. 5. Point d'accès sans fil
111.5.1. Installation de la PKI
Avant de pouvoir implémenter cette partie, il a fallut
déployer une
61
infrastructure PKI mettant en oeuvre une CA . La choix
d'utiliser la PKI de Microsoft (et d'ainsi créer notre propre CA) a
été fait pour diverses raisons dont les principales sont :
L'intégration et l'installation rapide de cette PKI sur
le domaine existant (qui est l'argument massue, souvent avancé en faveur
de Microsoft).
La création assistée des certificats par le biais
d'une interface WEB (nécessitant une identification
préalable).
62
Les postes clients étant intégrés au
domaine, l'utilisation des GPO permet d'installer les certificats sans qu'une
intervention de l'utilisateur ne soit requise.
Pas de frais de licence supplémentaires.
celui de la CA validé par elle-même.
Les certificats clients sont crées via l'interface WEB
proposée par Microsoft. Celle-ci est restreinte à une utilisation
en interne pour des raisons évidentes de sécurité. Cette
interface installe un ActiveX qui se charge de générer la
clé secrète, la clé publique et la demande de certificat.
Cette demande est alors transférée à la CA qui appose sa
signature et renvoie le certificat validé (au passage, elle prend soin
de stocker ce certificat dans l'annuaire Active Directory). Ce processus est
totalement transparent pour l'utilisateur. Ce dernier ne fait que cliquer sur
deux liens : « Request a certificate » et « user certificate
».
Bien que cette méthode puisse faire horreur à un
expert en sécurité averti, le choix de l'emploi de cette
interface WEB est un gain de temps précieux pour l'administrateur
système.
Il faut maintenant générer un certificat pour le
serveur RADIUS. Comme notre serveur ne possède pas d'interface
graphique, nous sommes contraints de passer par la génération
manuelle de la clé secrète et de la demande de certificat. Pour
générer ces deux éléments, l'outil OpenSSL
s'avère être une aide précieuse. Deux commandes suffisent
à créer les fichiers :
openssl genrsa 1024 : va générer une clé
privée non chiffrée. openssl req -new -key <chemin vers la
clé privée> : va produire une demande de certificat.
Après avoir répondu à plusieurs questions
(paramétrées par le fichier openssl.cnf), on obtient la
précieuse demande.
Le service web de la CA contient une page dédiée
a l'envoi de Certificate Request. Après avoir
sélectionné un canevas (dans le cas qui nous occupe il s'agit
d'un canevas serveur), on peut poster le fichier généré
par OpenSSL. Et obtient en retour un certificat dûment validé par
la CA. Finalement, les trois éléments nécessaires à
la bonne configuration de notre serveur radius sont réunis :
La clé privée du serveur (ci-après :
privkey.pem),
Le certificat du serveur (ci-après : radius.crt),
Le certificat de la CA (ci-après : ca.crt).
| 
