Comment configurer les services de certificats Microsoft Active Directory [AD CS] – Bien choisir son serveur d impression
Services de certificats Microsoft Active Directory [AD CS] fournit une plate-forme pour l'émission et la gestion de l'infrastructure à clé publique [PKI] certificats. Outre la sécurisation du trafic applicatif et HTTP, les certificats fournis par AD CS peuvent être utilisés pour l'authentification des comptes d'ordinateurs, d'utilisateurs ou de périphériques sur un réseau.
Dans cet article, je vais configurer un seul serveur AD CS sur mon domaine et configurer la stratégie de groupe pour inscrire automatiquement mes serveurs. Dans un environnement d’entreprise, vous devez déployer des autorités de certification subordonnées et fermer votre autorité de certification racine pour des raisons de sécurité. Pour plus d'informations sur cette configuration, cliquez ici: Options de conception PKI
Sommaire
Installation du rôle de serveur AD CS:
Ouvrir Gestionnaire de serveur et cliquez Gérer -> Ajouter des rôles et des fonctionnalités:
Cliquez sur Prochain:
Installation basée sur des rôles ou des fonctionnalités devrait être sélectionné puis cliquez sur Prochain:
Sélectionnez le serveur sur lequel vous souhaitez installer ce rôle puis cliquez sur Prochain:
Sélectionner Services de certificats Active Directory puis clique Prochain:
Dans la fenêtre contextuelle, cochez la case. Inclure des outils de gestion puis Ajouter des fonctionnalités:
Cliquez sur Prochain:
Aucune fonctionnalité supplémentaire n'est nécessaire. Cliquez sur Prochain:
Cliquez sur Prochain:
Sélectionnez les services que vous souhaitez activer. Activer au minimum Autorité de certification. Cliquez sur Prochain:
Un redémarrage n'était pas nécessaire. Cliquez sur Installer:
Une fois l'installation terminée, cliquez sur Fermer:
Configuration post-déploiement des AD CS:
Revenir sur Gestionnaire de serveur sous Les notifications cliquez sur le message Configurer les services de certificats Active Directory sur ce serveur:
Sélectionnez un compte d'utilisateur disposant des autorisations en fonction des services de rôle sélectionnés ci-dessus. Cliquez sur Prochain:
Dans mon exemple, je vais configurer le Autorité de certification. Cliquez sur Prochain:
Puisque je suis sur un domaine, je choisirai CA d'entreprise. Cliquez sur Prochain:
Comme c'est mon premier serveur PKI, j'ai choisi CA racine. Cliquez sur Prochain:
Créer une nouvelle clé privée puis clique Prochain:
Entrez vos options cryptographiques puis cliquez sur Prochain:
Remarque: Ne pas sélectionner SHA1 comme il est obsolète par tous les navigateurs et l'authentification Microsoft Server; utilisation SHA256 au lieu.
Les champs doivent être pré-remplis, mais vous pouvez modifier le nom commun si vous le souhaitez. Cliquez sur Prochain:
Entrez une période de validité. C'est la fréquence à laquelle le certificat de l'autorité de certification expirera et devra être renouvelé sur l'autorité de certification secondaire. (le cas échéant).
Prenez note du message: La période de validité configurée pour le certificat de l'autorité de certification doit dépasser la période de validité des certificats qu'il émettra.
Cliquez sur Prochain:
Conseillez de laisser ces valeurs par défaut. Cliquez sur Prochain:
Assurez-vous que le résumé est correct, puis cliquez sur Configurer:
Fini! Cliquez sur Fermer:
Créer un modèle de certificat pour l'authentification du poste de travail et du client:
Cette étape consiste à créer un modèle de certificat qui permettra à vos ordinateurs du domaine de demander des certificats à votre serveur PKI.
Ouvrir Panneau de contrôle ensuite aller à Outils administratifs -> Autorité de certification:
Clic-droit Modèles de certificats puis Gérer:
Faites défiler jusqu'à Authentification du poste de travail, clic droit puis sélectionnez Dupliquer le modèle:
Sur le Onglet Général entrez un nom d'affichage de modèle, puis sélectionnez une période de validité. Cliquez sur les deux options encadrées:
Dans l'onglet Sécurité, ajoutez Domaine informatique car cela donnera la permission à vos ordinateurs de domaine. Cochez les cases pour Lis et Inscription automatique:
Sur le Les extensions onglet clic Politiques d'application puis modifier:
Cliquez sur Ajouter -> Authentification du serveur puis D'accord:
Assurer Authentification du serveur est sélectionné puis cliquez sur D'accord:
Dans l'onglet Nom du sujet, cliquez sur la zone Nom DNS pour ajouter le nom DNS au réseau de stockage du certificat. Cliquez sur Appliquer et D'accord:
Vous allez maintenant avoir un nouveau modèle avec les objectifs prévus de l'authentification du client, l'authentification du serveur. Vous pouvez maintenant fermer le Console de modèles de certificats la fenêtre.
Retour sur le Autorité de certification fenêtre, clic droit Modèle de certification -> Nouveau -> Modèle de certificat à émettre:
Sélectionnez le Modèle de certificat nous avons créé puis cliquez sur D'accord. Le modèle personnalisé doit maintenant apparaître sous Modèles de certificats.
Configurez la stratégie de groupe pour l'inscription automatique des certificats:
Cette étape consiste à créer la stratégie de groupe afin que l'ordinateur demande un certificat à votre serveur PKI.
Sur votre contrôleur de domaine ouvert Panneau de contrôle puis Outils administratifs -> Gestion des politiques de groupe:
Vous pouvez modifier la stratégie de domaine par défaut afin que tous les ordinateurs soient configurés pour demander un certificat à votre infrastructure à clé publique ou vous pouvez créer une stratégie dans une unité d'organisation spécifique. J'ai choisi de créer une nouvelle stratégie pour mon unité d'organisation Serveurs Windows.
Entrez un nom et cliquez D'accord:
Maintenant, faites un clic droit sur la nouvelle politique puis cliquez sur modifier:
Descendre à Politiques de clé publique. Dans le volet droit, faites un clic droit Certificate Services Client – Stratégie d'inscription de certificats puis Propriétés:
Changer le menu déroulant à Activée puis clique Appliquer -> D'accord:
Maintenant un clic droit Certificat Services Client – Inscription automatique puis Propriétés:
Changer le menu déroulant à Activée et cochez les deux cases. Cliquez sur Appliquer puis D'accord. Vous pouvez maintenant quitter le Éditeur de gestion de stratégie de groupe:
Faites un clic droit sur votre politique puis cliquez sur Forcée pour activer la politique:
Cliquez également avec le bouton droit sur l'unité d'organisation, puis cliquez sur Mise à jour de la stratégie de groupe d'accélérer l'obtention de la politique expulsée.
Retour sur votre serveur PKI si vous ouvrez Autorité de certification et allez à Certificats émis vous commencerez à voir que vos ordinateurs ont demandé et obtenu un certificat. Si vous ne voyez rien encore, donnez-lui du temps et actualisez-le plus tard.
Vous avez maintenant un serveur PKI opérationnel dans sa forme la plus simple. Laissez des commentaires ci-dessous si vous avez des problèmes ou des conseils utiles!
Commentaires
Laisser un commentaire