Categories
Computing

Activation du LDAPS pour le service Active Directory sous Windows 2003

Installation de IIS

Démarrer > Exécuter > appwiz.cpl > Ajouter ou supprimer des composants Windows

Composant Windows : Serveur d’applications > Services IIS > Service World Wide Web

Installation de l’autorité de certification

Démarrer > Exécuter > appwiz.cpl > Ajouter ou supprimer des composants Windows

Composant Windows : Service de certificats > Autorité de certification de services de certificats

Type de certificat : Autorité racine d'entreprise
CN : HomeCA
DN : DC=home,DC=local
Période de validité : 5 ans
DB certificats : C:\WINDOWS\system32\CertLog
DB journal DB certificats : C:\WINDOWS\system32\CertLog

Forcer la création d’un certificat serveur

Démarrer > Exécuter > mmc

Ajouter le composant Certificats pour le compte de l’odinateur (local)

Se placer sur la magasin Personnel puis emettre une requpête de certificat via le menu contextuel :

Toutes les tâches > Demander un nouveau certificat

Type de certificat : Contrôleur de domaine
Nom convivial : vm-dc1.home.local

Remarque : cette manipulation est à faire sur l’ensemble des contrôleurs de domaine

Test d’accès LDAPS

Démarrer > Exécuter > ldp

Connection > Connect

Server : vm-dc1.home.local
Port: 636
SSL : actif

Autoriser les requêtes de certificats pour tous les contrôleurs des domaines enfants

Ouvrir la console de gestion de l’Autorité de Certification :

Outils d’administration > Autorité de certification

Modifier les autorisations de l’AC :

clic droit sur HomeCA > Propriétés > Onglet Sécurité,

ajouter le groupe Contrôleurs de domaine de chaque domaine et les autoriser à demander des certificats.

Ajouter le groupe Contrôleurs de domaine de chaque domaine dans le groupe CERTSVC_DCOM_ACCESS.

Mettre à jour les paramètres de sécurité DCOM pour les services de certification :

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG

Redémarrer le service Distributed Transaction Coordinator :

net stop msdtc
net start msdtc

Redémarrer l’Autorité de certification :

net stop certsvc
net start certsvc
Categories
Computing

Une envie de PKI : EJBCA sous Debian Etch

Tout d’abord, un petit bonjour à toutes et à tous. J’en profite car cela faisait bien longtemps que je n’étais pas repassé par ici. Abordons à présent les choses “sérieuses” :p Vous avez un serveur sous GNU/Linux Debian Etch ? Vous désirez mettre en place une PKI (Public Key Infrastructure) pour divers raisons ? Dans ce cas, je vous invite à vous rendre sur http://ejbca.org/ afin de découvrir cette autorité de certification.
Venons-en à l’installation de cette dernière. Pour ce faire, nous allons utiliser le paquet mis à disposition sur les dépôts de http://han.pp.se/ Nous allons tout d’abord ajouter deux dépôts dans nos sources APT (Advanced Packaging Tool) :

 $ sudo echo -e "\n# EJBCA\n\
 deb http://debian.han.pp.se/debian/ stable main\n\
 deb-src http://debian.han.pp.se/debian/ stable main\
 " >> /etc/apt/sources.list

Installons à présent le clef d’archive GnuPG du dépôt nouvellement ajouté pour ensuite mettre à jour notre cache :

 $ sudo apt-get update
 $ sudo apt-get install debian-han-pp-se-keyring
 $ sudo apt-get update

Assurons-nous de pouvoir récupérer des paquets dans la catégorie non-free pour les dépôts de notre système puis installons le paquet EJBCA :

 $ sudo apt-get install ejbca

Vérifions alors que ce dernier “tourne” :

 $ sudo netstat -lataupen | grep -i java

Vous devriez voir plusieurs processus java écouter sur divers port TCP, dont les pots 8080 et 8443. Si vous avez un pare-feu sur votre serveur, tel que NetFilter, ouvrez les ports TCP 8080 et 8443 vers votre serveur depuis chez vous par exemple :

 $ sudo iptables -A INPUT -i <ETHX> -s <MY_HOME_IP> -p tcp -m tcp --dport 8080 -m comment --comment "EJBCA access" -j ACCEPT
 $ sudo iptables -A INPUT -i <ETHX> -s <MY_HOME_IP> -p tcp -m tcp --dport 8443 -m comment --comment "EJBCA access" -j ACCEPT

Lançons le paramétrage de EJBCA à l’aide d’un script fournit avec le paquet précédemment installé :

 $ sudo sh /usr/share/ejbca/ejbca-setup

Répondons aux questions qui nous sont posées afin de lancer la configuration de la CA.
Une fois la configuration terminée nous pouvons récupérer le certificat du SuperAdmin, certificat que nous importons ensuite dans notre navigateur préféré. Nous pouvons dès à présent nous rendre sur la page “publique” de notre EJBCA, puis cliquer sur le lien “Administration”. Un certificat nous est demandé : choisissons celui du SuperAdmin et nous voilà sur la plage d’administration de EJBCA !