Discussion: IIS Certificat client

  1. #1
    Candidat au Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    décembre 2016
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : décembre 2016
    Messages : 4
    Points : 3
    Points
    3

    Par défaut IIS Certificat client

    Bonjour,

    Afin de sécuriser l'accès à un site web je cherche à utiliser des certificats clients sans succès...

    Le problème que l'on rencontre est simple et je pense, n'est pas un cas isolé :

    Nous avons des serveurs dédiés hébergé chez OVH. Aucun domaine n'est créé. Chaque serveur est indépendant
    Nous avons des services web (IIS) sur chaque serveur. Ces services ne doivent être accessible seulement pour nos collaborateurs (sorte d'Intranet). Le filtrage IP n'est pas possible dans notre cas (mobilité des utilisateurs, adresse IP dynamique etc..)

    L'utilisation de certificat me semble être la solution la plus adaptée. Seulement après quelques essais (et quelques recherche) impossible d'autoriser seulement les certificats client émis depuis notre Autorité de certification.

    Voici ce notre configuration sur le serveur :

    - Windows 2012 Server R2
    - IIS
    - Service de certificats Active Directory (autorité de certification - Inscription de l'autorité de certification via le Web)

    Mon site est bien accessible en HTTPS
    Mon site exige bien un certificat client mais lorsque je sélectionne le certificat, j'ai ce message :

    401 - Non autorisé : accès refusé en raison d'informations d'identification non valides.

    Côté IIS, j'active l'authentification anonyme :
    Mon site exige bien un certificat et affiche bien la page lorsque je sélectionne le certificat que je viens de créér MAIS je m'aperçois que n'importe quel cerificat que j'ai provenant d'autre autorité de certification (cette fois reconnu) sont acceptés.

    Comment exiger uniquement les certificats provenant de mon autorité ?

    Tout aide sera la bienvenue

  2. #2
    Membre chevronné
    Profil pro
    Inscrit en
    décembre 2003
    Messages
    1 053
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 1 053
    Points : 2 015
    Points
    2 015

    Par défaut

    je crois qu'aujourd'hui très peu de gens utilisent ou connaissent les PKI. Donc tu es probablement un cas assez isolé.

    Je vois 2 pistes :
    - la première tu contrôles au niveau de l'appli les champs opportuns (Issuer par exemple) du certificat que présente le client pour n'autoriser que la CA souhaitée
    - la 2e tu ouvres sur le serveur la gestion des certificats, tu visites le magasin des CA racines et intermédiaires, soit tu supprimes les autorités qui te posent problème (et là windows risque de renâcler), soit pour chaque autorité où tu vois le rôle "tout" ou "authentification du client", et tu supprimes ce dernier rôle des propriétés de la racine

  3. #3
    Candidat au Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    décembre 2016
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : décembre 2016
    Messages : 4
    Points : 3
    Points
    3

    Par défaut

    merci fredoche pour ce retour.
    En effet c'est ce que j'ai pu retenir de mes recherches : peu de monde semble utiliser les PKI. Je reste cependant assez surpris que les certificats électronique soit si peu utilisé pour authentifier un client. Le protocole HTTPS et l'usage de certificat côté serveur ont aujourd'hui le vent en poupe mais je ne trouve rien de concret dans l'autre sens.
    Quelles sont les autres méthodes pour s'assurer et authentifier un client (hors simple couple ID/MdP) ? Pourquoi IIS intègre une option pour exiger un certificat client sans aucune finalité ?

    j'ai pourtant un exemple concret de l'usage de certificat client fonctionnel (banque afin d'authentifier leurs clients "entreprise") Est-ce IIS qui n'est pas encore adaptée à ce besoin ?

    la 2ème piste est la seule à laquelle javais pensé mais je pense aussi que de s'attaquer CA racines préinstallés soit trop sensible (pb MAJ Windows etc..) je vais essayer me pencher sur ta 1ère piste


    Citation Envoyé par fredoche Voir le message
    je crois qu'aujourd'hui très peu de gens utilisent ou connaissent les PKI. Donc tu es probablement un cas assez isolé.

