Parmi les services de certificats Active Directory (AD CS), vous trouverez le service d'inscription de périphérique réseau (NDES) qui permet d'implémenter le protocole SCEP sur votre PKI Microsoft.
Grâce à ce protocole standard et léger, vous pourrez inscrire des certificats directement depuis vos périphériques réseau compatibles (supportant le protocole SCEP).
Vous trouverez ce protocole SCEP sur les switchs ou routeurs Cisco, par exemple.
Lorsque vous lancerez la configuration du service d'inscription de périphérique réseau (NDES), vous devrez spécifier un compte de service pour celui-ci.
Nous allons donc créer un compte d'utilisateur "NdesSvc" sur notre contrôleur de domaine Active Directory.
Et nous choisissons que le mot de passe n'expire jamais pour cet utilisateur.
L'utilisateur "NdesSvc" a été créé.
Comme vous le verrez plus tard dans l'assistant de configuration de NDES, ce compte de service devra faire partie du groupe local "IIS_IUSRS" de votre futur serveur NDES.
Pour cela, sur votre serveur NDES, ouvrez la console "Gestion de l'ordinateur" (via le menu "Outils" du gestionnaire de serveur, par exemple) et allez dans : Utilisateurs et groupes locaux -> Groupes.
Ensuite, faites un double clic sur le groupe local "IIS_IUSRS".
Dans la fenêtre "Propriétés de : IIS_IUSRS" qui apparait, cliquez sur : Ajouter.
Indiquez le nom de l'utilisateur créé précédemment sur votre contrôleur de domaine Active Directory.
Dans notre cas, il s'agit de l'utilisateur "NdesSvc".
L'utilisateur ajouté apparait.
Cliquez sur OK.
Avant d'installer le service d'inscription de périphérique réseau (NDES) sur votre futur serveur NDES, assurez-vous que le certificat de votre autorité de certification soit présent dans le magasin de certificats "Autorités de certification racines de confiance" de votre serveur.
Sinon, une erreur apparaitra lors de la configuration de NDES et vous devrez désinstaller, puis réinstaller NDES.
Si votre serveur est membre de votre domaine Active Directory, il suffit de forcer la mise à jour de la stratégie de celui-ci.
Batch
gpupdate /force
Ensuite, ouvrez une console "mmc" et ajoutez le composant "Certificats".
Comme prévu, votre autorité de certification fait partie des autorités de certification racines de confiance de votre serveur.
Sur ce serveur, installez le rôle "Services de certificats Active Directory".
Décochez le service de rôle "Autorité de certification" coché par défaut et cochez uniquement la case "Service d'inscription de périphérique réseau".
Pour fournir le protocole SCEP, votre serveur s'appuiera sur IIS.
A la fin de l'assistant, cliquez sur : Installer.
Patientez pendant l'installation des services de certificats Active Directory et du serveur IIS dépendant.
Le service NDES a été installé.
Pour configurer le service d'inscription de périphérique réseau (NDES), cliquez sur le lien "Configurer les services de certificats Active Directory sur le serveur de destination".
L'assistant "Configuration des services de certificats Active Directory" apparait.
Cliquez sur : Suivant.
Cochez la case "Service d'inscription de périphérique réseau" et cliquez sur Suivant.
Comme vous pouvez le voir, pour fonctionner, le service d'inscription de périphérique réseau (NDES) a besoin d'un compte de service et celui-ci doit faire partie du groupe local "IIS_IUSRS".
Ces pré-requis sont déjà remplis si vous avez effectué les manipulations expliquées précédemment.
Choisissez "Spécifier le compte de service (recommandé)" et cliquez sur : Sélectionner.
Indiquez les identifiants du compte d'utilisateur "NdesSvc" créé précédemment.
Si les identifiants sont corrects et que l'utilisateur spécifié fait partie du groupe local "IIS_IUSRS", son nom apparaitra dans la case.
Sinon, une erreur se produira.
Ensuite, vous devrez spécifier l'autorité de certification que ce serveur NDES devra utiliser.
Pour cela, cliquez sur : Sélectionner.
Sélectionnez votre autorité de certification et cliquez sur OK.
Le nom de votre autorité de certification apparait, ainsi que le nom de domaine du serveur où celle-ci est installée.
Par défaut, l'autorité d'inscription (serveur NDES) sera nommée : NDES-MSCEP-RA.
Vous pouvez changer ce nom si vous le souhaitez, ainsi qu'indiquer des informations à propos de celle-ci :
Pour les options de chiffrement, vous pourrez choisir le fournisseur de clé de signature et de chiffrement, ainsi que la taille de clé à utiliser.
Dans notre cas, nous utiliserons une taille de clé de 2048 comme c'est déjà le cas sur notre autorité de certification.
Notez que ceci définit uniquement les options pour les certificats de l'administrateur qui effectuera les demandes de certificats.
En effet, vous pourrez créer un modèle de certificat personnalisé plus tard pour fournir des certificats avec une taille de clé plus faible pour vos périphériques réseau si vous le souhaitez.
Un résumé de la configuration du service d'inscription de périphériques réseau (NDES) apparait.
Cliquez sur Configurer.
Patientez pendant la configuration de ce service d'inscription de périphériques réseau (NDES).
Une fois la configuration terminée, cliquez sur Fermer.
Vous pouvez aussi fermer l'assistant d'ajout de rôles et de fonctionnalités.
Une fois NDES installé et configuré, vous verrez que le gestionnaire des services Internet (IIS) a été installé sur celui-ci.
Dans ce gestionnaire des services Internet (IIS), allez dans "Pools d'applications" et vous verrez qu'un pool d'application "SCEP" a apparu.
Ce qui permet de fournir le protocole du même nom (SCEP).
Windows Server 19/1/2024
Windows Server 13/10/2023
Windows Server 12/1/2024
Windows Server 27/10/2023
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire