Qu'est-ce qu'un modèle de certificat, comment les configurer et en créer de nouveaux sous Windows Server 2016 ?

  • Windows Server
  • AD CS
  • 2/3

5. Créer un nouveau modèle de certificat

Comme expliqué précédemment, pour créer un nouveau modèle de certificat sous Windows Server, vous devrez vous baser sur un modèle de certificat déjà existant.
Bien entendu, vous vous baserez sur un modèle de certificat qui correspond le plus à ce dont vous avez besoin pour devoir modifier le moins de paramètres possible.

Pour cela, faites un clic droit "Gérer" sur "Modèles de certificats".

Ensuite, faites un clic droit "Dupliquer le modèle" sur le modèle de certificat sur lequel vous souhaitez vous baser.
Dans notre cas, nous nous baserons sur le modèle de certificat "Serveur Web" qui est beaucoup utilisé.

Par défaut, le nom du nouveau modèle de certificat sera : Copie du modèle "[nom du modèle source]".

Changez le nom complet de ce nouveau modèle de certificat si vous le souhaitez.
Dans notre cas : Serveur Web v2.
Notez que le nom du modèle sera basé sur le nom complet que vous indiquez.

Si vous souhaitez changer la période de validité ou de renouvellement, rappelez-vous que la période de renouvellement doit commencer après les 80% de la durée de validité du certificat.
Comme expliqué précédemment à l'étape "4. Paramètres des modèles de certificat" de ce tutoriel.

Dans l'onglet "Traitement de la demande", cochez la case "Autoriser l'exportation de la clé privée" si vous le souhaitez pour pouvoir exporter le certificat, ainsi que sa clé privée au format ".pfx" depuis le magasin de certificats "Personnel" où le certificat se trouvera.

Dans l'onglet "Nom du sujet", vous verrez que, par défaut, l'utilisateur devra fournir les informations dans la demande.
Ce qui est pratique si vous générez vos certificats depuis le serveur où l'autorité de certification est installée.

Néanmoins, par sécurité ou par facilité, vous pouvez choisir l'option "Construire à partir de ces informations Active Directory", puis sélectionner :

  • Format du nom du sujet : Nom commun (CN)
  • Inclure cette information dans le nom de substitution du sujet : Nom DNS

Ainsi, lorsque vous demanderez un certificat pour un serveur web installé sur un serveur lié à votre Active Directory, le certificat généré sera automatiquement valide pour le nom complet (nom DNS) de ce serveur.

Dans l'onglet "Extensions", vous verrez que le modèle de certificat "Serveur Web" permet l'authentification du serveur.

Dans l'onglet "Sécurité", vous verrez que le groupe "Admins du domaine" (dont le compte "Administrateur" du domaine fait partie) a le droit d'inscrire des certificats en utilisant ce modèle de certificat.

Vous verrez également que les utilisateurs authentifiés possèdent un droit de lecture.
Ce qui vous permet de voir le modèle de certificat depuis la console "mmc" ou depuis l'interface web de votre autorité de certification (si celle-ci est installée).

Important : si vous souhaitez inscrire (obtenir) un certificat depuis le serveur web que vous souhaitez sécuriser avec un certificat en utilisant la console "mmc", il est nécessaire que votre ordinateur soit également autorisé à inscrire des certificats.
Le droit défini pour votre compte d'utilisateur ne sera pas suffisant.
Pour cela, cliquez sur : Ajouter.

Source : Cannot create new certificates - Microsoft.

Cliquez sur : Avancé (pour trouver facilement des objets de type "Ordinateur" ou "Groupe", par exemple).

Cliquez sur "Rechercher" pour afficher tous les utilisateurs, groupes ou principaux de sécurité intégrés disponibles dans votre domaine Active Directory.
Pour afficher également les ordinateurs, vous devrez ajouter le type d'objet "Ordinateur" en cliquant sur "Types d'objets" (en haut à droite), puis relancer la recherche.

Pour ce tutoriel, nous autoriserons simplement tous les ordinateurs du domaine, par facilité.
Sélectionnez le groupe "Ordinateurs du domaine" et cliquez sur OK.

Le groupe "Ordinateurs du domaine" apparait.
Cliquez sur OK pour l'ajouter au modèle de certificat.

Le groupe "Ordinateurs du domaine" ajouté apparait dans l'onglet "Sécurité" de votre nouveau modèle de certificat.
Sélectionnez-le et accordez-lui les droits : Lecture et Inscrire.

Ensuite, cliquez sur OK pour sauvegarder ce nouveau modèle de certificat.

Le nouveau modèle de certificat créé apparait dans la liste des modèles de certificats de votre autorité de certification.
Néanmoins, celui-ci n'est pas encore visible sur les serveurs et ordinateurs de votre domaine Active Directory.

Pour que ce nouveau modèle de certificat soit visible sur vos autres serveurs et ordinateurs, vous devez ajouter celui-ci aux modèles de certificats à délivrer.
Pour cela, faites un clic droit "Nouveau -> Modèle de certificat à délivrer" sur "Modèles de certificats".

Sélectionnez votre nouveau modèle de certificat (dans notre cas : Serveur Web v2) et cliquez sur OK.

Votre nouveau modèle de certificats apparait.

6. Demander un certificat pour un serveur web (IIS)

Pour ce tutoriel, nous allons demander un certificat pour un serveur web sous Windows Server.

6.1. Installation du serveur web (IIS)

Pour commencer, nous avons installé un nouveau serveur nommé "web" et nous l'avons lié à notre domaine Active Directory.

Ensuite, nous avons installé le rôle "Serveur Web (IIS)" sur celui-ci en laissant tous les paramètres par défaut.

Une fois ce rôle installé, vous trouverez le gestionnaire des services Internet (IIS).

Comme vous pouvez le voir, un site web par défaut a déjà été créé automatiquement lors de l'installation du rôle "Serveur Web (IIS)".

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.