- Windows Server
- 13 octobre 2023 à 13:07
-
- 1/2
Bien que vous puissiez inscrire (délivrer) manuellement des certificats à vos serveurs, ordinateurs ou utilisateurs. Vous pouvez aussi le faire automatiquement pour ceux-ci grâce aux stratégies d'inscriptions automatiques disponibles dans les stratégies de groupe (GPO).
- Créer un nouvel utilisateur dans l'Active Directory
- Autoriser l'inscription automatique pour les certificats basés sur le modèle Utilisateur
- Activer l'inscription automatique de certificats pour vos serveurs et ordinateurs
- Activer l'inscription automatique de certificats pour vos utilisateurs
- Certificats délivrés
1. Créer un nouvel utilisateur dans l'Active Directory
Pour commencer, nous allons créer un nouvel utilisateur sur notre contrôleur de domaine Active Directory.
Le nouvel utilisateur créé apparait dans la liste.
Attention : si vous souhaitez utiliser l'inscription automatique de certificats utilisateurs en vous basant sur le modèle de certificat "Utilisateur", il est nécessaire que le champ "Adresse de messagerie" de vos utilisateurs soit défini.
Sinon, le certificat utilisateur ne sera jamais inscrit par vos utilisateurs.
Notez que vous pourriez aussi utiliser l'inscription automatique avec d'autres modèles de certificats (tel que "EFS basique" par exemple, qui ne requiert pas cette modification).
Tout dépend de vos besoins.
Pour l'exemple, nous avons indiqué "[nom de l'utilisateur]@[domaine Active Directory]" comme valeur.
Bien que cette adresse e-mail n'existe pas dans notre cas.
Cette information est importante, car celle-ci se retrouvera dans l'objet du certificat qui sera généré.
2. Autoriser l'inscription automatique pour les certificats basés sur le modèle Utilisateur
Sur le serveur où votre autorité de certification est installée, allez dans le dossier : Modèles de certificats.
Comme vous pouvez le voir, par défaut, plusieurs modèles de certificat peuvent être inscrits (si vous possédez les autorisations nécessaires).
Néanmoins, le modèle de certificat "Utilisateur" visible ici est de version 1 et ne peut pas servir pour l'inscription automatique de certificats utilisateurs (étant donné que cette autorisation n'est pas disponible en version 1).
Pour autoriser l'inscription automatique de certificats Utilisateur, faites un clic droit "Gérer" sur "Modèles de certificats".
Faites un clic droit "Dupliquer le modèle" sur le modèle de certificat "Utilisateur" (qui est par défaut en version 1).
Note : au cas où vous ne le sauriez pas, la duplication d'un modèle de certificat en version 1 sans rien modifier créera automatiquement un modèle de certificat en version 2.
Ce qui vous permettra d'y activer l'inscription automatique.
Dans l'onglet "Général", changez le nom complet du modèle en : Utilisateur v2 (par exemple).
Dans l'onglet "Sécurité", accordez les droits "Inscrire" et "Inscription automatique" pour les utilisateurs du domaine (ou pour les utilisateurs ou groupes pour lesquels vous souhaitez inscrire automatiquement des certificats).
Note : il est important que le groupe "Utilisateurs authentifiés" possède le droit "Lecture" pour que le modèle de certificat soit visible par tous vos utilisateurs.
C'est le cas par défaut, mais il est important de laisser cette autorisation.
Dans l'onglet "Nom du sujet", il n'y a rien à modifier.
Néanmoins, comme vous pouvez le voir, le nom du compte de messagerie électronique sera inclus dans le nom du sujet.
Ce qui explique la nécessité de définir le champ "Adresse de messagerie" des utilisateurs pour lesquels vous souhaitez inscrire automatiquement des certificats utilisateurs.
Le nouveau modèle de certificat créé apparait.
