Bonjour,
 
Pour répondre en partie aux questions, je n'en ai pas déployé de la manière indiquée, avec déploiement automatique de l'ensemble des certificats, etc ... mais quelques points à voir :
 
- Il y'a deux "éditions" d'autorité de certification chez Microsoft dépendant du système Windows 2008 utilisé : standart et entreprise, ils appellent cela : Active Directory Certificate Services (ADCS). La version standart est plus limitée, elle ne permet pas d'utiliser : le service d'inscription de périphérique réseau et le service de répondeur en ligne. (Voir : http://technet.microsoft.com/fr-fr/library/cc755071(v=ws.10).aspx)
 
- par défaut, il fournit les les CRL en http et pour le répondeur en ligne, il faut la version entreprise ...
 
La distribution des certificats peut être faite de manière plutôt automatique ou manuelle via une interface web ou une console MMC.
 
Pour ma part, je l'ai déployé dans un petit environnement en version standart pour des certificats internes pour des serveurs Windows (IIS, ...) et pour des serveurs Linux (Apache, ...) avec des postes sous Windows et Mac.
 
Bonne journée,
Fabien LEBRET

Le 27 avril 2012 09:14, <pierre.bourgin@free.fr> a écrit :
bonjour la liste,

présentation:
je gère l'infrastructure d'une PME (4 sites, 200 personnes) dont le
métier est le développement/paramétrage de gros logiciels/boite à outils
style gestion de données techniques.
L'infra est à base de Windows clients (postes utilisateurs, VMs), de Windows
serveurs, de linux/CentOS, de serveurs ESX, de pfSense, un peu de CISCO, ...
un mix assez classique.

Je me suis déjà un peu frotté aux PKI, à travers l'utilisation de OpenVPN
(PKI dédiée) ou de réseaux Wifi paramétrés en WPA/802.11x (authentification
via Radius + PKI dédiée).

J'envisage de monter une "vraie" PKI interne pour gérer des certificats
utilisateurs, qui serviraient pour un peu tout: connexion VPN, Wifi,
signature électronique, etc.

Je ne pense pas (pour l'instant) faire de l'authentification forte, genre en
stockant le certificat dans une puce cryptographique.

Si j'ai bien compris, La quincallerie m$ autour de Active Directory (millésime
2003) permet un gestion automatisée de certificats utilisateurs (création,
révocation). Certificats, autorité de certification (primaire ou
secondaire(s)) sont stocké dans l'AD.
Il vaut mieux utiliser un Windows 2008 (juste membre AD) pour signer
automatiquement les certificats utilisateurs (plutot qu'un controlleur AD
sous Windows 2003).
Les outils AD permettent également de distribuer (push) ces certificats
utilisateurs dans les profiles utilisateurs Windows (stockage dans le
certificate store de l'utilisateur), même si profile local (non-itinérant).
Dans notre cas, on a plusieurs controlleurs AD en réplication inter-sites.

Du coup, pleins de questions, comme par exemple:

- des personnes ici ont déjà déployé ce genre de configurations ?

- Ce genre de configuration fonctionne correctement, la distribution des
 cert via l'AD est fiable ?

- soucis éventuels liés aux réplications AD ?

- Comment fournissez-vous les listes de revocation des certificats ? via une
 URL HTTP et/ou le protocole OCSP ?

- des recommendations sur des noms de professionels pour se faire
 accompagner dans une telle démarche ?


Merci d'avance pour vos retours !


Pierre Bourgin
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/