaire RemoteApp E F ices Bureau distance lf Les programmes RemoteApp sont les programmes auxquels vous acc dez v E Ajouter des programmes RemoteApp Gestionnaire RemoteAnp AMIN OTT IE i Rurasn dictanre at annarsiccont comme sils s ex cutaient sur l ordinateur Param tres du h te de sessio A GK Configuration d h te de Ajouter des programmes RemoteApp t acc der un programme RemoteApp as serveur essio emoteApp Param tres de la passerelle des services Bureau distance Modifier Q Les clients utiliseront les param tres de la passerelle des services Bureau distance d finis par la strat gie de groupe de leur domaine Param tres des signatures num riques Modifier AY Aucun certificat num rique n est configur L utilisation d un certificat num rique peut am liorer la s curit Param tres du protocole RDP Modifier Le
128. avanc 73 Figure 47 Active Directory Configuration du r le nouvelle for t 74 Figure 48 Active Directory Configuration du r le nom de domaine 75 Figure 49 Active Directory Configuration du r le v rification de la disponibilit du nom de la for t PEPE PE ee SL 2 D Re ee en 76 Figure 50 Active Directory Configuration du r le NetBIOS cecccccssseccceeseeceeeeseceeeeeeceeeeeneeeeas 77 Figure 51 Active Directory Configuration du r le V rif NetBIOS ccccccccsssseecccceeeeeeeeesaeeeeeees 78 Figure 52 Active Directory Configuration du r le Niveau fonctionnel 79 Figure 53 Active Directory Configuration du r le Configuration DNS 80 Figure 54 Active Directory Configuration du r le D cocher DNS sessccccccessseceeeaeeeseeeesaaaeeees 81 Figure 55 Active Directory Configuration du r le mot de passe LDAP 82 Figure 56 Active Directory Configuration du r le configuration des bases de donn es 83 Figure 57 Active Directory Configuration du r le Installation GPMC 84 Figure 53 2AD CS installation dUrOle S ess RS da nets ii nes 85 Figure 59 ADCS service du r le Autorit de certification cccccccccsssssececcceseceeeeaeeeseeeesaaaeeeees 86 Figure 60 ADCS Type d installation Choisir Entreprise ss 87 Figure 61 AD CS type d autorit Choisir Autorit de certification racine 88 Figure 62
129. base Pas d URL Aucun Heure 0 CRL 108f Issuer OU TEST STRUCTURE O TEST C FR 24 09 2014 149 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 7f e1 a1 b9 19 Oc 35 50 98 72 88 fa b6 6b ed 7c 81 33 de d1 CertContext 0 2 dwinfoStatus 10c dwErrorStatus 0 Issuer OU TEST STRUCTURE O TEST C FR NotBefore 11 10 2004 02 00 NotAfter 31 12 2020 23 59 Subject OU TEST STRUCTURE O TEST C FR Serial 1201 90 da 3e 6d 02 1f a3 78 d5 5c ee ea 3c e7 b8 2c a7 c8 75 6b Element dwinfoStatus CERT_TRUST_HAS_NAME_MATCH_ISSUER 0x4 Element dwinfoStatus CERT_TRUST_IS_SELF_SIGNED 0x8 Element dwinfoStatus CERT TRUST HAS PREFERRED_ISSUER 0x100 Pas d URL Aucun Heure 0 CDP de certificat Pas d URL Aucun Heure 0 Issuance 0 1 2 250 1 71 3 7 9 2 0 0 1 Exclude leaf cert b8 7e ab 1e de 9b 6d 71 f8 60 5e a4 4b 36 5c 3b 16 01 cd 22 Full chain 8a 22 b7 a5 66 c5 f8 e0 7f 9b 48 8b aa e2 f2 88 75 18 7e cO Strat gies d missions v rifi es Aucun Strat gies d application v rifi es 1 3 6 1 5 5 7 3 2 Authentification du client 1 3 6 1 4 1 311 20 2 2 Ouverture de session par carte puce Le certificat est un certificat d entit de fin V rification de r vocation du certificat feuille r ussie CertUtil verify La commande s est termin e correctement Tableau 25 CPSRev R sultat
130. c_auth accept u lt nom_du_compte gt h lt cert_auth_hash gt Autoriser l authentification par carte puce disable pour d sactiver S sudo security authorizationdb smartcard enable Tableau 47 Methode pour appliquer le Smartcard logon sous Mac OS X 15 3 Autres commandes utiles S sudo sc_auth remove u lt nom_du_compte gt S sudo sc_auth list u lt nom_du_compte gt Tableau 48 Commandes utiles au Smartcard logon sous Mac OS X 220 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 15 4 Remarques La configuration avec des comptes r seau est diff rente o Cf internet pour ces configurations plus sp cifiques L authentification par mot de passe n est pas d sactiv e o Apparemment il n est pas possible de le faire Ne pas faire les tests trop vite O 2ou3 secondes peuvent tre n cessaires pour que la fen tre change en code porteur l insertion de la carte Ce cas d usage semble tre peu sponsoris par Apple 221 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 16Annexe Liste des figures Figure 1 Figure 2 Figure 3 Ecran d accueil de Windows XP configur pour ouvrir une session avec une carte puce 13 Ecran d accueil de Windows 7 configur pour ouvrir une session avec une carte puce 13 Ecran du client Ter
131. card logon 24 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 20 14 10 1 2 PKI et Autorit s de certification Pour fonctionner le m canisme du Smartcard logon effectue une authentification mutuelle entre un poste client et le contr leur de domaine bas sur des certificats X509 le client pr sente un certificat d authentification contenu dans la carte le serveur pr sente un certificat serveur authentifiant le contr leur de domaine Pour v rifier l authenticit du certificat client le serveur v rifie notamment que la cha ne d autorit de ce certificat est de confiance Validit structurelle et temporelle du certificat non r vocation autorit s associ es valides et non r voqu es De m me pour le client qui v rifie que la cha ne d autorit du certificat serveur est de confiance Pour cela il faut que chaque entit client et serveur poss de un certificat associ une PKI accessible partir du des contr leur s de domaine et des postes client Lors de la proc dure d ouverture de session par carte puce et plus pr cis ment lors de la v rification de la validit des certificats client et serveur ainsi que leurs autorit s la v rification de la r vocation doit tre obligatoirement effectu e 10 1 2 1 PKI cliente Pour les cartes CPS la PKI est g r e par l ASIP Sant Les autorit s de certification ainsi qu
132. cation Afficher lt Tout Afficher lt Tout ina Identificateur de cl de l aut ID de la cl 49 O02 SF 34 83 Fe alidentificateur de la cl du s F7 SP F264 FF F6 30 78 ed 21 0 T4 Strat gies de certificat i Strat gie du certificat Ide rad Utilisation avanc e de la cl Authentification du client 1 3 FalContraintes de base Type d objet Entit finale Co FalStrat gies de certificat 1 Strat gie du certificat Ide ralPoints de distribution de la li 1 Point de distribution de la lis ita Contraintes de base Type d objet Entit finale Co Falliste de r vocation de certif liste de r vocation de certi FalPoints de distribution de la li 1 Point de distribution de la lis frlautre nom de l objet Autre nom Mom principal 5 1 ralliste de r vocation de certif 1 Liste de r vocation de certi Fr OF Fe 64 FF FS 30 76 ed 21 0 Authentification du client 1 3 irelType de certificat Netscape Authentification de client SSL 1 3 Autre nom de l objet Autre nom Nom principal 5 1 Autre nom Nom principal 5 18003000900039 WINLOGONO1 carte cps fr Authentification du client 1 3 6 1 5 5 7 3 2 Ouverture de session par carte puce 1 5 6 1 4 1 311 20 2 2 Copier dans un fichier Modifier les propri t s Copier dans un fichier Modifier les propri t s G n ral Details Chemin d acc s de certificatio
133. cliquez sur Suivant Pour remettre plus tard installation des licences d sactivez la case cocher D marrer Assistant Installation de licences puis cliquez sur Terminer Figure 84 Terminal Server Fin de l activation du serveur de licences Terminal Serveur 109 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Assistant Activation du serveur x Programme de licence S lectionnez le programme de licence appropri of Chaque chent se connectant un serveur h te de session Bureau distance ou un serveur h te de virtualisation des services Bureau distance le cas ch ant doit poss der une licence d acc s chent aus services Bureau distance une licence d acc s client aux services Terminal Server ou une licence VOI valde S lectionnez le programme de licence avec lequel vous avez achet vos licences Programme de licence Pack de licence LT E comm Description Lette licence a t achet e en quantit pr d tinie dans un magasin ou chez un distributeur Le package peut appeler Pack de licence client Microsoft Windows Format et emplacement Le code de licence contenu dans le Pack de licence sera demand Le code de licence est une suite de cing jeus de cing caract res alphanumenques E Tt 2 DJ Exemple TAZ 3 Ta ZE i283 14263 Verhez que vos Informations de licence sont similares
134. commencer ADCS Services de r le A Autorit de certification radne Type palate S lectionnez cette option si vous installez la premi re et unique autorit de certification dans une infrastructure a d publique Type d autorit de certification Cl priv e l Autorit de certification secondaire Chiffrement S lectionnez cette option si votre autorit de certification obtient son certificat d autorit de certification Nom de l autorit de certific d une autre autorit de certification plus lev e dans une infrastructure d publique P riode de validit Base de donn es de certificats Confirmation tat d avancement R sultats En savoir plus sur infrastructure d publique lt Pr c dent Installer Annuler Figure 61 AD CS type d autorit Choisir Autorit de certification racine 88 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only Configurer la cl priv e Avant de commencer Pour g n rer et mettre des certificats des cients une autorit de certification doit avoir une d priv e 2 Indiquez si vous souhaitez cr er une nouvelle d priv e ou utiliser une d existante R les de serveurs ADCS Cr er une nouvelle d priv e Services de r le Utilisez cette option si vous n avez pas de d priv e ou si vous
135. compl tement 3 de d terminer s il correspond ou non aux besoins effectifs de l entreprise L entreprise pourra cette occasion en profiter pour faire un bilan 1 desonsSl 2 de son r f rentiel documentaire 3 de ses comp tences connaissances internes relatives aux cartes de sant la s curit et la PKI 12 1 Maquette de Smartcard logon avec une carte CPx 12 1 1 Brief Project Valeur Projet maquette de Smartcard logon avec une carte CPx Prendre en main le Smartcard logon Mesurer la pertinence du cas d usage dans le contexte particulier de l entreprise Affiner l expression de besoin Objectifs Tester les r actions utilisateurs Tirer un bilan sur l tat du SI tats des DEX DAT PCA ad quation des niveaux de s curit requis vs Impl ment s bilan des flux Monter en comp tence les quipes sur la PKI Microsoft et les composants mat riels et logiciels ASIP Sant Tableau 15 Brief Project maquette de Smartcard logon avec une carte CPx 44 229 ASIP Sante ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 2014 12 1 2 Ressources n cessaires Ressource R le Profil Implicati ion MANAGEMENT_1 Donne son aval au projet PROJET 1 INTEG_CLIENT_1 INTEG_SERVER_1 DEVEL_SERVER_1 Collecte les diff rents documents d architecture existants Prend connaissance du guide Ecrit l
136. de fichiers EFS Encrypting File Sy lt TOuUs gt Signature de liste d approbation Microsoft Figure 102 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur l AD CS Propri t s de RemoteDesktopComputer G n ral Conditions d mission Mod les obsol tes E stensions Traitement de la demande Nome de groupes ou d utilisateurs L Administrateur 82 Utilisateurs authentifi s BA Admins du domaine PTS Admins du domaine a Ordinateurs du domaine PTS Ordinateurs du domaine BR Administrateurs de l entreprise PTS Administrateurs de l entreprise Ajouter Supprimer Autorisations pour Administrateur Contr le total Lecture criture Inecrire Inscription automatique Pour les autorisations sp ciales et les param tres avanc s cliquez sur A YANC Informations sur le contr le d acc s et les autorisations 2 Xx Nom du sujet S curit Cerne AUtonser Refuser Aare OK Annuler anie jane Figure 103 Terminal Server Droits sur le mod le de certificat Remote Desktop 123 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Propri t s de RemoteDesktopComputer x G n ral Traitement de la demande Nom du sujet Conditions d mission Mod les obsol tes Extensions S curit L erveur Nome de groupes ou d utilisateurs
137. de la v rification d un certificat avec CPSRev 150 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 20 14 12 10 Configuration d une console de composants enfichables d di e au Smartcard logon Il est particuli rement int ressant de centraliser les l ments configurer dans une console unique Cette op ration se fait de la fa on suivante D marrer gt Ex cuter gt MMC FT W2008R2 Base VMware Player Non commercial use only 2 Ioj x Gestionnaire de serveur WIN 37TJH906035 BEST a any m F F p Programmes 1 ne sstructure d application Web fiable g rable et volutive ae Acc der l Observateur r s v nement s d v nements dant 24 heures me EL Filtrer les v nements ments 0 E Propri t s k ID de l v n 4 service s en cours Acc der aux services Voir plus de r sultats d ex cution 2 service s arr t s Pr f rences El jourd hui 00 21 Configurer l actualisation Figure 128 Console Enfichable MMC 151 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Pour plus de rapidit cliquer sur Fichier gt Ouvrir et choisir bin 01 asipsante console smartcard logon msc fourni dans le Pack Une fois cette console charg e la quasi totalit des l ments configurer
138. de passe Ceci permet d adresser des cas d usage li s aux milieux contraintes professionnels acc s en mode console acc s en mobilit mise en s curit du poste sur arrachage carte La carte CPS3 diffus e par ASIP Sant est compatible avec ce m canisme condition qu elle soit ins r e dans un lecteur de cartes a puces de type PC SC Ce guide documente un Kit de Smartcard Logon qui est d sormais distribu par ASIP Sant en compl ment de ce guide Ce kit contient les ressources n cessaires aux diff rentes actions de configuration certificats et containers de certificats ASIP Sant en particulier La mise en uvre du Smartcard logon Windows avec la carte CPS3 s appuie sur l utilisation de la Cryptolib CPS v5 diffus e par ASIP Sant Les Cryptolib CPS v5 sont indispensables pour mettre en ceuvre le Smartcard logon Windows avec la carte CPS3 Ce guide et le kit associ ont t concus en utilisant cette version Les Cryptolib CPS v5 sont des composants logiciels install s sur les postes de travail ainsi que sur les serveurs Microsoft permettant aux systemes d exploitation de tirer pleinement profit des fonctionnalit s offertes par la carte CPS3 et notamment d exploiter les fonctionnalit s offertes par les volets IAS ECC signature authentification et sans contact de cette carte Cette version de la Cryptolib CPS g re aussi les anciennes cartes CPS2ter qui auront disparu du terrain d
139. domaine L autorit d enregistrement g n ration tr s simple d un certificat pour un contr leur de domaine un certificat serveur de type Domain Controller DC 10 1 2 3 Format d un certificat Domain Controller DC Ce certificat d authentification install sur un serveur de domaine permet l authentification de ce serveur de domaine par un poste client Le certificat DC doit contenir les champs suivants e CDP CRL Distribution Point e Key usage Digital Signature Key Encipherment e Application policies gt Client Authentication 1 3 6 1 5 5 7 3 2 gt Server Authentication 1 3 6 1 5 5 7 3 1 e Subject Alternative Name gt GUID de l objet contr leur de domaine et nom DNS identifiant unique du serveur e CSP RSA Schannel pour g n rer la cl e Gabarit de certificat DomainController Le sujet de l objet doit tre CN lt dcname gt le nom du contr leur de domaine pour pouvoir tre publi dans l Active Directory du contr leur de domaine pour retrouver le chemin de AD correspondant 26 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 10 2 Architecture client Une ouverture de session dite interactive ouverture par carte puce n est g r e en natif qu partir de Windows 2000 Les syst mes d exploitation Windows XP Vista Seven et Windows 8
140. e 18 Poste client Erreur de carte puce sur un login TSE si les Cryptolib CPS ne sont pas INStalI es an int N Need une onu a Ne te lee alba 49 Figure 19 Poste client Installation Cryptolib CPS x64 Rs 50 Figure 20 Poste client Installation Cryptolib CPS x64 installation perso avec la fili re CPS2Ter Full PO CR tee tesa ancients Aleta etic aircs area as ccahaiaciease cae 50 Figure 21 Poste client Installation Cryptolib CPS x64 installation perso avec la fili re CPS2Ter Full PSG es Beste tev ccneeaan tt nee la alate dd Ne cae 51 Figure 22 Poste client Installation Cryptolib CPS x64 Installer 51 Figure 23 Poste client Installation Cryptolib CPS x64 Fen tre d UAC cecccecesseceeeeseeeeeeeseeeees 52 Figure 24 Poste client Installation Cryptolib CPS x64 avec AVAST 52 Figure 25 Poste client Driver carte a puce OK sur un login TSE les Cryptolib CPS sont install es 53 Figure 26 Poste client V rifier le magasin de certificats ccccccssssseccccceseececceeeseceecsseeeeeessaaaeeees 53 Figure 27 Poste client V rifier le certificat d authentification ccccccsssseeeccceeseeeeeeeeeseceeesseaeeees 54 Figure 28 Poste client identifier UPN du certificat d authentification ccccccccccssssseeeeeeeeeeeeees 55 Figure 29 Poste client identifier l UPN du certificat d authentification ccececccessssseeeeeseeeeeeees 56 Figure 30 Poste client P riph riques
141. e 94 Terminal Server Groupe utilisateur du Bureau distance 117 229 ASIP Sant 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx D marrer gt Ex cuter gt secpol msc E Strat gie de s curit locale Fichier Action Affichage 2 9 Alp XOSIBE ch Param tres de s curit CA Strat gies de comptes El Ca Strat gies locales La Strat gie d audit CA Attribution des droits utilisateur A Options de s curit Pare feu Windows avec fonctions avanc gt Strat gies du gestionnaire de listes de r L Strat gies de d publique C Strat gies de restriction logicielle C Strat gies de contr le de l application B Strat gies de s curit IP sur Ordinateur k C Configuration avanc e de la strat gie d a vs Li Augmenter une plage de travail de processus Bi Autoriser l ouverture de session par les servi Lu Changer le fuseau horaire aa Charger et d charger les pilotes de p riph riques J Contourner la v rification de parcours Lu Cr er des liens symboliques Lu Cr er des objets globaux Lu Cr er des objets partag s permanents EH Cr er un fichier d change Lu Cr er un objet jeton aa D boquer les programmes cul Effectuer les t ches de maintenance de volume Lu Emprunter l identit d un dient apr s l authentification Ez Forcer l arr t partir d un syst me distant EH G n rer des audits de s curit
