Installer et configurer une autorité de certification (CA) racine et une CA secondaire sous Windows Server 2016

9. Soumettre la demande de certificat de l'autorité de certification secondaire à la CA racine

Sur votre autorité de certification racine autonome, ouvrez la console "Autorité de certification" et faites un clic droit "Toutes les tâches -> Soumettre une nouvelle demande" sur son nom.

Sur votre autorité de certification secondaire, copiez le fichier ".req" situé à la racine de sa partition "C".

Collez-le à la racine de la partition "C" de votre autorité de certification racine autonome.

Note : nous utilisons à nouveau les partages administratifs par facilité, mais en production, vous utiliserez une clé USB pour transférer ce fichier étant donné que l'autorité de certification racine autonome est censée rester hors connexion pour des raisons de sécurité.

Sur votre autorité de certification racine autonome, sélectionnez la demande de certificat de votre autorité de certification secondaire dans la fenêtre "Ouvrir un fichier de demande" qui s'est ouverte.

La demande de certificat de votre autorité de certification secondaire d'entreprise apparaitra dans le dossier "Demandes en attente" de votre autorité de certification racine autonome.

Validez cette demande de certificat en faisant un clic droit "Toutes les tâches -> Délivrer" sur celle-ci.

Le certificat de votre autorité de certification secondaire d'entreprise apparait dans le dossier "Certificats délivrés".
Comme vous pouvez, il s'agit d'un certificat basé sur un modèle "SubCA".

10. Exporter le certificat de votre autorité de certification secondaire d'entreprise depuis votre CA racine

Pour pouvoir installer ce certificat sur votre autorité de certification secondaire d'entreprise, vous devrez tout d'abord l'exporter.
Pour cela, faites un double clic sur ce certificat (disponible dans le dossier "Certificats délivrés"), puis allez dans l'onglet "Détails" et cliquez sur : Copier dans un fichier.

L'assistant Exportation du certificat apparait.

Sélectionnez le format "Standard de syntaxe de message cryptographique - Certificats PKCS #7 (.P7B)" et cochez la case "Inclure tous les certificats dans le chemin d'accès de certification, si possible".

Note : le format ".p7b" est celui attendu par votre autorité de certification secondaire lorsque vous souhaiterez importer son certificat d'autorité.

Cliquez sur : Parcourir.

Choisissez où et sous quel nom vous souhaitez enregistrer le certificat de votre autorité de certification secondaire.

Encore une fois, nous utilisons les partages administratifs pour l'enregistrer directement sur le disque dur de notre autorité de certification secondaire.
Néanmoins, en entreprise, vous sauvegarderez ce certificat sur une clé USB branchée à votre autorité de certification racine autonome, puis vous brancherez celle-ci sur votre autorité de certification secondaire.

Le chemin du certificat qui sera exporté apparait.
Cliquez sur Suivant.

Un résumé s'affiche.
Cliquez sur Terminer.

Le message "L'exportation a réussi" apparait.

11. Installer le certificat de votre autorité de certification secondaire d'entreprise

Pour commencer, arrêtez votre autorité de certification racine autonome.

Ensuite, ouvrez la console "Autorité de certification" sur votre autorité de certification secondaire d'entreprise et faites un clic droit "Toutes les tâches -> Installer un certificat d'autorité de certification" sur son nom.

Sélectionnez le certificat de votre autorité de certification secondaire d'entreprise exporté depuis votre autorité de certification racine autonome.

Note : comme vous pouvez le voir, le format attendu pour ce certificat est "PKCS #7 (*.p7b)".

Le message "Chargement des autorités de certification" apparait.

Comme vous pouvez le voir, votre autorité de certification secondaire n'est pas encore démarrée.
D'où le rond noir présent sur l'icône de votre autorité de certification secondaire.

Faites un clic droit sur le nom de votre autorité de certification secondaire et cliquez sur : Toutes les tâches -> Démarrer le service.

Patientez pendant le démarrage des services de certificat Active Directory.

Maintenant, l'icône de votre autorité de certification est devenue verte.

12. Informations de votre autorité de certification secondaire stockée dans Active Directory

Un des avantages d'une autorité de certification secondaire est que celle-ci stocke automatiquement les informations nécessaires dans votre infrastructure Active Directory.
Sur votre contrôleur de domaine, ouvrez la console "Sites et services Active Directory" et allez dans le dossier : Services -> Public Key Services -> AIA.

Comme vous pouvez le voir, votre autorité de certification secondaire a été automatiquement référencée dans ce dossier.

Dans notre cas, nous voyons donc :

• InformatiWeb Root CA : notre autorité de certification racine autonome
• InformatiWeb Sub CA : notre autorité de certification secondaire d'entreprise

Dans le dossier "Certification Authorities", votre autorité de certification secondaire n'apparaitra pas.
En effet, seules les autorités de certification racines sont ajoutées ici.

Dans le dossier "Public Key Services -> CDP -> [nom NETBIOS du serveur où est installée votre autorité secondaire]", vous trouverez les informations de révocation de celle-ci.