Créer un agent de récupération pour récupérer des certificats sous Windows Server 2016
- Windows Server
- AD CS
- 05 janvier 2024 à 13:04
-
- 3/4
7. Activer l'archivage des certificats sur votre autorité de certification
Connectez-vous en tant qu'administrateur du domaine sur votre autorité de certification.
Ouvrez la console "Autorité de certification" et faites un clic droit "Propriétés" sur le nom de votre autorité de certification.
Dans la fenêtre de propriétés qui s'affiche, allez dans l'onglet "Agents de récupération".
Comme vous pouvez le voir, par défaut, c'est l'option "Ne pas archiver la clé" qui est sélectionnée.
Pour activer l'archivage des certificats avec leurs clés privées associées sur votre autorité de certification, vous devrez sélectionner l'option "Archiver la clé".
Ensuite, vous devrez indiquer le nombre d'agents de récupération à utiliser. Par défaut : 1.
Néanmoins, comme précisé précédemment, en entreprise, il est recommandé d'en utiliser plusieurs pour des raisons de sécurité (au cas où l'agent de récupération ne fait plus partie de votre entreprise ou qu'il n'est plus de ce monde).
Cliquez sur : Ajouter.
Sélectionnez votre certificat d'agent de récupération de clé qui apparait et cliquez sur OK.
Votre certificat d'agent de récupération a été ajouté.
Néanmoins, si vous regardez dans la colonne "Etat", vous pouvez voir qu'il est indiqué "Non chargé" (d'où la croix rouge visible sur l'icône de ce certificat).
En effet, pour que celui-ci soit utilisé, il faut que les services de certificats Active Directory soient redémarrés.
Pour cela, cliquez sur OK.
Confirmez le redémarrage des services de certificats Active Directory en cliquant sur Oui.
Patientez pendant le redémarrage des services de certificats Active Directory.
Maintenant, si vous retournez dans l'onglet "Agents de récupération" des propriétés de votre autorité de certification, vous verrez que l'état est "Valide" et que la croix rouge a disparu de l'icône du certificat ajouté.
8. Activer l'archivage des certificats sur le modèle de certificat souhaité
Pour qu'un certificat soit archivé, il faut également que l'archivage de la clé soit activé dans les paramètres du modèle de certificat souhaité.
Pour cela, dans la console "Autorité de certification", faites un clic droit "Gérer" sur le dossier "Modèles de certificats".
Modifiez un de vos modèles de certificats personnalisés (ou dupliquer en un existant).
Dans notre cas, nous allons modifier notre modèle de certificat "Serveur Web v2" créé dans un autre tutoriel en faisant un clic droit "Propriétés" sur celui-ci.
Dans l'onglet "Traitement de la demande", cochez la case "Archiver la clé privée de chiffrement du sujet".
Une fenêtre "Modification de la propriété d'archivage de clé" s'affiche et vous indique que l'archivage des clés n'est pas rétroactif.
En effet, seules les clés des futurs certificats émis en utilisant ce modèle de certificat seront archivées.
Sélectionnez votre autorité de certification et cliquez sur OK.
Maintenant que la case "Archiver la clé privée de chiffrement du sujet" est cochée, cliquez sur OK.
Notez que dans notre cas, notre modèle de certificat personnalisé "Serveur Web v2" fait déjà partie des modèles de certificats à délivrer.
Dans le cas contraire, n'oubliez pas de l'y ajouter en faisant un clic droit "Nouveau -> Modèle de certificat à délivrer" sur le dossier "Modèles de certificats".
9. Demander un nouveau certificat (qui sera automatiquement archivé)
Pour tester l'archivage des clés, nous allons demander un nouveau certificat pour notre serveur web depuis sa console "mmc".
Pour cela, ouvrez une console "mmc" et ajoutez le composant "Certificats" pour l'ordinateur local (étant donné qu'il s'agit d'un certificat pour un serveur web).
Ensuite, faites un clic droit sur le magasin de certificats "Personnel" et cliquez sur : Toutes les tâches -> Demander un nouveau certificat.
Sélectionnez votre modèle de certificat (dans notre cas : Serveur Web v2) et cliquez sur : Détails.
Note : si ce modèle de certificat n'apparait pas, assurez-vous que votre compte d'utilisateur, ainsi que le serveur ou l'ordinateur où vous vous trouvez sont autorisés à inscrire des certificats en utilisant ce modèle de certificat.
Cliquez sur le bouton "Propriétés".
Indiquez un nom convivial (si vous le souhaitez), puis cliquez sur OK.
Dans notre cas, nous avons indiqué : Serveur Web IW.
Cliquez sur : Inscription.
Le certificat a été émis (délivré).
Cliquez sur Terminer.
Le certificat émis apparait dans votre magasin de certificats "Personnel".
Partager ce tutoriel
A voir également
-
Windows Server 15/8/2014
WS 2012 / 2012 R2 - Créer une autorité de certification racine d'entreprise
-
Windows Server 22/12/2023
WS 2016 - AD CS - Déployer une infrastructure PKI multi-sites
-
Windows Server 15/9/2023
WS 2016 - AD CS - Qu'est-ce qu'une CA et installer une CA d'entreprise
-
Windows Server 15/12/2023
WS 2016 - AD CS - Résoudre le problème de la CRL expirée sur une CA racine (0x80092013)
Pas de commentaire