Acheter des cartes à puce et se connecter via celles-ci sous Windows 10 et Windows Server 2016

  • Windows Server
  • AD CS
  • 3/6

6. Créer un nouveau modèle de certificat : Connexion par carte à puce

Pour que vous puissiez vous connecter sur un ordinateur ou serveur de votre entreprise grâce à une carte à puce, vous avez besoin d'un certificat utilisateur basé sur le modèle "Connexion par carte à puce" que vous inscrirez sur votre carte à puce.
Néanmoins, il est important de dupliquer le modèle de certificat "Connexion par carte à puce" pour créer une copie qui soit configurée de façon à supporter votre matériel.

Notez qu'en entreprise, c'est un agent d'inscription qui inscrira les certificats sur les cartes à puces.
Donc, suivez d'abord notre tutoriel "WS 2016 - AD CS - Créer un agent d'inscription" (en ignorant l'étape concernant le modèle de certificat "Connexion par carte à puce"), puis revenez ici.

Ensuite, sur votre autorité de certification, dupliquez le modèle de certificat "Connexion par carte à puce".

Note : si vous avez créé une copie du modèle de certificat "Connexion par carte à puce" en suivant notre tutoriel concernant l'agent d'inscription, supprimez cette copie et dupliquez à nouveau le modèle de certificat "Connexion par carte à puce".
En effet, les paramètres ne sont pas les mêmes dans ce tutoriel.

Dans l'onglet "Compatibilité", sélectionnez "Windows 10 / Windows Server 2016" pour le destinataire du certificat.

Dans la fenêtre "Modifications résultantes", cliquez sur OK.

Le destinataire du certificat a été défini sur "Windows 10 / Windows Server 2016".

Dans l'onglet "Général", indiquez "Connexion par carte à puce v2" comme nom complet du modèle.

Dans l'onglet "Traitement de la demande", cochez la case "Inclure des algorithmes symétriques autorisés par le sujet".

Dans l'onglet "Chiffrement", vous verrez que la taille de clé minimale est de 2048 par défaut.

En fonction de vos cartes à puces, il peut être nécessaire d'indiquer une valeur plus basse (par exemple : 1024) pour la taille de clé minimale.
Ensuite, sélectionnez l'option "Les demandes doivent utiliser l'un des fournisseurs suivants" et cochez la case "Microsoft Base Smart Card Crypto Provider".

Ceci est nécessaire pour que l'inscription du certificat sur une carte à puce soit possible.

Dans l'onglet "Sécurité", cliquez sur : Ajouter.

Indiquez le nom d'un utilisateur ou d'un groupe d'utilisateurs autorisé à inscrire ce type de certificat.
En entreprise, c'est l'agent d'inscription qui inscrit les certificats des utilisateurs à leurs noms pour les stocker directement sur les cartes à puces.
Ensuite, vous distribuez les cartes à puces à vos utilisateurs et ceux-ci peuvent se connecter grâce à celle-ci et au code PIN (User PIN) associé.

Dans notre cas, cet agent d'inscription s'appelle : IWAgent.

L'utilisateur souhaité apparait.
Accordez-lui les autorisations : Lecture et Inscrire.

Lorsque vous inscrivez des certificats en tant qu'agent d'inscription, il est nécessaire de modifier les conditions d'émission du type de certificat à inscrire.
Dans le cas contraire, une erreur s'affichera lors de la tentative d'inscription du certificat à cause de signatures multiples requises.
Pour éviter ce problème, allez dans l'onglet "Conditions d'émission".

Dans cet onglet "Conditions d'émission", cochez la case "Ce nombre de signatures autorisées" et indiquez "1" dans la case située à sa droite.

Puis, sélectionnez les options :

  • Type de stratégie nécessaire dans la signature : Stratégie d'application (= lors de la demande du certificat)
  • Stratégie d'application : Agent de demande de certificat

Maintenant que ce nouveau modèle de certificat est correctement configuré, cliquez sur OK.

Le nouveau modèle de certificat créé apparait.

Comme d'habitude, n'oubliez pas d'ajouter le modèle de certificat créé à la liste des modèles de certificats que votre autorité de certification peut délivrer.

Sélectionnez le modèle de certificat "Connexion par carte à puce v2",

Le modèle de certificat "Connexion par carte à puce v2" apparait dans la liste des modèles de certificats à délivrer.

7. Téléchargement et installation automatique du pilote de carte à puce

Si Windows est configuré pour télécharger et installer automatiquement les pilotes de vos périphériques depuis Internet (depuis les serveurs de Microsoft), votre ordinateur / serveur sera peut-être en mesure d'installer automatiquement les pilotes pour votre lecteur de cartes à puces et pour votre carte à puce.
En tout cas, cela a été notre cas avec le matériel utilisé dans ce tutoriel.

Branchez votre lecteur de cartes et vous verrez peut-être une fenêtre "Installation du périphérique" apparaitre
Ceci peut varier d'une version de Windows (Server) à l'autre.

Ensuite, une fenêtre "Installation de Smart Card Reader USB" apparaitra.

Dans notre cas, notre lecteur de cartes à puces "HID Omnikey 3121" apparait sous le nom "Lecteur de carte à puce Microsoft Usbccid (WUDF)".

Insérez une de vos cartes à puce et une fenêtre "Installation de Carte à puce" (sous Windows 10 et Windows Server 2016 dans notre cas) apparaitra.

Une fois le pilote adapté téléchargé et installé automatiquement par Windows (Server), vous verrez que votre carte à puce sera reconnue sous le nom : SafeNet IDPrime MD Smart Card.

Note : inutile de connaitre le code PIN de la carte à puce utilisée, le but est simplement de provoquer l'installation de ce pilote pour que vous puissiez plus tard inscrire des certificats sur celle-ci et/ou vous connecter avec cette carte à puce.

Etant donné que le pilote est téléchargé et installé automatiquement par Windows (Server), cela signifie que le pilote a été téléchargé depuis un serveur de Microsoft.
Vous pouvez d'ailleurs le vérifier en affichant les propriétés de ce périphérique : SafeNet IDPrime MD Smart Card.

Comme vous pouvez le voir :

  • la date du pilote est : 09-09-21.
  • la version du pilote est : 10.8.2138.0.
  • la signature numérique est : Microsoft Windows Hardware Compatibility Publisher.

Autrement dit, cela fonctionne, mais le pilote est forcément plus ancien que si vous l'installiez manuellement en le téléchargeant sur le site officiel de THALES.

Vous pouvez d'ailleurs retrouver manuellement les pilotes téléchargés par Windows (Server) en cherchant le terme "SafeNet" (le fournisseur du pilote) sur le catalogue Microsoft Update.

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.