Bonjour, J'ai déjà goûté à du EJBCA, mais pas à celle de Micro$oft.
L'avantage du EJBCA c'est qu'il y à même un live cd permettant de tester... De plus c'est utilisez dans des boites de fortes tailles, et fonctionne correctement pour ce que j'ai eu à en faire. Seb Le 27 avril 2012 09:14, <[email protected]> a écrit : > bonjour la liste, > > présentation: > je gère l'infrastructure d'une PME (4 sites, 200 personnes) dont le > métier est le développement/paramétrage de gros logiciels/boite à outils > style gestion de données techniques. > L'infra est à base de Windows clients (postes utilisateurs, VMs), de > Windows > serveurs, de linux/CentOS, de serveurs ESX, de pfSense, un peu de CISCO, > ... > un mix assez classique. > > Je me suis déjà un peu frotté aux PKI, à travers l'utilisation de OpenVPN > (PKI dédiée) ou de réseaux Wifi paramétrés en WPA/802.11x (authentification > via Radius + PKI dédiée). > > J'envisage de monter une "vraie" PKI interne pour gérer des certificats > utilisateurs, qui serviraient pour un peu tout: connexion VPN, Wifi, > signature électronique, etc. > > Je ne pense pas (pour l'instant) faire de l'authentification forte, genre > en > stockant le certificat dans une puce cryptographique. > > Si j'ai bien compris, La quincallerie m$ autour de Active Directory > (millésime > 2003) permet un gestion automatisée de certificats utilisateurs (création, > révocation). Certificats, autorité de certification (primaire ou > secondaire(s)) sont stocké dans l'AD. > Il vaut mieux utiliser un Windows 2008 (juste membre AD) pour signer > automatiquement les certificats utilisateurs (plutot qu'un controlleur AD > sous Windows 2003). > Les outils AD permettent également de distribuer (push) ces certificats > utilisateurs dans les profiles utilisateurs Windows (stockage dans le > certificate store de l'utilisateur), même si profile local (non-itinérant). > Dans notre cas, on a plusieurs controlleurs AD en réplication inter-sites. > > Du coup, pleins de questions, comme par exemple: > > - des personnes ici ont déjà déployé ce genre de configurations ? > > - Ce genre de configuration fonctionne correctement, la distribution des > cert via l'AD est fiable ? > > - soucis éventuels liés aux réplications AD ? > > - Comment fournissez-vous les listes de revocation des certificats ? via > une > URL HTTP et/ou le protocole OCSP ? > > - des recommendations sur des noms de professionels pour se faire > accompagner dans une telle démarche ? > > > Merci d'avance pour vos retours ! > > > Pierre Bourgin > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ >
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
