Windows Server 2012 / 2012 R2 - RDS - Déployer une infrastructure RDS (bureaux basés sur des sessions)

Page 5 / 6

7. Obtenir un certificat valide depuis son autorité de certification

Si vous n'avez pas encore créé d'autorité de certification sur votre serveur, installez-la sur votre serveur Active Directory en suivant ceci : Créer une autorité de certification racine d'entreprise (Root CA)

Important : pour que vos postes clients considèrent vos certificats comme des certificats SSL valides, vous devez leur distribuer le certificat de votre autorité.
Pour cela, le plus simple est d'utiliser les stratégies de groupe comme expliqué sur cette page : Distribuer le certificat de l'autorité aux clients de l'Active Directory

Une fois la stratégie créée, n'oubliez pas de mettre à jour la stratégie sur vos postes clients en lançant la commande "gpupdate /force" sur ceux-ci ou en les redémarrant.

7.1. Créer un modèle de certificat pour le serveur RDS

Pour sécuriser votre serveur RDS, vous aurez besoin d'un certificat SSL possédant au moins le rôle "Authentification du serveur".
Cela permettra à vos clients d'authentifier le serveur et donc de s'assurer qu'ils se connectent bien au bon serveur et non au serveur créé par un pirate.

Pour créer un nouveau modèle de certificat, ouvrez le programme "Autorité de certification" (ou certsrv) et faites un clic droit "Gérer" sur "Modèles de certificats".

Dupliquez le modèle "Serveur Web".

Dans l'onglet "Général", indiquez "Certificat RDS" comme nom complet du modèle.

Dans l'onglet "Traitement de la demande", cochez la case : Autoriser l'exportation de la clé privée.

Note : cela vous permettra d'obtenir un certificat au format ".pfx" (p12) qui est requis par l'assistant de gestion des certificats du serveur RDS.

Dans l'onglet "Nom du sujet" :

  • sélectionnez : Construire à partir de ces informations Active Directory
  • format du nom du sujet : Nom commun
  • cochez uniquement la case : Nom DNS

Grâce à ces options, le certificat que vous demanderez depuis votre serveur RDS sera automatiquement valable pour le nom de votre serveur RDS.

Dans l'onglet "Sécurité", autorisez les utilisateurs souhaités à créer des certificats.
Pour cela, autoriser les droits "Inscrire" et "Inscription automatique".

Puis, cliquez sur OK.

Dans votre autorité de certification, faites un clic droit sur "Modèles de certificats" et cliquez sur : Nouveau -> Modèle de certificat à délivrer.

Sélectionnez votre modèle "Certificat RDS" et cliquez sur OK.

7.2. Demander un certificat pour votre serveur RDS

Pour demander un certificat pour votre serveur RDS, allez sur celui-ci et lancez le programme "mmc".
Ensuite, dans le menu "Fichier", cliquez sur "Ajouter/Supprimer un composant logiciel enfichable".

Ajoutez le composant "Certificats".

Sélectionnez "Un compte d'ordinateur".

Laissez l'option "l'ordinateur local" sélectionnée par défaut et cliquez sur Terminer.

Cliquez sur OK.

Dans "Personnel", faites un clic droit sur "Certificats" et cliquez sur : Toutes les tâches -> Demander un nouveau certificat.

La fenêtre "Inscription de certificats" apparait.

Cliquez sur Suivant.

Cochez la case "Certificat RDS" et cliquez sur Inscription.

Patientez pendant l'inscription du certificat.

Maintenant, nous possédons un certificat délivré à notre serveur "RDS.informatiweb.lan" par notre autorité de certification "InformatiWeb CA".

7.3. Exporter le certificat généré

Pour pouvoir sécuriser votre infrastructure RDS avec ce certificat, vous devrez d'abord l'exportation depuis le magasin de certificats de votre serveur.
Pour cela, faites un clic droit "Toutes les tâches -> Exporter" sur celui-ci.

L'assistant d'exportation du certificat apparait.

Etant donné que nous avions autorisé l'exportation de la clé privée, nous pouvons sélectionner l'option "Oui, exporter la clé privée".

Sélectionnez "Echange d'informations personnelles - PKCS #12 (.PFX)" et cliquez sur Suivant.

Indiquez un mot de passe pour sécuriser la clé privée qui sera exportée avec le certificat dans un fichier pfx.

Cliquez sur Parcourir.

Indiquez un nom pour ce fichier : rds-cert.pfx

Cliquez sur Suivant.

Votre certificat a été exporté.