Installer et configurer les serveurs CEP et CES pour les demandes de certificats depuis un groupe de travail sous Windows Server 2016
- Windows Server
- 24 novembre 2023 à 13:09
-
- 2/3
4. Demander un certificat pour le serveur CEP / CES
Comme expliqué précédemment, CEP / CES permet d'obtenir des certificats en utilisant le protocole HTTPS.
Etant donné que vous utiliserez le protocole HTTPS, vous aurez besoin d'un certificat SSL pour sécuriser la connexion.
Pour cela, sur votre serveur CEP / CES, ouvrez une console "mmc" et ajoutez le composant "Certificats" pour l'ordinateur local.
Ensuite, faites un clic droit sur le magasin de certificats "Personnel" et cliquez sur : Toutes les tâches -> Demander un nouveau certificat.
Etant donné que votre serveur CEP / CES est lié à votre domaine Active Directory, il connait les informations pour inscrire un certificat depuis votre autorité de certification grâce à la stratégie d'inscription à Active Directory visible ici.
Sélectionnez le modèle de certificat "Serveur Web v2" créé au début de ce tutoriel et cliquez sur le lien "L'inscription pour obtenir ce certificat nécessite des informations supplémentaires" qui est affiché.
Sélectionnez "Type : Nom commun", indiquez le nom de domaine de votre serveur CEP / CES et cliquez sur Ajouter.
Note : si votre serveur CEP / CES doit permettre l'obtention de certificats depuis l'extérieur de votre société, vous utiliserez un nom de domaine public défini sur un serveur DNS disponible sur Internet.
Une fois le nom commun (CN) ajouté, cliquez sur OK.
Maintenant, cliquez sur Inscription.
Le certificat a été inscrit.
Le certificat de votre serveur CEP / CES apparait dans votre magasin de certificats "Personnel".
5. Configurer le serveur CEP / CES
Dans l'assistant Ajout de rôles et de fonctionnalités que vous aviez laissé ouvert sur votre serveur CEP / CES, cliquez sur le lien affiché : Configurer les services de certificats Active Directory sur le serveur de destination.
L'assistant "Configuration des services de certificats Active Directory" apparait.
Cochez les cases :
- Service Web Inscription de certificats (CES)
- Service Web Stratégie d'inscription de certificats (CEP)
Pour savoir quelle autorité de certification ce serveur CEP / CES devra contacter, vous devez cliquer sur : Sélectionner.
Sélectionnez votre autorité de certification et cliquez sur OK.
Une fois votre autorité de certification sélectionnée, cliquez sur Suivant.
Pour le type d'authentification à utiliser pour accéder au service web Inscription de certificats (CES), vous aurez le choix entre :
- Authentification intégrée de Windows
- Authentification du certificat client
- Nom d'utilisateur et mot de passe
Etant donné que ce serveur peut être accessible depuis l'extérieur, vous ne pourrez pas utiliser l'authentification Windows.
Etant donné que votre client ne possède pas encore de certificat, vous ne pourrez pas non plus utiliser l'authentification basée sur un certificat client.
Donc, sélectionnez "Nom d'utilisateur et mot de passe" et cliquez sur Suivant.
Le serveur CES peut fonctionner sous un compte de service, mais cela nécessite quelques paramètres supplémentaires.
Pour simplifier sa configuration, sélectionner : Utiliser l'identité du pool d'applications intégrée.
Un type d'authentification est à nouveau demandé.
Néanmoins, cette fois-ci, cela concerne l'accès au serveur CEP.
Etant donné que notre client ne possède pas encore de certificat, nous ne pouvons pas activer le renouvellement basé sur les clés.
Sélectionnez le certificat qui s'affiche (celui que vous avez demandé précédemment) et cliquez sur Suivant.
Confirmez la configuration de ces services CEP et CES.
Le statut "Configuration réussie" apparait pour ces 2 services web.
Cliquez sur Fermer.
Vous pouvez fermer également l'assistant Ajout de rôles et de fonctionnalités.
6. Exporter le certificat de l'autorité de certification
Pour que votre client puisse demander un certificat depuis votre autorité de certification, il doit connaitre celle-ci.
Néanmoins, étant donné que votre client n'est pas membre de votre domaine Active Directory, celui-ci n'a pas reçu automatiquement le certificat de votre autorité de certification.
Pour résoudre le problème, vous devrez manuellement exporter le certificat de votre autorité de certification et l'importer dans le magasin de certificats "Autorités de certification racines de confiance" sur votre client.
Pour cela, sur votre autorité de certification, faites un clic droit "Propriétés" sur son nom.
Dans l'onglet "Général", cliquez sur : Afficher le certificat.
Dans l'onglet "Détails", cliquez sur "Copier dans un fichier" pour exporter ce certificat.
Sélectionnez le format "X.509 binaire encodé DER (*.cer)" et cliquez sur Suivant.
Enregistrer le certificat au format ".cer".
Cliquez sur Suivant.
Cliquez sur Terminer.
Le certificat a été exporté.
Partager ce tutoriel
A voir également
-
Articles 8/9/2023
A quoi sert et comment fonctionne le chiffrement ?
-
Articles 26/1/2024
SafeNet Authentication Client (SAC) - Installation et présentation
-
Windows Server 19/1/2024
WS 2016 - AD CS - Acheter des cartes à puce et se connecter via celles-ci
-
Windows Server 13/10/2023
WS 2016 - AD CS - Activer et utiliser l'inscription automatique de certificats
Pas de commentaire