• Sauvegarder et restaurer une CA
• Acheter des cartes à puce et se connecter avec

4. Créer un nouveau modèle de certificat : Connexion par carte à puce

Maintenant que vous possédez un certificat d'agent d'inscription, vous pouvez générer des certificats pour vos utilisateurs.
Pour ce tutoriel, nous simulerons l'inscription de certificats utilisés pour se connecter avec une carte à puce, car il est fréquent qu'un agent d'inscription inscrive des certificats pour les écrire sur les cartes à puces à fournir aux employés d'une entreprise.

Pour cela, dans la console "Autorité de certification", faites un clic droit "Gérer" sur le dossier "Modèles de certificats".

Faites un clic droit "Dupliquer le modèle" sur le modèle de certificat "Connexion par carte à puce".

Indiquez un nom pour ce nouveau modèle de certificat.
Par exemple : Connexion par carte à puce v2.

Dans l'onglet "Sécurité", cliquez sur : Ajouter.

Indiquez le nom de votre agent d'inscription et cliquez sur OK.

Accordez les droits "Lecture" et "Inscrire" à votre agent d'inscription.
En effet, c'est votre agent d'inscription qui inscrira les certificats pour vos utilisateurs.
C'est donc lui qui doit avoir le droit "Inscrire".

Dans l'onglet "Conditions d'émission", vous verrez qu'aucune option n'est configurée par défaut.

Pour que vous puissiez inscrire des certificats pour vos utilisateurs en tant qu'agent d'inscription en utilisant ce modèle de certificat, vous devez configurer les options comme indiqué ci-dessous.
Sinon, une erreur concernant le nombre de signatures autorisées se produira dans la console "mmc".

• Ce nombre de signatures autorisées : 1. En effet, les signatures multiples ne sont pas autorisées.
• Type de stratégie nécessaire dans la signature : Stratégie d'application. Ce qui indique que ceci s'appliquera lors de l'application (demande du certificat).
• Stratégie d'application : Agent de demande de certificat.

Cliquez sur OK.

Votre nouveau modèle de certificat apparait dans la liste.

Comme d'habitude, n'oubliez pas d'ajouter le nouveau modèle de certificat à la liste des modèles de certificats à délivrer.
Pour cela, faites un clic droit "Nouveau -> Modèle de certificat à délivrer" sur le dossier "Modèles de certificats".

Sélectionnez le modèle de certificat "Connexion par carte à puce v2" que vous venez de créer et cliquez sur OK.

Le nouveau modèle de certificat apparait dans la liste des modèles de certificats à délivrer.

5. Demander un certificat : Connexion par carte à puce

Dans notre cas, nous avons créé un utilisateur "InformatiUser".

Pour demander (inscrire) des certificats pour vos utilisateurs en tant qu'agent d'inscription, ouvrez la console "mmc" sur l'ordinateur ou serveur où vous êtes connecté en tant qu'agent d'inscription et ajoutez le composant "Certificats" pour l'utilisateur actuel.
Ensuite, faites un clic droit "Toutes les tâches -> Opérations avancées -> Inscrire au nom de ..." sur le magasin de certificats "Personnel".

A l'étape "Sélectionner un certificat d'agent d'inscription", cliquez sur le bouton "Parcourir".

Confirmez le choix de votre certificat d'agent d'inscription.

Une fois le certificat de signature d'agent d'inscription sélectionné, cliquez sur : Suivant.

Sélectionnez le modèle de certificat "Connexion par carte à puce v2" pour demander un certificat pour un de vos utilisateurs et cliquez sur Suivant.

Si ce modèle de certificat n'apparait pas dans votre cas dans cet assistant "Inscription de certificats", cliquez sur "Afficher tous les modèles" pour obtenir des informations concernant le problème.
En effet, il est possible que l'erreur soit :

Plain Text

Le modèle de certificat nécessite trop de signatures de l'autorité d'inscription. Une seule signature de l'autorité d'inscription est autorisée.
Des signatures d'agent de demande multiples ne sont pas autorisées sur une demande de certificat.

Pour régler ce problème, allez dans l'onglet "Conditions d'émission" de votre nouveau modèle de certificat "Connexion par carte à puce v2" et configurez les options comme expliqué précédemment (à l'étape "4. Créer un nouveau modèle de certificat : Connexion par carte à puce").
Ensuite, ce problème ne se produira plus.

Une fois le modèle de certificat "Connexion par carte à puce v2" sélectionné, vous devrez indiquer pour quel utilisateur vous souhaitez inscrire un certificat à son nom.
Pour spécifier un utilisateur, vous devez indiquer son nom d'utilisateur ou : [nom du domaine]\[nom d'utilisateur].

Vous pouvez également sélectionner un utilisateur de votre domaine Active Directory en cliquant sur le bouton "Parcourir".

Par défaut, la recherche s'effectuera sur le serveur ou l'ordinateur local (comme vous pouvez le voir dans la case "A partir de cet emplacement").
Or, nous souhaitons générer un certificat pour un utilisateur de notre domaine Active Directory.
Pour cela, cliquez sur : Emplacements.

Sélectionnez votre domaine Active Directory et cliquez sur OK.

Ensuite, indiquez le nom d'utilisateur de l'utilisateur souhaité et cliquez sur : OK.

L'utilisateur souhaité apparait dans la case "Nom d'utilisateur ou alias" de l'assistant.
Cliquez sur Inscription.

Une fois le certificat inscrit, cliquez sur "Détails", puis sur "Afficher le certificat" (si vous souhaitez).
Sinon, cliquez sur Fermer.

Le nouveau certificat inscrit pour l'utilisateur souhaité apparait dans votre magasin de certificat "Personnel" (donc celui de l'agent d'inscription).

Si vous ouvrez ce nouveau certificat en faisant un double clic sur celui-ci, vous verrez que ce certificat est conçu pour les rôles suivants :

• Garantit votre identité auprès d'un ordinateur distant
• Ouverture de session par carte à puce

Vous verrez également qu'il a été délivré à l'utilisateur souhaité malgré que c'est vous (l'agent d'inscription) qui l'avez demandé.

Si vous allez dans l'onglet "Détails" et que vous sélectionnez le champ "Objet", vous verrez le nom de l'utilisateur (ainsi que son emplacement LDAP) apparaitre.

Si vous sélectionnez le champ "Utilisation avancée de la clé", vous verrez ceci apparaitre :

Plain Text

Ouverture de session par carte à puce (1.3.6.1.4.311.20.2.2)
Authentification du client (1.3.6.1.5.5.7.3.2)