Installer l'interface web d'une autorité de certification (CA) sous Windows Server 2016

3. Créer un modèle de certificat pour sécuriser l'accès à l'interface web de votre CA

Pour commencer, ouvrez la console "Autorité de certification" et faites un clic droit "Gérer" sur "Modèles de certificats".

Ensuite, faites un clic droit "Dupliquer le modèle" sur le modèle de certificat "Serveur Web".

Changez le nom complet du modèle en "Serveur Web Custom" (par exemple).

Dans l'onglet "Sécurité", vous pouvez voir que les administrateurs du domaine (qui comprend le compte "Administrateur") ont les droits :

• Lecture : permet de voir le modèle de certificat
• Inscrire : permet d'inscrire (délivrer) des certificats en utilisant ce modèle de certificat

Pour pouvoir inscrire des certificats à distance (depuis un autre ordinateur ou serveur via la console mmc), vous devez aussi autoriser l'ordinateur ou serveur souhaité à inscrire des certificats.

Pour cela, cliquez sur Ajouter.

Dans notre cas, nous autoriserons simplement tous les ordinateurs du domaine en ajoutant le groupe : Ordinateurs du domaine.

Attention : si vous avez installé votre autorité de certification sur le même serveur que votre contrôleur de domaine (ce qui est fortement déconseillé, mais possible dans le cas d'un lab), vous devrez ajouter votre serveur "CA" dans cet onglet "Sécurité".
En effet, un contrôleur de domaine se trouve dans le groupe "Contrôleurs de domaine" et non "Ordinateurs du domaine".

Accordez les droits "Lecture" et "Inscrire" à ce groupe "Ordinateurs du domaine".

Dans l'onglet "Nom du sujet", laissez l'option "Fournir dans la demande" sélectionnée.
Ce qui vous permettra notamment de générer des certificats en soumettant une demande de signature de certificat personnalisée générée depuis le gestionnaire des services Internet (IIS) plus tard.

Le nouveau modèle de certificat créé apparait.

Pour que ce nouveau modèle de certificat soit disponible pour l'inscription de certificats, vous devez d'abord l'ajouter aux modèles de certificat à délivrer.
Pour cela, faites un clic droit "Nouveau -> Modèle de certificat à délivrer" sur "Modèles de certificats".

Sélectionnez le nouveau modèle de certificat créé et cliquez sur OK.

Le nouveau modèle de certificat créé apparait dans la liste.

4. Demander un certificat pour sécuriser l'interface web de votre autorité de certification

Comme vous l'avez vu précédemment, il n'est pas possible de demander des certificats via l'interface web de votre autorité de certification tant que celle-ci n'utilise pas le protocole HTTPS.
Or, pour utiliser ce protocole sécurisé, vous avez besoin d'un certificat valide.

Vous devrez donc le demander autrement (via la console mmc, par exemple).

Pour commencer, dans le gestionnaire des services Internet (IIS), sélectionnez votre serveur web et faites un double clic sur : Certificats de serveur.

Comme vous pouvez le voir, par défaut, un seul certificat est présent (si vous avez installé l'interface web sur le serveur où votre autorité de certification est installée).
Néanmoins, vous ne pouvez pas utiliser ce certificat pour sécuriser l'interface web de votre autorité de certification, car le modèle de certificat utilisé ne correspond pas à l'utilisation souhaitée. De plus, celui-ci n'est pas valable pour le nom de domaine de votre serveur que vous avez indiqué dans l'URL pour accéder à l'interface web de votre autorité de certification.

Ouvrez une console "mmc" et allez dans : Fichier -> Ajouter/Supprimer un composant logiciel enfichable.

Sélectionnez le composant "Certificats" et cliquez sur : Ajouter.

Sélectionnez "Un compte d'ordinateur" étant donné qu'il s'agira d'un certificat pour votre serveur.

Laissez l'option "L'ordinateur local ..." sélectionnée.

Cliquez sur OK.

Comme vous pouvez le voir, le certificat de votre autorité de certification (ainsi que sa clé privée associée) apparait à nouveau dans le magasin de certificats "Personnel".
Faites un double clic sur ce certificat pour l'afficher.

Si vous allez dans l'onglet "Détails" et que vous sélectionnez le champ "Contraintes de base", vous verrez que le type d'objet est : Autorité de certification.

De plus, si vous sélectionnez le champ "Objet" de ce certificat, vous verrez que le nom commun (CN) de celui-ci correspond au nom de votre autorité de certification.

