- Windows Server
- AD CS
- 24 novembre 2023 à 13:09
-
- 1/3
Lorsque vous vous trouvez sur un serveur ou un ordinateur à l'intérieur de votre entreprise, les demandes de certificats sont possibles en communiquant en avec un contrôleur de domaine (via le protocole LDAP) et avec l'autorité de certification souhaitée via RPC / DCOM.
Néanmoins, si votre ordinateur n'est pas lié à votre domaine Active Directory (et qu'il se trouve donc dans un groupe de travail) et/ou que celui-ci se trouve actuellement en dehors de votre entreprise, il n'aura pas la possibilité de demander un certificat en utilisant la méthode habituelle.
Pour résoudre ces problèmes, vous avez la possibilité d'installer des serveurs CEP et CES pour permettre à ces clients d'effectuer une demande de certificat depuis l'autorité de certification de votre entreprise en utilisant uniquement le protocole HTTPS.
Ce qui simplifie les choses lorsque le client se trouve en dehors de l'entreprise et qu'il ne peut donc pas utiliser les protocoles habituels : LDAP et RCP / DCOM.
- Créer un modèle de certificat pour le serveur CEP / CES
- Créer un modèle de certificat utilisateur
- Installer les services CEP et CES
- Demander un certificat pour le serveur CEP / CES
- Configurer le serveur CEP / CES
- Exporter le certificat de l'autorité de certification
- Importer le certificat de votre autorité de certification sur le PC client
- Configurer le PC client pour utiliser CEP / CES
- Demander un certificat via le serveur CEP / CES
1. Créer un modèle de certificat pour le serveur CEP / CES
Etant donné que les serveurs CEP / CES utiliseront uniquement le protocole HTTPS, vous aurez besoin d'un certificat SSL pour sécuriser ceux-ci.
Pour cela, sur votre autorité de certification, faites un clic droit "Gérer" sur "Modèles de certificats".
Ensuite, dupliquez le modèle de certificat "Serveur Web".
Indiquez "Serveur Web v2" comme nom de modèle (par exemple).
Dans l'onglet "Traitement de la demande", cochez la case "Autoriser l'exportation de la clé privée".
Dans l'onglet "Sécurité", cliquez sur : Ajouter.
Dans la fenêtre de sélection qui apparait, cliquez sur : Types d'objets.
Cochez la case : des ordinateurs.
Indiquez le nom de votre serveur CEP/CES et cliquez sur OK.
Accordez au moins le droit "Inscrire" à ce serveur pour qu'il puisse demander son certificat plus tard.
Cliquez sur OK.
Maintenant que le nouveau modèle de certificat est créé, n'oubliez pas d'ajouter celui-ci à la liste des modèles de certificats à délivrer.
Sélectionnez le modèle de certificat que vous venez de créer (dans notre cas : Serveur Web v2) et cliquez sur OK.
Le nouveau modèle de certificat à délivrer apparait dans la liste.
2. Créer un modèle de certificat utilisateur
Pour l'exemple, nous délivrerons un certificat à un utilisateur depuis un ordinateur client sous Windows 10 qui ne fait pas partie de notre domaine Active Directory.
Néanmoins, le modèle de certificat utilisé ici est un exemple et vous pourriez utiliser n'importe quel autre modèle de certificat.
Sur votre autorité de certification, faites à nouveau un clic droit "Gérer" sur "Modèles de certificats".
Dupliquez le modèle de certificat utilisateur.
Indiquez "Utilisateur v2" comme nom de modèle (par exemple).
Accordez par exemple le droit "Inscrire" aux utilisateurs authentifiés.
Attention : si l'adresse e-mail de vos utilisateurs n'est pas renseignée dans leurs comptes utilisateurs, vous devrez décocher les cases concernant la messagerie.
Pour cela, dans l'onglet "Nom du sujet", décochez les cases :
- Inclure le nom de compte de messagerie dans le nom du sujet
- Nom de messagerie électronique
Cliquez sur OK.
Le nouveau modèle de certificat créé apparait.
A nouveau, faites un clic droit "Nouveau -> Modèle de certificat à délivrer" sur "Modèles de certificats".
Sélectionnez le nouveau modèle de certificat créé et cliquez sur OK.
3. Installer les services CEP et CES
Sur votre futur serveur CEP / CES, installez les services de certificats Active Directory.
Sélectionnez uniquement les services de rôle :
- Service Web Inscription de certificats (CES)
- Service Web Stratégie d'inscription de certificats (CEP)
Etant donné que CEP / CES permet aux clients d'obtenir des certificats (même depuis l'extérieur de votre entreprise) en utilisant uniquement le protocole HTTPS, le serveur web IIS sera évidemment automatiquement installé sur ce serveur.
Cliquez sur Installer.
Patientez pendant l'installation des services Web d'inscription de certificats.
Une fois l'installation terminée, laissez l'assistant Ajout de rôles et de fonctionnalités ouvert.
Partager ce tutoriel
A voir également
-
Articles 26/1/2024
SafeNet Authentication Client (SAC) - Installation et présentation
-
Windows Server 15/8/2014
WS 2012 / 2012 R2 - Créer une autorité de certification racine d'entreprise
-
Windows Server 17/11/2023
WS 2016 - AD CS - Installer et configurer un serveur NDES (protocole SCEP)
-
Windows Server 8/12/2023
WS 2016 - AD CS - Installer et configurer une CA racine et une CA secondaire
Vous devez être connecté pour pouvoir poster un commentaire