142. e Player Non commercial use only X Payer ED ch M E Gestionnaire de serveur Fichier Acton Affichage LEE Gestonn HIDE oO DDFITEF oe 1M posant HORIE o Des T x El a Role Selectionner un ordinateur xj LE e V jes configurer Pour les os co E i 4 S lectionnez l ordinateur devant tre g r par ce composant logiciel enfichable C ah a Ce composant logiciel enfichable g rera toujours odifier les extensions al L ordinateur local l ordinateur sur lequel cette console s ex cute Ie Supprimer 5 Un autre ordinateur Parcourir Fone Diag M Autoriser la modification de l ordinateur s lectionn lors de l ex cution partir de la ligne lanter Conf de commande Ceci ne s applique que si vous enregistrez la console Stod Descendre Avanc D lt Pr c dent Annuler e HUF VOUS UN Service O p 00 25 i E E 0672015 Figure 133 Console Enfichable Certificats Local Machine 156 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only X Payer O ch det i lt E Gestionnaire de serveur lodifier les extensions Supprimer dans l annuaire Active Dire ory ou sur uri ordinateur local Monter Cliquez sur le bouton Parcourir pour s lectionner un objet de strat gie de groupe
143. e carte CPS_20140924_v2 5 8 docx 24 09 2014 D C Program Files GIP CPS Organiser Indure dans la biblioth que Partager avec Nouveau dossier Fil a Fawris Nom Modifi le Type Taille Bureau CPSRev di 18 10 2011 11 22 Extension de applic 85 Ko E Emplacements r cents license txt 18 10 2011 11 23 Document texte 22 Ko 8 T l chargements i RegCPSRev exe 18 10 2011 11 23 Application 55 Ko Biblioth ques E Documents Images a Musique E Vid os JE Ordinateur Disque local C l Lecteur de DVD D G th R seau je MACHA jE ymware host bh 3 l ment s Figure 122 CPSRev r sultat d installation 140 229 ASIP Sant 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 12 9 2 Mise a jour des magasins de certificats Local Machine Il est ensuite n cessaire de mettre a jour les magasins de certificats Local machine V rifier le magasin Local machine racine Les certificats ASIP Sant racine doivent tre pr sents F Console_cosign Racine de la console Certificats ordinateur local Autorit s de certification racines de confiance Certificats M Fichier Action Affichage Favoris Fen tre eslam Ol G is Ble
144. e en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Microsoft a revu ce m canisme lors de la sortie de Windows Vista Si la logique du m canisme reste sensiblement la m me l impl mentation change avec la disparition de MS Gina et l apparition du composante Base CSP Minidriver Enumerate readers and smart cards Read certificates Certify certificates Notify Lagonul Package Enters credentials credentials and dicks Save Figure 5 Sch ma fonctionnel global du Smartcard logon de Microsoft Win Vista 7 17 229 ASIP Sant Composant MSGINA Kerberos SSP ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 20 14 Description Windows XP Microsoft GINA Graphical Identification And Authentification Biblioth que standard Microsoft g rant l interface graphique utilisateur lors de l ouverture de session Elle se charge notamment de demander l utilisateur le code porteur de sa carte Local Security Authority il s assure que l utilisateur la permission d acc der au syst me Il cr e les jetons d acc s C est lui qui lance le processus d authentification du module Kerberos Kerberos Security Support Provider DLL principale intervenant dans le processus d ouverture de session entre un client et un serveur le protocole standard actuel est appel Kerberos V5 normalis par l IETF dans les RFC 1
145. e la possibilit de faire du Smartcard logon des comptes AD pr existants Cette section d crit le param trage et les d veloppements n cessaires pour impl menter ce cas d usage 12 13 1 Script de d ploiement des UPNs dans un active directory La mani re la plus simple de relier une carte CPS a un utilisateur stock dans un annuaire Active Directory est d diter directement cet utilisateur dans l Active Directory en lui attribuant UPN de la carte CPS correspondante dans ses propri t s N anmoins dans les grosses structures contenant des centaines voire des milliers d utilisateurs d j existants il sera fastidieux de modifier manuellement chaque utilisateur On utilise alors pour faciliter le d ploiement des scripts de modification de l Active Directory automatis s Les langages de scripts les plus courants sont e VBS Visual Basic Scripting o vivement d conseill sauf disposer de comp tences d j bien tablies sur cette technologie e Windows PowerShell o Vivement conseill Ce sont des outils puissants de cr ation de scripts d administration Deux exemples de scripts VBS sont fournis ci dessous Ils permettent l ajout ou la modification de comptes utilisateurs dans un Active Directory La modification des utilisateurs se base sur une liste d utilisateurs existants reformat e dans un fichier texte dont la grammaire est fournie Ces scripts sont adapter en fonction de l architecture e
146. e les CDPs point de distribution des CRLs sont disponibles sur l annuaire public de l ASIP Sant Ces CRLs seront obligatoirement v rifi es par le composant provider de r vocation ASIP Sant CPSRev install sur chaque contr leur de domaine Ces v rifications ont lieu chaque demande d ouverture de session par un client En cas d chec du contr le l utilisateur ne pourra pas ouvrir de session Il est possible mais d conseill de d sactiver la v rification des CRLs voir section d sactivation de la v rification des CRLs et annexe 6 10 1 2 2 PKI serveur En ce qui concerne la PKI du certificat serveur plusieurs impl mentations techniques sont possibles Sc nario Description PKI Microsoft composant int gr Windows 2000 Server 2003 Server 2008 Server 2012 Server Microsoft Certificate Server ou Active Directory Certificate Server AD CS voir documentation sp cifique pour l installation et la configuration PKI ASIP Sant un certificat serveur g n r type DomainController sa cha ne de certification compl te certifi par ASIP Sant autorit Classe 4 par exemple classe des certificats serveur Cette PKI est d j utilis e pour les certificats client PKI externe un certificat serveur g n r type DomainController sa cha ne de certification compl te de confiance autre que ASIP Sant Tableau 11 Architecture Sc narios d impl mentation de PKI ser
147. e signature valide pour l ouverture de session Non configur LA Composants Windows J Autoriser les certificats dont le d lai de validit a expir Non configur F Analyse de fiabilit CE Activer la propagation de certificat partir d une carte puce Non configur LT Assistance en ligne Configurer le nettoyage du certificat racine Non configur C Biom trie J Activer la propagation de certificat racine partir d une carte puce Non configur gt Calendrier Windows Ne pas autoriser le renvoi de codes confidentiels en texte brut par Non configur C Carte puce JE Autoriser l utilisation de certificats ECC pour l ouverture de session e Non configur C Centre de mobilit v 22 Filtrer les certificats d ouverture de session dupliqu s Non configur C Centre de s curit Forcer la lecture de tous les certificats de la carte puce Non configur B Chif frement de lecte TE Afficher un message lorsqu une carte puce est bloqu e Non configur C Compatibilit des ap JE Inverser le nom du sujet stock dans un certificat lors de son affich Non configur E Emplacement et cap JE Activer le service Plug and Play de la carte puce Non configur C Environnement diste hitch d instalation r ussie du cilate de Palle CA Explorateur de jeux 5 Avertir l utilisateur en cas d installation r ussie du pilote de la carte Non configur Autoriser lindication du nom d utilisateur Activ C Explorateu
148. e validit d un certificat Roles de serveurs d autorit de certification peut tre bas e sur un certain nombre de facteurs notamment la fonction pr vue de AD CS l autorit de certification et les mesures de s curit que vous avez instaur es pour s curiser l autorit de certification Services de r le Type d installation S lectionnez la p riode de validit du certificat g n r par cette autorit de certification Type d autorit de certification 3 ann es x Date d expiration de l autorit de certification 30 06 2018 00 04 Notez qu une autorit de certification n mettra des certificats valides que jusqu sa date d expiration Cl priv e Chiffrement Nom de l autorit de certific P riode de validit Base de donn es de certificats Confirmation tat d avancement R sultats En savoir plus sur la d finition de la p riode de validit des certificats lt Pr c dent Installer Annuler Figure 65 AD CS cl priv e Pr ciser la p riode de validit 92 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only Configurer la base de donn es de certificats Avant de commencer La base de donn es de certificats enregistre toutes les demandes de certificats les certificats mis et les certificats r voqu s ou expir s Le journal de la ba
149. ec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 1 3 Livrables Livrable Responsable Expression de besoins PROJET 1 Sp cifications Sc nario de d mo PROJET 1 Cahier de tests unitaires DEV INTEG_ SERVER 1 Cahier de tests Assurance Qualit QA Maquette PROJET 1 Dossier d Architecture Technique DAT Maquette config Poste de ee gee PROJET 1 travail utilis versions de composants serveurs et client flux IP Sp cifications des d veloppements r alis s ou r aliser DEVEL SERVER 1 Analyse de gaps sur les documents suivants e Dossier d Architecture Technique DAT e Dossier d exploitation DEX e Plan de Continuit d Activit PCA PROJET 1 Bilan projet avec Pros amp Cons limitations identifi es document es i bees PROJET 1 besoins en d veloppements identifi s et valu s Tableau 17 Livrables maquette de Smartcard logon avec une carte CPx 12 1 4 Macro Planning Jalon Description Valeur Date de d but ici 10 02 2014 D but de l int gration Sp cifications et cahiers de tests valid s T2 D but des tests Assurance Qualit Q amp A TO 15 T3 D but D mo et project learning TO 17 T4 Date de fin TO 20 Tableau 18 Macro planning maquette de Smartcard logon avec une carte CPx 46 229 asipsanie LLLE AGENCE DES SYST MES D INFORMATION PARTAGES DE SANTE Start Loti Maquette 10 02 Lot 1 M
150. ecter ce serveur Hote de session Bureau distance Ces utilisateurs et groupes d utilisateurs seront ajout s au groupe Utilisateurs du Bureau R les de serveurs distance Le groupe Administrateurs est ajout par d faut et ne peut pas tre supprim Services Bureau distance Services de r le Utilisateurs ou groupes d utilisateurs Compatibilit des applications Ajouter M thode d authentification E Supprimer Mode de licence Groupes d utilisateurs Exp rience dient Confirmation tat d avancement R sultats En savoir plus sur le groupe Utilisateurs du Bureau distance lt Pr c dent Installer Annuler FR 4 gt a Oy Sacer wr Figure 77 Terminal Server utilisateurs garder Administrateurs Il conviendra d ajouter le groupe Utilisateurs de bureau distance plus tard dans la configuration du serveur cf ci apr s 103 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only D x Avant de commencer Vous pouvez configurer le serveur Hote de session Bureau distance de fa on que les utilisateurs se E ERE eee connectant 4 une session de Bureau distance puissent utiliser une fonctionnalit similaire 4 celle fournie par Windows 7 Services Bureau distance Services de r le jA La mise en uvre de cette fonctionnal
151. en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx CN TEST CLASSE 3 OU TEST STRUCTURE O TEST C FR CN TEST CLASSE 3 OU TEST STRUCTURE O TEST C FR O GIP CPS TEST C FR OU AC CLASSE 4 TEST O GIP CPS TEST C FR OU AC CLASSE 5 TEST O GIP CPS TEST C FR OU AC CLASSE 6 TEST O GIP CPS C FR OU TEST ANONYME O TEST C FR IssuerDN OU TEST STRUCTURE O TEST C FR OU TEST STRUCTURE O TEST C FR O GIP CPS TEST C FR O GIP CPS TEST C FR O GIP CPS TEST C FR O GIP CPS TEST C FR OU TEST ANONYME O TEST C FR Fichier r p cer cer 32 inter test class3 cer 33 inter test class3 cer 34 inter gip cps test cer 35 inter ac class4 test cer 36 inter ac class5 test cer 37 inter ac class6 test cer 38 inter test anonyme c er Thumbprint SHA 1 874F4F184DA9F896F ADE58AADE1185467 E63834A 2BEB8461F6F2FEC5E E95872FCC52B9E736 125CB1 5EDO889BCEAE6 1A 4A368AB405E2B254 31AC20D2 O1ED444C889EF19F3 75EEB6D87137A84C F83BEB9 D202CB693A9668A5 OE28C967947AE B8 4FE1C3EB 1235CB411691D502 93DCA42AFA7 297B9 34E10EB6 EA2953E1AFCD8D7 1 74508D211DD784AC B3F8CCDE SubjectKeyldentifie 6E721567491689E 5FODDD211D4701F EC6B55DB6A O6EEE31E10446ED 72CD4A312D4427F 289A5B94EF E1FA17 7F81423C5D E9F7B4956A2E542 986CE44A2F C256EFEF20F25917 BC406C59B3CCF89 B93BB681A 90DA136A53A6487 AD32680936E708B 93D2DEEC94 9805991A5C49
152. erminal Server Installation du certificat Terminal Server 130 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 20 14 m s4 Le Connexion Bureau distance D livr a WIN USFPOASGLDS pts psce fde ir D livr par pts WIN USFPOASGLD9 CA Valide du 05 07 2013 au 05 07 2014 D daration de l metteur Figure 115 Terminal Server V rifier l installation du certificat Terminal Server 131 229 ASIP Sant 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 12 6 8 Autres GPOs F E Strat gie Default Domain Controllers Policy FR AE lt E g amp Configuration ordinateur E C Strat gies E 1 Param tres du logiciel Param tre tat JE Reconnexion automatique Non configur Nautoriser qu une session de services Bureau a distance par utilisateur E Installation de logiciel 0 Param tres Windows C3 Strat gie de r solution de noms Scripts d marrage arr t Param tres de s curit uly 205 bas e sur la strat gie E 1 Mod les d administration d finitions c E LT Composants Windows C Analyse de fiabilit Windows C Assistance en ligne C Biom trie C Calendrier Windows C Carte puce C Centre de mobilit Windows C Centre de s curit C Chiffrement de lecteur BitLock C Compatibilit des applications aad E
153. es G n ral Supprimer les dossiers temporaires en quittant O 5 Utiliser des dossiers temporaires par session Or Restreindre chaque utilisateur une seule ses Di 2 Mode d ouverture de session de l utilisateur AL Gestionnaire de licences Mode de licence des services Bureau dista Ni 7 Serveurs de licences des services Bureau d Non sp cih Propri t s de RDP Tcp E3 Contr le distance Param tres du client Carte r seau S curit S curit Couche de S curit N gocier La couche la plus s curis e prise en charge par le client sera utilis e Si le protocole SSL TLS 1 0 est pris en charge il sera utilis Compatible client rl Toutes les donn es envoy es entre le client et le serveur sont prot g es par un chiffrement bas sur la puissance maximale prise en charge par le client Niveau de chiffrement Autoriser les connexions uniquement partir des ordinateurs ex cutant le Bureau distance avec une authentification au niveau du r seau Certificat G n r automatiquement S lectionner Par d faut En savoir plus sur la configuration des param tres de s curit G n ral Param tres d ouverture de session Sessions Environnement Type RDP Tcp Transport tcp Commentaire I Annuler Appliquer Figure 113 Terminal Server Installation du certificat Terminal Server 129 229 ASI P Sa nt ASIP PTS PSC
154. es credential provider peuvent tre ajout s Un CSP Cryptographic Service Provider d interface standard et pr vu pour dialoguer avec les cartes CPS doit tre install et correctement configur ainsi que les APIs correspondantes pour acc der la carte via le lecteur Ce CSP est fourni par l ASIP Sant dans le setup MSI de la Cryptolib CPS partir de la version 5 ou en version PC SC 10 2 3 Cartes et certificats Pour une utilisation en Smartcard logon les certificats X509 d authentification des cartes CPS doivent tre de type Smartcard logon SC c est dire doivent poss der les champs suivants e Extended Key Usage OIDs Smart Card Logon 1 3 6 1 4 1 311 20 2 2 e Subject Alternative Name UPN ID_user carte cps fr ID_user tant un identifiant unique du porteur e Un point de distribution de la liste de r vocation CDP valide adresse d une CRL dans l annuaire CPS pour une carte CPS 27 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Cet UPN sera l identifiant unique du couple porteur carte CPS qui sera rattach a un compte utilisateur du domaine Microsoft voir Annexes pour la structure exacte des UPNs ainsi que des exemples de script pour un d ploiement dans l Active Directory G n ral Details Chemin d acc s de certification G n ral D tails Chemin d acc s de certifi
155. es composants n cessaires au Smartcard logon PKCS 11 CSP et configuration de la base de registres pour le Smartcard logon Il installe aussi l ensemble des autorit s de l ASIP Sant racine et interm diaire dans le magasin des certificats du poste client non obligatoire pour louverture de session par carte puce Important Sur les postes clients 64 bit il est n cessaire d installer les Cryptolib CPS x64 Une fois l installation termin e les erreurs carte puces disparaissent Il est alors utile de v rifier le magasin de certificat D marrer gt Rechercher Programmes et fichiers gt inetcpl cpl gt entrer En cliquant sur Contenu gt Certificats les magasins apparaissent Le Magasin Personnel contient les deux certificats carte d authentification et de signature Il est utile d identifier le certificat d authentification et de noter UPN associ afin d enr ler le certificat correctement cot serveur voir document par ailleurs 30 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 i Certificate ER Certificate e This certificate is intended for the following purpose s Proves your identity to a remote computer 08 05 2110 lt None gt e Smart Card Logon 05 01 2013 3fd5cSaa29b7c5 Issued to 0081055421 Issued by TEST CLASSE 1 Valid from 01 02 2013 to 29 02 2016 You have a pri
156. es dur es indiqu es incluent la recherche de machines physiques disponibles pour la maquette mais n incluent pas les temps pass s en recherche de licences ou en passage de commandes par exemple Aucun temps de VSR VABF aucune t che de support aucune re livraison ne sont inclus La suite du document d taille les tapes de configuration effectuer Tableau 19 Remarques maquette de Smartcard logon avec une carte CPx Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 5845 32 50 esante gouv fr Agir ensemble pour soigner mieux ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 20 14 12 2 Installation du poste de travail client Lorsque les Cryptolib CPS ne sont pas install es sur le poste client les fen tres de login signalent une erreur de carte a puce Windows Security x Enter your credentials These credentials will be used to connect to cosign florent desgrippes Use another account Smart card error The card supplied requires drivers that Remember my credentials Figure 18 Poste client Erreur de carte a puce sur un login TSE si les Cryptolib CPS ne sont pas install es 49 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Important Seule la version Full PC SC de la Cryptolib C