Le but des impressions d'écrans précédentes est de vous montrer pourquoi vous ne pouvez pas utiliser le certificat présent actuellement dans votre magasin de certificats "Personnel" pour sécuriser l'accès à l'interface web de votre autorité de certification.

Faites un clic droit sur le dossier "Personnel -> Certificats" et cliquez sur : Toutes les tâches -> Demander un nouveau certificat.

Cliquez sur "Suivant" 2 fois pour obtenir la liste des modèles de certificat pour lesquels vous avez le droit d'inscrire des certificats.

Pour que le modèle de certificat créé précédemment apparaisse, il faut que :

• les utilisateurs authentifiés possèdent un droit de "Lecture"
• l'utilisateur avec lequel vous êtes connecté (ou un groupe dont il fait partie) possède les droits "Lecture" et "Inscrire"
• l'ordinateur où vous avez ouvert la console "mmc" doit également posséder les droits "Lecture" et "Inscrire"

Notez que ces autorisations doivent être définies dans l'onglet "Sécurité" du modèle de certificat créé précédemment.
Si vous avez suivi les étapes précédentes correctement, le modèle de certificat personnalisé devrait apparaitre (comme sur l'image ci-dessous).

Sélectionnez ce modèle de certificat et cliquez sur le lien "L'inscription pour obtenir ce certificat nécessite des informations supplémentaires. Cliquez ici pour configurer les paramètres." affiché.
Notez que ce lien apparait parce que nous avons sélectionné l'option "Fournir dans la demande" dans l'onglet "Nom du sujet" du modèle de certificat créé précédemment.

Une fois que vous aurez cliqué sur le lien affiché précédemment, une fenêtre "Propriétés du certificat" apparaitra.

La seule information importante et obligatoire pour pouvoir inscrire un certificat qui sera valide pour l'interface web de votre autorité de certification est le nom commun.
Ce nom commun doit correspond au nom de domaine du serveur où l'interface web de votre autorité de certification est installée.
Dans notre cas : ca.informatiweb.lan.

Pour cela, sélectionnez "Nom commun" pour le type de sujet et indiquez le nom de domaine souhaité (dans notre cas : ca.informatiweb.lan) comme valeur.
Ensuite, cliquez sur le bouton "Ajouter" (au centre).

Le nom commun (CN) apparait à droite.

Pour retrouver plus facilement vos certificats dans le futur, ainsi que dans la section "Certificats de serveur" du gestionnaire des services Internet (IIS), vous pouvez ajouter un nom convivial dans l'onglet "Général".
Cette valeur sera purement indicative pour vous. Vous pouvez donc indiquer ce que vous voulez.
Par contre, celle-ci sera aussi visible côté client si une personne regarde les informations de votre certificat.

Une fois que vous avez indiqué les informations souhaitées, cliquez sur OK.

Ensuite, dans la fenêtre "Inscription de certificats", le lien aura disparu.
Cliquez sur : Inscription.

Patientez pendant l'inscription du certificat (ce qui est plutôt rapide).
Une fois l'inscription du certificat terminée, le statut "Opération réussie" apparaitra.
Cliquez sur Terminer.

Le nouveau certificat demandé apparait.

Comme vous pouvez le voir, ce certificat :

• a été délivré à : nom de domaine du serveur où est installé l'interface web de votre autorité de certification
• a été délivré par : nom de votre autorité de certification
• est prévu pour l'authentification du serveur.

Si vous faites un double clic sur ce nouveau certificat, vous retrouverez les mêmes informations, ainsi que le fait que vous possédez aussi la clé privée associée à ce certificat.
En effet, c'est grâce à cette clé privée que votre serveur web pourra chiffrer sa réponse.

Dans l'onglet "Détails", si vous sélectionnez le champ "Objet", vous verrez que le nom commun (CN) correspond au nom de domaine du serveur où est installée l'interface web de votre autorité de certification.
Autrement dit, le nom de domaine indiqué en tant que nom commun lors de l'inscription de ce certificat.

Si vous sélectionnez le champ "Stratégies d'application", vous verrez que ce certificat est prévu pour l'authentification du serveur.

Tout en bas, vous trouverez le champ "Nom convivial" (si vous l'avez défini précédemment lors de l'inscription du certificat).

Si vous rafraichissez la section "Certificats de serveur" (en appuyant sur F5, par exemple) du gestionnaire des services Internet (IIS), vous verrez que le nouveau certificat apparaitra.