Utilisation de la sécurité Fortezza dans IIS

Historique de Fortezza

La norme de sécurité du gouvernement américain, appelée couramment Fortezza, est prise en charge par IIS 5.0. Pour satisfaire l'architecture de sécurité Defense Message System, cette norme utilise un mécanisme cryptographique qui offre la confidentialité, l'intégrité et l'authentification des messages, ainsi que le contrôle d'accès aux messages, aux composants et aux systèmes. Ces fonctionnalités peuvent être implémentées aussi bien avec un logiciel serveur et un navigateur Web qu'avec une carte PCMCIA. Fortezza est un mécanisme largement répandu au sein du gouvernement américain. Pour plus d'informations, consultez Fortezza Developer's Guide, développé par la NSA (National Security Agency) et par le ministère de la défense américain, à l'adresse http://www.armadillo.huntsville.al.us/.

Utilisation de Fortezza

Pour implémenter la sécurité Fortezza dans IIS, exécutez les procédures suivantes. Ces étapes intégreront complètement votre schéma Fortezza dans IIS, de sorte que vous puissiez travailler dans le respect des normes qui caractérisent la sécurité Fortezza.

Pour utiliser les certificats Fortezza

Une carte Fortezza (un type de carte PCMCIA, similaire à celles utilisées dans les ordinateurs portables et autres périphériques de petite taille) contient un certificat utilisateur qui permet d'authentifier l'utilisateur de la carte ; le fonctionnement de ce certificat est très similaire à celui des certificats de serveur et des certificats clients utilisés dans IIS. Pour rendre les certificats Fortezza disponibles dans IIS, vous devez les copier sur un emplacement sûr de votre ordinateur :

Procurez-vous une copie non destinée à l'exportation du fichier Schannel.dll dans le site Web Microsoft, à l'adresse http://www.microsoft.com/security/.
Installez l'équipement de lecture de cartes et ses pilotes. Pour plus d'informations, consultez la documentation du lecteur de cartes.
Installez le fournisseur de services cryptographiques (CSP, Cryptographic Service Provider) distribué par le fournisseur de l'équipement. Pour plus d'informations, consultez la documentation du lecteur de cartes.
Exécutez l'utilitaire ligne de commande Fortutil.exe.

L'utilitaire comporte des fonctions permettant d'installer, de confirmer et de supprimer le certificat de la carte et d'autres informations associées. Pour activer cette fonctionnalité, tapez les commandes appropriées sur la ligne de commande :

Action	Commande	Paramètres
Ajouter un certificat	`fortutil.exe /a`	Nom du site Web ; numéro de série de la carte ; numéro d'identification personnel (NIP) ; propriétaire de la carte
Confirmer le certificat	`fortutil.exe /q`	Nom du serveur Web
Supprimer le certificat	`fortutil.exe /r`	Nom du site Web
Aide	`fortutil.exe /?`	Aucun

Remarque Tout certificat Fortezza copié sur le serveur peut être utilisé comme certificat dans l'Assistant Certificat de serveur Web, l'Assistant Liste de certificats de confiance ou les fonctionnalités de certificat de Windows.

Important Si vous retirez la carte du lecteur pendant l'exécution du service Web, puis vous la réinsérez, vous pouvez provoquer des erreurs de connexion SSL. En cas d'erreur, vous devez placer la carte dans le lecteur, puis redémarrer le service Web.