    Je vois 2 pistes :
    - la première tu contrôles au niveau de l'appli les champs opportuns (Issuer par exemple) du certificat que présente le client pour n'autoriser que la CA souhaitée
    - la 2e tu ouvres sur le serveur la gestion des certificats, tu visites le magasin des CA racines et intermédiaires, soit tu supprimes les autorités qui te posent problème (et là windows risque de renâcler), soit pour chaque autorité où tu vois le rôle "tout" ou "authentification du client", et tu supprimes ce dernier rôle des propriétés de la racine

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    décembre 2003
    Messages
    1 053
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 1 053
    Points : 2 015
    Points
    2 015

    Par défaut

    Si tu supprimes les autorités racines ça va poser des problèmes à windows de manière certaine.
    Par contre supprimer le rôle "authentification du client" pour les autorités racine et intermédiaires ne posera pas de souci à priori

    IIS est tout à fait adapté, ne t'en fais pas. Je le fais depuis IIS6, aucune raison que ça marche moins bien sur les versions récentes.

    Concernant les PKI, je crois qu'il y a un vrai manque de culture autour du sujet, et par ailleurs les procédures d'authentification pour la création des certificats font dans un premier temps appel à des tiers de confiance, la procédure est assez contraignante.
    Dans le cadre des entreprises c'est plus simple en interne bien souvent

  5. #5
    Candidat au Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    décembre 2016
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : décembre 2016
    Messages : 4
    Points : 3
    Points
    3

    Par défaut

    J'ai finalement opté pour la suppression du rôle "authentification du client" pour les autorités racine et intermédiaires et cela fonctionne à merveille
    Aucun effet de bord pour le moment.

    Je me pose une dernière question,j'ai besoin d'étendre cette fonctionnalités à plusieurs serveurs distants (tous indépendant)
    est-il possible de centraliser la gestion des certificats clients sur ce seul serveur ? je dois importer les certificat de mon autorité sur tous les autres serveurs ? En cas de révocation d'un certificat comment diffuser cette liste à l'ensemble des serveurs ?

    encore merci

  6. #6
    Membre chevronné
    Profil pro
    Inscrit en
    décembre 2003
    Messages
    1 053
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 1 053
    Points : 2 015
    Points
    2 015

    Par défaut

    Aucun problème pour démultiplier ça sur plusieurs serveurs.

    Le problème que tu poses a plus trait à la création et à la gestion d'une autorité de certification.
    Pour la révocation des certificats, tu as les CRL, et le protocole OCSP.

    Je ne connais pas bien ce sujet là. Pour ma part j'utilisais les services d'une société tierce pour la certification des personnes et l'émission des certificats. C'est elle qui jouait le rôle de tiers de confiance. Et qui fournissait les services adaptés qui concerne la révocation. Les infos à ce sujet sont en général portées par le certificat, et c'est le client qui se charge de la validation du certificat avant de le présenter, en principe.

    Puisque tu crées toi-même tes certificats, tu dois pouvoir gérer ces aspects là.

Discussions similaires

  1. [IIS 7] IIS et certificat client
    Par mathhieu dans le forum IIS
    Réponses: 0
    Dernier message: 02/02/2012, 19h34
  2. Vérification d'un certificat client
    Par Hotman dans le forum Services Web
    Réponses: 0
    Dernier message: 30/04/2009, 11h26
  3. Certificats clients pour cryptage document
    Par biniou14 dans le forum Sécurité
    Réponses: 1
    Dernier message: 10/06/2008, 13h11
  4. Detection erreur 403.7 (certificat client requis ) ASP.Net ou c#
    Par mr_mitchou dans le forum Général Dotnet
    Réponses: 5
    Dernier message: 27/02/2008, 14h33
  5. certificats clients sous IIS 6
    Par fredoche dans le forum ASP
    Réponses: 4
    Dernier message: 03/08/2006, 11h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo