Mappage des certificats clients sur les comptes d'utilisateur

Vous pouvez authentifier les utilisateurs qui se connectent avec un certificat client en créant des mappages liant les informations contenues dans le certificat à un compte d'utilisateur Windows. Il existe deux moyens de mapper des certificats : univoque et plusieurs à un. Vous pouvez utiliser le composant logiciel enfichable Services Internet (IIS) pour les deux types de mappage.

• À propos du mappage
• Stratégies de mappage
• Exportation d'un certificat
• Comment mapper des certificats

Important

• Un certificat de serveur doit être installé pour que le mappage de certificat soit activé. Pour plus d'informations sur l'installation d'un certificat de serveur, consultez Obtention d'un certificat de serveur.
• Pour vous assurer que les modifications apportées aux règles de mappage sont prises en considération, vous devez arrêter et redémarrer votre site Web. Pour ce faire : dans le composant logiciel enfichable IIS, sélectionnez le site Web, puis cliquez sur Arrêter dans le menu Action ou sur l'icône Arrêter dans la barre d'outils. Cliquez ensuite sur Démarrer dans le menu Action ou sur l'icône Démarrer dans la barre d'outils.

À propos du mappage

Mappage univoque

Le mappage univoque mappe des certificats clients individuels sur des comptes. Le serveur compare la copie du certificat client qu'il contient avec le certificat client envoyé par le navigateur. Les deux doivent être parfaitement identiques pour que le mappage ait lieu. Si un client obtient un autre certificat contenant toutes les mêmes informations utilisateur, ce certificat doit de nouveau être mappé.

Mappage plusieurs à un

Le mappage plusieurs à un utilise des règles génériques de correspondance qui vérifient si un certificat client contient des informations spécifiques, telles que l'émetteur ou le sujet. Ce mappage ne compare pas le certificat client réel, mais accepte tous les certificats clients correspondant aux critères spécifiques. Si un client obtient un autre certificat contenant toutes les mêmes informations utilisateur, le mappage existant fonctionnera.

Mappage du service d'annuaire (DS, Directory Service)

Le mappage de certificat du service d'annuaire utilise des fonctionnalités Windows 2000 Active Directory d'origine pour authentifier les utilisateurs avec des certificats clients. L'utilisation du mappage du service d'annuaire comporte des avantages et des inconvénients. Par exemple, un avantage est que les informations du certificat client sont partagées par plusieurs serveurs. Un inconvénient est que la correspondance générique n'est pas aussi avancée que le mappeur IIS. Pour plus d'informations sur le mappage du service d'annuaire, consultez la documentation Windows 2000.

Vous ne pouvez activer le mappage du service d'annuaire qu'au niveau des propriétés principales et uniquement si vous êtes membres d'un domaine Windows 2000. L'activation du mappage du service d'annuaire exclut l'utilisation du mappage univoque et plusieurs à un pour l'ensemble du service Web.

Stratégies de mappage

Le mappage de certificat client est très souple, dans la mesure où n'importe laquelle de ces trois méthodes peut être utilisée pour mapper des certificats clients sur des comptes utilisateur. Vous pouvez mapper un certificat client sur un nombre quelconque de comptes utilisateur et un nombre quelconque de certificats clients sur un même compte utilisateur. Le mappage de certificat peut être utilisé dans plusieurs situations :

• Réseaux de grande taille Les réseaux comportant un grand nombre de certificats clients peuvent utiliser le mappage plusieurs à un ou le mappage du service d'annuaire. L'administrateur peut créer une ou plusieurs règles de correspondance pour mapper des certificats sur un ou plusieurs comptes utilisateur Windows.
• Réseaux de petite taille Les réseaux comportant très peu d'utilisateurs peuvent utiliser le mappage univoque pour permettre un contrôle plus poussé de l'utilisation et de la révocation des certificats, ou le mappage plusieurs à un pour faciliter l'administration.
• Sécurité supplémentaire Pour les ressources comportant peu d'utilisateurs et nécessitant une sécurité supplémentaire, l'administrateur peut utiliser le mappage univoque. De cette façon, l'administrateur peut être certain que seuls des certificats particuliers sont utilisés. Ceci permet l'application de stratégies de révocation de certificats plus efficaces.
• Internet Les sites Internet qui utilisent l'authentification de certificat peuvent utiliser le mappage plusieurs à un en acceptant une large gamme de certificats et en les mappant tous sur un compte possédant des droits similaires à ceux du compte IUSR_nom_ordinateur.
• Par autorité de certification Pour mapper tous les utilisateurs qui se connectent avec un certificat client émis par une organisation particulière, vous pouvez utiliser le mappage plusieurs à un et définir une règle de correspondance qui mappe automatiquement tout certificat émis par cette organisation sur un compte utilisateur.

Remarque   Si vous souhaitez tirer parti de la souplesse du mappage générique, utilisez la fonctionnalité de mappage IIS. Si vous utilisez le mappage pour intégrer vos sites Web dans un domaine Windows, le mappeur de service d'annuaire Windows peut être la solution appropriée. Pour plus d'informations, consultez la documentation de Windows.

Exportation d'un certificat

Certains certificats doivent être exportés pour être utilisés dans le mappage univoque IIS. Les certificats ne doivent pas nécessairement être exportés pour être utilisés dans le mappage plusieurs à un. Contactez votre autorité de certification pour plus d'informations.

Remarque   Vous pouvez également utiliser cette procédure pour créer une copie de sauvegarde de votre certificat.

1. Dans Internet Explorer, cliquez sur Affichage puis sur Options Internet.
2. Dans les feuilles de propriétés Options Internet, cliquez sur Contenu.
3. Dans la feuille de propriétés Contenu cliquez sur Personnel (Internet Explorer version 4.0) ou Certificats, puis sélectionnez l'onglet Personnel (Internet Explorer version 5).
4. Sélectionnez le certificat dans la liste et cliquez sur Exporter.
5. Dans l'Assistant, cliquez sur Suivant puis sur Non, n'inclure aucune clé privée au cours de l'exportation et cliquez sur Suivant.
6. Sur la page suivante, cliquez sur Codé Base64 X.509 (*.cer) et cliquez sur Suivant. Complétez la procédure indiquée dans l'assistant.

Le certificat est maintenant prêt pour les mappages univoques IIS suivants. Cette procédure ne doit être exécutée qu'une seule fois par certificat.

Comment mapper des certificats

Le mappage univoque mappe des certificats clients individuels sur des comptes. Le mappage plusieurs à un utilise des règles génériques de correspondance qui vérifient si un certificat client contient des informations spécifiques, telles que l'émetteur ou le sujet.

1. Dans le composant logiciel enfichable Services Internet (IIS), sélectionnez le site Web pour lequel vous souhaitez configurer une authentification et ouvrez ses feuilles de propriétés.
2. Dans la feuille de propriétés Sécurité de répertoire, sous Communications sécurisées, cliquez sur Modifier.
3. Dans la boîte de dialogue Communications sécurisées, activez la case à cocher Activer le mappage de certificat client si elle ne l'est pas déjà. Cliquez sur Modifier.
4. Sous l'onglet 1 à 1 de la boîte de dialogue Mappage de compte, ajoutez un nouveau certificat en cliquant sur Ajouter ou modifiez un mappage existant en le sélectionnant et en cliquant sur Modifier.
5. Si vous ajoutez un nouveau certificat, naviguez jusqu'au fichier du certificat et ouvrez-le.

Remarque   Si vous ne parvenez pas à trouver le fichier de certificat, il peut être nécessaire de l'exporter.

6. Dans la boîte de dialogue Mappage sur un compte, entrez un nom pour le mappage. Il s'agit du nom qui s'affichera dans la liste de sélection de la boîte de dialogue Mappage de compte.
7. Tapez ou naviguez jusqu'à un compte utilisateur Windows. Tapez le mot de passe du compte sur lequel a lieu le mappage du certificat.
8. Cliquez sur OK..
9. Répétez ces étapes pour mapper d'autres certificats ou pour mapper ce certificat sur d'autres comptes.

Remarque   Les certificats ne doivent pas nécessairement être exportés pour être utilisés dans le mappage plusieurs à un.

1. Dans le composant logiciel enfichable Services Internet (IIS), sélectionnez le site Web pour lequel vous souhaitez configurer une authentification et ouvrez ses feuilles de propriétés.
2. Dans la feuille de propriétés Sécurité de répertoire, sous Communications sécurisées, cliquez sur Modifier.
3. Dans la boîte de dialogue Communications sécurisées, activez la case à cocher Activer le mappage de certificat client si elle ne l'est pas déjà. Cliquez sur Modifier..
4. Sous l'onglet Plusieurs à un de la boîte de dialogue Mappage de compte, cliquez sur Ajouter.
5. Dans la boîte de dialogue Principal, tapez un nom pour la règle. Il s'agit du nom qui s'affichera dans la liste de sélection de la boîte de dialogue Mappage de compte. Vous pouvez créer des règles destinées à une utilisation future ou désactiver des règles sans les supprimer en activant ou en désactivant la case à cocher Activer cette règle générique. Cliquez sur Suivant.
6. Dans la boîte de dialogue Règles, cliquez sur Nouvelle.
7. Dans la boîte de dialogue Modification d'un élément de règle, sélectionnez les critères appropriés et cliquez sur OK.

Remarque   Les étapes 6 et 7 peuvent être répétées afin de définir une règle plus stricte.

8. Lorsque vous avez terminé, cliquez sur Suivant.
9. Dans la boîte de dialogue Mappage, tapez ou naviguez jusqu'à un compte utilisateur Windows. Tapez le mot de passe du compte sur lequel la règle effectue le mappage.

Remarque   Si le compte que vous mappez se trouve sur un ordinateur membre d'un groupe de travail, vous devrez spécifier le nom de l'ordinateur et celui du compte. Par exemple, si vous mappez sur le compte VentesRegionales sur l'ordinateur nommé Ventes1, le nom du compte de mappage sera Ventes1\VentesRegionales.

10. Cliquez sur OK.
11. Répétez ces étapes pour créer d'autres règles de mappage.
12. Utilisez les boutons Monter et Descendre pour établir la préférence attribuée aux règles. Les règles se trouvant en haut de la liste ont la priorité.

1. Dans le composant logiciel enfichable Services Internet (IIS), sélectionnez le site Web pour lequel vous souhaitez configurer une authentification et ouvrez ses feuilles de propriétés.
2. Dans la feuille de propriétés Sécurité de répertoire, cliquez sur Modifier sous Communications sécurisées.
3. Dans la boîte de dialogue Communications sécurisées, activez la case à cocher Activer le mappage de certificat client, si elle ne l'est pas déjà. Cliquez sur Modifier.
4. Sous l'onglet Plusieurs à 1 de la boîte de dialogue Mappage de compte, sélectionnez la règle et cliquez sur Modifier.
5. Apportez les modifications nécessaires.
6. Lorsque vous avez terminé, cliquez sur OK.

Remarques

• Les mappages de certificats clients spécifiques sont toujours prioritaires par rapport aux mappages génériques.
• Certains certificats clients offrent une plus grande quantité d'informations d'identification et peuvent contenir des sous-champs personnalisés complémentaires. Pour plus d'informations sur les formats des certificats, consultez votre autorité de certification.
• Utilisez des règles génériques aussi spécifiques que possible. Une bonne règle générique met en correspondance les informations de plusieurs champs et sous-champs différents. Par exemple, les noms Comptabilité, Expédition et Ventes peuvent apparaître dans le sous-champ département du certificat client de plus d'une entreprise. Une règle de correspondance ayant mappé les certificats uniquement sur ce sous-champ donnerait probablement des mappages non souhaités.

© 1997-1999 Microsoft Corporation. Tous droits réservés.