Créer un agent d'inscription pour inscrire des certificats au nom de quelqu'un d'autre sous Windows Server 2016 - Windows Server - Tutoriels

Grâce aux services de certificats Active Directory, vous pouvez obtenir un certificat pour votre serveur, ordinateur ou utilisateur automatiquement (via l'inscription automatique) ou manuellement via la console "mmc".
Néanmoins, vous pouvez aussi créer un utilisateur (appelé "Agent d'inscription") qui sera autorisé à inscrire des certificats pour d'autres utilisateurs.
Ce qui est très pratique si vous souhaitez fournir des cartes à puces à vos utilisateurs dans lesquels les certificats inscrits par l'agent d'inscription au nom de vos utilisateurs pourront être rapidement stockés.

1. Créer un utilisateur qui agira en tant qu'agent d'inscription

N'importe quel utilisateur de l'Active Directory peut devenir un agent d'inscription.
Celui-ci n'a donc pas besoin des droits administrateur, par exemple.

Dans notre cas, nous avons créé un nouvel utilisateur que nous avons nommé : IWAgent.

Comme vous pouvez le voir, il s'agit d'un simple utilisateur du domaine.

2. Créer un nouveau modèle de certificat : Agent d'inscription

Pour commencer, ouvrez la console "Autorité de certification" et faites un clic droit "Gérer" sur : Modèles de certificats.

Faites un clic droit "Dupliquer le modèle" sur le modèle de certificat "Agent d'inscription".

Indiquez "Agent d'inscription v2" (par exemple) comme nom complet pour ce modèle.

Dans l'onglet "Sécurité", cliquez sur le bouton "Ajouter".

Indiquez le nom de l'utilisateur que vous avez créé et que vous souhaitez utiliser comme agent d'inscription et cliquez sur OK.

Accordez-lui les droits "Lecture" et "Inscrire" pour l'autoriser à inscrire (obtenir) un certificat d'agent d'inscription.
Ce certificat lui permettra d'inscrire d'autres certificats à des utilisateurs en leurs noms.

Cliquez sur OK.

Le nouveau modèle de certificat créé apparait dans la liste.

Pour finir, faites un clic droit sur le dossier "Modèles de certificats" et cliquez sur : Nouveau -> Modèle de certificat à délivrer.

Sélectionnez le nouveau modèle de certificat créé (dans notre cas : Agent d'inscription v2) et cliquez sur OK.

Le nouveau modèle de certificat à délivrer apparait.

3. Demander un certificat d'agent d'inscription

Connectez-vous sur un de vos serveurs ou ordinateurs membres de votre domaine Active Directory avec l'utilisateur autorisé à inscrire un certificat en utilisant le nouveau modèle de certificat "Agent d'inscription v2".

Lancez une console "mmc" et cliquez sur : Fichier -> Ajouter/Supprimer un composant logiciel enfichable.

Sélectionnez le composant "Certificats" et cliquez sur : Ajouter.

Puis, cliquez sur OK.

Faites un clic droit "Toutes les tâches -> Demander un nouveau certificat" sur votre magasin de certificat "Personnel".

Sélectionnez votre nouveau modèle de certificat "Agent d'inscription v2" et cliquez sur "Détails", puis "Propriétés" si vous souhaitez ajouter un nom convivial dans le certificat qui sera inscrit (délivré).

Dans l'onglet "Général", vous pouvez ajouter un nom convivial si vous le souhaitez, puis cliquez sur OK.

Cliquez sur "Inscription".

Votre certificat d'agent d'inscription a été inscrit.
Cliquez sur Terminer.

Dans votre magasin de certificat "Personnel", vous trouverez votre nouveau certificat d'agent d'inscription dont le rôle prévu est : Agent de demande de certificat.

Si vous ouvrez ce certificat et que vous sélectionnez le champ "Utilisation avancée de la clé", vous verrez ceci : Agent de demande de certificat (1.3.6.1.4.1.311.20.1).