Lorsque vous vous trouvez sur un serveur ou un ordinateur à l'intérieur de votre entreprise, les demandes de certificats sont possibles en communiquant en avec un contrôleur de domaine (via le protocole LDAP) et avec l'autorité de certification souhaitée via RPC / DCOM.
Néanmoins, si votre ordinateur n'est pas lié à votre domaine Active Directory (et qu'il se trouve donc dans un groupe de travail) et/ou que celui-ci se trouve actuellement en dehors de votre entreprise, il n'aura pas la possibilité de demander un certificat en utilisant la méthode habituelle.
Pour résoudre ces problèmes, vous avez la possibilité d'installer des serveurs CEP et CES pour permettre à ces clients d'effectuer une demande de certificat depuis l'autorité de certification de votre entreprise en utilisant uniquement le protocole HTTPS.
Ce qui simplifie les choses lorsque le client se trouve en dehors de l'entreprise et qu'il ne peut donc pas utiliser les protocoles habituels : LDAP et RCP / DCOM.
Etant donné que les serveurs CEP / CES utiliseront uniquement le protocole HTTPS, vous aurez besoin d'un certificat SSL pour sécuriser ceux-ci.
Pour cela, sur votre autorité de certification, faites un clic droit "Gérer" sur "Modèles de certificats".
Ensuite, dupliquez le modèle de certificat "Serveur Web".
Indiquez "Serveur Web v2" comme nom de modèle (par exemple).
Dans l'onglet "Traitement de la demande", cochez la case "Autoriser l'exportation de la clé privée".
Dans l'onglet "Sécurité", cliquez sur : Ajouter.
Dans la fenêtre de sélection qui apparait, cliquez sur : Types d'objets.
Cochez la case : des ordinateurs.
Indiquez le nom de votre serveur CEP/CES et cliquez sur OK.
Accordez au moins le droit "Inscrire" à ce serveur pour qu'il puisse demander son certificat plus tard.
Cliquez sur OK.
Maintenant que le nouveau modèle de certificat est créé, n'oubliez pas d'ajouter celui-ci à la liste des modèles de certificats à délivrer.
Sélectionnez le modèle de certificat que vous venez de créer (dans notre cas : Serveur Web v2) et cliquez sur OK.
Le nouveau modèle de certificat à délivrer apparait dans la liste.
Pour l'exemple, nous délivrerons un certificat à un utilisateur depuis un ordinateur client sous Windows 10 qui ne fait pas partie de notre domaine Active Directory.
Néanmoins, le modèle de certificat utilisé ici est un exemple et vous pourriez utiliser n'importe quel autre modèle de certificat.
Sur votre autorité de certification, faites à nouveau un clic droit "Gérer" sur "Modèles de certificats".
Dupliquez le modèle de certificat utilisateur.
Indiquez "Utilisateur v2" comme nom de modèle (par exemple).
Accordez par exemple le droit "Inscrire" aux utilisateurs authentifiés.
Attention : si l'adresse e-mail de vos utilisateurs n'est pas renseignée dans leurs comptes utilisateurs, vous devrez décocher les cases concernant la messagerie.
Pour cela, dans l'onglet "Nom du sujet", décochez les cases :
Cliquez sur OK.
Le nouveau modèle de certificat créé apparait.
A nouveau, faites un clic droit "Nouveau -> Modèle de certificat à délivrer" sur "Modèles de certificats".
Sélectionnez le nouveau modèle de certificat créé et cliquez sur OK.
Sur votre futur serveur CEP / CES, installez les services de certificats Active Directory.
Sélectionnez uniquement les services de rôle :
Etant donné que CEP / CES permet aux clients d'obtenir des certificats (même depuis l'extérieur de votre entreprise) en utilisant uniquement le protocole HTTPS, le serveur web IIS sera évidemment automatiquement installé sur ce serveur.
Cliquez sur Installer.
Patientez pendant l'installation des services Web d'inscription de certificats.
Une fois l'installation terminée, laissez l'assistant Ajout de rôles et de fonctionnalités ouvert.
Windows Server 5/1/2024
Windows Server 17/11/2023
Windows Server 29/9/2023
Windows Server 15/12/2023
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire