Et voici les notes que j’ai prises durant une session particulièrement intéressante (quand on aime et comprend un peu la PKI :-))

Titre de la session : Windows Vista PKI Enhancement in windows 7 and Windows Server 2008 R2

Tendances du marché de la PKI (je n’ai pas tout noté…)

Industry extend usage of x509 certificates
- Extended Validation (EV) Certificates
- Logo types

Advanced crypto (use of next generation algorithms) is picking up

3 grands pilliers dans les nouveautés en terme de PKI dans Windows 7 et Windows Server 2008 R2 :

1. Server consolidation
2. Improve scenario
3. HTTP based enrollment

--------
1- Server Consolidation

• Do more with less
• Not persistent request usages
• New PKI scenario (NAP) ==> Exemple : chez Microsoft IT, plusieurs millions de certificats sont émis tous les pour NAP. Ces certificats sont bien entendu non persistents

• OCSP signing certificat
• Augmentation de la taille des bases ==> nécessite de faire du ménage...
• Les administrateurs vont pouvoir désormais contrôler si des certificats sont écrits dans la base de données ou si ils vont rester en mémoire vive (par exemple : pour les certificats non persistents)
  
• CA is supported on Server Core
•  Local Command line utilities
•  remote UX management
•  Key management by HSM vendor
• No other ADCS Service will be supported on Server Core
• Cross Forest enrollment
•  Account forest / Ressource forest
•  requires AD forest 2 way trust
•  require Windows Server 2008 R2 CA
•  require Windows XP and above

A lire un document qui devrait être bientôt disponible en téléchargement : Best Practice Whitepaper for PKI consolidation

--------

2- Improve existing scenario

• Support de tous les templates mêmes sur les éditions standards
• Support de l'autoenroll
• Support key archival
• Best Practice Analyzer intégré à la console d’administration

• Improve of Certificate Selection (UI de l'utilisateur mieux sur Windows 7 que sur Windows Vista)
•  remove duplicate and archived certificate (in Vista we show everything)
•  icone différente entre les certificats logiciels et ceux stockés sur une carte à puce
•  Entreprise SSL EV Certificate
•  Mark an entreprise root CA as an Extended Validation (EV) root and add the EV policy OID
•  Configurable via GPO 

-------------

3- HTTP Based Enrollment

ça c'est le gros truc d'après le speaker :-)

Enable new scenarios to leverage Windows PKI client :

• Server certificates issues by a public CA
• Issuance accros company boundary
• ex : partnership scenario
• Issuance to non-domain-joined machines
• ex: my bank issue me certificates => finalement tout site B2C
   

2 news http based protocols for certificate enrollment :

• Le premier pour demander la liste des templates (au Certificate Enrollment Policy WS)
• Le second pour l'enrollment (au Certificate Enrollment WS)

Microsoft works with related ISVs to implement those protocoles

http based enrollment - Authentication method (for policy and enrollment server) :

• Kerberos
• Username/password
• Certificate based

http based enrollment requires SSL

Enrollment wizard ==> added additional step to the Enrollment Wizard (par rapport à Vista)

-----------

Strong Authentication

• Biometric
•  Win7 : new platform for biometric device
• New driver modele
• Focused on fingerprint based AuthN in consumer scenarios
•  Integrated user experience
• Windows logon local and domain
• Device and feature discovery
•  Entreprise management
• Disable Windows Biometric framwork  

• Smart card
•  Smart card plug and play
• Windows update and WSUS/SUS based driver instalation
• Pre-logon driver installation
• Non-admin based driver installation
• Smart card class mini-drivers
• NIST SP800-73-1 (PIV) support
• INCITS GICS (Butterfly) support
• Windows 7 Smartcard Framework improvements