157. est contrainte de citer le nom de certaines entreprises recens es au tableau n 2 afin d apporter toute l aide n cessaire aux utilisateurs d sireux de mettre en uvre le Smartcard logon avec une Carte CPS Les entreprises cit es peuvent prendre contact avec l ASIP Sant l adresse email editeurs asipsante fr pour toute demande en lien avec la citation les concernant Les entreprises non cit es dans ce manuel et ayant une activit en lien avec le Smartcard logon CPS peuvent galement se faire conna tre aupr s de l ASIP Sant en la contactant a la m me adresse Contact Toute question en rapport avec le contenu du pr sent guide doit tre adress e l adresse suivante editeurs asipsante fr Tableau 3 Avertissements 11 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 8 Introduction 8 1 Objectifs L objectif de ce document est d accompagner le d ploiement d un m canisme d ouverture de session Microsoft Windows partir d une carte puce de la famille CPS Ce document d crit les bonnes pratiques pour un d ploiement d un m canisme de Smartcard logon sur un r seau Microsoft Il n est pas exhaustif toutes les architectures clientes existantes ou futures ne sont pas couvertes I adresse cependant les principales architectures standards Il vise la r ussite de la mise en place d une architecture simple de
158. est disponible de fa on centralis e Ce qui suit vous permet de composer des composants enfichables dans un fichier msc personnalis Il n est pas g n ralement pas n cessaire de suivre ce qui suit si 01 asipsante console smartcard logon msc s est correctement charg e Fichier gt Ajouter Supprimer un composant enfichable FT W2008R2 Base VMware Player Non commercial use only q LE o x Payer D ch E e lt E Gestionnaire de serveur A ES R les be RE P Console1 Racine de la console tq Services Gest Ouvrir Enregistrer sous ercu Racine de la C Fonctionnalit ee o oo eee Diagnostics Ajouter Supprimer un composant logiciel enfichable ait Configuratior Options Stockage Fichier recent Quitter Figure 129 Console Enfichable Ajout de composants enfichables 152 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Certificats W2008R2 Base VMware Player Non commercial use only E E SUBETINME a mn B Monter Configuration d h te ai Configuration du die be Descenare ES Configuration et ana Contr le ActiveX dj Contr le WMI n Domaines et approb F Dossier g2 Dossiers partag s LE diteur d obje Figure 130 Console Enfichable Certificats 153 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un sma
159. et informations sont facultatives 7 Cliquez sur Suivant Le serveur de licen Figure 80 Terminal Server Lancer le Gestionnaire des licences des services Bureau distance i 008 ou Windows Server 2 Revoir la configuration Installer les licences Achiver le serveur Avance gt 2 D Cech poi i bO Cr er un rapport gt Supprimer des rapports G rer les licences R Q i a BY Propri t s Aide m Pa WS 2 LES Figure 81 Terminal Server Clic droit gt propri t s 106 229 ASI P Sa nte ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx Pr ciser les propri t s du serveur de licences Propri t s de FR ASIPSANTE 00 Ehoisi votre pays r gions x CENT DR edt 4 1 82 0469 JUS s Feu A ID i Figure 82 Terminal Server Mode de connexion gt Navigateur Web Puis choisir Activer le serveur griser en figure 81 Le serveur peut tre r activ clic droit gt avanc gt R activ le serveur 24 09 2014 107 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 6 3 Configurations des comptes Serveurs de licences des services Terminal Serveur Le compte sous lequel tourne le serveur de licences ainsi que le compte SERVICE RESEAU doivent fa
160. et imprimantes Param tres d installation de p riph riques et WIndows UD TB dan dent nie saeco ae 57 Figure 31 Windows serveur Installation choix du type d installation 58 Figure 32 Windows serveur Installation copie de fichier 59 Figure 33 Windows serveur Installation mot de passe administrateur 60 Figure 34 Windows serveur Installation saisie mot de passe administrateur ccceeeeceeeeeeeeeees 61 Figure 35 Windows serveur Installation mot de passe administrateur chang 62 Figure 36 Windows serveur Installation accueil ss 63 Figure 37 Windows serveur Installation s curit renforc e 64 Figure 38 Windows serveur Installation Param trage de la s curit renforc e ceeecceeeeeeeeees 65 Figure 39 Windows serveur Configuration maitriser les mises jour 66 Figure 40 Windows serveur Configuration maitriser les mises jour 67 Figure 41 Windows serveur Configuration nom de l ordinateur 68 Figure 42 Active Directory Installation du r le ss 69 Figure 43 Active Directory Installation du r le r sultat 70 Figure 44 Active Directory Configuration du r le ss 71 222 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 2014 Figure 45 Active Directory Configuration du r le Ex cution de l assistant 72 Figure 46 Active Directory Configuration du r le mode
161. eur DONS sur ce contr leur de domaine I Catalogue global A mais votre environnement ne prend pas en charge le serveur DNS pour ce nom de r E domaine La prise en charge du serveur DNS est n cessaire pour permettre aux Contr leundedomanenrn services de domaine Active Directory de fonctionner comectement t Informations suppl mentaires Le premier contr leur de dome global et ne peut pas tre un i Nous vous recommandons d i contr leur de domaine nouvelle zone DNS eu cosign partir de la E e de ce NS Le serveur DNS principal test tait a root servers net 196 41 0 4 ll est vivement recommand d installer les services serveur DNS sur ce contr leur de domaine Voulez vous continuer sans installer les services serveur DNS 7 En savoir plus sur les options s Es lt Pr c dent Suivant gt Annuler El er l actualisation Figure 54 Active Directory Configuration du r le D cocher DNS 81 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only cn JM A L1 gl Assistant Installation des services de domaine Active Directory entre les utilisateurs et les ssion utilisateur l authentification et les x cutez l Assistant cpromo exe Acc der l Observateur d v nements amp Filtrer les v nements Fire tee er l actualisation a
162. gie de cl publique gt Autorit de certification racines de confiance gt importer F Console_cosign Racine de la console Strat gie Default Domain Controllers Policy WIN 92TJH90G03S eu cosign Configuration ordinateur Strategies Parametres a Fr la x im Fichier Action Affichage Favoris Fen tre 2 la x es Amide E Lf Strat gie Default Domain Controllers Policy WIN 927T amp Configuration ordinateur LA Strat gies Aucun l ment afficher dans cet aper u Autorit s de certification r L Param tres du logiciel LA Param tres Windows Strat gie de r solution de noms Scripts d marrage arr t Fy Param tres de s curit qj Strat gies de comptes i Strat gies locales Journal des v nements La Groupes restreints EA Services syst me LA Registre Ba Syst me de fichiers mf Strat gies de r seau filaire IEEE LA Pare feu Windows avec fonctions CECECECECA C Strat gies du gestionnaire de liste zat Strat gies de r seau sans fil IEEE C Strat gies de d publique Syst me de fichiers EFS Encr C Chiffrement de lecteur BitLock gt Param tres de demande auto al Autorit s de certification raci gt Confiance de l entreprise F Autorit s de certification inter F diteurs approuv s LA Certificats non aut
163. gn ca eu cosign ca 30 06 2018 lt Tout gt lt Aucun gt Confiance de l entreprise Autorit s de certification interm diaires Liste de r vocation des certificats Certificats 1 E ClcrP cps GIP CPS 31 12 2020 lt Tout gt lt Aucun gt Objet utilisateur Active Directory m Gi diteurs approuv s ERlGIP CPS ANONYME GIP CPS ANONYME 31 12 2020 lt Tout gt lt Aucun gt m HA Certificats non autoris s GIGIP CPS CLASSE 0 GIP CPS ANONYME 31 12 2020 lt Tout gt lt Aucun gt E MA Autorit s de certification racine tierce partie f EnIGIP CPS CLASSE 0 GIP CPS ANONYME 31 12 2020 lt Tout gt lt Aucun gt B Personnes autoris es ClGIP CPs CLASSE 1 GIP CPS PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt L Racines de confiance de carte puce GlGIP CPS CLASSE 1 GIP CPS PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt Gl Certificats ordinateur local CIGIP CPS CLASSE 2 GIP CPS STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt A Personnel ERlGIP CPS CLASSE 2 GIP CPS STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt Certificats ERlGIP CPS CLASSE 3 GIP CPS STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt LI Autorit s de certification racines de confiance C GIP CPS CLASSE 3 GIP CPS STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt Certificats ERIGIP CPS PROFESSIONNEL GIP CPS PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt E Confiance de l entreprise C Autorit s de certification i
164. graphic Service Provider Biblioth que logicielle de fonctions cryptographiques fournie par Microsoft ou un diteur tiers fournisseur de carte Protocole d authentification r seau bas sur l utilisation de tickets Utilis par d faut partir de Windows 2000 Microsoft Key Recovery Agent MSGINA Microsoft GINA Graphical Identification And Authentification DLL standard Microsoft g rant l interface graphique utilisateur lors de l ouverture de session Elle GINA se charge notamment de demander l utilisateur le code porteur de sa carte Kerberos Microsoft Installer Format de fichier d installation de Microsoft g r par le moteur d installation Windows Installer Magasin de certificats d un poste Windows client aliment exclusivement par le NTAuth contr leur de domaine par propagation Contient les certificats d autorit s de confiance Utilis par Winlogon Personal Computer Smart Card Biblioth que logicielle standard pour l acc s aux lecteurs et aux cartes puce PDC Primary Domain Controller Contr leur de domaine principal PKI IGC Public Key Infrastructure Infrastructure de Gestion des Clefs Syst me d information Ensemble organis de ressources mat riels logiciels personnel donn es et proc dures Terminal Server Edition Service de Terminal de Microsoft Composant permettant d acc der des applications et des donn es sur un ordinateur distant au travers de
165. iance de l entreprise C Autorit s de certification interm diaires LA Liste de r vocation des certificats WW EQIGIP CPS STRUCTURE ERlGIP CPS TEST Ea Microsoft Windows Hardware Com GIP CPS STRUCTURE GIP CPS TEST Microsoft Root Authority C Objet utilisateur Active Directory i diteurs approuv s GIP CPS ANONYME lt Tout gt 5 Certificats non autoris s GIP CPS ANONYME lt Tout gt A Autorit s de certification racine tierce partie EalGIP CPS CLASSE 0 GIP CPS ANONYME lt Tout gt 9 Personnes autoris es EQIGIP CPS CLASSE 1 GIP CPS PROFESSIONNEL lt Tout gt 1 Racines de confiance de carte puce EQ GIP CPS CLASSE 1 GIP CPS PROFESSIONNEL lt Tout gt E Gd Certificats ordinateur local EQIGIP CPS CLASSE 2 GIP CPS STRUCTURE lt Tout gt A 11 Personnel EQIGIP CPS CLASSE 2 GIP CPS STRUCTURE lt Tout gt Di Certificats CAIGIP CPS CLASSE 3 GIP CPS STRUCTURE lt Tout gt D Autorit s de certification racines de confiance C c1P cPs CLASSE 3 GIP CPS STRUCTURE lt Tout gt LE Certificats ERIGIP CPS PROFESSIONNEL GIP CPS PROFESSIONNEL lt Tout gt lt Tout gt lt Tout gt Signature du code V LA Certificats C diteurs approuv s F Certificats non autoris s C Autorit s de certification racine tierce partie E Personnes autoris es C Remote Desktop E Demandes d inscription de certificat 9 Racines de confiance de carte puce Configuration d h te de session Bureau distance Domaines et approb
166. ib CPS v5 14 2 Configuration du lancement automatique du daemon PCSCD Se referer http ludovicrousseau blogspot fr 2010 12 configuring your system for pcscd auto html En particulier 14 3 Installation et configuration du PAM OpenSC http blog fkraiem org 2013 03 13 linux smart card authentication pam 14 3 1 R cup ration et installation de libpam pkcs11 sudo apt get install libpam pkcs11 D but de la configuration sudo mkdir etc pam_pkcs11 sudo mkdir etc pam_pkcs11 cacerts sudo mkdir etc pam_pkcs11 crls Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris T 33 0 1 58 45 32 50 esante gouv fr Agir ensemble pour soigner mieux ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 14 3 2 Initialisation du fichier pam_pkcs11 conf des certificats et des CRLs zcat usr share doc libpam pkcs11 examples pam_pkcs11 conf example gz sudo tee etc pam_pkcs11 pam_pkcs11 conf sudo vi etc pam_pkcs11 pam_pkcs11 conf edit the use_mappers line to list only pwent copy the certificate of the CA who signed your own certificate if your certificate is self signed that s the certificate itself into etc pam_pkcs11 cacerts and rehash the list of CA certificates with sudo cp etc opt santesocial CPS Coffre cer etc pam_pkcs11 cacerts cd etc pam_pkcs1i1 cacerts sudo pkcs11_make_hash_l
167. ici mars 2014 Par contre seules les cartes CPS3 diffus es depuis mars 2011 permettent de faire du Smartcard logon les certificats contenus dans les cartes CPS2ter ne pr sentant pas les caract ristiques requises pour activer cette fonctionnalit Les Cryptolib CPS v5 64bit sont n cessaires sur les syst mes 64bit qui se d mocratisent Ce guide et ce kit s adresse e aux d veloppeurs et architectes d sireux de s approprier ou d valuer la technologie du Smartcard logon e aux architectes chef de projets DSI ou chef d tablissement ayant besoin d valuer les t ches et les charges li es la mise en place de solutions s appuyant sur le Smartcard logon e aux diteurs de logiciels quelles que soient leurs tailles qui souhaitent proposer des solutions int grant ce type de fonctionnalit ou qui souhaitent pouvoir proposer cette solution en tant que projet d int gration a leurs clients Ce document est une refondation de la version 1 4 0 du guide disponible sur le site int grateurs de ASIP Sant et compl te le guide r dig par Microsoft en collaboration avec l ASIP Sant cf 3 avec des indications en anglais Le document s organise en 5 parties 1 Pr sentation g n rale du Smartcard Logon Pr requis et Configurations requises aspects g n raux Mise en uvre d taill e en pas pas en fran ais sur une architecture simple Annexe 6 Limitations connues et contournements Descriptif du Kit Smartcard
168. ie d inscription Active Directory F RemoteDesktopComputer ff Statut Op ration r ussie D tails 3 Figure 108 Terminal Server Demande de certificat Terminal Server 126 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Va Serveur Web 115 Certificats d livr s E ti santana aan WIN LISFPOAS ID de la demande Mom du demandeur Certificat binaire Mod le de certificat Num ro de s rie Configuration d h te de session Bureau EE PTS WIM LISFPOASGLD9 BEGIN CERT Echange d autorit 610b8Fal00000 27 E mm Gestionnaire des services Bureau dista Mii Em PTSWWIM UISFPOASGLDO BEGIN CERT Contr leur de doma 61822cfbO0000 27 2 WIN LISFPOASGLD9 Et PTS WIN LISFPOASGLDS BEGIN CERT change d autorit 61045ccfO0000 05 A Services de certificats Active Directory Gls PTSIWIN LISFPOASGLDO BEGIN CERT RemoteDesktopCo 61390a0f00000 05 E 4 PKI d entreprise Tal pts WIN LISFPOASGLD9 CA v0 0 Certificat x m Mod les de certificats CWIN USFPO GGLE E a pts WwiIN LSFPO435L09 C4 Certificats r voqu s vo za i r Certificats d livr s ICNEF lt Taut gt pe G n ral D tails Chemin d acc s de certification Demandes en attente C Demandes ayant chou Mod les de certificats Objet E Services de domaine Active Directory Elc publique RSA 2046 Bits
169. iet AG e0 le nn NO diet 30 11 1 Configuration du poste clients lists tsnthidseitiehenieshtotitrtetiiidessost 30 11 2 Configuration Serveur all g e ooseuseseeusseenssserrssrrrssrreresererssreresrrreserereserreserersseeresereeeseerese 33 11 3 Configuration d un contr leur de domaine sssesssesesesssssrresrressrresrrrsrrresrresrerssrrrerersrerserreens 33 11 4 Configuration du serveur de certificats PKI Microsoft 36 115 C nfiguraton GES OPTIONS de S CUrIT Nr SR RE a Sete 37 LS AL Forcerl utilis ation d lda cart ar DUCE LL Mie ARS cn te nee 37 11 5 2 Comportement du syst me au retrait de la carte puce 38 11 5 3 Forcer l approbation du contr leur de domaine louverture de session 38 11 5 4 D sactivation d la V ritication des CRLS nina dat 39 11 6 Exemple pratique d une configuration de serveur 40 11 7 Exemples d architecture r seau te ren cn nt is 43 12 PUNO KOS Re seen de den ect con en ee D nest ee ec tes 44 12 1 Maquette de Smartcard logon avec une carte CPX 44 VL x Briel Project sanien n kontaGisse a acesancisa les Saisaapieaataaabascaatane 44 121 2 RESSO CES N CESSAIRE a aaa a a aN 45 ra MONA DIS RS aa a a aa a Red te Dsl 46 124A Macro Platines cs aa aa 46 121 5 REMI GUC uaa a a a a a es relate e dede etes 48 12 2 Installation d poste detravall client sisccessthcccasccciceniaiieasiackeieasede a n denies 49 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une
170. ig Cryptolib Le pr sent document Guide crit et diffus par MS Activation des traces de la Cryptolib CPS 215 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 R pertoire Description R pertoire Fichier Description Fichier D sactivation des traces de la debug cryptolib deactivate reg Cryptolib CPS Activation des traces Pack SCL 0021 log kerb debug tcard kerb activate ack SCL_ og kerberos reg ebug smartcard logon kerberos activate reg TAE N Pack SCL 0022 log kerberos re debug smartcard logon kerberos deactivate re DE OIE ale elt aes 6 6 6 6 KE Kerberos via la BdR 02 asipsante smartcard logon kerberos Activation d sactivation des Pack_SCL_0023 log kerberos tracelog tracelog cmd traces Kerberos via tracelog Pack SCL 0024 RACINE README txt Tableau 45 Contenu du Kit Smartcard logon CPS ASIP Sant 216 229 asipsant AGENCE DES SYST MES D INFORMATION PARTAG S DE SANT 14 Smartcard logon sous Linux Il est possible de configurer le PAM Linux pour faire du Smartcard logon Ce chapitre d crit les principales tapes r aliser afin d effectuer un Smartcard logon local test OK sous LUbuntu 12 04 x32 avec la Cryptolib CPS v5 x32 pas de Cryptolib CPS v5 x64 pour Linux 14 1 Installation de la Cryptolib CPS v5 pour Linux Cf Manuel d installation et d utilisation de la Cryptol
171. ill Options de compte Enregistrer le mot de passe en utilisant un cryptage r versible F Le compte est d sactiv M Une carte puce est n cessaire pour ouvrir une session interactive I Le compte est approuv pour la d l gation Dale d expiration du compte Jamais Fin de nd 2 novembre 2009 Annuler Appliquer Option s lectionn e pour une ouverture de session exclusivement par carte a puce Figure 13 Active Directory Smartcard logon Configuration d un compte utilisateur 34 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Cf annexe de configuration du poste de travail v rification des UPNs Cf annexe de configuration du Contr leur de domaine certificats et utilisateur Si le suffixe de UPN n apparait pas dans la liste des noms de domaines connus une relation d approbation avec le domaine existant devra pr alablement tre cr e Outils d administration gt Domaines et approbations Active Directory Pour ajouter une approbation au domaine existant 5 Domaines et approbations Active Directory OI x Fichier ction Affichage 2 x Propri t s de Domaines et approbations Active Directory T X e m E B em a Sulfizes UFM Domaines et approbations Active Direc Na Ten ass Les nome du domaine actif et du domaine racine sont les suffises UPN nom utilisateur principal par
