Qu’est –ce que la Validation Etendue ?

La Validation Etendue permet de renforcer la confiance des utilisateurs sur votre site web en procédant à un contrôle approfondi du certificat SSL/TLS du site web.

La Validation Etendue contribue à une meilleure protection contre l'hameçonnage (Fishing).

Grâce à la couleur verte de la barre d'adresse, les utilisateurs savent immédiatement si les pages web font partie de votre site web ou pas. Si la barre d'adresse n'est pas verte, il est possible qu'ils se trouvent sur un site web malveillant qui détourne vos utilisateurs.

Initialement un utilisateur accédant à une page web en SSL (Serveur Exchange CAS, Serveur MOSS, Serveur TS Web ou tous les autres sites SSL…) aura l’affichage suivant :

clip_image002[5]

Avec un certificat de serveur web de type « Validation Etendue », l’utilisateur obtiendra une barre verte automatiquement avec une information sur l’identité du site, voici un exemple pour le site web certsrv :

clip_image004[4]

Cette Validation Etendue se base sur la présence du champ stratégie d’émission (Issuance policy) dans le certificat du serveur web ; ce champ doit contenir un OID référencé sur le certificat de l’autorité racine.

 

Génération d’un certificat de serveur Web avec Validation Etendue pour votre intranet

Si vous avez une autorité de certification Microsoft (AD CS) de type Entreprise il vous sera nécessaire de créer ou modifier un modèle de certificat.

1 – Dupliquer ou modifier le modèle de certificat serveur Web, exemple :

- Certtmpl.msc ; sélectionner le modèle « Web Server » ; dupliquer le modèle

clip_image006[4]

- Positionner pour ce modèle le champ Nom du sujet (Subject Name) comme indiqué ci-dessous pour vous permettre de personnaliser les noms DNS utilisés. Cela est utile lorsque votre serveur web est accédé par des noms DNS différents (CNAME, nom HOST/Netbios etc….)

clip_image008[4]

- Penser à marquer la clé privée comme étant exportable ce qui est pratique si vous avez à installer ce certificat sur plusieurs machines web ou si la demande est faite à partir d’une autre machine que le serveur web

clip_image010[4]

- Enfin pour utiliser la Validation Etendue il faut référencer un OID dans le champ stratégie d’émission (Issuance policy). Lorsque vous ajoutez une nouvelle stratégie d’émission un OID est automatiquement généré et vous pouvez le conserver. L’emplacement du CPS (Certificate Practice Statement) permet d’indiquer un lien web ou est stocké votre politique de gestion des certificats (même si le site n’existe pas encore)…

clip_image012[4]

Copier l’OID afin de l’utiliser dans le référencement sur votre autorité racine (voir plus loin dans cet article).

Vous obtiendrez donc au final pour ce modèle de certificat :

clip_image014[4]

2 – Il vous reste plus qu’a référencer ce nouveau modèle de certificat sur votre autorité de certification Microsoft (certsrv.msc, ajouter un nouveau modèle de certificat…)

3 – Pour demander le certificat web avec la Validation Etendue vous pouvez procéder de la façon suivante :

- Accéder à la page certsrv de votre autorité de certification Microsoft

- Sélectionner le modèle nouvellement créé (ici Web Server Validation Etendue EV)

- Positionner les paramètres suivants :

clip_image016[4]

Les parties «Company » (O) et Country (C) seront les éléments visibles dans la barre verte IE.

La partie « Attributes » vous permet d’ajouter plusieurs noms DNS dans le champ nom alternative du sujet (SAN = Subject Alternate Name) ce qui autorise les utilisateurs à accéder au site web avec des noms différents (CNAME, nom Netbios etc..) sans message d’avertissement dans Internet Explorer.

Vous pouvez aussi utiliser des « Wild Card » tel que « SAN:dns=*.2K8R2DOM.local » dans mon exemple.

NB : Le champ SAN est disponible pour tous les certificats sur votre CA avec la commande suivante :

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc && net start certsvc

4 – Une fois le certificat installé il vous faut l’exporter au format fichier PFX (avec la clé privée) et l’importer sur votre serveur web. Vous pouvez par exemple utiliser certmgr.msc ; Personnel ; sélectionner le nouveau certificat ; exporter avec la clé privée…

5 – Importer le certificat sur le serveur Web, par exemple sous IIS7 dans « Certificats Serveur » ; Import ; puis sélectionner le fichier .pfx :

 clip_image018[4]

6 – Lié le certificat avec le site web adéquate avec l’option « Bindings » :

clip_image020[4]

7 – Activer sur le site Web l’utilisation de SSL (dans mon exemple c’est le site web certsrv) :

clip_image022[4]

Les opérations sont terminées coté serveur Web, il nous reste juste le lien à établir ou à vérifier (si déjà présent) entre l’OID et le certificat racine.

 

Référencement de l’OID de Validation Etendue sur votre autorité racine

Idéalement il est préférable d’utiliser les stratégies de groupes (GPO) pour déployer facilement le lien entre l’OID de Validation Etendue et le certificat de l’autorité racine.

Ouvrir la GPO de « stratégie de domaine par défaut » et positionner l’OID de la façon suivante après import du certificat racine :

clip_image024[4]

Nb : Comme vous pouvez le constater il est possible de positionner plusieurs OID.

Dès l’application des GPOs sur les postes clients cet OID sera rendu exploitable par tous les utilisateurs du domaine avec ce résultat pour le site web en SSL :

clip_image026[4]

Hope this help !

Daniel Pasquier

Sr Technical Lead

Domain & Security Team