|
| |
Sécurité sur SPS avec SSL et Vérisign :
Question : Richard,
:: Bonjour à tous,
::
:: J'ai un site internet (SharePoint portal Server) qui je desire
:: placer sur SSL
::
:: J'aimerais savoir si je dois absolument faire affaire avec une
:: compagnie tel que VeriSign pour pouvoir donner un certificat aux
:: clients qui se branche sur
:: mon site.
::
:: Est-il possible pour moi de fournir aux utilisateurs un certificat
:: que j'ai moi même
:: créé ?
::
:: Quand j'installe le Certificate Services, on me demande si je veux
:: etre Stand-alone Root CA ou Stand-Alone Subordinate CA ?? Quel est
:: la différence ?
::
:: Est-ce que vous connaissez des site internet qui discute de comment
:: installer Certificate Services et SSL ??
::
:: Merci
Réponse :
Je viens de lire sur les news USA que :
You can't. SPS requires port 80 (or 443 if using SSL)
Donc, j'en déduit que : SPS a besoin du port 443 pour fonctionner si vous
le placez sous SSL, à vérifier merci de nous tenir
informé.
Il faut aller sur le KIT de ressources de Microsoft.
http://www.microsoft.com/france/technet/produits/Sharepoint/info/info.asp?ma
r=/france/technet/produits/Sharepoint/info/z02spprk.html
Chapitre 4 : Introduction au site du tableau de bord
Ce chapitre présente le site du tableau de bord par défaut, ainsi que les
informations permettant de le personnaliser. Il passe en revue les
composants du site du tableau de bord et décrit les tâches de gestion
principales et les questions de sécurité qui leur sont associées.
Chapitre 8 : Planification de la sécurité
Ce chapitre présente un aperçu général des avantages liés à l'utilisation
des fonctionnalités de sécurité de Windows 2000 avec SharePoint Portal
Server. Il passe en revue les éléments de la sécurité Windows 2000 qui
permettent un accès sécurisé au contenu de votre portail d'entreprise et le
modèle de sécurité à base de rôles de SharePoint Portal Server. Il présente
un aperçu général de l'architecture de la sécurité de SharePoint Portal
Server, y compris le modèle de publication, et fournit des suggestions pour
la protection du contenu pour la recherche, ainsi que le regroupement du
contenu.
Consultez le Kit de développement Windows 2000 Platform SDK disponible
sur
le site Windows 2000 pour plus d'informations sur les sujets suivants :
a.. Infrastructure et cryptographie à clé publique (voir le livre blanc
intitulé «Infrastructure à clé publique de Microsoft Windows 2000»)
b.. Kerberos (voir le livre blanc intitulé «Security Support Provider
Interface/About SSPI/Overview of the Kerberos Protocol»)
c.. Service d'annuaire Microsoft Windows 2000 Active DirectoryT (voir le
livre blanc intitulé «Microsoft Windows NT Active Directory Technical
Summary»)
d.. Relations d'approbation dans un environnement Microsoft Windows NT 4.0
(voir le livre blanc intitulé «Domain Planning Guide»)
Consultez le document intitulé Guide de planification de déploiement de
Microsoft Windows 2000 disponible à sur le site Windows 2000 pour plus
d'informations sur les sujets suivants :
a.. Relations d'approbation dans les environnements en mode mixte et
natif, voir le chapitre 10 : «Stratégies de migration des domaines»
Visitez le site Microsoft Security pour plus d'informations sur les sujets
suivants :
a.. Sécurité Internet Microsoft
Pour plus d'informations sur Windows 2000 et Windows NT Server, consultez et
le forum Windows NT Server sur The Microsoft Network (GO WORD : MSNTS).
http://www.microsoft.com/security/
http://support.microsoft.com/default.aspx?scid=http://www.microsoft.com/IntlKB/France/articles/
F195/7/24.ASP
Suite :
TITRE : Installer un certificat
Vous trouverez ci-dessous la procédure à suivre pour installer
correctement un certificat en utilisant le Gestionnaire de clés avec IIS
(Internet Information Server).
INFORMATIONS COMPLEMENTAIRES :
I. Créez un fichier de paire de clés et un fichier de demande.
1. Dans Microsoft Internet Server, cliquez sur Gestionnaire de clés, ou
cliquez sur l'icône du Gestionnaire de clés dans la barre d'outils du
Gestionnaire des services Internet.