172. inal Server Compatibilit ascendante RDP 116 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 S lectionnez des utilisateurs fait apparaitre la fen tre suivante Utilisateurs du Bureau distance Era dalam G Certificats Utilisateur actuel Certificats ordinateur local Configuration d h te de session Bureau distan Domaines et approbations Active Directory S Strat gie Default Domain Controllers Policy g Gestionnaire des services Bureau distance B PKI d entreprise fie Sites et services Active Directory WIN 92TJH E A Utilisateurs et ordinateurs Active Directory WIN 82 Acc s DCOM service de certificats 88 Administrateurs Groupe de s cu Les membres du groupe A 82 upicateurs Groupe de s cu 82 G n rateurs d approbations de for t Groupe de s cu Les membres de ce group 82 Groupe d acc s d autorisation Windows Groupe de s cu Les membres de ce group Utilisateurs du Bureau di 4 Autres actions gt E 1 E Computers Groupe de s t E Domain Controllers 82 op rateurs de configuration r seau Groupe de s c C ForeignSecurityPrincipals 82 op rateurs de sauvegarde LA Managed Service Accounts 88 op rateurs de serveur E Users 88 Serveurs de licences des services Te amp Utilisateurs Appliguer Figur
173. ink 14 3 3 Edition de etc pam d sudo sudo vi etc pam d sudo E auth required pam_env so readenv 1 envfile etc default locale user_readenv 0 Eo 14 3 4 Edition de etc pam d common auth sudo vi etc pam d common auth Verifier la ligne auth success 3 default ignore pam_pkcs11 so 218 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 14 3 5 Edition de etc pam_pkcs11 pam_pkcs11 conf Source3 http opensc github io pam_pkcs11 doc pam_pkcs11 html idp5105696 sudo vi etc pam_pkcs11 pam_pkcs11 conf use_pkcs11 module cps pkcs11_module cps module opt santesocial CPS lib libcps3_pkcs11_lux so description CPS3 support_threads false ca_dir etc pam_pkcs11 cacerts crl_dir etc pam_pkcs11 crls crl_policy none use_mappers digest cn pwent uid mail subject null use_Mappers subject 14 3 6 Configuration d un compte pour le Smartcard logon slot_description none cert_policy none 14 3 6 1 Cr ation d un utilisateur de test D finition d un compte scl par exemple sudo adduser scl password scl sudo adduser scl root 14 3 6 2 D finition du mapping DN Compte etc pam_pkcs11 subject_ mapping Lancer la commande pklogin_ finder si la carte est bien lue une ligne du type suivant apparait C FR O GIP CPS L Paris 75 OU 318751275100020 CN 51875127
174. ion de CPSRev pour prise en compte des certificats de test ASIP SINE es fais A a ae dedecelcteseacladilietecseutakhs 145 Tableau 21 CPSRev D sactivation de la v rification des listes de r vocation sous Win2008 145 Tableau 22 CPSRev R Activation de la v rification des listes de r vocation sous Win2008 145 Tableau 23 CPSRev V rification des flux vers l annuaire ASIP Sant 146 Tableau 24 CPSRev Ligne de commande certmgr exe ss 146 Tableau 25 CPSRev R sultat de la v rification d un certificat avec CPSRev 150 Tableau 26 Active Directory Configuration Commande certutil d import des certificats dans le MAS SINNTAUTE SE ne Re eae er dti cath wade ene ha es en es 165 Tableau 27 D ploiement UPN Construction de UPNU rss 169 Tableau 28 D ploiement UPN Exemple de script VBS permettant la modification de UPN d utilisateurs existants dans un annuaire Active Directory ss 175 Tableau 29 D ploiement UPN Exemple de Fichier users txt 7 175 Tableau 30 D ploiement UPN Exemple de script VBS permettant la cr ation d utilisateurs dans un annuaire Active Director sancti tate eet Cae a ne Re a eae et 176 Tableau 31 Liste des possibilit s de mapping user certificat pour l authentification par certificat181 Tableau 32 D sactivation de l utilisation du SubjectAltName SAN 182 Tableau 33 7 ACLIVATIONO CAES RS na cata ee nee 182 Tableau 34 Active Directory Configuration du Smar
175. ions D lais d expiration des ia Dossiers temporaires Environnement de ses Gestionnaire de licence Profils Redirection de l imprim Redirection de p riph C S curit Service Broker pour le CF Strat gies de lecture automati Synchronisation de mot de pas Systeme de couleurs Windows Tablet PC Transfert d v nements Windows Defender O Windows Installer Windows Mail Action Affichage 7 Windows Media Center aa fo aa k ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx Connexions Nautoriser qu une session de services Bureau distance par utilisateur Modifier param tre de strategie Configuration requise Au minimum Windows Server 2003 Description Ce param tre de strat gie vous permet de limiter les utilisateurs une seule session de services Bureau distance Si vous activez ce param tre de strategie les utilisateurs qui ouvrent une session distance via les services Bureau distance seront limit s une seule session active ou d connect e sur ce serveur Si l utilisateur quitte la session dans un tat d connect il se reconnecte automatiquement cette session lors de la prochaine ouverture de session Si vous d sactivez ce param tre de strat gie les utilisateurs sont autoris s a faire un nombre illimit de connexions simultan es distance a l aide des services Bureau distance E 24 09 2014
176. ir faire du Smartcard logon base de CPS via TSE il est n cessaire d installer les Cryptolib CPS 64bit sur le serveur TSE en tant administrateur de la machine en sus du r le Terminal Server cf Points d attention par ailleurs Conseil ne pas laisser les fichiers msi d installation sur un serveur de production s curit a d faut v rifier que les droits accord s sur les msi sont ad quates 12 8 1 D sactivation du CCM au lancement Dans ce cas sur le serveur il est conseill de ne pas lancer le CCM automatiquement d marrer gt ex cuter gt msconfig gt D marrage gt d cocher CPS CCM reboot requis mais une option ult rieurement permet d attendre le prochain reboot 12 8 2 Activation du CCM a l ouverture de session au cas par cas Eventuellement lancer le CCM au d marrage des sessions utilisateurs copie du raccourci CCM exe dans le r pertoire D marrage du profil de l utilisateur USERPROFILE AppData Roaming Microsoft Windows Start Menu Programs Startup E Internet Explorer 64 bits E Internet Explorer ey Windows Update d Accessoires di D marrage Er Gestionnaire de certificats CPS Maintenance Outils d administration Sant Social p 5 Ordin Er Gestionnaire de certificats CPS Tie Gestionnaire de la carte CPS Florer Docu Rese Panne Figure 120 CCM lancement du CCM au d marrage des sessions utilisateurs s
177. ire de serveur WTN USGFPOASSLDS Extensions Stockage Gestionnaires de certificats EP R les General Module de strat gie Module de sortie Serveur d applications Serveur Web ITS gt Services Bureau distance A a Services de certificats Active Directory Autorite de certification Hom pts IN USFPOASGLOS CA Sa PKI d entreprise Certificats d autorit de certification E Mod les de certificats Ww IM USFFPO El amp pts WIK LSFPO43GL09 C4 Certificats r voqu s Certificats d livr s Demandes en attente Demandes ayant chou Mod les de certificats H t Services de domaine Active Directory H Fonctionnalit s mi ms o Afficher le certificat 14 Observateur d v nements a Performance gdi Gestionnaire de p riph riques E SK Configuration Stockage Param tres de chiffrement Fournisseur Microsoft Software Key Storage Provider Algorithme de hachage SHA1 OK Annuler Appiquer Aide Figure 69 AD CS Certificat AD CS 96 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Certificat xj General D tails Chemin d acc s de certification A Informations sur le certificat Ce certificat est con u pour les roles suivants Toutes les strat gies d missions Toutes les strat gies d application D livr DES WIN USFPOSSGLOS CA D
178. ire partie du groupe Serveurs de licences des services Terminal Serveur Propri t s de Serveurs de licences des services Terminal Server G n ral Membres Membre de G r par Objet S curit diteur d attributs Membres Hom Dossier Services de domaine Active Director Administrateur cosign Users 2 SERVICE R SEAU AUTORITE HT Ajouter Supprimer Annuler Appliquer Aide Figure 83 Terminal Server Configurations des comptes Serveurs de licences des services Terminal Serveur 12 6 4 Installation des licences sur le serveur de licences L installation de licences est payante La aussi un d lai d valuation est accord ce qui permet de faire quelques tests en attendant d acheter les licences requises ordres d id es 35 la licence CAL 150 le pack de 5 licences CAL cf Microsoft ou revendeurs hors prix des licences serveur Elle peut se faire dans la foul e de l activation du serveur de Bureau distance ou ult rieurement par clic droit sur le serveur puis Installer les licences 108 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Assistant Activation du serveur Fin de l Assistant Activation du serveur a L Assistant Activation du serveur est termine ry Etat Votre serveur de licences t activ correctement Pour installer des licences
179. it n cessite des ressources syst me et de bande passante RE en suppl mentaires et peut affecter l volutivit du serveur H te de session Bureau distance M thode d authentification i R S S lectionnez la fonctionnalit que vous souhaitez fournir Une fonctionnalit suppl mentaire peut tre Mode de licence configur e en utilisant l outil de configuration d h te de session Bureau distance Groupes d utilisateurs Exp rience dient i La s lection de Lecture audio et vid o ou de Composition du Bureau installe la fonctionnalit Exp rience utilisateur sur le serveur Hote de session Bureau distance Confirmation tat d avancement le T Lecture audio et vid o E Redirection de l enregistrement audio E Composition du Bureau fournit les l ments de linterface utilisateur de Windows Aero Si une s lection est estomp e un param tre de strat gie de groupe est actuellement appliqu ordinateur et emp che la configuration de cette fonctionnalit Pour plus d informations consultez la rubrique sur les param tres de strat gie de groupe etla configuration de l exp rience client En savoir plus sur la configuration de l exp rience dient lt Pr c dent Installer Annuler Figure 78 Terminal Server exp rience client Un reboot est n cessaire 104 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09
180. ity Microsoft Root Authority 31 12 2020 lt Tout gt Microsoft Root Auth A Personnel ElMicrosoft Root Certificate Authority Microsoft Root Certificate Authority 10 05 2021 lt Tout gt Microsoft Root Certif E Certificats EQINO LIABILITY ACCEPTED c 97 V NO LIABILITY ACCEPTED c 97 Veri 08 01 2004 Enregistrement desi VeriSign Time Stampi D Autorit s de certification racines de confiance TEST ANONYME TEST ANONYME 31 12 2020 lt Tout gt lt Aucun gt DE Certificats EQITEST PROFESSIONNEL TEST PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt 2 Confiance de l entreprise QI TEST STRUCTURE TEST STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt 1 Autorit s de certification interm diaires ql TEST TECHNIQUE TEST TECHNIQUE 31 12 2030 lt Tout gt lt Aucun gt des certificats ql Thawte Timestamping CA Thawte Timestamping CA 01 01 2021 Enregistrement desi Thawte Timestampin m iG diteurs approuv s EQ VeriSign Class 3 Public Primary Cer VeriSign Class 3 Public Primary Certifi 17 07 2036 Authentification du s VeriSign E i Certificats non autoris s Yq WMSvc WIN 92TJH90G03S WMSvc WIN 92TJH90G03S 28 06 2023 Authentification dus lt Aucun gt Autorit s de certification racine tierce partie Personnes autoris es Remote Desktop L Demandes d inscription de certificat M L Racines de confiance de carte puce Gis Configuration d h te de session Bureau distance 4 Do
181. l kerb etl kdc etl Fichiers suivants Tableau 42 Emplacement des traces Kerberos apr s activation via Tracelog 12 17 2 2 3D sactivation Activation des traces Kerberos via Tracelog tracelog exe stop ntlm tracelog exe stop kerb tracelog exe stop kdc En utilisant les appels En fusionnant le fichier de commande log kerberos tracelog 02 asipsante smartcard logon kerberos tracelog cmd stop Tableau 43 D sactivation des traces Kerberos activ es via Tracelog Attention e supprimer ou prot ger les fichiers d activation d sactivation de traces des machines de productions e d sactiver les traces avant de re passer en production p nalisant pour les performances 203 229 asipsanie AGENCE DES SYSTEMES D INFORMATION _ PARTAGES DE SANTE 12 18 Points d attention et contournements 12 18 1 Limitations En date de juillet 2013 Statut Statut ID Ticket s OS Archi Limitation Alternative i Probl me Alternative Env TSE nv TS Installer les Cryptolib CPS v5 0 8 sur le poste client cf Annexe 6 installation du poste client x64 sur les OS x64 x32 sur les OS x32 AT 0010 Les clients RDP install s avec les Cryptolib CPS GALSS 5 0 4 ou 5 0 6 ne fonctionnent pas en Smartcard Logon Confirm Confirm Env TSE Installer les Cryptolib CPS v5 0 8 c t serveur Confirm Les serveurs RDP install s avec Cryptolib CPS v5 0 6 ne permettent pas de rouvrir une
182. l AD Si le suffixe de UPN n apparait pas dans la liste des noms de domaines connus une relation d approbation avec le domaine existant devra pr alablement tre cr e Outils d administration gt Domaines et approbations Active Directory Pour ajouter une approbation au domaine existant cliquer droit sur Domaines et approbations Active Directory puis choisir Propri t s et ajouter carte cps fr 1 Domaines et approbations Active Directory Fichier Action Affichage 7 lesma as H Les noms du domaine actif et du domaine racine sont les suffices UPN Domaines et approbations Active Direci Nom nom utilisateur principal par d faut L ajout d autres noms de domaines JU eu cosign 3 augmente la s curit des sessions et simplifie les noms d ouverture de Si vous voulez que d autres suffices UPN apparaissent lors de la cr ation d utilisateurs ajoutezdes la liste suivante Autres suffices UPN oo Ajouter Propri t s de Domaines et approbations Active Directory 1 E Suffixes UPN Annuler Appliguer Aide Figure 144 Active Directory Configuration Approbation du suffixe UPN carte cps fr 170 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 12 4 D claration d un utilisateur Un nouvel utilisateur se d clare de la fa on suivante dans l AD Nouvel objet U
183. le Kerberos 20 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 20 14 9 2 2 Protocole PKINIT Le sc nario d ouverture d une session Windows partir d une carte puce Smartcard logon suit une proc dure stricte d finie par Microsoft La proc dure compl te est d crite dans le document The Smart Card Cryptographic Service Provider CookBook 1 disponible en acc s libre sur le site de Microsoft Ce protocole est appel PKINIT PKINIT est une extension du protocole Kerberos qui rend possible l utilisation de certificats num riques X509 pour la phase d authentification Cette extension permet en particulier de remplacer l authentification login mot de passe par une authentification par carte puce Il d finit pr cis ment les changes entre la carte via le CSP et PC SC et Kerberos via Winlogon 9 2 3 Cin matique initiale La cin matique r alis e lorsqu une carte puce est ins r e dans un lecteur d un poste configur pour le Smartcard logon est la suivante Etape Description C 0010 Une carte est ins r e dans un lecteur PC SC du poste client Le service ScardSvr du poste client service Windows Smartcard Server gestionnaire C 0020 des lecteurs de carte sur le poste d tecte cette insertion via Winscard dll biblioth que de gestion PC SC de Microsoft Smartcard API C 0030 Le processus Winlogon est r
184. les ession utilisateur l authentification et les Acc der l Observateur d v nements it Filtrer les v nements er l actualisation Figure 52 Active Directory Configuration du r le Niveau fonctionnel 79 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 L tape suivante Analyse de la configuration DNS peut prendre du temps W2008R2 Base VMware Player Non commercial use only cn JE A L 1 D finir le niveau fonctionnel de la foret S lectionnez le niveau fonctionnel de la for t Acc der l Observateur d v nements it Filtrer les v nements Propri t s er l actualisation me TE Ih Figure 53 Active Directory Configuration du r le Configuration DNS 80 229 ASIP Sante ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 2014 A priori d cocher l option Serveur DNS A d faut bien maitriser cette option sous peine de faire dysfonctionner le r seau sur lequel le serveur est install T W2008R2 Base VMware Player Non commercial use only aad a a 4 Options mentaires pour le contr leur de domaine E ications entre les utilisateurs et les E e de session uliisateur l authentification et les aa e ie insertion ons O PF Serveur DNS Fe E Vous avez choisi de ne pas installer de serv
185. livr par pbs WIM LSFPOAS6LD9 04 valide du 27 06 2013 au 27 06 2018 Declaration de lemetbeur En savoir plus sur les certificats Figure 70 AD CS Certificat AD CS Conseil exporter ce certificat dans un fichier USERPROFILE Desktop ad cs rootca cer 97 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Rebooter le Domain Controller Une fois que le Domain Controller a reboot le certificat d livr par AD CS au Domain Controler appara t dans le liste des certificats d livr s par AD CS E Gestionnaire de serveur Fichier Action Affichage ea eo PEM Ha Gestionnaire de serveur WIN USFPOA3GLD9 Certificats d livr s gii PEE E ID de la demande Nom du demandeur Certificat binaire Mod le de certificat Num ro de s rie Serveur d applications z ni ET amp Serveur Web IIS PIAI FEDAS ia BEGIN CERT Fe d autorit at OS CAExchange 610b8fa100000 Services Bureau distance 3 PTS WIN USFPOA3 BEGIN CERT Contr leur de domaine DomainContraller SS a Services de certificats Active Directory Cl PTS WIN U9SFPOAS BEGIN CERT Echange d autorit de certification CAExchange 61045Sccf00000 05 07 20 3 PKI d entreprise Mod les de certificats WIN U9FPOA3GLD9 F E a pts WIN LUSFPOASGLD9 CA Certificats r voqu s Certificats d livr s Demandes en attente Demandes ayant chou
186. maines et approbations Active Directory Lf Strat gie Default Domain Controllers Policy WIN 9 g Gestionnaire des services Bureau distance 3 PKI d entreprise R Sites et services Active Directory WIN 92TJHS0GO Utilisateurs et ordinateurs Active Directory WIN 9 4 rii 2 Le magasin Autorit s de certification racines de confiance contient 24 certificats Figure 125 CPSRev v rification du magasin Root CA User 143 229 ASIP Sant 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx Certificats interm diaires Les certificats ASIP Sant interm diaires doivent tre pr sents ils sont normalement provisionn s partir du moment o le magasin local machine correspondant l a correctement t cf tapes pr c dentes F Console_cosign Racine de la console Certificats Utilisateur actuel Autorit s de certification interm diaires Certificats ih Deter acion Mie Pavons Fete ste es AmO acela F Racine de la console E Gl Certificats Utilisateur actuel gt Personnel LA Certificats E Autorit s de certification racines de confiance LA Certificats CF Confiance de l entreprise F Autorit s de certification interm diaires F Liste de r vocation des certificats C Certificats ql AC CLASSE 4 TEST lt Tout gt lt Tout gt lt Tout gt lt Tout gt lt Tout gt D 4 eu cosign ca GIP CPS 5 Conf
