Installer et configurer les serveurs CEP et CES pour les demandes de certificats depuis un groupe de travail sous Windows Server 2016

  • Windows Server
  • AD CS
  • 3/3

7. Importer le certificat de votre autorité de certification sur le PC client

Transférez le certificat de votre autorité de certification sur votre PC client et ouvrez une console "mmc".
Dans cette console "mmc", allez dans : Fichier -> Ajouter/Supprimer un composant logiciel enfichable.
Ensuite, ajoutez le composant "Certificats" pour l'ordinateur local.

Comme vous pouvez le voir, votre autorité de certification ne fait pas partie des autorités de certification racines de confiance de votre PC client.

Pour que votre PC client connaisse votre autorité de certification, vous devez importer son certificat dans ce magasin de certificats en faisant un clic droit "Toutes les tâches -> Importer" sur celui-ci.

Dans l'assistant d'importation du certificat qui apparait, cliquez sur "Parcourir" et sélectionnez le certificat de votre autorité de certification.

Etant donné que vous avez fait un clic droit sur le magasin de certificats "Autorités de certification racines de confiance" de votre ordinateur, ce certificat sera importé par défaut dans ce magasin de certificats.

Cliquez sur Terminer.

Le message "L'importation a réussi" apparait.

Le certificat de votre autorité de certification a été importé sur votre PC client.

8. Configurer le PC client pour utiliser CEP / CES

Pour que votre PC client puisse demander un certificat auprès de votre autorité de certification via votre serveur CEP / CES, il a besoin de son adresse.
Pour la trouver, il suffit d'ouvrir le gestionnaire des services Internet (IIS) sur votre serveur CEP / CES et de sélectionner le dossier "ADPolicyProvider_CEP_UsernamePassword" du site web par défaut (Default Web Site).
Ensuite, dans la partie centrale, faites un double clic sur : Paramètres d'application.

Dans la liste des paramètres d'application qui apparait, vous trouverez un paramètre d'application "URI".
Faites un double clic sur celui-ci.

L'adresse de votre serveur CEP / CES apparait.
Copiez cette adresse.

Notez que vous pouvez modifier le nom qui s'affichera sur le PC client pour cette stratégie d'inscription de certificat en modifiant le paramètre d'application "FriendlyName".

Note : ceci est facultatif, mais un avertissement s'affichera lors de la validation de l'URL sur le PC client si cette valeur est vide.

Indiquez par exemple : Inscription certificats via groupe de travail.

Sur votre PC client, modifiez sa stratégie de groupe locale en cherchant le mot clé "groupe".

Notez que vous êtes obligé de configurer ceci manuellement sur ce PC client.
En effet, étant donné que celui-ci n'est pas membre de votre domaine Active Directory, vous ne pouvez pas configurer ce paramètre depuis votre contrôleur de domaine.

L'éditeur de stratégie de groupe locale apparait.
Etant donné que nous souhaitons inscrire un certificat destiné à un utilisateur depuis ce PC client, nous allons dans la section "Configuration utilisateur".
Ensuite, allez dans "Paramètres Windows -> Paramètres de sécurité -> Stratégies de clé publique" et faites un double clic sur la stratégie : Client des services de certificats - Stratégie d'inscription des certificats.

Dans la fenêtre "Propriétés de : Client des services de certificats - ..." qui s'affiche, cliquez sur : Ajouter.

Indiquez l'adresse de votre serveur CEP / CES copiée depuis le gestionnaire de services Internet (IIS) de ce serveur CEP / CES et sélectionnez le type d'authentification "Nom d'utilisateur/mot de passe" choisie lors de la configuration de votre serveur CEP / CES.
Ensuite, cliquez sur le bouton : Valider le serveur.

Une fenêtre d'authentification "Obtention de la stratégie d'inscription des certificats auprès de : [nom de domaine du serveur CEP / CES]" s'affiche.
Indiquez les identifiants du compte d'utilisateur de votre domaine Active Directory pour lequel vous souhaitez inscrire un certificat utilisateur.

Si le message d'erreur ci-dessous apparait, c'est que le certificat de votre autorité de certification ne fait pas partie des autorités de certification racines de confiance de votre PC client.

Plain Text

Une erreur s'est produite lors de l'obtention de la stratégie d'inscription de certificats.

URL : https://.../ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP

Erreur : L'autorité de certificat n'est pas valide ou correcte 0x80072f0d (WinHttp: 12045 ERROR_WINHTTP_SECURE_INVALID_CA)

Sinon, la validation réussira :

Plain Text

L'URI "https://.../ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP" a été validé.

ID d'inscription {...}

Une fois la validation réussie, cliquez sur : Ajouter.

La stratégie d'inscription de certificats souhaitée apparait.

Cochez la case de la stratégie d'inscription de certificats ajoutée et cochez également la case "Désactiver les serveurs de stratégies d'inscriptions configurées par l'utilisateur" pour empêcher l'utilisateur d'en ajouter d'autres manuellement.

9. Demander un certificat via le serveur CEP / CES

Maintenant que le serveur et le PC client sont correctement configurés, vous pouvez demander un certificat depuis votre PC client en ouvrant une simple console "mmc".
Dans cette console "mmc", ajoutez le composant "Certificats" pour l'utilisateur actuel, puis faites un clic droit "Toutes les tâches -> Demander un nouveau certificat" sur votre magasin de certificats "Personnel".

Dans l'assistant d'inscription de certificats qui apparait, vous verrez que votre nouvelle stratégie d'inscription de certificats pour les ordinateurs membres d'un groupe de travail apparait.
Notez que le nom affiché correspond au nom configuré en tant que paramètre d'application "FriendlyName" dans le gestionnaire des services Internet (IIS) de votre serveur CEP / CES.
Si vous cliquez sur la petite flèche, vous pourrez cliquer sur "Propriétés" pour obtenir des informations sur cette stratégie d'inscription de certificats.

Dans la fenêtre "Propriétés du serveur de stratégie d'inscription des certificats" qui s'affiche, vous pourrez également voir l'adresse du serveur correspondant et le type d'authentification utilisé.

Comme prévu, les différents modèles de certificats que vous pouvez inscrire en tant qu'utilisateur du domaine apparaissent.
Dans notre cas, nous avions créé un nouveau de modèle de certificats "Utilisateur v2" pour l'exemple.
Donc, nous le sélectionnons et nous cliquons sur Inscription.

Indiquez les identifiants du compte d'utilisateur Active Directory pour lequel vous souhaitez inscrire ce certificat.

Le certificat a été inscrit.

Comme prévu, le certificat de votre utilisateur apparait dans votre magasin de certificats "Personnel".

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.