2. Dans le menu Clé, cliquez sur Créer une nouvelle clé.
3. Dans la boîte de dialogue Création d'une nouvelle clé et d'une
demande de certificat, fournissez les informations demandées.
4. Une fois le formulaire rempli, cliquez sur OK.
5. Lorsque vous y êtes invité, tapez à nouveau le mot de passe que vous
avez spécifié dans le formulaire et cliquez sur OK.
6. Une icône apparaît pendant la création de la clé. Une fois la clé
créée, un écran s'affiche pour vous donner des informations sur les
nouvelles clés et sur la façon d'obtenir un certificat.
7. Après avoir lu l'écran Information sur une nouvelle clé, cliquez sur
OK.
8. Dans le menu Clé du Gestionnaire de clés, cliquez sur Exporter une
clé, puis sur Fichier de sauvegarde. Cliquez sur OK dans la boîte de
dialogue affichant un avertissement relatif à votre disque dur. Tapez le
nom de la clé dans la zone Nom du fichier, puis cliquez sur Enregistrer.
REMARQUE : Il est essentiel de sauvegarder la clé.
9. Pour enregistrer la nouvelle clé à partir du menu Serveurs,
sélectionnez Effectuer les modifications maintenant. Lorsque le système
vous demande si vous désirez effectuer toutes les modifications
maintenant, cliquez sur OK.
II. Demandez un certificat à l'organisme de certification.
Pour obtenir un ID de serveur SSL (Secure Sockets Layer), remplissez le
formulaire d'inscription en ligne à l'adresse suivante :
http://www.verisign.com
dans le cas d'un ID de serveur SSL.
III. Installez le certificat sur votre serveur.
1. Dans le groupe de programmes Internet Server, cliquez sur
Gestionnaire de clés.
2. Dans la fenêtre Gestionnaire de clés, sélectionnez la paire de clés
correspondant à votre certificat signé.
3. Si vous avez sauvegardé le fichier de paire de clés, vous devez
d'abord le charger. Pour charger un fichier de clés sauvegardé, cliquez
sur Gestionnaire de clés dans le menu Clé, sélectionnez Importer une clé,
puis Fichier de sauvegarde.
4. Sélectionnez le nom du fichier dans la liste, puis cliquez sur
Ouvrir.
5. Dans le menu Clé, cliquez sur Installer un certificat de clé.
6. Sélectionnez le fichier du certificat dans la liste (par exemple,
certif.text), puis cliquez sur Ouvrir.
7. Lorsque vous y êtes invité, tapez le mot de passe que vous avez
utilisé lors de la création de la paire de clés. La clé et le certificat
sont combinés et enregistrés dans le Registre du serveur.
8. Dans le menu Serveurs, cliquez sur Effectuer les modifications
maintenant.
9. Lorsque le système vous demande si vous désirez effectuer toutes les
modifications maintenant, cliquez sur OK.
Les certificats risquent d'être endommagés s'ils sont envoyés par
courrier. Si vous essayez d'installer un certificat endommagé, un message
d'erreur vous indique que le mot de passe est erroné. Vous ne pourrez
plus alors installer le certificat de cette clé, même si vous en obtenez
une copie en bon état.
Pour éviter d'endommager le certificat, procédez de la manière suivante :
1. Chargez le certificat dans le Bloc-notes.
2. Supprimez tous les espaces. Le certificat ne doit en contenir aucun.
3. Enregistrez-le sans extension en sélectionnant le type "Tous les
fichiers". N'activez pas la case à cocher Unicode.
4. Une fois que vous avez corrigé votre certificat, vous devez supprimer
la clé et la réimporter. N'oubliez pas de la sauvegarder auparavant.
Pour importer la clé, cliquez sur Importer dans le menu Clé, puis
sélectionnez Fichier de sauvegarde.
suite :
Résumé
Au début du mois de mars 2001, VeriSign, Inc. a déclaré avoir émis deux
certificats numériques à un individu ayant frauduleusement pétendu être un
employé de Microsoft. Ce problème a été traité en détail dans le bulletin de
sécurité Microsoft
MS01-017 . Cet article fournit des informations pour vous permettre de
reconnaître ces certificats.
Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour
afficher l'article correspondant dans la Base de connaissances Microsoft :
F293818 Deux certificats numériques émis à tort par VeriSign présentent
des risques d'attaque
Pour plus d'informations sur la procédure à suivre pour annuler ces
certificats, cliquez sur le numéro ci-dessous pour afficher l'article
correspondant dans la Base de connaissances Microsoft :
F293816 Procédure à suivre pour déterminer si vous avez accepté de faire
confiance à des certificats frauduleux émis par VeriSign
Pour plus d'informations sur la procédure à suivre pour supprimer l'Organisme
de certification (CA, Certification Authority) VeriSign Commercial Software
Publishers de l'enregistrement des sources sûres, cliquez sur le numéro
ci-dessous pour afficher l'article correspondant dans la Base de connaissances
Microsoft :
F293819 Procédure de suppression d'un certificat de source de
l'enregistrement des sources sûres
Plus d'informations
Ces certificats n'étant pas approuvés par défaut, et ce même si vous avez par
le passé accepté de faire confiance au contenu Microsoft, vous recevrez donc
toujours une boîte de dialogue d'avertissement au cas où vous rencontreriez ces
certificats. Cliquez sur Microsoft Corporation sur cette boite de
dialogue d'avertissement pour identifier ces certificats. Microsoft recommande
de ne pas exécuter le contenu signé par ces certificats.
Certificat frauduleux 1
Le premier certificat frauduleux peut être uniquement identifié par les
propriétés suivantes sur l'onglet Détails :
- Numéro de série : 750E 40FF 97F0 47ED F556 C708 4EB1 ABFD
- Émetteur : OU = VeriSign Commercial Software Publishers CA
O = VeriSign, Inc.
L = Internet
- Aperçu : 7D7F 4414 CCEF 168A DF6B F407 53B5 BECD 7837 5931
Certificat frauduleux 2
Le second certificat frauduleux peut être uniquement identifié par les
propriétés suivantes sur l'onglet Détails :
- Numéro de série : 1B51 90F7 3724 399C 9254 CD42 4637 996A
- Émetteur : OU = VeriSign Commercial Software Publishers CA
O = VeriSign, Inc.
L = Internet
- Aperçu : 6371 62CC 59A3 A1E2 5956 FA5F A8F6 0D2E 1C52 EAC6
Détails complets des certificats frauduleux
Pour votre information, les détails complets de ces certificats frauduleux
sont fournis dans les sections suivantes.
Certificat frauduleux 1
L'onglet Général contient les informations suivantes :
Informations sur le certificat
Ce certificat a pour objectif :
- De garantir que le logiciel provient bien de l'éditeur
- De protéger le logiciel contre toute altération après la publication
*Reportez-vous à la déclaration de l'organisme de certification pour plus
d'informations.
Délivré à : Microsoft Corporation
Émis par :
VeriSign Commercial Software Publishers CA
Valide à partir du 30/01/2001 au 31/01/2002
L'onglet Détails contient les informations suivantes :
Afficher : <Tout>
- Version
V3
- Numéro de série
750E 40FF 97F0 47ED F556 C708 4EB1 ABFD
- Algorithme de signature
md5RSA
- Émetteur
OU = VeriSign Commercial Software Publishers CA
O = VeriSign, Inc.
L = Internet
- Valide à partir du
Mardi 30 janvier 2001 7:00:00 PM
- Valide jusqu'au
Jeudi 31 janvier 2002 6:59:59 PM
- Objet
OU = Microsoft Corporation
CN = Microsoft Corporation
L = Redmond
S = Washington
C = US
OU = Digital ID Class 3 - Microsoft Software Validation v2
OU = www.verisign.com/repository/CPS Incorp. by Ref.,LIAB.LTD(c)96
OU = VeriSign Commercial Software Publishers CA
O = VeriSign, Inc.