187. mbre 2014 Annuler Apoliquer Aide Figure 149 Param trage du Smartcard logon sur des comptes AD pr existants cas un compte existant une carte 177 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Dans ce cas l utilisateur peut se logger en Smartcard logon avec sa carte CPx UPN 0 0B1055413 carte cps fr ici Il peut aussi se logger en login mot de passe en utilisant dans ce cas e Login COSIGN Carte6 a adapter e Mot de passe son mot de passe Cette op ration peut tre automatis e 12 14 2 Cas n to m mappages de comptes existants sur des attributs de certificats X509 Win2008R2 Il est possible d associer plusieurs cartes un utilisateur ou m me 1 carte plusieurs utilisateurs ce dernier cas tant par ailleurs d conseill Ce cas permet aussi de retrouver le cas particulier 1 to 1 sans diter le nom d ouverture de session utilisateur mais en perdant en ergonomie voir ci apr s Lancer la gestion d utilisateur dans une MMS en choisissant les Fonctionnalit s avanc es F 01 asipsante smartcard logon console Racine de la console Utilisateurs et ordinateurs Active M Fichier Fichier Action 1 Affichage Favors Fen tre 4a c Ajouter supprimer des colonnes 2 Raone dela conse Grandes ic nes amp Gj Pridentepr Petites k nes teur diadm Gy Certificats or
188. minal Server sous Windows 7 pour ouvrir une session avec une carte DUCE boira aN A N a Mecateeae 13 Figure 4 Sch ma fonctionnel global du Smartcard logon de Microsoft Win 2000 et XP 16 Figure 5 Sch ma fonctionnel global du Smartcard logon de Microsoft Win Vista 7 17 Figure 6 Smartcard logon et TSE Redirection des APDU 1 22 Figure 7 Architecture Exemple d un r seau informatique configur pour le Smartcard logon 24 Figure 8 Exemple d un certificat de type Smartcard logon 28 Figure 9 Informations des certificats de type Smartcard logon 29 Figure 10 Poste client V rifier le certificat d authentification ccccccccssssececcceesececeeaeseeceeesaaaeeess 31 Figure 11 Poste client identifier UPN du certificat d authentification cccesecccccsesseeeeeeeseeeeeees 31 Figure 12 Poste client identifier UPN du certificat d authentification ccceseeccccsssseeeeeeeeeeeeees 32 Figure 13 Active Directory Smartcard logon Configuration d un compte utilisateur sesse 34 Figure 14 Active Directory Approbation du suffixe UPN carte cps fr 35 Figure 15 Forcer l utilisation de la carte puce par strat gie locale cccccccessccceessececeeeceeeeeseeeees 37 Figure 16 Architecture Exemple d architecture r seau volu e 43 Figure 17 Macro planning maquette de Smartcard logon avec une carte CPX 47 Figur
189. mplacement et capteurs C Environnement distant Window C Explorateur de jeux C Explorateur Windows F Flux RSS C Gadgets du Bureau LT Gestion distance de Window F Gestion des droits num riques C Gestionnaire de fen tres du Bi C1 Gestionnaire de ressources sy C Groupe r sidentiel gt Interface utilisateur d informat C3 Internet Explorer P Internet Information Services C Lecteur Windows Media C Magn tophone C Mise niveau express C NetMeeting C Observateur d v nements C Options d arr t gt Options d ouverture de sessio C Param tres de pr sentation C Parental Controls gt Planificateur de t ches C Programme d am lioration de C Projecteur r seau C Protection d acc s r seau C Rapport d erreurs Windows C Sauvegarde gt Serveur pour NIS Modifier le param tre de strat gie Configuration requise Au minimum Windows Server 2003 Description Ce param tre de strat gie vous permet de limiter les utilisateurs une seule session de services Bureau distance Si vous activez ce param tre de strat gie les utilisateurs qui ouvrent une session distance via les services Bureau distance seront limit s une seule session active ou d connect e sur ce serveur Si l utilisateur quitte la session dans un tat d connect il se reconnecte automatiquement cette session lors de la prochaine ouverture de session Si vous d sactivez ce param tre de strat gie les utilisateurs
190. n Afficher lt Tout gt bi Fslidentificateur de cl de l aut ID de la cl 49 02 SF 34 83 f2 ralidentificateur de la cl du s F7 5F f2 64 FF FG 30 8 ed 21 0 FalUtiisation avanc e de la cl Authentification du client 1 3 Fy Strat gies de certificat 1 Strat gie du certificat Ide TH Contraintes de base Type d objet Entit finale Co Points de distribution de la li 1 Point de distribution de la lis rajListe de r vocation de certif ilListe de r vocation de certi Fa Autre nom de l objet Autre nom Mom principal 5 1 1 Foint de distribution de la liste de r vocation de certificats Mom du point de distribution Mom complet URL http i annuaire gip cps FricriiGIP CPS CLASSE 3 crl 2 Point de distribution de la liste de r vocation de certificats Mom du point de distribution Mom complet URL Idap annuaire gip cps fricn gip cps classe 3 0u qip cps structure o qip cps c fricertificaterevocationlist binary Copier dans un Fichier Modifier les propri t s Figure 8 Exemple d un certificat de type Smartcard logon 28 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx 24 09 2 0 14 Pour qu un certificat soit utilisable en ouverture de session par carte puce champ utilisation avanc e de la cl il faut qu il h rite de ce r le son a
191. n Membre de Appel entrant eu cosign hai Nom d ouverture de session de l utilisateur ant rieur Windows 20001 osig Cartes Horaires d acces Se connecter 4 D D verrouiller le compte Nom d ouverture de session de l utilisateur Options de compte F L utilisateur devra changer le mot de passe L utilisateur ne peut pas changer de mot de passe I Le mot de passe n enpire jamais T Enregistrer le mot de passe en utilisant un chiffrement r versible Date d expiration du compte fe Jamais Fin de samedi 15 novembre 2014 Annuler Aopliguer Aide Propri t s de Carte6 Carte6 Carte E Ea Environnement Sessions Contr le distance Profil des services Bureau distance Bureau virtuel personnel COM G n ral Adresse Compte Profil T l phones Organisation Membre de Appel entrant Hom d ouverture de session de l utilisateur 0 081 055413 Micare cps fr Hom d ouverture de session de l utilisateur ant rieur Windows 2000 cosignt Carte Horaires d acc s Se connecter 4 D D yerrouiller le compte Options de compte PF L utilisateur devra changer le mot de passe F L utilisateur ne peut pas changer de mot de passe IM Le mot de passe n expire jamais Enregistrer le mot de passe en utilisant un chiffrement r versible Date d expiration du compte Jamais Finde samedi 15 nove
192. n avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Param tres de d ploiement RemoteApp Figure 90 Terminal Server config nom du serveur et port externe 114 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Assistant RemoteApp X Choisir les programmes ajouter a la liste des programmes RemoteApp S lectionnez les programmes que vous souhaitez ajouter la liste Programmes RemoteApp Vous pouvez galement configurer des propri t s RemoteApp distinctes comme lic ne afficher Gestionnaire des services Internet ITS 6 0 Informations syst me F Module Active Directory pour Windows PowerShell Moniteur de ressources Paint Se connecter un projecteur Sources de donn es ODBC Windows PowerShell Windows PowerShell x86 Windows PowerShell Modules Windows Update WordPad cesse J o Os Le Je D3 Oe om Figure 91 Terminal Server D claration d une remote app de test 115 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 D marrer click Ex cuter cmd puis entrer control system Param tres syst me avanc s Utilisation distance Propri t s syst me MULONSE IES COAMERIONS diassstance a distante vers cel ordinateur UBUGMS aVahGees AS PPNquer Figure 92 Term
193. n importe quel type de r seau RDP Remote Desktop Protocol Protocole de communication utilis par TSE WSUS Windows Server Update Services Tableau 1 Glossaire 9 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 6 Liste des entreprises cit es Le pr sent document cite les produits des entreprises ou organismes suivants Site Web Lien avec le Smartcard logon Citrix www citrix com Env TSE Citrix Microsoft www microsoft com Windows CSP TSE AD DC AD CS Responsable du standard PC SC visant PC SC Workgroup www pcscworkgroup com l int gration de la carte a puce et des lecteurs de cartes dans les systemes informatiques RSA Security Inc man PKCS RSA Tableau 2 Entreprises cit es 10 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 7 Avertissements Sur le n cessaire strict respect des proc dures d crites dans le manuel L attention de l utilisateur est attir e sur l importance de respecter strictement les proc dures d crites dans le pr sent guide de mise en uvre du Smartcard logon avec une carte CPS Toutes les proc dures qui y sont d crites ont t pr alablement test es par ASIP Sant Elles doivent permettre l utilisateur de mettre en uvre le Smartcard logon avec une carte CPS sur son poste de travail ou tout autre disposi
194. n interm diaires Liste de r vocation des certificats Certificats diteurs approuv s Certificats non autoris s Autorit s de certification racine tierce partie Personnes autoris es Remote Desktop Demandes d inscription de certificat Racines de confiance de carte puce P riph riques approuv s amp Configuration d h te de session Bureau distance Domaines et approbations Active Directory Strat gie Default Domain Controllers Policy WIN 9 g Gestionnaire des services Bureau distance 5 PKI d entreprise EE Sites et services Active Directory WIN 32TJH90G0 E Utilisateurs et ordinateurs Active Directory WIN 9 E eu cosign ca eu cosign ca QI WIN 9273H90G035 eu cosign 2euU cosign ca a WMSvc WIN 92T JH90G03S WMSvc WIN 3 a ae d Le magasin Personnel contient 3 certificats Figure 137 Active Directory Configuration Certificat Local Machine personnel 160 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 2014 Il est possible de les copier coller depuis le magasin Root vers le magasin Personnel de l ordinateur local Racine de la console Action Affichage Favoris A En Certificats ordinateur local HAHA E E 0 HRA AP eee F Personnel Certificats Autorit s de certification racines de Certificats Confiance de l entreprise Autorit s de certification interm di
195. nce Au lieu de cela assurez vous que le param tre Bureau distance est activ Inf ti l tai Vue d ensemble des services Bureau distance Figure 73 Terminal Server installation du r le 99 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non comm ercial use on hy at a H te de session Bureau distance El _ H te de virtualisation des services Bureau distance L RemoteFX _ Gestionnaire de licences des services Bureau distance C Service Broker pour les connexions Bureau distance Passerelle des services Bureau distance Acc s Bureau distance par le Web En savoir plus sur a Figure 74 Terminal Server service de r le choisir H te de session Bureau distance 100 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only ol x Player Hi co E e amp Assistant Ajout de roles Sp cifier une m thode d authentification pour le service H te de session Bureau distance Avant de commencer L authentification au niveau du r seau est une nouvelle m thode d authentification qui am liore la s curit en fournissant une authentification d utilisateur plus tot dans le processus de connexion lorsqu un dient
196. nce d acc s dient aux services Bureau distance par p riph rique doit tre disponible pour chaque Conan p riph rique qui se connecte ce serveur H te de session Bureau distance tat d avancement Par utilisateur R sultats Une licence d acc s dient aux services Bureau distance par utilisateur doit tre disponible pour chaque utilisateur qui se connecte ce serveur Hote de session Bureau distance 1 Le mode de licence que vous sp cifiez doit correspondre aux licences d acc s dient aux services Bureau distance disponibles aupr s de votre serveur de licences des services Bureau distance En savoir plus sur le mode de licence des services Bureau distance lt Pr c dent Installer Annuler Figure 76 Terminal Server mode de licence Choisir Configurer ult rieurement L activation et l installation des licences RDP doit faire l objet d une attention particuli re Elle n est pas urgente M me si elle n est pas effectu e des tests sont possibles Cf ci apr s 102 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only g ol x S lectionner les groupes d utilisateurs autoris s acc der ce serveur Hote de session Bureau a distance Avant de commencer Ajoutez les utilisateurs ou les groupes d utilisateurs qui peuvent se conn
197. ne carte CPS_20140924_v2 5 8 docx 24 09 2014 12 9 4 Cas des contr leurs de domaine avec acc s internet v rification des statuts de certificats online V rifier les flux vers les serveurs ASIP avec IE Flux HTTP http annuaire gip cps fr crl test TEST 20CLASSE 2 crl Idap annuaire gip cps fr cn test classe 2 ou test Flux LDAP o a structure o test c fr certificaterevocationlist binary Tableau 23 CPSRev V rification des flux vers l annuaire ASIP Sant V rifier l tat d un certificat carte d authentification extrait avec CPS Gestion ou avec inetcpl cpl depuis le serveur avec certutil verify urlfetch 12 9 5 Cas des contr leurs de domaine sans acc s internet v rification des statuts de certificats offline via l alimentation du magasin de CRL en ligne de commande Dans le cas r pandu o les contr leurs de domaine n ont pas d acc s internet il est n cessaire 1 de t l charger les CRLs ASIP Sant sur une machine d di e 2 de les copier sur les contr leurs de domaine 3 deles importer dans le magasin de liste de r vocation Cette derni re op ration s automatise avec l outil certmgr exe de Microsoft fourni avec Visual Studio La ligne de commande est la suivante certmgr exe add v crl chemin du fichier crl s r localMachine CA Tableau 24 CPSRev Ligne de commande certmgr exe La documentation de certmgr exe est ici http msdn microsoft com
198. ne carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only Avant de commencer R les de serveurs AD CS Services de r le Type d installation Type d autorit de certification Cl priv e Chiffrement Nom de l autorit de certific P riode de validit Base de donn es de certificats Confirmation tat d avancement R sultats RSA Microsoft Software Key Storage Provider ui Pour cr er une nouvelle c priv e vous devez d abord s lectionner un fournisseur de services de chiffrement un algorithme de hachage et une longueur de cl adapt e l utilisation pr vue des certificats que vous mettez La s lection d une valeur lev e pour la longueur de cl donnera une s curit renforc e mais allongerales op rations de signature S lectionnez un fournisseur de services de chiffrement Longueur de la d en caract res PF Autoriser l interaction de l administrateur lorsque l autorit de certification acc de la d priv e En savoir plus sur les options de chiffrement d une autorit de certification lt Pr c dent Installer Annuler Figure 63 AD CS cl priv e Chiffrement S assurer que le choix effectu est en ad quation avec la politique de s curit de l environnement de production vis 90 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 2
199. nstallation de Certificate Server sur un serveur le g le il est ensuite impossible de modifier son nom ou son domaine tant que ce composant est install Proc dure d installation Panneau de configuration gt Ajout suppression de programmes gt Ajouter Supprimer des composants gt Service de certificats PKI Microsoft L installation se d roule automatiquement Durant cette installation il sera demand de g n rer l autorit racine de cette PKI Type d autorit obligatoirement autorit racine d entreprise pour permettre la propagation automatique de cette autorit sur toutes les machines du domaine Nom commun et p riode de validit de l autorit d finir en fonction de la politique de s curit du r seau informatique local Cf annexe d installation d un r le Certificate Server AD CS Une fois l autorit de certification g n r e et l installation termin e cette autorit est automatiquement d ploy e sur toutes les machines du domaine Il ne reste plus ensuite qu au contr leur de domaine faire une demande de certificat serveur de type DC Domain Controller aupr s de cette autorit Au reboot du contr leur de domaine inscription automatique aupr s de la PKI du domaine et demande automatique d un certificat serveur DC Ce serveur h bergeant la PKI devra tre en permanence accessible via le r seau par protocole LDAP depuis toutes les autres machines qui
200. nstalleurs MSI dela Cryptolib CPS v5 32b et 64b 40 certificats ASIP Sant au format cer pour peuplement des magasins de certificats Certificats root de production Certificats inter de production Certificats root de test Certificats inter de test 214 229 ASIP Sant 1 Pack SCL_ 0010 Pack SCL 0011 Pack SCL 0012 Pack SCL 0013 Pack SCL 0014 Pack SCL 0015 Pack SCL_ 0016 Pack SCL 0017 Pack SCL_ 0018 Pack SCL 0019 Pack SCL_ 0020 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS 20140924 v2 5 8 docx R pertoire Description R pertoire cer p7b cer p7b 40 certificats ASIP cer pem f p Sant au format pem Fichiers de configuration doc Documentation et ReleaseNotes doc leg leg i Mentions l gales leg leg log cryptolib Pack de prise de traces Fichier 05 all root p7b 06 all inter p7b XX yy pem cps_pkcs11_pcsc ini ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS _yyyyMMdd_vX Y Z pdf Guide de deploiement de louverture de session _par_carte CPSv3 v1 0 pdf COPYRIGHT txt DISCLAIMER txt LICENSE txt README txt debug cryptolib activate reg 24 09 2014 Description Fichier Certificats root de test et de production Certificats inter de test et de production Fournis par commodit Peuvent servir aux configurations de profiles Firefox par exemple Exemple de fichier de conf
201. nterm diaires Liste de r vocation des certificats EalGIP CPS STRUCTURE GIP CPS STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt EQ GIP CPS TEST GIP CPS TEST 31 12 2020 lt Tout gt lt Aucun gt Microsoft Windows Hardware Compatibility soft Root Authority 31 12 2002 Signature du code V lt Aucun gt EalRoot Agency Root Agency 01 01 2040 lt Tout gt lt Aucun gt ER ITEST ANONYME TEST ANONYME 31 12 2020 lt Tout gt lt Aucun gt QI TEST CLASSE 0 TEST ANONYME 31 12 2020 lt Tout gt lt Aucun gt EQITEST CLASSE 0 TEST ANONYME 31 12 2020 lt Tout gt lt Aucun gt EQITEST CLASSE 1 TEST PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt EQITEST CLASSE 1 TEST PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt EQITEST CLASSE 2 TEST STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt EQITEST CLASSE 2 TEST STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt EQITEST CLASSE 3 TEST STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt Eal TEST CLASSE 3 TEST STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt ERI TEST PROFESSIONNEL TEST PROFESSIONNEL 31 12 2020 lt Tout gt lt Aucun gt EI TEST STRUCTURE TEST STRUCTURE 31 12 2020 lt Tout gt lt Aucun gt al www verisign com CPS Incorp by Class 3 Public Primary Certification A 25 10 2016 Authentification dus lt Aucun gt Certificats Editeurs approuv s Certificats non autoris s Autorit s de certification racine tierce partie H I H E F Personnes autoris es Remote Desktop
202. ntification et les recherches dans l annuaire R sum Ce serveur n a pas encore le r le de contr leur de domaine Ex cutez l Assistant Installation des services de domaine Active Directory dcpromo exe EU Aucun Acc der l Observateur LS Ev nements erreur s v nement s d v nements pendant 24 heures ib Filtrer les v nements Propri t s 4 ID de l v Figure 44 Active Directory Configuration du r le 71 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only Stocke les donn es d annuaire et g re les communications entre les utilisateurs et les domaines notamment les processus d ouverture de utilisateur l authentification et les recherches dans l annuaire R sum Ce serveur n a pas encore le r le de contr leur de domaine Ex cutez l Assistant Installation des services de domaine Active Directory dcpromo exe Pe Aucun Acc der l Observateur l Ev nements erreur s v nement s d v nements pendant 24 heures E Filtrer les v nements Propri t s 4 Niveau Ide Fv Figure 45 Active Directory Configuration du r le Ex cution de l assistant 72 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player
203. oduite sur chaque contr leur pour que chaque contr leur soit configur de la m me COMP_03 mani re Composants d une IGC PKI pour les certificats serveur et client e Un acc s externe l annuaire de l ASIP Sant en http et ou LDAP pour permettre au module de v rification de r vocation Provider de r vocation d acc der aux CRLs correspondantes aux certificats d livr s COMP_04 par ASIP Sante Microsoft Certificate Server pour une PKI serveur Microsoft Provider de r vocation ASIP Sant d velopp par Microsoft pour la v rification des CRLs des certificats client de la carte sur chaque contr leur de domaine Tableau 10 Smartcard logon Cin matique de l authentification par carte a puce Dans l IGC de l ASIP Sant l autorit qui signe les certificats est diff rente de celle qui signe les CRL 23 229 ASIP Sante ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx R seau IP priv Poste client Lecteur PC SC Carte CPS PKI serveur Microsoft Certificate Server avec publication des CRLs serveur Facultatif Contr leur de domaine primaire Provider de r vocation ASIP Sant Protocole http ou Ldap 24 09 2014 a Contr leur de domaine secondaire facultatif Annuaire de l ASIP Sant publication des CRLs Figure 7 Architecture Exemple d un r seau informatique configur pour le Smart
204. om b instan a rchive 2011 01 27 automatic logon to rds using smartcards with multiple certificates with or without ts gateway aspx Tableau 44 Points d attention 210 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 18 2 Contournements 12 18 2 1AT_0030 D sactivation du verrouillage de session Le minimum consiste positionner cette valeur en base de registre HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System DisableLockWorkstation dword 00000001 Le msserver 389 Connexion Bureau distance a _ a e dirc Documents Ordinateur R seau Panneau de configuration P riph riques et imprimantes Outils d administration Aide et support Ex cuter D connecter Werrouiller k Tous les programmes s curit de Windows Red rarrer Rechercher les programmes ef fichiers Pp Ermer la S63s101 Arr ter Aa ME Mookliestiaw emira enr mida mira nm narma OT Figure 162 Workaround D sactivation verrouillage de session 211 229 ASIP Sant ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx 24 09 2014 Il est possible d affiner le param trage de sorte qu aucune mani re de locker la session ne soit accessible ou que plus g n ralement le cycle de vie de la session utilisateur soit parfaitement maitris par l administrateur sy
205. ommercial use only om F Con ele1 Racine dela console _ Fichier recent m e Eg Figure 136 Console Enfichable Sauvegarde 159 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 11 Configuration du Contr leur de domaine pour la Smartcard logon 12 11 1 Magasins de certificats Commande MMC gt certificats gt ordinateur local e Magasin Personnel o certificats racine o certificats DC DomainController du serveur e Magasin Autorit s de certification racine de confiance o certificats racine client O serveur e Magasin Autorit s interm diaires o certificats client racine signeur de CRL o certificats interm diaires client signeur de certificats et CRLs En cas de contr leurs de domaine multiple installer ces certificats sur chaque contr leur 12 11 1 1 Magasin personnel Apr s installation de la Cryptolib CPS ou du provider de r vocation les certificats racine ne sont pas pr sents dans le magasin personnel normal F Console_cosign Racine de la console Certificats ordinateur local Personnel Certificats Fichier Action Affichage Favoris Fen tre Racine de la console Certificats Utilisateur actuel El Certificats ordinateur local E Personnel El Autorit s de certification racines de confiance Certificats Confiance de l entreprise El L Autorit s de certificatio
206. on C Compatibilit des applications Ce param tre de stra Non configur Commentaire a C Connexions apne bn rar le P PERS certificat qui d ten Activ sal D lais d expiration des sessions s lectionn automatiq m Dossiers temporaires authentifier un servet f D sactiv L Environnement de session distance session Bureau distz P P h Gestionnaire de licences N ris en charge sUr Au minimum Windows Vista z Mi Profils Un certificat est n ce Fe ae authentifier un servet C Redirection de l imprimante session Bureau distz Redirection de p riph rique et de resso TLS 1 0 est utilis pc Options Aide S curit communications entre Service Broker pour les connexions Bure serveur H te de la se zoj i distance pendant des pa Ce param tre de strat gie vous permet de sp cifier le nom du gt Strat gies de lecture automatique Remote Desktop Prot Nom du mod le de certificat pa g gie P egies i LA Synchronisation de mot de passe mod le de certificat qui d termine le certificat s lectionn l C Syst me de couleurs Windows Si ce param tre de sti RemoteDesktopComputer arama aar pour authentifier un serveur Hate de la session a Tablet PC activ vous devez sp ureau distance ag de mod le de certifica rakia dE certificats cr s l aic Un certificat est n cessaire pour authentifier un serveur H te de la Wenas Darenadar certificat sp cifi sont session Bureau distance lorsque S
207. on du s VeriSign 7 Certificats non autoris s YQ wosve WIN 92T JHS0G03S WMSvc WIN 92TJHS0G03S 28 06 2023 Authentification dus lt Aucun gt Autorit s de certification racine tierce partie Personnes autoris es o Remote Desktop Demandes dinscription de certificat Racines de confiance de carte puce P riph riques approuv s Gis Configuration d h te de session Bureau distance Domaines et approbations Active Directory Strat gie Default Domain Controllers Policy WIN 9 g Gestionnaire des services Bureau distance g PKI d entreprise 4 A Sites et services Active Directory WIN 92TJH90G0 J Utilisateurs et ordinateurs Active Directory WIN 9 ils gt Le magasin Autorit s de certification racines de confiance contient 24 certificats Figure 123 CPSRev v rification du magasin Root Local machine A minima les 5 certificats racine de production de l ASIP Sant doivent tre pr sents se reporter au chapitre D tails de certificat Si des cartes de test sont utilis es environnements de tests et d homologation les 5 certificats racine de test de l ASIP Sant doivent tre pr sents se reporter au chapitre D tails de certificat Il peut donc y avoir jusqu 10 certificats root ASIP dans ce magasin L import par fichier P7B est possible e cer p7b 01 prod root p7b o 5certificats de production e cer p7b 03 test root p7b o 5certificats de test
208. oris s gt Personnes autoris es 4 C Strat gies de restriction logicielle L Protection d acc s r seau L Strat gies de contr le de l applica F E Strat gies de s curit IP sur Activ F Configuration avanc e de la strat ali QoS bas e sur la strat gie E L Mod les d administration d finitions de s 4 L Panneau de configuration 4 C R seau 4 LA Syst me a Tous les param tres 4 C Pr f rences 4 Configuration utilisateur g Gestionnaire des services Bureau distance g PKI d entreprise B Sites et services Active Directory WIN 92TJH90G03S Utilisateurs et ordinateurs Active Directory WIN 92T2 Le magasin Autorit s de certification racines de confiance ne contient aucun certificat E Figure 142 Active Directory Configuration Strat gie de cl publique avant import 166 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 F 01 asipsante smartcard logon console Racine de la console Strat gie Default Domain Controllers Policy fr asipsante 00 eu cosign Configuration ordinateur Fichier Action Affichage Favoris Fen tre esm da IG Racine de la console d Certificats ordinateur local CalAC RACINE IGC SANTE ELEMENT AC RAC
209. pour Linux ss 217 14 2 Configuration du lancement automatique du daemon PCSCD 217 14 3 Installation et configuration du PAM OpenSC cccccccsssececeeseceeeeeecceeeesecesseecesseneceeseees 217 14 3 1 R cup ration et installation de libpam pkcs11 217 14 3 2 Initialisation du fichier pam_pkcs11 conf des certificats et des CRLs 218 1433 Editionide etc DamAdSUdO s ei di died 218 14 3 4 Edition de etc pam d common auth ccc cc cc cceeeececccsseeeeeececeeeseseeeeueeeesessseueueeseess 218 14 3 5 Edition de etc pam _pkcs11 pam_pkcs11 conf cceeeesseeeeeceecccceseseeeeeeeeeeeeseeeeeees 219 14 3 6 Configuration d un compte pour le Smartcard logon ccseccccessecceeesseceeeeseceeeeneees 219 15 Smartcard loconsou MAC COS KE dede cest ce t oui 220 S PRETE annn aa na aaa a ene oe eee eer 220 TSZ NEOG EEE 220 15 3 AttreSs COMMANOES Utiles aysor a a a tandem era 220 154 REMOVES oa E end t ae siecle 221 16 Annexes Liste des NEUES T dat ieee 222 17 Annexe Lite des tables n a Ea E ch cn 226 18 gt NOLO Saenen e de ed nt as no ean eee dde as 228 8 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 5 Glossaire Sigle Signification Application Programming Interface Answer to reset R ponse d une carte puce sa mise sous tension Carte de Professionnel de Sant Crypto
210. r Window C1 Flux RSS C Gadgets du Bureau LT Gestion distance c C Gestion des droits n C Gestionnaire de fem and Gestionnaire de ress C Groupe r sidentiel Interface utilisateur C3 Internet Explorer ne gt P tendu Standard 16 param tre s Figure 155 Active Directory Configuration du Smartcard logon pour utilisateurs existants GPO Allow user hint Les r f rences pour ce cas d usage sont R f rences UseSubjectAltName and smartcard logon http blogs technet com b instan archive 2010 06 16 usesubjectaltname and smartcard logon aspx Disable UPN mapping for SmartCard logon http blogs msdn com b spatdsg archive 2010 06 14 howto 3a00 disable upn mapping for smartcard logon aspx Map a user to a certificate via all the methods available in the altSecurityldentities attribute blogs msdn com b spatdsg archive 2010 06 18 howto map a user to a certificate via all the methods available in the altsecurityidentities attribute aspx Tableau 34 Active Directory Configuration du Smartcard logon pour utilisateurs existants R f rences 183 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 20 14 12 14 5 Cas n to m Interface de logon et ergonomie Les crans de Winlogon sont alors les suivants j sa T AOR Kode confidentiel A Aa Aide m moire du nom d utilisateur M 4
211. rage du Smartcard logon sur des nouveaux comptes AD 174 12 13 1 Script de d ploiement des UPNs dans un active directory 174 12 14 Param trage du Smartcard logon sur des comptes AD pr existants ccccsseeceeeeeeeeeeees 177 12 14 1 Cas 1 to 1 un compte existant une carte ss 177 12 14 2 Cas n to m mappages de comptes existants sur des attributs de certificats X509 ANIR2008R 2 inde ete te tele tt On late 178 12 14 3 Cas n to m D sactivation de l utilisation du subjectAltName SAN sesse 182 12 144 Cas n to m Activation du hint escena a kas 182 12 14 5 Cas n to m Interface de logon et ergonomie 184 12 15 Configuration de la strat gie de d tection d arrachage de la Carte ccceccceesececeeeeeeeeeees 185 12 16 Details des ceric ASIP Sante ss RUN Re dr ne np nt den enue 188 12 17 NCU CUS ESS RSR ns ce D CS CR D ANR 201 12 IAr Traces CADOG S SAGE Lie ne Nc RES rA en 201 12172 iaces kerDE O RS ie tienne ie tete etc te 201 12 18 Points d attention tcontournementsisinii asp AAA tn CR A 204 L2 18 E LIMIATIONSE NRA Pr nc Nc nc NS es us 204 12 18 22 CONtOUrMeMents s hs SG AN ARR RS nr Rd AR rs Mt in rs 211 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 20 14 13 Contenu du Kit Smartcard logon ASIP Sant se 214 14 Smarteard logon sous EAU RU RS nie tete ae ren 217 14 1 Installation de la Cryptolib CPS V5
212. ram tres NTUIEN ppIiquer Figure 41 Windows serveur Configuration nom de l ordinateur 68 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 4 Installation d un r le Active Directory Le r le Active Directory s installe en ajoutant le r le Services de domaine Active Directory W2008R2 Base VMware Player Non commercial use only Assistant Ajout de roles as S lectionnez des r les de serveurs _ Hyper V Serveur d applications Serveur de t l copie Serveur DHCP Serveur DNS Serveur Web IIS _ Services AD LDS Active Directory Lightweight Directory Servi Services AD RMS Active Directory Rights Management Services C Services ADFS Active Directory Federation Services Services de certificats Active Directory _ Services de d ploiement Windows Services de documents et d impression Services de domaine Active Directory Services de fichiers Services de strat gie et d acc s r seau _ Services WSUS Windows Server Update Services Figure 42 Active Directory Installation du rdle 69 229 ASI P Sa nte ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only Eg R A La fonctionnalit Mises jour automatiques de Windows n est pas activ e
213. res de test de ASIP Sant doivent tre pr sents Il peut donc y avoir jusqu 49 certificats ASIP dans ce magasin et 1 certificat AD CS 164 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 L import par fichier P7B n est pas possible 2 choix s offrent nous e import un un des certificats au format cer o source d erreur e import par fichier batch o vivement conseill o cf script bin 00 asipsante smartcard logon ntauth manage cmd fourni La commande qui permet d automatiser cet import est certutil dspublish f fichier_certificat_a_importer cer NTAuthCA Tableau 26 Active Directory Configuration Commande certutil d import des certificats dans le magasin NTAUTH Conseil Se reporter au chapitre D tails des certificats ASIP Sant imprimer ce tableau et mat rialiser la v rification en cochant la case Check Conseil les certificats de test ASIP Sant doivent tre supprim s des environnements de production 165 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 11 2 Strat gie Active Directory 12 11 2 1 Ajout des autorit s racines client et serveur MMC gt Default Domain Controllers policy gt Configuration ordinateur gt Strat gies gt Param tres Windows gt Param tres de s curit gt Strat
214. rmet de s curiser otre ordinateur Pour obtenir plus d informations diquez sur Aide 12 229 24 09 2014 ASI P Sa nte ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx Figure 1 Ecran d accueil de Windows XP configur pour ouvrir une session avec une carte puce 500000000018119 CPATOOOL D verrouiller la carte puce 3 00000000018119 CPATOUTDearte cps fr Code confidentiel ss S curit de Wi Entrer vos informations d identification Ces informations d identification seront utilis es pour vous connecter Mmsserver Utiliser un autre compte SO00000000018119 CPATO Identification pour la carte puce 5 00000000018119 CPATO001 cart Code confidentiel M moriser ces informations Figure 3 Ecran du client Terminal Server sous Windows 7 pour ouvrir une session avec une carte puce 13 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 8 3 Int r t du Smartcard logon Cette section analyse les raisons d utiliser une carte puce de type CPS par exemple plut t qu une authentification standard login mot de passe pour l ouverture de session utilisateur Inconv nients may Description login mdp Mot de passe faible choisi par l utilisateur facilement crackable attaque par _ 0010 A z dictionnaire par exemple 0020 Algorithmes
215. rnes expiration des certificats Tableau 6 Inconv nients de la carte a puce face au couple login mot de passe Les inconv nients d ordre technique li s la mise en uvre de la carte puce sont mineurs par rapport aux avantages notamment en terme de s curit apport s par cette technologie et au regard des limitations et faiblesses av r es du login mot de passe 15 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 9 Architecture et fonctionnement g n ral 9 1 Sch ma de principe Le m canisme d ouverture de session Windows est illustr ci dessous Ce m canisme est complexe par essence Les consid rations de s curit y pr valent conjointement aux consid rations de performance qu il faut introduire sans compromettre le syst me gs L 2 E oat crd amp press Orba Deere to bagh Jet 27 Oe heips heto yor paard ara Gb how fr ore aaa 1 S c Insertion SAS ee Active 3 LsaLogonUser PIN Directory 8 9 4 PIN user domain User info Smart Card 4 P IN Se Private a creme T AS request dE on PLN iac Kerberos Certif Authenticator j Ales Authenticator i CSP SSP KDC 6 re Signature 10 rdnkey TGT z Public pubkey rndkey sign Figure 4 Sch ma fonctionnel global du Smartcard logon de Microsoft Win 2000 et XP 16 229 ASIP Sa nt ASIP PTS PSCE_Guide de mis
216. rovider de r vocation ASIP Sant Microsoft sur le serveur eee 139 12 9 1 Installation du Provider de r vocation ASIP Sant Microsoft ccccccseseeceeeeeeees 139 12 9 2 Mise a jour des magasins de certificats Local Machine cccccsseccccesscceeeseceeeeneees 141 12 9 3 Configuration du Provider de r vocation ASIP Sant Microsoft 145 12 9 4 Cas des contr leurs de domaine avec acces internet v rification des statuts de Certificats COMME ane AA A RD RE ne ann RU ethernet dites lent cade 146 12 95 Cas des contr leurs de domaine sans acc s internet v rification des statuts de certificats offline via l alimentation du magasin de CRL en ligne de commande 146 12 9 6 Test du Provider de r vocation ASIP Sant Microsoft en v rifiant le statut d un certificat 148 12 10 Configuration d une console de composants enfichables d di e au Smartcard logon 151 12 11 Configuration du Contr leur de domaine pour la Smartcard logon cccceeseceeeeseeeeeeees 160 IIEL WagasinsdeG CertitiCats cn nn Mt Sn nd Ant 160 12112 Strat gie Active Directory ciorcairisn n dil ee eee es 166 12 12 Crearon Ges utilisa l drSs Ash ori tisidonctawebntsdeedoncecsatadsduuaecanneivnaadee woetise oa se 168 1212 1 Constructionde l Identitiant UPN niesna axerenss 168 12 12 3 D claration du suffixe carte cps fr dans AD 170 12 124 D chr tiomdUMULISAleUS LR AA ee NU ae E 171 12 13 Param t
217. rtcard logon SOUS MacOSX 220 Commandes utiles au Smartcard logon sous MacOSX UN 220 227 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 18Notes fin du document 228 229 r a Fraternity Libert galir REPUBLIQUE FRANCAISE Agence des syst mes d information partag s de sant 9 rue Georges Pitard 75015 Paris prenne Tel 0158 45 32 50 PARTAGES DE SANTE esante gouv fr
218. rtcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only Composant logiciel enfichable Certificats les configurer Pour les rig Ce composant logiciel enfichable g rera toujours les certificats pour ah ei pr Mon compte d utilisateur odifier les extensions Un compte de service Un compte d ordinateur supprimer 0 i GG ff em Fr Ml Monter Descendre Avance Pr c dent Annuler bur VOUS UN service ou 00 24 PB 06720153 Figure 131 Console Enfichable Certificats utilisateur 154 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMware Player Non commercial use only Composant logiciel enfichable Certificats es configurer Pour les rig Ce composant logiciel enfichable g rera toujours les certificats pour ah ei pr Mon compte d utilisateur odifier les extensions Un compte de service Un compte d ordinateur supprimer 0 i GG ff em Fr Ml Monter Descendre Avance Pr c dent Annuler bur VOUS UN service ou p 00 25 i E E 0672015 Figure 132 Console Enfichable Certificats Local Machine 155 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 H W2008R2 Base VMwar
219. rtcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Propri t s de RemoteDesktopComputer X Conditions d mission Mod les obsol tes Extensions S curit L er eur G n ral Traitement de la demande Nom du sujet Ham complet du mode le F emoteDesktoplomputer Autorit s de certification minimales prises en Windows Server 2003 Enterprise charge Hom du mod le F emoteDesktoplomputer P node de validit P riode de renouvellement ann es E semaines M Publier le certificat dans Active Directory Ne pas utiliser la r inecription automatique si un certificat dupliqu existe dans Active Directory C Pour le renouvellement automatique des certiticats de carte puce utiliser la cl existante si la cr ation d une cl est impossible OK Annuler Sarine Aide Figure 99 Terminal Server Cr ation d un mod le de certificat Remote Desktop sur l AD CS 121 229 ASIP Sant 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx E Gestionnaire de serveur Fichier Affichage CL AE CE lb Gestionnaire de serveur WIN U9FPOA3GLD9 E gt R les dE Serveur d Servic E Wy Serveur v Fichier Action Affichage Favoris Fen ti m Ny Gest Fis aie E y Services E a Gestic Racine de la console Confic Mod les de certificats WIN U9FF am Gestic A Services c Action
220. rvices TSE bureau a distance qui s appuient sur le protocole RDP et architecture CITRIX protocole ICA Rerata Machine Local Machine anchor l Miorecoh Terminal Sarvices ern Al cals bo vra are L j Aree bo the Col machr l i Vinca i g mu Smart Card Rande Figure 6 Smartcard logon et TSE Redirection des APDU 1 Il est donc possible d ouvrir nativement une session client serveur a distance par carte puce a partir d un client dit l ger La connexion distance doit tre configur e pour qu elle utilise le s lecteur s de cartes puce PC SC pr sents sur le poste client redirection carte puce PC SC 22 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 10Sp cifications mat rielles et pr requis 10 1 Architecture serveur 10 1 1 Composants Composant Description Un r seau informatique Microsoft postes clients Windows partir de COMP_O1 Windows 2000 int gr s un domaine g r par un ou des contr leur s de domaine Windows Au moins un serveur avec le r le de contr leur de domaine Windows 2000 Server COMP_ 02 l T 2003 Server ou sup rieur avec un Active Directory gestion des utilisateurs Des contr leurs de domaine secondaires peuvent tre pr sents sur le domaine Dans ce cas la configuration sp cifique au Smartcard logon devra tre repr
221. s clients se connecteront avec les param tres RDP personnalis s LE dients utiliseront ces param tres lorsqu ils se connecteront ce serveur h te de session Bureau distance serveur n est pas visible dan Bureau distance par le We En savoir plus sur l utilisatio Bureau distance par le We Autres options de distribution S lectionnez un programme Re choisissez une option ci dessou Cr er le fichier rdp Cr er le package Windows Ii En savoir plus sur les option distribution 91 PR Param tres du serveur h te de session Bureau distance Param tres de la passerelle Bureau g Gestionnaire servic gt i ri ices de certificats Acti NT E Param tres des signatures num riques Services de domaine Active srameires Don octet mt 21 Exporter les param tres RemoteApp Fonctionnalit s s n 5 a E Exporter les param tres RemoteApp Distribution via l acc s Bureau By idee tae mi Diagnostics Importer des param tres RemoteApp le Web fs Configuration Le groupe Ordinateurs de Actualiser Stockage Actualiser est vide Il se peut que les ut peut que les u F x id gt puissent pas acc der aux pr ffichage ea E RemoteApp En savoir plus Aide Aide amp La liste Programmes Remot Recommand Une connexion Bureau dis come A amp 3 le Figure 89 Terminal Server Configuration des param tres serveur 113 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logo
222. s traiter la liste d ex cution h rit e Mon configur erberos ie Options d arr t Configuration requise Ne pas traiter la liste d ex cution unique Mon configur Autres actions gt Ouverture de session Au minimum Windows Vista D sactiver le son de d marrage de Windows Non configur Panneau de configuration des performant bon Masquer les points d entr e pour le changement rapide d utilisateur S Profil des utilisateurs En activant la strat gie les Utiliser toujours l ouverture de session classique Mon configur CF Protection des fichiers Windows administrateurs masquent le bouton EE Ne pas afficher l cran de bienvenue Mise en route l ouverture Non configur C Quotas de disque Changer d utilisateur dans l interface JE Ex cuter ces programmes l ouverture de session utilisateur Mon configur S utilisateur d ouverture de session le n a R cup ration menu D marrer et le Gestionnaire des EE Toujours attendre le r seau lors du d marrage de l ordinateur et Mon configur Redirection de dossiers t ches EE Toujours utiliser un arri re plan d ouverture de session personnalis Non configur Restauration du syst me Scripts Service de temps Windows Services de module de plateforme s curis Services Param tres r gionaux Strat gie de groupe Syst me de fichiers i Tous les param tres C Pr f rences E Configuration utilisateur Strategies Pr f rences Er Certificats lordinateur loc
223. se de donn es peut tre utilis pour analyser les activit s Roles de serveurs de gestion d une autorit de certification ADCS Soares ese Emplacement de la base de donn es de certificats Type dinstallation c Windows system32 CertLog Parcourir Type d autorit de certification Utiliser la EdD de certificats dune installation pr c dente cet emplacement Cl priv e Emplacement du journal de la base de donn es de certificats Chiffrement c Windows pystem32 Certlog Parcourir Nom de l autorit de certific P riode de validit Base de donn es de certificats Confirmation tat d avancement R sultats lt Pr c dent Installer Annuler A 00 07 FR PE D oeo M Figure 66 AD CS cl priv e Base de donn es de certificats 93 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only iF Il est possible que ce serveur doive tre red marr a la fin de l installation a Services de Directory Autorit de certification Les param tres de nom et de domaine de cet ordinateur ne peuvent pas tre chang s une fois l autorit de certification install e Type d autorit de certification Racine d entreprise Fournisseur de services de RSA Microsoft Software Key Storage Provider chiffrement Algorithme de hachage SHA1 Longueur de la d 2048
224. sont autoris s faire un nombre illimit de connexions simultan es distance l aide des services Bureau distance Si vous ne configurez pas ce param tre de strat gie le param tre Limiter les utilisateurs une seule session de l outil Configuration de l h te de la session Bureau distance d termine si les utilisateurs sont limit s une seule session de services Bureau distance JE Autoriser les utilisateurs se connecter distance l aide des se JE Refuser la d connexion d un administrateur connect la session JE Configurer l intervalle de conservation des connexions 5 Limiter le nombre de connexions JE D finir les r gles pour le contr le distance des sessions utilisate N autoriser qu une session de services Bureau distance par utilis Autoriser le d marrage distant de programmes non r pertori s D sactiver la planification de r partition de charge quilibr e du t Non configur Non configur Non configur Non configur Non configur D sactiv Non configur Non configur 132 229 ASIP Sant diteur de gestion des strat gies de groupe Fichier HIER Service Digital Locker C Service Journal des v nemer Services ADFS Active Directo A Services Bureau distance El Client Connexion Bureau 2 Redirection de p riph Gestionnaire de licences di E H te de la session Bureau Compatibilit des appli Connex
225. souhaitez cr er une nouvelle d priv e pour am liorer la s curit Un message vous invitera s lectionner un fournisseur de services de chiffrement et sp cifier une longueur de d pour la d priv e Pour mettre de nouveaux certificats vous devez Type d autorit de certification galement s lectionner un algorithme de hachage Type d installation Utiliser une d priv e existante i Utilisez cette option pour garantir la continuit avec des certificats pr c demment mis lors de la Chiffrement r installation d une autorit de certification Nom de l autorit de certific f S lectionner un certificat et utiliser sa de priv e assod e P riode de validit S lectionnez cette option si vous avez un certificat existant sur cet ordinateur ou si vous souhaitez importer un certificat et utiliser sa d priv e associ e Base de donn es de certificats S lectionner une de priv e existante sur cet ordinateur S lectionnez cette option si vous avez conserve des d s priv es d une installation pr c dente ou si vous souhaitez utiliser une d priv e d une autre source Confirmation tat d avancement R sultats En savoir plus sur les d s publiques et priv es lt Pr c dent Installer Annuler A A 00 05 FR P Os asnos M Figure 62 AD CS Choisir Cr er une nouvelle cl priv e 89 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec u
226. st me ce qui est d ailleurs important dans le cas du Smartcard logon msdn microsoft com en us librar technet microsoft com fr fr librar dam Fichier e m e HET C Param tres du logiciel Param tres Windows E Mod les d administration d finitions de strat gie nai Bureau Composants Windows C Dossiers partag s Menu D marrer et barre des t ches C Panneau de configuration R seau Syst me C Acc s au stockage amovible D marrage chaud de Windows Gestion de l alimentation Gestion de la communication Internet C Installation de pilotes Options Ctrl lt Suppr sai Ouverture de session Panneau de configuration des performant C Profil des utilisateurs C Redirection de dossiers Action Affichage Favoris Fen tre ms815238 aspx ee617162 28v ews 10 29 aspx Options Ctrl Alt Suppr D sactiver le verrouillage de l ordinateur Modifier le param tre de strat gie Configuration requise Au minimum Windows 2000 Description Emp che les utilisateurs de verrouiller le syst me Lorsqu il est verrouill le Bureau est cache et le syst me ne peut pas tre utilis Le syst me ne peut tre d verrouill que par l utilisateur qui l a verrouill ou par l administrateur syst me Astuce pour verrouiller un ordinateur sans confiqurer de tendu Standard FS Console_smartcard login Racine de la console Strat gie Default Domain Controllers Policy C WIN U9FPO
227. stance si F2 Virtualization IF Hon activ Figure 111 Terminal Server Installation du certificat Terminal Server 128 229 ASIP Sant 1 mmc exe Microsoft Management Console ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx 24 09 2014 2 ajouter le composant enfichable certificates computer gt ordinateur local local computer 3 R pertoire remote desktop gt certificats 4 Effacer le certificate for the name of the server and close the mmc instance F Console_smartcard_login Racine de la console Certificats ordinateur local Remote Desktop Certificats Fen tre Fichier Action Affichage Favoris IEEE EENUIE Racine de la console Jy PKI d entreprise LE Strat gie Default Domain Controllers Policy WIN USFPOA3GL E e Certificats ordinateur local L 1 Personnel C Autorit s de certification racines de confiance C Confiance de l entreprise C Autorit s de certification interm diaires C diteurs approuv s C Certificats non autoris s C Autorit s de certification racine tierce partie aad Personnes autoris es C Remote Desktop C Certificats C Demandes d inscription de certificat C Racines de confiance de carte puce LA spc C P riph riques approuv s Utilisateurs et ordinateurs Active Directory WIN USFPOA3GL E a Domaines et approbations Active Directory WIN USFPOA3GL v b
228. t gt 0 then Err Number 0 wscript echo erreur utilisateur introuvable amp arrRecord 0 numError numError 1 end if objUser Put UserPrincipalName arrRecord 1 modification de UPN objUser Setinfo validation de la modification Wend usersTextFile close fermeture du fichier texte wscript echo FIN script modification utilisateur OK nombre d erreurs amp numError Tableau 28 D ploiement UPN Exemple de script VBS permettant la modification de UPN d utilisateurs existants dans un annuaire Active Directory Le fichier c users txt correspondant contiendrait des donn es organis es de cette mani re user1 8 99700011141 carte cps fr user2 8 99700011142 carte cps fr user3 8 99700011143 carte cps fr user4 8 99700011144 carte cps fr user5 8 99700011145 carte cps fr user6 8 99700011146 carte cps fr user7 8 99700011147 carte cps fr user8 8 99700011148 carte cps fr Tableau 29 D ploiement UPN Exemple de Fichier users txt 175 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Ci apr s un exemple de script VBS permettant la cr ation d utilisateurs en masse ici 10 dans un annuaire Active Directory set Root GetObject LDAP RootDSE DomainPath Root Get DefaultNamingContext Set Domain GetObject LDAP amp DomainPath wscript echo DomainPath nom de domaine r cup r Set obj
229. tcard logon pour utilisateurs existants RSR ee Pee de dd de ee ln Da eee nie 183 Tableau 35 Comptes existants Consid ration d ergonomie en Smartcard logon sur compte CIRE VESTE 184 Fableau 562 Listede Cernica euna en at nt ne et nee an enr dla onde 200 Tableau 37 Activation des traces Kerberos via la base de registre cecccccsssececeeseceeeeeeeeeeeseeeees 201 Tableau 38 Activation des traces Kerberos via la base de registre cecccccsssecceeseceeeeeeeeseeeeeeeas 201 Tableau 39 Emplacement des traces Kerberos apr s activation via la base de registre 0008 202 Tableau 40 D sactivation des traces Kerberos activ es via la base de registre cceeeeceeeeeeeeees 202 Tableau 41 Activation des traces Kerberos via Tracelog 203 Tableau 42 Emplacement des traces Kerberos apr s activation via Tracelog ccccccessseceeeeeeeeees 203 Tableau 43 D sactivation des traces Kerberos activ es via Tracelog ccccccssseccceeseceeeeeceeseeseeeees 203 226 229 ASIP Sant Tableau 44 Contenu du Kit Smartcard logon CPS ASIP Sant 0 ceseccccssecceeesececeeeceeeeeeceeeenes 216 Tableau 46 Tableau 47 Tableau 48 Tableau 45 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS 20140924 v2 5 8 docx 24 09 20 14 POINTE nent ee et rente ee ete sine 210 Pr requis au Smartcard logon sous Mac OS Xe 220 Methode pour appliquer le Sma
230. tcard logon sur des comptes AD pr existants cas un compte 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924 v2 5 8 docx Active Directory Configuration Copie de certificats Racine Active Directory Configuration Collage de certificats Racine dans le magasin personnel nee OR eue te te Sar aa E RES CE Le En ee ane ese eee oe 162 Active Directory Configuration Magasin NTAUTH avant import 163 Active Directory Configuration Magasin NTAUTH apr s import 164 Active Directory Configuration Strat gie de cl publique avant import 166 Active Directory Configuration Strat gie de cl publique apr s import 167 Active Directory Configuration Approbation du suffixe UPN carte cps fr nesese 170 D finition d un compte avec Smartcard logon activ 171 Configuration D finition d un compte avec Smartcard logon active 171 Configuration Smartcard logon en TSE Configuration Bureau distance et CPS Gestion apr s Smartcard logon Configuration Active Directory existant Une Cartel LA A dinar ie de tn nd ee 177 Active Directory Configuration du Smartcard logon pour utilisateurs existants 178 Active Directory Configuration du Smartcard logon pour utilisateurs existants 179 Active Directory Configuration du Smartcard logon pour utilisateurs existants 179 Active Directory Configuration du Smartcard logon po
231. tif informatique En cas de non respect de ces proc dures et des conditions normales d utilisation des composants logiciels mentionn s dans ce guide sa mise en uvre est susceptible d engendrer des dysfonctionnements dans l environnement de travail de l utilisateur En cas de dysfonctionnement quel qu il soit l ASIP Sant pr tera dans la mesure du possible assistance l utilisateur qui ne pourra rechercher sa responsabilit en cas de non respect des proc dures d crites dans le pr sent manuel Sur les liens externes Le pr sent guide contient des liens vers des sites Internet Ces liens ne visent qu informer l utilisateur Ces sites Web ne sont pas g r s par l ASIP Sant et l ASIP Sant n exerce sur eux aucun contr le leur mention ne saurait engager l ASIP Sant quant leur contenu L utilisation des sites tiers mentionn s rel ve de la seule responsabilit du lecteur ou de l utilisateur des produits document s Sur les copies d cran et les lignes de commande Les lignes de commandes donn es ci apr s le sont titre indicatif Elles documentent des cas passants qui peuvent diff rer d un syst me l autre Les copies d cran pr sent es dans ce document sont donn es titre illustratif Les pages ou crans r ellement affich s peuvent tre diff rents notamment en raison de mont es de version ou de configurations d environnements diff rentes Citations L ASIP Sant
232. tilis es prise en compte des cartes non GIP CPS les cartes de tests n en tant pas pour des raisons de s curit Configuration de CPSRev pour prendre en compte les certificats de test ASIP Sant HKEY_LOCAL_MACHINE SOFTWARE GIPCPS CPSRev LogLevel dword 00000003 WarnlfNotGIPCPSCert dword 00000001 CheckAllCerts dword 00000001 LogUndeterminatedAsError dword 00000001 Tableau 20 CPSRev Configuration de CPSRev pour prise en compte des certificats de test ASIP Sant D sactivation de la v rification des listes de r vocation sous Win2008 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa Kerberos Parameters UseCachedCRLOnlyAndignoreRevocationUnknownErrors dword 00000001 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services kdc UseCachedCRLOnlyAndignoreRevocationUnknownErrors dword 00000001 Tableau 21 CPSRev D sactivation de la v rification des listes de r vocation sous Win2008 Activation de la v rification des listes de r vocation sous Win2008 HKEY_LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa Kerberos Parameters UseCachedCRLOnlyAndignoreRevocationUnknownErrors HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services kdc UseCachedCRLOnlyAndignoreRevocationUnknownErrors Tableau 22 CPSRev R Activation de la v rification des listes de r vocation sous Win2008 145 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec u