Maintenant que ce nouveau modèle de certificat a été créé et que l'inscription automatique a été autorisée pour celui-ci, faites un clic droit "Nouveau -> Modèle de certificat à délivrer" sur "Modèles de certificats".
Sélectionnez le nouveau modèle de certificat créé (dans notre cas : Utilisateur v2) et cliquez sur OK.
Le nouveau modèle de certificat à délivrer apparait.
3. Activer l'inscription automatique de certificats pour vos serveurs et ordinateurs
Pour activer l'inscription automatique de certificats pour vos serveurs et ordinateurs, vous devez ouvrir la console "Gestion de stratégie de groupe" de votre contrôleur de domaine Active Directory.
Ensuite, allez dans "Domaines -> [nom de votre domaine AD] -> Objets de stratégie de groupe et faites un clic droit "Modifier" sur l'objet GPO "Default Domain Policy" pour modifier la stratégie de groupe appliqué à tous vos ordinateurs, serveurs et utilisateurs.
Allez dans "Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de clé publique" et faites un double clic sur la stratégie : Client des services de certificats - Inscription automatique.
Comme vous pouvez le voir, cette stratégie de groupe (GPO) n'est pas configurée par défaut.
Sélectionnez "Modèle de configuration : Activé" pour activer l'inscription automatique de certificats et cochez les 2 cases :
- Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués
- Mettre à jour les certificats qui utilisent les modèles de certificats : permet de mettre à jour les certificats en effectuant une inscription automatique depuis un nouveau modèle de certificat qui remplacerait l'ancien (le cas échéant).
Comme vous pouvez le voir, grâce à cette stratégie de groupe, les certificats pour vos ordinateurs et serveurs seront automatiquement inscrits (délivrés), renouvelés, supprimés (pour ceux révoqués), mis à jour si vous avez créé un nouveau modèle de certificat remplaçant l'ancien (le cas échéant).
Vous pourrez aussi journaliser les événements d'expiration de ces certificats et afficher une notification d'expiration lorsque la durée de validité du certificat concerné devient inférieure à 10%.
Pour finir, l'option "Magasins supplémentaires ..." vous permet d'activer les notifications pour des magasins de certificats supplémentaires.
Pour qu'un certificat soit inscrit automatiquement (suite à l'activation de la stratégie ci-dessus) pour chacun de vos serveurs et ordinateurs, vous devez spécifier le modèle de certificat à utiliser.
Pour cela, allez dans "Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de clé publique" et faites un clic droit "Nouveau -> Demande automatique de certificat" sur "Paramètres de demande automatique de certificat".
L'assistant Création de demandes automatiques de certificats apparait.
Dans cet assistant, sélectionnez le modèle de certificat à utiliser pour inscrire les certificats pour vos ordinateurs ou serveurs, puis cliquez sur Suivant.
Pour l'exemple, nous allons utiliser le modèle de certificat : Ordinateur.
Notez que le modèle de certificat "Ordinateur" est présent par défaut lorsque vous installez une autorité de certification d'entreprise sous Windows Server et que ce modèle de certificats fait partie, par défaut, des modèles de certificat à délivrer.
Le modèle de certificat sélectionné précédemment apparait à la fin de l'assistant.
Cliquez sur Terminer.
Si vous rentrez dans le dossier "Paramètres de demande automatique de certificat", vous verrez le nom du modèle de certificat à utiliser apparaitre.
Dans notre cas, le modèle de certificat : Ordinateur.
Partager ce tutoriel
A voir également
-
Articles 8/9/2023
A quoi sert et comment fonctionne le chiffrement ?
-
Articles 26/1/2024
SafeNet Authentication Client (SAC) - Installation et présentation
-
Windows Server 19/1/2024
WS 2016 - AD CS - Acheter des cartes à puce et se connecter via celles-ci
-
Windows Server 3/11/2023
WS 2016 - AD CS - Comment fonctionne la révocation et publier une CRL ?
Vous devez être connecté pour pouvoir poster un commentaire