L = Internet
- Clé publique
3081 8902 8181 00EE FA1F C9B0 43DF 7E75 814E 3171 910B FC15 9DD9 4A8A 51F5
0918 C67C C5F1 27C4 0162 FCBF FC84 29A6 2FE6 1E02 060B 9689 D342 B173 9F02
AE75 6209 3F83 8034 4660 390A E321 4EE7 0442 D57E 5E98 4527 5D04 B927 32C0
65A4 9485 1325 DB16 F2FB 51C7 FF28 62D1 8331 4FA9 A4F4 C54F 9D00 2E14 3F95
169C 4E25 071B D57D 3871 D840 F8AA 7102 0301 0001
- Contraintes de base
Subject Type = End Entity
Path Length Constraint = None
- Utilisation de la clé
Digital Signature, Key Encipherment(A0)
- Identificateur de la clé de l'organisme
KeyID = 7B96 E4D1 43FD 6898 F338 CC6E 3BF2 0B82
Émetteur du certificat :
OU = VeriSign Commercial Software Publishers CA
O = " VeriSign, Inc. "
L=Internet
Certificate SerialNumber = 03C7 8F37 DB92 28DF 3CBB 1AAD 82FA 6710
- Contraintes de base
Subject Type = End Entity
Path Length Constraint=None
- Polices de certificats
[1]Certificate Policy :
PolicyIdentifier = 2.16.840.1.113733.1.7.1.8
[1,1]Policy Qualifier Info :
Policy Qualifier Id=CPS
Qualifier :
- SpcFinancialCriteria
Financial Information = Available
Meets Criteria = Yes
- Restriction d'utilisation de la clé
[1]Cert PolicyId = 1.3.6.1.4.1.311.2.1.22
Restricted Key Usage=Digital Signature(80)
- SpcSpAgencyInfo
Information :
URL = https://www.verisign.com/repository/CPS
Policy Display=This certificate incorporates by reference, and its use is
strictly subject to, the VeriSign Certification Practice Statement (CPS)
version 1.0, available in the VeriSign repository at :
https://www.verisign.com; by E-mail at CPS-requests@verisign.com; or by mail
at VeriSign, Inc., 2593 Coast Ave., Mountain View, CA 94043 USA Copyright
(c)1996 VeriSign, Inc. All Rights Reserved. CERTAIN WARRANTIES DISCLAIMED
AND LIABILITY LIMITED.
WARNING : THE USE OF THIS CERTIFICATE IS STRICTLY SUBJECT TO THE VERISIGN
CERTIFICATION PRACTICE STATEMENT. THE ISSUING AUTHORITY DISCLAIMS CERTAIN
IMPLIED AND EXPRESS WARRANTIES, INCLUDING WARRANTIES OF MERCHANTABILITY OR
FITNESS FOR A PARTICULAR PURPOSE, AND WILL NOT BE LIABLE FOR CONSEQUENTIAL,
PUNITIVE, AND CERTAIN OTHER DAMAGES. SEE THE CPS FOR DETAILS.
Contents of the VeriSign registered nonverifiedSubjectAttributes extension
value shall not be considered as accurate information validated by the IA.
Policy Logo Link :
URL=https://www.verisign.com/repository/verisignlogo.gif
- Algorithme d'aperçu
sha1
- Aperçu
7D7F 4414 CCEF 168A DF6B F407 53B5 BECD 7837 5931
L'onglet Chemin d'accès de certification contient les informations
suivantes :
Chemin d'accès de certification
VeriSign Commercial Software Publishers CA
Microsoft Corporation
Certificat frauduleux 2
L'onglet Général contient les informations suivantes :
Informations sur le certificat
Ce certificat a pour objectif :
- de garantir que le logiciel provient bien de l'éditeur
- de protéger le logiciel contre toute altération après la publication
*Reportez-vous à la déclaration de l'organisme de certification pour plus
de détails.
Délivré à : Microsoft Corporation
Émis par :
VeriSign Commercial Software Publishers CA
Valide à partir du 1/29/2001 au 1/30/2002
L'onglet Détails contient les informations suivantes :
Afficher : <Tout>
- Version
V3
- Numéro de série
1B51 90F7 3724 399C 9254 CD42 4637 996A
- Algorithme de signature
md5RSA
- Émetteur
OU = VeriSign Commercial Software Publishers CA
O = VeriSign, Inc.
L = Internet
- Valide à partir du
Lundi 29 janvier 2001 7:00:00 PM
- Valide jusqu'au
Mercredi 30 janvier 2002 6:59:59 PM
- Objet
OU = Software
CN = Microsoft Corporation
L = Washington
S = DC
C = US
OU = Digital ID Class 3 - Microsoft Software Validation v2
OU = www.verisign.com/repository/CPS Incorp. by Ref.,LIAB.LTD(c)96
OU = VeriSign Commercial Software Publishers CA
O = VeriSign, Inc.
L = Internet
- Clé publique
3081 8902 8181 009E 30E5 9341 8E11 0767 BABD C9C6 110A AB5A 4CD6 6D0C ADFA
B30E A019 1C54 7FC5 2E29 CE7E DADE EB28 D5AD 1AB0 CAD5 B2F1 9B83 E23E 448F
E997 2693 B36D 390C 6967 50B9 1498 7DA4 C342 66E3 8CFC DADB 89EC 9C6B 54DD
481C C4DD 2055 B7EA 2557 B6CE FCEB E087 62A1 85A9 1FCF F2FB 2094 9BDA E53D
D6B9 80E9 06AF 31A6 CD7E B3CF B490 5502 0301 0001
- Constraintes de base
Subject Type = End Entity
Path Length Constraint=None
- Utilisation de la clé
Digital Signature , Key Encipherment(A0)
- Identificateur de la clé de l'organisme
KeyID = 7B96 E4D1 43FD 6898 F338 CC6E 3BF2 0B82
Émetteur du certificat :
OU = VeriSign Commercial Software Publishers CA
O = " VeriSign, Inc. "
L = Internet
Certificate SerialNumber = 03C7 8F37 DB92 28DF 3CBB 1AAD 82FA 6710
- Contraintes de base
Subject Type = End Entity
Path Length Constraint = None
- Polices de certificats
[1]Certificate Policy :
PolicyIdentifier = 2.16.840.1.113733.1.7.1.8
[1,1]Policy Qualifier Info:
Policy Qualifier Id = CPS
Qualifier :
- SpcFinancialCriteria
Financial Information = Available
Meets Criteria = Yes
- Restriction d'utilisation de la clé
[1]Cert PolicyId = 1.3.6.1.4.1.311.2.1.22
Restricted Key Usage=Digital Signature(80)
- SpcSpAgencyInfo
Policy Information :
URL=https://www.verisign.com/repository/CPS
Policy Display=This certificate incorporates by reference, and its use is
strictly subject to, the VeriSign Certification Practice Statement (CPS)
version 1.0, available in the VeriSign repository at:
https://www.verisign.com; by E-mail at CPS-requests@verisign.com; or by mail
at VeriSign, Inc., 2593 Coast Ave., Mountain View, CA 94043 USA Copyright
(c)1996 VeriSign, Inc. All Rights Reserved. CERTAIN WARRANTIES DISCLAIMED
AND LIABILITY LIMITED.
WARNING: THE USE OF THIS CERTIFICATE IS STRICTLY SUBJECT TO THE VERISIGN
CERTIFICATION PRACTICE STATEMENT. THE ISSUING AUTHORITY DISCLAIMS CERTAIN
IMPLIED AND EXPRESS WARRANTIES, INCLUDING WARRANTIES OF MERCHANTABILITY OR
FITNESS FOR A PARTICULAR PURPOSE, AND WILL NOT BE LIABLE FOR CONSEQUENTIAL,
PUNITIVE, AND CERTAIN OTHER DAMAGES. SEE THE CPS FOR DETAILS.
Contents of the VeriSign registered nonverifiedSubjectAttributes extension
value shall not be considered as accurate information validated by the IA.
Policy Logo Link :
URL=https://www.verisign.com/repository/verisignlogo.gif
- Algorithme de signature
sha1
- Aperçu
6371 62CC 59A3 A1E2 5956 FA5F A8F6 0D2E 1C52 EAC6
L'onglet Chemin d'accès de certification contient les informations
suivantes :
Chemin d'accès de certification
VeriSign Commercial Software Publishers CA
Microsoft Corporation
Mots supplémentaires de recherche: certs revoke yank remove get rid of verify
examine look at review
Mots clés: kb3rdparty kbWinME kbWin95 kbWin98 kbWin98SE
Type de problème: kbinfo
Produits et Technologie: kbWinNTsearch kbWinNTWsearch kbWinNTW400search
kbwin2000AdvServSearch kbWinNTW400sp4 kbWinNTW400sp3 kbWinNTSsearch
kbWinNTSEntSearch kbWinNTS400sp6 kbWinNTS400sp5 kbWinNTS400xsearch
kbwin2000Ssearch kbwin2000Search kbwin2000ProSearch kbNTTermServSearch
kbExchange400
|
SharePoint
au
Quotidien
avec EROL