233. tilisateur FA Cr er dans eu cosign Users Pr nom Carte initiales Nom Nom complet Carte Nom d ouverture de session de l utilisateur 0 08 055471 icarte cps fr Nom d ouverture de session de l utilisateur ant rieur a Windows 20001 foosign Care 1 4 Precedent Annuler Figure 145 Active Directory Configuration D finition d un compte avec Smartcard logon activ Nouvel objet Utilisateur PA Cr er dans eu cosign Users Mot de passe esssssssee Confirmer le mot de passe ossosss se o F L utilisateur doit changer le mot de passe la prochaine ouverture de session M L utilisateur ne peut pas changer de mot de passe M Le mot de passe n expire jamais Le compte est d sactiv lt Pr c dent Annuler Figure 146 Active Directory Configuration D finition d un compte avec Smartcard logon activ 171 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Pr ter attention bien sp cifier le domaine carte cps fr Voir annexe sur UPN Voir figure Active Directory Approbation du suffixe UPN carte cps fr Si ce compte fait du Smartcard logon en TSE se reporter la section Terminal Serveur pour l autorisation d ouverture de session TSE associ e Voir annexe sur le service de bureau distance si le bureau distance est utilis groupe et strat gie
234. tilisateur au hy moment du retrait de la carte puce fi Services de domaine Active Directory Service de De ma Automatique S5 Services Web Active Directory Ce service D ma Automatique CE Spouleur d impression Charge les D ma Automatique CE Station de travail Cr e et ma D ma Automatique ja Strat gie de retrait de la carte puce Autorise le Manuel CE Systeme d v nement COM Prendenc De ma Automatique CE Systeme de couleurs Windows Le service Manuel CE Systeme de fichiers EFS Encrypting Fournit la t Manuel CE T l phonie Prend en c Manuel CE Temps Windows Conservel D ma Automatique LE Th mes Fournitun D ma Automatique CATP AutoConnect Service ThinPrint D ma Manuel SE TP WiC Gateway Service ThinPrint c Manuel So Mware Snapshot Provider VMware Sn Manuel CE YMware Tools Fournit un D ma Automatique LE webclient Permet u Manuel So Windows CardSpace Active ent Manuel CE Windows Defender Protection D ma Automatique _ 4 k tendu A Standard EE eee Figure 159 Configuration de la Strat gie de retrait de la carte a puce manuel 185 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Automatique E DOU COMMQUIEDIES ODOM QE demange di SWEDE ore A eprenane Figure 160 Configuration de la Strat gie de retrait de la
235. tion Smartcard logon sur comptes AD existants cas 1 to 1 et n to m 3 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 2 R f rences Documents de r f rence ID Titre Auteur 1 The Smart Card Cryptographic Service Provider CookBook Microsoft 2 Installation configuration du provider de r vocation de l ASIP Sant Microsoft 3 Guide de deploiement de louverture de session par carte CPSV3 v1 0 pdf Microsoft ASIP PTS PSCE Manuel Installation utilisation Cryptolib CPS 20140930 v5 0 9 pdf ASIP Sant ReleaseNote Public Cryptolib Win v5 0 13 pdf ReleaseNote Public Cryptolib Win v5 0 13 x64 pdf ASIP sante Instructions pour l activation de l ouverture de session par carte puce avec eye OF ra ae a Mi f des autorit s de certification tierces KB281245 ITORO 7 Certificate Enumeration Microsoft 8 Microsoft Lifecycle politique de support Microsoft Microsoft 4 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 3 R sum Ce guide pr sente la mise en uvre du Smartcard logon Windows avec la carte CPS3 de ASIP Sant Le Smartcard logon permet d ouvrir une session Windows en utilisant une carte puce comme vecteur d authentification forte de l utilisateur La carte puce se substitue alors au traditionnel couple login mot
236. uler Figure 117 IIS Installation du r le s lection des options de s curit 135 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only a Figure 118 IIS Installation du r le tat d avancement 136 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 W2008R2 Base VMware Player Non commercial use only Wy co M A d Assistant Ajout de roles Ay La fonctionnalit Mises jour automatiques de Windows n est pas activ e Pour garantir que votre li r le ou fonction r cemment install est automatiquement mis jour activez Windows Update dans Panneau de configuration A Serveur Web IIS Installation r ussie Les services de role suivants ont t install s Serveur Web Fonctionnalit s HTTP communes Document par d faut Exploration de r pertoire Redirection HTTP Publication WebDAV D veloppement d applications Filtres ISAPI Imprimer envoyer ou enregistrer le rapport d installation SUIWanb E LT Figure 119 IIS Installation du r le R sultat 137 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 8 Installation de la Cryptolib CPS sur le serveur Afin de pouvo
237. ur services Bureau distance cliquez sur D R seau d administration Services Bureau gt Gestionnaire des services Internet 115 Initiateur iSCSI Panneau de configuration Von Gestionnaire des services Internet Z Modification ADSI Ga Gestionnaire RemoteApp Gestionnaire de licences des service 2 Cliquez avec le bouton droit sur le server activer puis cliquez sur Activer le serv P riph riques et imprimantes amp 4 Module Active Directory pour Windows PowerShell serveur d marre ial Domaines et approbations Active 14 Observateur d v nements Cliquez sur Suivant Directory Outils d administration oy Pare feu Windows avec Fonctions avanc es de s curit 4 Dans la page M thode de connexion en Servi PA EEA dat techies cliquez sur Connexion automatique r Cs Services i no Aide et support w Soa ce da Windows server 5 Dans la page Informations sur la soci votre soci t s lectionnez votre pays ou Suivant aSIP Gestionnaire de certificats CPS Services de composants Lil Ex cuter LA Services gt Tous les programmes Bi Sites et services Active Directory PN Sources de donn es ODBC Rechercher les programmes et fichiers 2 Fermer la session A a Strat gie de s curit locale a A Utilisateurs et ordinateurs Active Directory a by amp Bho ex Windows PowerShell Modules 6 Sp cifiez les informations que vous souh telles qu une adresse de messagerie
238. ur un serveur Windows 12 8 3 Remarque sur le provisionning des magasins de certificats Si l installation de la Cryptolib CPS est r alis e c t serveur les magasins de certificats root et interm diaire sont provisionn s avec les certificats ASIP Sant de production Si des cartes de test sont utilis es en maquette il faut tout de m me provisionner ces magasins avec les chaines de tests voir Configuration du Contr leur de domaine pour la Smartcard logon 138 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 12 9 Installation du Provider de r vocation ASIP Sant Microsoft sur le serveur Le Provider de r vocation ASIP Sant d velopp par Microsoft doit tre install sur chaque contr leur de domaine pour la v rification des CRLs des certificats client de la carte 12 9 1 Installation du Provider de r vocation ASIP Sant Microsoft i GIP CPS Revocation Provider for Windows OI x Select Installation Folder LA r The installer will install GIP CPS Revocation Provider for Windows to the Following folder To install in this folder click Next To install to a different folder enter it below or click Browse Folder C Program Files GIP LPS Browse Disk Cost Figure 121 CPSRev r pertoire d installation 139 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec un
239. ur utilisateurs existants 180 Active Directory Configuration du Smartcard logon pour utilisateurs existants 180 Figure 154 Figure 155 Active Directory Configuration du Smartcard logon pour utilisateurs existants GPO Figure 156 Figure 157 Figure 158 CANON USE PAIN DS ns SRE A A S 183 Comptes existants Ecran de Smartcard logon apr s lecture d une Carte essees 184 Comptes existants Saisie du code porteur et du hint eee ceeecceeeceseeeseeeneseeeeeeees 184 Comptes existants Ouverture de session Windows ss 184 Configuration de la Strat gie de retrait de la carte puce Manuel cceeeeeeeeeeees 185 Figure 159 Figure 160 Figure 161 Figure 162 Figure 163 Figure 164 Configuration de la Strat gie de retrait de la carte puce passage en automatique 186 Configuration de la Strat gie de retrait de la carte puce automatique 187 Workaround D sactivation verrouillage de session 211 Workaround D sactivation verrouillage de session sur Ctrl Alt Suppr cccceeeeees 212 Workaround D sactivation changement d utilisateur 213 225 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 17Annexe Liste des tables Tableau GO Sd aiena Oe TT Ev a te Ve eT 9 Tableau 2 Entreprises CL S 5 scsc cai E e aA eae as banaasipoabundanaieeiasn es 10 Tableau 3
240. ure 8L T rminal Server Clie aroit gt propri t s Menuiseries 106 Figure 82 Terminal Server Mode de connexion gt Navigateur Web 107 Figure 83 Terminal Server Configurations des comptes Serveurs de licences des services Terminal SERVIC UP D M Rata MAN tenaient E tieoi a diese nues 108 Figure 84 Terminal Server Fin de l activation du serveur de licences Terminal Serveur 109 Figure 85 Terminal Server Installation d un pack de licences 110 Figure 86 Terminal Server Configuration d h te de session Bureau distance esseere 111 Figure 87 Terminal Server Configuration d h te de session Bureau distance gt mode de licence et Serveurs CGC OIC OS ES ns Re SR ne 112 Figure 88 Terminal Server Configuration d h te de session Bureau distance gt mode de licence et SCRV CUS Ce COC OS SES Le AAN E ANR GS ne 112 Figure 89 Terminal Server Configuration des param tres serveur 113 Figure 90 Terminal Server config nom du serveur et port externe 114 Figure 91 Terminal Server D claration d une remote app de test 115 223 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Figure 92 Terminal Server Compatibilit ascendante RDP 116 Figure 93 Terminal Server Ajout d utilisateur du bureau distance sssssssseeeserresesrrresrrrrerrrresre 117 Figure 94 Terminal Server Groupe utilis
241. ut a SAC Ge SANTE ELEMENTAIRE PERSONNES Cl AC IGC SANTE FORT ORGANISATIONS OK Cal AC IGC SANTE FORT PERSONNES OK Cel AC IGC SANTE STANDARD ORGANISATIONS OK Cal AC IGC SANTE STANDARD PERSONNES OK el AC RACINE IGC SANTE ELEMENTAIRE OK Cal AC RACINE IGC SANTE FORT OK Call AC RACINE IGC SANTE STANDARD OK Cl AC CLASSE 4 OK all AC CLASSE 4 TEST OK Cl AC CLASSE 5 OK Cal AC CLASSE 5 TEST OK Cal AC CLASSE 6 OK Call AC CLASSE 6 TEST Ajouter Supprimer Afficher Figure 141 Active Directory Configuration Magasin NTAUTH apr s import gt 49 certificats au format cer a importer 1 1 e 40 certificats ASIP Sant 20detest e 5root 15 interm diaires 20 de production e 5root 15 interm diaires e 9 certificats correspondants la future IGC de sant 9 de production e 3 root 6 interm diaires e fournis dans le r pertoire cer cer D 1 certificat Autorit de certification AD CS A minima 1 les 5 certificats racine de I IGC de production actuelle de l ASIP Sant 2 les 15 certificats interm diaires de l IGC de production de actuelle ASIP Sant 3 les 9 certificats 3 roots 6 interm diaires de la future IGC de production l ASIP Sant 4 le certificat du l autorit de certification de l AD CS doivent tre pr sents Si des cartes de test sont utilis es environnements de tests et d homologation les 5 certificats racines et les 15 certificats interm diai
242. utorit de certification doit poss der ce r le dans sa liste des utilisations avanc es de la cl Exemple d un affichage correct des r les d un certificat Smartcard logon R les qui sont autoris s par son autorit de certification ici GIP CPS CLASSE 3 G n ral D tails Chemin d acc s de certification Informations sur le certificat Ce certificat est con u pour les r les suivais eGarantit votre identit aupr s d un ordinateur distant Certificat 7 x cd tn Le Certificat O O O O 2 x General D tails Chemin d acc s de certification ae 1 Informations sur le certificat Ce certificat est con u pour les roles suivants a E Toutes les strat gies d application D livr a 518003000900039WINLOGONO1 D livr par GIP CPS CLASSE 3 Yalide partir du 11 02 2009 jusqu au 01 03 2012 D livr a IP CPS CLASSE S Installer le certificat Declaration de D livr par IP CP5 STRUCTURE Yalide partir du 01 12 2008 jusqu au 01 01 2015 Declaration de metteur Exemple des r les de l autorit de certification ici GIP CPS CLASSE 3 d un certificat Smartcard logon Figure 9 Informations des certificats de type Smartcard logon Attention Cette autorit interm diaire poss dant toutes les strat gies d application ExtendedKeyUsage doit tre pr sente obligatoirement uniquement cot serveur magasin des autorit s interm diaires et m
243. vate key that corresponds to this certificate Issuer statement 17 31 7c la 7b 2c 8e da 09 0a Client Authentication 1 3 6 1 Certificate Policy Policy Ide Subject Type End Entity Pat 1 Freshest CRL Distribution Other Name Prindpal Name 0 SSL Client Authentication 80 Other Name Principal Name 0 0B 1055421 carte cps fr Figure 11 Poste client identifier l UPN du certificat d authentification Dans cet exemple UPN est 0 0B1055421 carte cps fr Cette v rification permet de v rifier les chaines de signatures les certificats des chaines de certificats concern s par le parc de carte vis devront tre correctement provisionn s cot serveur 31 229 24 09 2014 ASIP Sante ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx Certificate JE General Details Certification Path view Gerbiticate Certificate status is certificate is OK Figure 12 Poste client identifier UPN du certificat d authentification Les certificats d autorit client racine et interm diaire ainsi que l autorit racine du serveur devront tre pr sents dans le magasin NTAuth du poste client propag exclusivement par le contr leur de domaine principal PDC lors de l ajout du poste client au domaine puis r guli rement 32 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_201
244. veur 25 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Probl matique La cha ne de certification doit avoir des CDP points de distribution de CRL tous les niveaux certificat final certificat AC interm diaire Ce n est pas le cas de la cha ne du GIP CPS classe 4 La v rification des CRLs tant obligatoire l utilisation d une PKI externe bas e sur les autorit s de l ASIP Sant cas 2 semble impossible Le cas 3 reste possible mais est tr s fastidieux mettre en place et int grer infrastructure Microsoft Cette option est donc d conseill e sauf si une PKI existe d j et est utilis e pour une autre fonction La solution conseill e est donc le cas 1 c est dire d utiliser la PKI de Microsoft Microsoft Certificate Server ou AD CS pour g n rer et administrer une PKI en local sur le r seau interne Ce module s int gre facilement et rapidement l infrastructure existante serveurs Windows Active Directory et permet de configurer une PKI et de g n rer un certificat serveur contr leur de domaine en tr s peu de temps L installation de Microsoft Certificate Server met en place et configure automatiquement toute une PKI par d faut et donc notamment La mise en place des CDPs par publication sur le r seau acc s par LDAP la diffusion des autorit s de certification sur toutes les machines du
245. veur Installation mot de passe administrateur 60 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 FT W2008R2 Base VMware Player Non commercial use only wr ls DS ye Administrateur gt Cr er un disque de r initialisation de mot de pass Annuler We Windows Server2008 Entreprise Figure 34 Windows serveur Installation saisie mot de passe administrateur Conseil Attention au numlock Conseil noter le mot de passe dans le dossier d exploitation 61 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 FT W2008R2 Base VMware Player Non commercial use only Paye G ch iat fre Votre mot de passe a t chang at We Windows Server 2008 Entreprise Figure 35 Windows serveur Installation mot de passe administrateur chang 62 229 ASIP Sant 24 09 2014 ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_ 20140924 v2 5 8 docx T W2008R2 Base VMware Player Non commercial use only Payer Hy ch et G lt E Taches de configuration initiales as Ay Windows Server 2008 2 _ Enterprise Fi Effectuez les taches suivantes pour configurer ce serveur r gt Nom complet de l ordinateur Groupe de travail Indiquer un nom d ordinateur et un domaine
246. ws T W2008R2 Base VMware Player Non commercial use only El Player DE chm E Gestionnaire de serveur Gestionnaire de serveur WIN 92T Ke CT TC a TU EC PARLE EL Fa Roles H Fonctionnalit s mm Diagnostics aff Configuration T ja x Obtenir une vue d ensemble de l tat de ce serveur effectuer des t ches de gestion de haut niveau et ajouter ou supprimer des r les et des fonctionnalit s au serveur ES Stockage 1 NE pas anione CELLES CUT UNIS O TOUYE UAE ue SESI al sur la s curit Acc der au pare feu Windows a ae Public Activ gi Configurer les mises jour Windows Rechercher de nouveaux r les oa z Ex cuter l Assistant Configuration Mises jot Non configur creer g Windows i Wy Param trer la Configuration de Deme Tike s curit renforc e d Internet recherche de Explorer mises jour Derni res mises Jamais jour install es Configuration de Activer pour les administrateurs d Internet Explorer R sum des r les H Aide sur R sum des roles i Cerni re actualisation Aujourd hui 22 30 Configurer l actualisation Figure 37 Windows serveur Installation s curit renforc e 64 229 ASIP Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Param trer la Configuration de s curit renforc e d Internet Explorer gt d sactiv W2008R2 Base
247. xistante e utilisateurs stock s dans des OUs particuliers e connexion l AD diff rente e modification d autres caract ristiques des utilisateurs e etc 174 229 ASI P Sa nt ASIP PTS PSCE_Guide de mise en oeuvre d un smartcard logon avec une carte CPS_20140924_v2 5 8 docx 24 09 2014 Le script qui suit est un exemple de script VBS permettant la modification de UPN d utilisateurs existants dans un annuaire Active Directory partir d une liste d utilisateurs UPNs stock e dans un fichier texte ici c users txt set Root GetObject LDAP RootDSE DomainPath Root Get DefaultNamingContext Set Domain GetObject LDAP amp DomainPath wscript echo DomainPath nom de domaine r cup r modification utilisateurs en masse Const ForReading 1 numError 0 set fso CreateObject Scripting FilesystemObject set usersTextFile fso OpenTextFile C users txt ForReading False ouverture du fichier texte des utilisateurs On error Resume next While Not usersTextFile atEndOfStream boucle sur le fichier texte strRecord usersTextFile ReadLine Lecture d une ligne entiere arrRecord Split strRecord decoupage avec caractere de separation wscript echo utilisateur amp arrRecord O amp UPN amp arrRecord 1 Set objUser GetObject LDAP localhost 389 CN amp arrRecord 0 amp CN Users amp DomainPath connexion a l objet USER if Err Number l
Download Pdf Manuals
Related Search