Bonjour,

J'ai déjà goûté à du  EJBCA, mais pas à celle de Micro$oft.

L'avantage du  EJBCA  c'est qu'il y à même un live cd permettant de tester...

De plus c'est utilisez dans des boites de fortes tailles, et fonctionne correctement pour ce que j'ai eu à en faire.

Seb

Le 27 avril 2012 09:14, <pierre.bourgin@free.fr> a écrit :
bonjour la liste,

présentation:
je gère l'infrastructure d'une PME (4 sites, 200 personnes) dont le
métier est le développement/paramétrage de gros logiciels/boite à outils
style gestion de données techniques.
L'infra est à base de Windows clients (postes utilisateurs, VMs), de Windows
serveurs, de linux/CentOS, de serveurs ESX, de pfSense, un peu de CISCO, ...
un mix assez classique.

Je me suis déjà un peu frotté aux PKI, à travers l'utilisation de OpenVPN
(PKI dédiée) ou de réseaux Wifi paramétrés en WPA/802.11x (authentification
via Radius + PKI dédiée).

J'envisage de monter une "vraie" PKI interne pour gérer des certificats
utilisateurs, qui serviraient pour un peu tout: connexion VPN, Wifi,
signature électronique, etc.

Je ne pense pas (pour l'instant) faire de l'authentification forte, genre en
stockant le certificat dans une puce cryptographique.

Si j'ai bien compris, La quincallerie m$ autour de Active Directory (millésime
2003) permet un gestion automatisée de certificats utilisateurs (création,
révocation). Certificats, autorité de certification (primaire ou
secondaire(s)) sont stocké dans l'AD.
Il vaut mieux utiliser un Windows 2008 (juste membre AD) pour signer
automatiquement les certificats utilisateurs (plutot qu'un controlleur AD
sous Windows 2003).
Les outils AD permettent également de distribuer (push) ces certificats
utilisateurs dans les profiles utilisateurs Windows (stockage dans le
certificate store de l'utilisateur), même si profile local (non-itinérant).
Dans notre cas, on a plusieurs controlleurs AD en réplication inter-sites.

Du coup, pleins de questions, comme par exemple:

- des personnes ici ont déjà déployé ce genre de configurations ?

- Ce genre de configuration fonctionne correctement, la distribution des
 cert via l'AD est fiable ?

- soucis éventuels liés aux réplications AD ?

- Comment fournissez-vous les listes de revocation des certificats ? via une
 URL HTTP et/ou le protocole OCSP ?

- des recommendations sur des noms de professionels pour se faire
 accompagner dans une telle démarche ?


Merci d'avance pour vos retours !


Pierre Bourgin
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/