Pour que vos clients puissent connaitre l'existence de votre autorité de certification racine autonome, ainsi que de ses listes de révocation, vous avez besoin de publier ces informations dans votre infrastructure Active Directory.
Lorsque vous déployez une autorité de certification d'entreprise, ce processus est automatique étant donné que celle-ci requiert une liaison à un domaine Active Directory.
Néanmoins, ce n'est pas le cas pour l'autorité de certification racine autonome étant donné qu'elle n'a pas connaissance de votre domaine Active Directory.
Sur un de vos contrôleurs de domaine du siège de votre entreprise (dans notre cas : à Bruxelles), ouvrez la console "Sites et services Active Directory" et sélectionnez le noeud racine "Sites et services Active Directory".
Ensuite, ajoutez le noeud "Services" en cliquant sur : Affichage -> Afficher le noeud des services.
Si vous allez dans le dossier "Services -> Public Key Services -> Certification Authorities", vous verrez que celui-ci est vide et que votre autorité de certification racine autonome n'apparait donc pas.
Sur votre autorité de certification racine autonome, exécutez cette commande pour que celle-ci sache à quel endroit de votre domaine Active Directory celle-ci doit stocker ses informations.
Batch
certutil -setreg CA\DSConfigDN CN=Configuration,DC=informatiweb,DC=lan
Ce qui affichera ceci :
Plain Text
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\InformatiWeb Root CA !0028Brux!0029\DSConfigDN: Nouvelle valeur : DSConfigDN REG_SZ = CN=Configuration,DC=informatiweb,DC=lan CertUtil: -setreg La commande s’est terminée correctement. Le service CertSvc devra peut-être être redémarré afin que les changements prennent effet.
Comme indiqué par la commande précédemment, le redémarrage du service "CertSvc" peut être nécessaire.
Pour le redémarrer, utilisez la commande :
Batch
net stop certsvc && net start certsvc
Ce qui affichera ceci :
Plain Text
Le service Services de certificats Active Directory s’arrête. Le service Services de certificats Active Directory a été arrêté. Le service Services de certificats Active Directory démarre. Le service Services de certificats Active Directory a démarré.
Pour vérifier que la 1ère commande a bien été prise en compte, exécutez la commande :
Batch
certutil -getreg CA\DSConfigDN
Ce qui affichera ceci :
Plain Text
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\InformatiWeb Root CA !0028Brux!0029\DSConfigDN: DSConfigDN REG_SZ = CN=Configuration,DC=informatiweb,DC=lan CertUtil: -getreg La commande s’est terminée correctement.
Sur votre autorité de certification racine autonome, lancez la console "Autorité de certification" et faites un clic droit "Propriétés" sur son nom.
Dans la fenêtre de propriétés qui s'affiche, allez dans l'onglet "Extensions" et sélectionnez : Points de distribution de la liste de révocation des certificats (CDP).
Ensuite, sélectionnez le chemin "ldap://..." et cochez uniquement les cases :
Pour les autres chemins (http://... et file://), décochez toutes les cases étant donné que ceux-ci seront inutiles dans ce cas-ci.
En effet, votre autorité de certification racine autonome devra rester hors connexion pour des raisons de sécurité et ces chemins ne seront donc jamais accessibles via le réseau.
Ensuite, sélectionnez "Accès aux informations de l'autorité (AIA)" en haut de la fenêtre et sélectionnez le chemin "ldap://".
Cochez la case "Inclure dans l'extension AIA des certificats émis".
A nouveau, pour les autres chemins (http://... et file://), décochez toutes les cases étant donné que ceux-ci seront inutiles dans ce cas-ci.
Maintenant, la configuration de ces options CDP et AIA permet à votre autorité de certification racine autonome d'indiquer dans les certificats qu'elle émettra que ses informations de révocation (CDP) et ses informations d'autorité (AIA) se trouvent dans votre infrastructure Active Directory.
Cliquez sur OK pour sauvegarder ces nouveaux paramètres.
Confirmez le redémarrage des services de certificats Active Directory en cliquant sur Oui.
Publiez une 1ère liste de révocation (même si celle-ci sera vide pour le moment) et faisant un clic droit "Toutes les tâches -> Publier" sur : Certificats révoqués.
Note : sans cette liste de révocation, les autorités de certifications secondaires ne pourront pas fonctionner, car ils ne pourront pas vérifier la révocation du certificat de votre autorité de certification racine.
Cliquez sur OK pour publier votre liste de révocation des certificats complète (CRL).
Note : comme vous pouvez le voir, vous ne pouvez pas publier de liste de révocation des certificats delta sur une autorité de certification racine autonome.
D'ailleurs, cela n'aurait aucun intérêt étant donné que cette autorité doit rester hors connexion le plus possible pour des raisons de sécurité.
Maintenant que votre autorité de certification racine autonome est configurée pour indiquer à vos clients que ses informations révocation (CDP) et d'autorité (AIA) se trouvent dans votre infrastructure Active Directory, vous devez y publier manuellement ces informations.
Pour cela, récupérez le certificat et la liste de révocation des certificats (CRL) de votre autorité de certification racine autonome dans son dossier "C:\Windows\System32\CertSrv\CertEnroll".
Ensuite, copiez-les sur un de vos contrôleurs de domaine Active Directory pour pouvoir importer ces données dans votre infrastructure Active Directory.
Dans notre cas, nous avons copié les 2 fichiers ci-dessus dans le dossier "C:\Root CA data" de notre contrôleur de domaine situé à Bruxelles.
Pour commencer, importez le certificat de votre autorité de certification racine autonome.
Note : le dernier paramètre "rootca" indique qu'il s'agit d'une autorité de certification racine.
Batch
certutil -dspublish -f "C:\Root CA data\brux-root-ca_InformatiWeb Root CA !0028Brux!0029.crt" rootca
Ce qui affichera ceci :
Plain Text
ldap:///CN=InformatiWeb Root CA !0028Brux!0029,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=informatiweb,DC=lan?cACertificate Certificat a été ajouté au magasin DS. ldap:///CN=InformatiWeb Root CA !0028Brux!0029,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=informatiweb,DC=lan?cACertificate Certificat a été ajouté au magasin DS. CertUtil: -dsPublish La commande s’est terminée correctement.
Ensuite, importez la liste de révocation des certificats de votre autorité de certification racine autonome :
Batch
certutil -dspublish "C:\Root CA data\InformatiWeb Root CA !0028Brux!0029.crl"
Ce qui affichera ceci :
Plain Text
ldap:///CN=InformatiWeb Root CA !0028Brux!0029,CN=brux-root-ca,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=informatiweb,DC=lan?certificateRevocationList?base?objectClass=cRLDistributionPoint?certificateRevocationList Liste de révocation des certificats de base a été ajouté au magasin DS. CertUtil: -dsPublish La commande s’est terminée correctement.
Une fois ces informations importées dans votre infrastructure Active Directory, vous pourrez les voir apparaitre grâce à la console : Sites et services Active Directory.
Comme vous pouvez le voir, votre autorité de certification racine autonome apparait dans le dossier : Services -> Public Key Services -> Certification Authorities.
Vous la verrez également apparaitre dans le dossier : Services -> Public Key Services -> AIA.
Pour sa liste de révocations des certificats (CRL), vous la verrez apparaitre dans le dossier : Services -> Public Key Services -> CDP -> [nom du serveur où la CA racine est installée].
Maintenant que votre autorité de certification racine autonome est installée, configurée et que ses informations sont publiées dans votre infrastructure Active Directory, vous pouvez configurer vos autorités de certification secondaires d'entreprise.
Pour cela, dans l'assistant d'ajout de rôles et de fonctionnalités qui est resté ouvert sur vos serveurs "brux-sub-ca" et "paris-sub-ca", cliquez sur le lien "Configurer les services de certificats Active Directory ..." affiché.
L'assistant "Configuration des services de certificats Active Directory" apparait.
Etant donné que vos serveurs sont membres de votre domaine Active Directory, vous configurerez vos autorités de certifications secondaires d'entreprise avec le compte Administrateur du domaine.
Cochez la case "Autorité de certification" et cliquez sur Suivant.
Sélectionnez "Autorité de certification d'entreprise".
Note : si cette option est grisée, c'est que vous avez oublié de joindre votre serveur à votre domaine Active Directory.
Sélectionnez "Autorité de certification secondaire".
Sélectionnez "Créer une clé privée".
Indiquez un nom pour votre autorité de certification secondaire.
Pour celle de Bruxelles, nous l'avons nommée : InformatiWeb Sub CA (Brux).
Etant donné qu'il s'agit d'une autorité de certification secondaire, son certificat devra être obtenu et signé depuis une autorité de certification parente (en l'occurrence : votre autorité de certification racine autonome).
Néanmoins, étant donné que votre autorité de certification racine autonome doit rester hors connexion, vous ne pourrez pas lui envoyer directement la demande de certificat via cet assistant.
Donc, sélectionnez l'option "Enregistrer une demande de certificat dans un fichier de l'ordinateur cible" et cliquez sur Suivant.
Note : comme vous pouvez le voir, par défaut, la demande de certificat sera créée à la racine de votre partition "C".
Un résumé de la configuration de votre autorité de certificat secondaire (subalterne) d'entreprise apparait.
Cliquez sur : Configurer.
Comme vous pouvez le voir, un message "Configuration réussie avec des avertissements" apparait.
En effet, vous devez d'abord soumettre le fichier de requête de votre future autorité de certification secondaire (subalterne) d'entreprise à votre autorité de certification racine autonome pour pouvoir l'utiliser.
N'oubliez pas de configurer également votre 2ème autorité de certification secondaire d'entreprise sur l'autre site physique.
Dans notre cas, il s'agit de celle de Paris.
A nouveau, vous configurerez cette autorité de certification secondaire d'entreprise avec le compte "Administrateur" du domaine.
Indiquez un nom pour cette 2ème autorité de certification secondaire d'entreprise.
Dans notre cas, celle de Paris s'appellera : InformatiWeb Sub CA (Paris).
A nouveau, un résumé de la configuration de votre 2ème autorité de certification secondaire (subalterne) d'entreprise apparait.
Cliquez sur : Configurer.
A nouveau, un avertissement s'affiche étant donné que vous devez d'abord soumettre la demande de certificat créée à votre autorité de certification racine autonome.
Articles 8/9/2023
Windows Server 29/9/2023
Windows Server 15/9/2023
Windows Server 15/12/2023
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Pas de commentaire