• Installer et configurer la CA racine et secondaire
• Sécuriser un serveur web IIS

Lorsque vous installez une autorité de certification sous Windows Server, vous pouvez obtenir des certificats manuellement via la console "mmc" ou automatiquement via l'inscription automatique (via les GPOs).
Néanmoins, vous pourrez également installer l'interface web de celle-ci pour pouvoir demander des certificats depuis une interface web.

Notez que celle-ci peut être installée sur le même serveur que votre autorité de certification ou sur un autre serveur.
Néanmoins, dans ce tutoriel, nous l'installerons sur le même serveur que notre autorité de certification pour que ce soit plus simple.

1. Installer l'interface web de votre autorité de certification
2. Interface web de l'autorité de certification installée
3. Créer un modèle de certificat pour sécuriser l'accès à l'interface web de votre CA
4. Demander un certificat pour sécuriser l'interface web de votre autorité de certification
5. Sécuriser l'accès à l'interface web de votre CA en HTTPS
6. Bloquer l'accès non sécurisé (HTTP) de l'interface web de votre CA
7. Demander un certificat pour un serveur web en utilisant cette interface web
8. Sécuriser le nouveau serveur web

1. Installer l'interface web de votre autorité de certification

Pour installer l'interface web de votre autorité de certification, ouvrez le gestionnaire de serveur et cliquez sur : Ajouter des rôles et des fonctionnalités.

Choisissez : Installation basée sur un rôle ou une fonctionnalité.

Sélectionnez le serveur où votre autorité de certification est installée.
Par défaut, il n'y en a qu'un.

Déployez la section "Services de certificats Active Directory" et cochez la case "Inscription de l'autorité de certification via le Web".

L'installation de ce service de rôle des services de certificats Active Directory nécessitera l'installation d'un serveur web (IIS) pour pouvoir accéder à l'interface web de votre autorité de certification.
Acceptez l'ajout de ces fonctionnalités.

Ensuite, cliquez sur Suivant à chaque étape pour utiliser les paramètres par défaut.

Cliquez sur Installer.

Patientez pendant l'installation de la fonctionnalité "Serveur Web (IIS)" requise pour le fonctionnement de l'interface web de votre autorité de certification.

En bas, vous verrez que l'assistant installera aussi le service de rôle "Inscription de l'autorité de certification via le Web" faisant partie du rôle "Services de certificats Active Directory".

Une fois l'installation terminée, cliquez sur le lien "Configurer les services de certificats Active Directory sur le serveur de destination" qui s'affiche.

L'assistant de configuration des services de certificats Active Directory apparaitra.
Cliquez simplement sur Suivant.

Cochez la case "Inscription de l'autorité de certification via le Web" (qui correspond au service de rôle que vous venez d'installer) et cliquez sur Suivant.

Comme vous pouvez le voir, il n'y a aucun paramètre à modifier.
Il suffit de cliquer sur : Configurer.

Le message "Configuration réussie" apparait.
Cliquez sur Fermer.

L'assistant d'ajout de rôles et de fonctionnalités vous indique que les services de rôle Services de certificats Active Directory sont configurés.
Cliquez sur Fermer.

2. Interface web de l'autorité de certification installée

Si vous ouvrez le menu de démarrer de votre serveur, vous verrez que le gestionnaire des services Internet (IIS) est présent.

Dans ce gestionnaire des services Internet (IIS), vous trouverez un site web par défaut (Default Web Site) contenant 2 dossiers :

• CertEnroll : contient les listes de révocations de votre autorité de certification. Celles-ci seront donc aussi accessibles via le protocole HTTP (si cette option est activée dans les propriétés de votre autorité de certification).
• CertSrv : correspond aux scripts ".asp" représentant l'interface web de votre autorité de certification depuis laquelle vous pourrez notamment demander des certificats utilisateurs, des certificats personnalisés (depuis une demande de certificat en base 64) ou télécharger le certificat de l'autorité de certification.

Accédez à l'interface web de votre autorité de certification en tapant l'adresse "http://[nom de domaine du serveur où celle-ci est installée]/certsrv".
Ce qui donne dans notre cas : "http://ca.informatiweb.lan/certsrv".

Comme vous pouvez le voir, par défaut, pour y accéder, vous devrez d'abord vous authentifier.
Connectez-vous avec le compte administrateur du domaine, par exemple. En effet, par défaut, cet utilisateur peut inscrire plusieurs types de certificats grâce aux modèles de certificats pré-installés. Dont, celui pour sécuriser les serveurs web.

Si la configuration de sécurité renforcée d'Internet Explorer est activée, vous devrez cliquer sur "Ajouter" pour accéder à cette interface web.

Note : la configuration de sécurité renforcée d'Internet Explorer peut être facilement désactivée depuis la section "Serveur local" du gestionnaire de serveur.

Ensuite, confirmez l'ajout de ce site web dans la zone "Sites de confiance" d'Internet Explorer.

Ensuite, l'interface web "Services de certificats Microsoft Active Directory -- [nom de votre autorité de certification]" apparaitra.
Comme vous pouvez le voir, grâce à cette interface web, vous pourrez demander des certificats, ainsi que télécharger son certificat.

Cliquez sur le lien : Demander un certificat.

Ensuite, cliquez sur : demande de certificat avancée.

Mais, comme vous pouvez le voir, vous devrez sécuriser l'accès à cette interface web (en utilisant le protocole HTTPS) pour pouvoir demander des certificats via celle-ci.

Plain Text

In order to complete certificate enrollment, the Web site for the CA must be configured to use HTTPS authentication.