Créer un agent d'inscription pour inscrire des certificats au nom de quelqu'un d'autre sous Windows Server 2016

6. Restreindre les agents d'inscription

Depuis Windows Server 2008, vous avez la possibilité de restreindre ce que peuvent faire les agents d'inscription (si vous le souhaitez).

Pour cela, dans votre console "Autorité de certification", faites un clic droit "Propriétés".

Dans la fenêtre de propriétés qui s'affiche, allez dans l'onglet "Agent d'inscription".
Comme vous pouvez le voir, par défaut, l'option "Ne pas restreindre les agents d'inscription".

Les autorisations sont donc gérées uniquement sur les modèles de certificats que vous créez et le fait qu'un utilisateur possède ou non un certificat d'agent d'inscription valide actuellement.

Si vous sélectionnez l'option "Restreindre les agents d'inscription", un avertissement s'affichera pour vous prévenir que ces restrictions ne sont applicables que sur des autorités de certification sous Windows Server 2008 ou ultérieur.

Plain Text

Les restrictions sur les agents d'inscription délégués ne peuvent être appliquées que sur des autorités de certification Windows Server 2008 et ultérieures.
Avant de désigner des agents d'inscription délégués, vérifiez que votre stratégie d'agents d'inscription est appropriée pour votre environnement de clés publiques.

Comme vous pouvez le voir, par défaut, tous les agents d'inscriptions peuvent inscrire des certificats en utilisant tous les modèles de certificats pour lesquels ils ont un droit "Inscrire" pour les délivrer à tous les utilisateurs qu'ils souhaitent.
Pour autoriser uniquement certains agents d'inscription à inscrire des certificats via votre autorité de certification, commencez par cliquer sur "Ajouter" pour la 1ère section (Agent d'inscription).

Attention : pour chacune des 3 sections disponibles dans cet onglet, vous devez toujours ajouter au moins une autre option si vous souhaitez supprimer celle indiquée par défaut.
Sinon, l'option "Ne pas restreindre les agents d'inscription" sera sélectionnée automatiquement et vous perdrez les modifications effectuées dans les différentes sections de cet onglet.

Indiquez le nom de l'agent d'inscription ou le groupe d'agents d'inscription (le cas échéant) que vous souhaitez autoriser à inscrire des certificats via votre autorité de certification, puis cliquez sur OK.

L'agent d'inscription ou le groupe d'agent d'inscription ajouté apparait dans la liste des agents d'inscription autorisés à inscrire des certificats via votre autorité de certification.

Maintenant que vous avez restreint les agents d'inscription autorisés, supprimez le groupe "Tout le monde" spécifié par défaut dans cette liste.

Pour éviter que vos agents d'inscription ne délivrent des certificats en utilisant n'importe quels modèles de certificat auxquels ils ont accès, vous pouvez limiter les modèles qu'ils peuvent utiliser.
Pour cela, pour la section "Modèles de certificats", cliquez sur le bouton "Ajouter".

Sélectionnez le modèle de certificat que vos agents pourront délivrer à vos utilisateurs et cliquez sur OK.

Une fois que vous avez ajouté le ou les modèles que vous souhaitez autoriser pour l'inscription de certificats par vos agents d'inscription, n'oubliez pas de supprimer la valeur par défaut "<Tous>".

Pour finir, vous pouvez choisir pour quels utilisateurs ou groupes d'utilisateurs, vos agents pourront inscrire des certificats.
Pour cela, pour la section "Autorisations", cliquez sur "Ajouter".

Indiquez le nom d'un utilisateur ou d'un groupe d'utilisateurs et cliquez sur OK.

L'utilisateur ou le groupe d'utilisateurs souhaité apparait dans la liste des autorisations.
Comme précédemment, n'oubliez pas de supprimer le groupe "Tout le monde" pour que la restriction soit correctement appliquée.

Dans notre cas, notre agent "IWAgent" pourra délivrer uniquement des certificats basés sur notre modèle de certificat "Connexion par carte à puce v2" à tous les utilisateurs de notre domaine Active Directory.