Créer une autorité de certification racine d'entreprise (Root CA PKI) sous Windows Server 2012 / 2012 R2

  • Windows Server
  • AD CS
  • 04 janvier 2015 à 11:57
  • 3/4

Nouveau tutoriel disponible pour Windows Server 2016: WS 2016 - AD CS - Qu'est-ce qu'une CA et installer une CA d'entreprise.

7. Installer l'interface web de l'autorité de certification

Maintenant que votre autorité fonctionne correctement, nous allons configurer le système de révocation de certificats. Ce système vous permet de rendre un certificat invalide, pour une raison ou pour une autre.
Pour le moment, votre autorité de certification publie les liste de révocations, mais uniquement via le protocole LDAP.
Le problème, c'est qu'il n'y a que le serveur qui a accès à l'Active Directory (le LDAP). Pour résoudre ce problème, il suffit de publier ces listes de révocations pour le protocole http (le web).

Attention : Lorsque nous auront configuré ce système de révocation de certificats, vous devrez recréer vos certificats. Pourquoi ? Parce que les liens vers les listes des révocations sont intégrés dans les certificats, lorsqu’ils sont signés par votre autorité de certification.

Pour pouvoir publier les listes de révocations pour le protocole http, nous allons installer la fonctionnalité "Inscription de l'autorité de certification via le Web" du rôle "Services de certificats Active Directory".

A la fin de l'installation, cliquez sur le lien "Configurer les services de certificats Active Directory ...".

Cliquez sur Suivant.

Cochez la case "Inscription de l'autorité de certification via le Web".

L'interface web de l'autorité est installée.

8. Aperçu de l'interface web de l'autorité de certification

L'installation de l'interface web de l'autorité de certification, a créée 2 dossiers dans le site par défaut :
- CertEnroll : Contient les listes de révocations (pour le protocole http et file)
- CertSrv : L'interface web de l'autorité de certification.

Accédez à l'interface web en accédant à cette adresse "https://domaine.ext/CertSrv" et connectez-vous avec le compte Administrateur.

Dans cette interface web, vous pourrez :
- Demander un certificat : En copiant une requête de certificat à faire signer par l'autorité de certification
- Afficher le statut d'une requête de certificat : Ne concerne que l'autorité autonome (donc cela ne nous concerne pas)
- Télécharger un certificat d'autorité de certification ... : Vous permet de télécharger le certificat de votre autorité, la chaine de certificat d'autorités (si vous avez créé une autorité secondaire au lieu d'une autorité racine) et les listes de révocation (celle de base + les listes delta).

Cliquez sur "Télécharger un certificat d'autorité de certification ...".

Confirmez l'accès (s'il vous le demande).

Sur cette page, vous pourrez télécharger le certificat de votre autorité pour l'ajouter dans les autorités de confiances des ordinateurs clients.
Pour cela, lisez ceci : Importer un certificat (d'une autorité de certification racine) dans les certificats de confiance de Windows

Pour le dossier "CertEnroll", sélectionnez-le à gauche puis cliquez sur "Explorer" dans la colonne de droite.

Comme vous pouvez le voir, ce dossier contient :
- La liste de révocation de base (informatiweb-SERVER2012-CA.crl).
- La ou les listes de révocation delta (informatiweb-SERVER2012-CA+.crl). Ce sont les mises à jour de la liste de révocations.
- Un fichier .asp. Il s'agit d'un script créé pour le serveur IIS (ASP .Net étant le langage utilisé avec le serveur IIS).
- Le certificat de votre autorité de certification (server2012.informatiweb.lan_informatiweb).

9. Configuration des protocoles HTTP et File pour les listes de révocations

Pour configurer les protocoles à utiliser pour les listes de révocations, lancez le programme "Autorité de certification" (ou certsrv).
Puis, faites un clic droit sur le nom de votre autorité et cliquez sur "Propriétés".

Comme vous pouvez le voir, par défaut, les listes de révocations de certificats sont accessibles pour le protocole "ldap".

Mais pas pour les protocoles "HTTP" et "File".

Pour régler ce problème, cochez toutes les cases possibles sauf la dernière (car elle n'est pas cochée pour le protocole ldap).

Idem pour le protocole "File".

Ensuite, sélectionnez "Accès aux informations de l'autorité (AIA)". Comme vous pouvez le voir, les informations de l'autorité de certification sont accessibles via le protocole ldap mais pas pour les autres.
L'accès à ces informations permet aux clients, de savoir si l'autorité est valide (dates de validité, ...).

Cochez la case "Inclure dans l'extension AIA des certificats émis" pour les protocoles "http" et "file".
Puis, cliquez sur "OK".

L'autorité doit être redémarrée. Cliquez sur Oui.

A voir également

Commentaires

Afficher les 14 commentaires

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.