Déployer une infrastructure PKI multi-sites sous Windows Server 2016

9. Soumettre les demandes de vos autorités de certification secondaires à votre autorité de certification racine

Transférez les demandes de certificats créées sur vos autorités de certification secondaires d'entreprise sur votre autorité de certification racine autonome grâce à une clé USB (par exemple).
Ensuite, sur votre autorité de certification racine autonome, ouvrez la console "Autorité de certification" et faites un clic droit "Toutes les tâches -> Soumettre une nouvelle demande" sur son nom.

Sélectionnez la demande de certificat de votre 1ère autorité de certification secondaire d'entreprise et cliquez sur Ouvrir.

Ensuite, faites de même avec la demande de certificat de votre 2ème autorité de certification secondaire d'entreprise.

Une fois les demandes de certificats soumises à votre autorité de certification racine autonome, vous devrez les valider manuellement depuis le dossier "Demandes en attente".
Pour cela, faites un clic droit sur une demande de certificat en attente et cliquez sur : Toutes les tâches -> Délivrer.

Une fois que vous aurez validé vos 2 demandes de certificats, vous trouverez les certificats correspondants dans le dossier : Certificats délivrés.
Comme vous pouvez le voir, le modèle de certificat utilisé par ces certificats est "SubCA" (autrement dit : sous CA ou CA secondaire ou CA subalterne).

Si vous faites un double clic sur le 1er certificat, vous verrez qu'il a été délivré à votre 1ère autorité de certification secondaire d'entreprise par votre autorité de certification racine autonome.
Dans notre cas, il s'agit du certificat délivré à notre autorité de certification secondaire de Bruxelles "InformatiWeb Sub CA (Brux)".

Le 2ème certificat est celui de votre 2ème autorité de certification secondaire (subalterne).
Dans notre cas, il s'agit de celle se trouvant à Paris : InformatiWeb Sub CA (Paris).

10. Exporter les certificats de vos autorités de certification secondaires

Pour pouvoir utiliser vos autorités de certification secondaires, vous devrez importer leurs certificats sur celles-ci.
Pour cela, allez dans l'onglet "Détails" du chaque certificat ouvert (comme expliqué précédemment) et cliquez sur le bouton : Copier dans un fichier.

L'assistant d'exportation du certificat apparait.
Sélectionnez "Standard de syntaxe de message cryptographique - Certificats PKCS #7 (.P7B)", cochez la case "Inclure tous les certificats dans le chemin d'accès de certification ..." et cliquez sur Suivant.

Note : vous devez utiliser ce format ".p7b", car c'est celui attendez par la console "Autorité de certification" que vous utiliserez plus tard sur vos autorités de certification secondaires d'entreprise.

Les certificats ont été exportés.

11. Installer les certificats des autorités de certification secondaires d'entreprise

Pour commencer, transférez les certificats exportés depuis votre autorité de certification racine autonome sur vos autorités de certification secondaires d'entreprise.
Ensuite, sur ces autorités secondaires, ouvrez la console "Autorité de certification" et faites un clic droit "Toutes les tâches -> Installer un certificat d'autorité de certification" sur leurs noms.

Sur chaque autorité de certification, sélectionnez le certificat correspondant exporté précédemment au format ".p7b".

Une fois le certificat de votre autorité de certification secondaire installé, faites un clic droit "Toutes les tâches -> Démarrer le service" sur son nom.

Votre autorité de certification secondaire est démarrée et fonctionnelle.

N'oubliez pas d'installer le certificat de votre 2ème autorité de certification secondaire d'entreprise.

Etant donné que l'autorité de certification racine se trouve sur un site physique (dans notre cas : Bruxelles) et que cette 2ème autorité de certification secondaire se trouve sur un autre site physique (dans notre cas : Paris), il se peut que le certificat de votre autorité de certification racine ne soit pas encore arrivé sur votre autorité de certification secondaire.

Pour régler le problème, forcez la réplication des données sur votre infrastructure Active Directory grâce aux objets de connexion visibles via la console "Sites et services Active Directory" ou importez manuellement le certificat de votre autorité de certification racine dans le magasin de certificats "Autorités de certification racines de confiances" de votre autorité de certification secondaire d'entreprise.
Ensuite, ce problème disparaitra.

Plain Text

Le certificat racine n'est pas approuvé. Voulez-vous approuver le certificat racine sur cet ordinateur et terminer l'installation ? Une chaîne de certificats a été traitée mais s'est terminée par un certificat racine qui n'est pas approuvé par le fournisseur d'approbation. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT).

Once the CA certificate is installed, you will need to start this CA.

Pour cela, faites un clic droit "Toutes les tâches -> Démarrer le service" sur son nom ou cliquez sur l'icône "Play".

Votre 2ème autorité de certification secondaire d'entreprise a démarré.

Comme vous pouvez le voir, le certificat de votre 2ème autorité de certification secondaire est valide et a été délivré par votre autorité de certification racine.

Si vous allez dans l'onglet "Chemin d'accès de certification", vous verrez que ce certificat d'autorité de certification secondaire est valide.

Si vous sélectionnez le certificat racine, vous verrez que celui-ci est également valide.

Attention : si le certificat de votre autorité de certificat racine devient invalide (s'il expire, par exemple), le certificat de votre autorité de certification secondaire et ses certificats deviendront également invalides.

Comme vous pouvez le voir, le certificat de votre autorité de certification racine fait partie des autorités de certification racines de confiance de votre autorité de certification secondaire d'entreprise.

Dans votre magasin de certificats "Personnel", vous verrez le certificat de votre autorité de certification secondaire apparaitre.

Comme vous pouvez le voir, maintenant que votre certificat d'autorité de certification secondaire d'entreprise est installé, sa clé privée associée est également présente.