Si vous allez sur votre autorité de certification, vous verrez que 3 nouveaux modèles de certificats ont été créés :
Faites un clic droit "Gérer" sur "Modèles de certificats".
Faites un double clic sur le modèle de certificat "IPSec (demande hors connexion)".
Si vous allez dans l'onglet "Sécurité", vous verrez que le compte de service (dans notre cas : NdesSvc) spécifié lors de la configuration de votre serveur NDES a le droit d'inscrire des certificats en utilisant le modèle.
Par dépendance, il possède aussi le droit de lecture étant donné qu'il fait partie des utilisateurs authentifiés.
Ensuite, vous verrez que les admins du domaine et les administrateurs de l'entreprise possèdent les droits "Lecture", "Ecriture" et "Inscrire" sur les 3 nouveaux modèles de certificats cités précédemment.
Sur votre autorité de certification, vous verrez que 2 certificats basés sur les modèles "Agent d'inscription Exchange (demande hors connexion)" et "Chiffrement CEP" ont été automatiquement délivrés à l'administrateur du domaine.
Pour inscrire des certificats pour vos périphériques réseau en utilisant le protocole SCEP, vous aurez besoin d'un mot de passe temporaire fourni par votre serveur NDES.
Pour obtenir un mot de passe temporaire, accédez à l'adresse "http://[nom de domaine du serveur NDES]/certsrv/mscep_admin" et connectez-vous en tant qu'administrateur du domaine.
La page "Service d'inscription de périphérique réseau" apparait avec :
Attention : comme indiqué sur cette page, ce mot de passe est valable par défaut pendant 60 minutes (1 heure).
Attention : tous les mots de passe générés sont mis en cache et le serveur NDES est configuré pour générer maximum 5 mots de passe.
Une fois ces 5 mots de passe générés, votre serveur affichera l'erreur : La mémoire cache de mots de passe est saturée.
En effet, tant que vous n'aurez pas utilisé au moins un des mots de passe générés mis en cache par votre serveur, cette erreur réapparaitra.
Pour résoudre ce problème, vous devrez :
Dans notre cas, nous avons choisi de redémarrer notre serveur IIS. Ce qui est le plus simple.
Pour cela, ouvrez un invite de commandes et lancez la commande :
Batch
iisreset
Maintenant, votre serveur NDES refonctionne et un nouveau mot de passe apparaitra lorsque vous rafraichirez la page "Service d'inscription de périphérique réseau".
Comme expliqué précédemment, votre serveur NDES est configuré pour générer jusqu'à 5 mots de passe temporaires différents et ceux-ci sont valables pendant 60 minutes.
Ce fonctionnement par défaut peut être modifié en modifiant les paramètres disponibles dans la clé de registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.
Vous pourrez, par exemple, activer ou désactiver l'utilisation de mots de passe temporaires en modifiant le paramètre "EnforcePassword".
1 = utiliser des mots de passe temporaires et 0 = NE PAS utiliser de mots de passe (ce qui est fortement déconseillé).
Vous pourrez également choisir d'utiliser un mot de passe unique grâce au paramètre "UseSinglePassword".
Attention : cela requiert une configuration supplémentaire pour que cela fonctionne.
Dans le dossier "MSCEP", vous pourrez également changer le modèle de certificat utilisé par défaut pour inscrire des certificats pour vos périphériques réseau.
Par défaut, votre serveur NDES inscrira les certificats pour vos périphériques réseau en utilisant le modèle de certificat "IPSec (demande hors connexion)".
Néanmoins, vous pouvez aussi utiliser un modèle de certificat personnalisé pour pouvoir modifier la taille de clé à utiliser et/ou la durée de vie des certificats qui seront générés (par exemple).
Pour cela, sur votre autorité de certification, faites un clic droit "Gérer" sur "Modèles de certificats".
Dupliquez le modèle de certificat "IPSec (demande hors connexion)".
Changer la durée de vie des certificats qui seront générés (par exemple) en modifiant le paramètre "Période de validité" présent dans l'onglet "Général".
Dans l'onglet "Chiffrement", vous verrez que la taille de clé minimale est de 2048.
Néanmoins, il est possible que vos périphériques réseau ne supportent pas cette taille de clé par défaut.
Pour résoudre le problème, vous pourrez par exemple autoriser l'utilisation d'une taille de clé de 1024 au lieu de 2048 en modifiant la valeur "Taille de clé minimale".
Dans l'onglet "Sécurité", vous verrez que le compte de service spécifié lors de la configuration de votre serveur NDES possède le droit "Inscrire".
Ce qui autorise votre serveur NDES à inscrire des certificats en utilisant ce nouveau modèle de certificat.
Cet utilisateur possède aussi le droit "Lecture" grâce au groupe "Utilisateurs authentifiés".
Cliquez sur OK.
Le nouveau modèle de certificat personnalisé apparait dans la liste.
Comme d'habitude, n'oubliez pas d'ajouter le nouveau modèle de certificat créé à la liste des modèles de certificat que votre autorité de certification peut délivrer.
Pour cela, faites un clic droit "Nouveau -> Modèle de certificat à délivrer" sur "Modèles de certificats".
Sélectionnez le nouveau modèle de certificat créé et cliquez sur OK.
Le nouveau modèle de certificat créé apparait dans la liste.
Etant donné qu'il s'agit d'une copie du modèle de certificat d'origine "IPSec (demande hors connexion)".
N'oubliez pas de supprimer le certificat d'origine de cette liste.
Note : cela le retire uniquement de la liste des modèles de certificats à délivrer. Le modèle de certificat en tant que tel ne sera pas supprimé.
Confirmez la suppression de ce modèle de certificat de la liste des modèles de certificat à délivrer.
Le modèle de certificat d'origine disparait de la liste.
Maintenant, pour que votre serveur NDES utilise ce nouveau modèle de certificat, vous devez modifier les données présentes dans la clé de registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.
Comme vous pouvez le voir, il y a 3 données différentes qui indiquent quel modèle de certificat sera utilisé en fonction du but du certificat qui sera inscrit :
Comme vous pouvez le voir, par défaut, un seul modèle de certificat est utilisé dans tous les cas.
Plus précisément, il s'agit du modèle de certificat "IPSec (demande hors connexion)".
Source : Configurer l’infrastructure pour la prise en charge de SCEP avec Intune.
Modifiez la valeur de ces 3 données et indiquez le nom du modèle de certificat créé précédemment.
Dans notre cas : IPSec (demande hors connexion) v2.
Important : lorsque vous modifiez des données dans cette clé de registre "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP", vous devez redémarrer le serveur web de votre serveur NDES pour que les changements soient pris en compte.
Pour cela, ouvrez un invite de commandes et lancez la commande :
Batch
iisreset
Articles 26/1/2024
Windows Server 15/8/2014
Windows Server 2/12/2023
Windows Server 10/11/2023
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Pas de commentaire