Serveur d'impression

Comment configurer les services de certificats Microsoft Active Directory [AD CS] – Bien choisir son serveur d impression

Par Titanfall , le 6 septembre 2019 - 6 minutes de lecture

Services de certificats Microsoft Active Directory [AD CS] fournit une plate-forme pour l'émission et la gestion de l'infrastructure à clé publique [PKI] certificats. Outre la sécurisation du trafic applicatif et HTTP, les certificats fournis par AD CS peuvent être utilisés pour l'authentification des comptes d'ordinateurs, d'utilisateurs ou de périphériques sur un réseau.

Dans cet article, je vais configurer un seul serveur AD CS sur mon domaine et configurer la stratégie de groupe pour inscrire automatiquement mes serveurs. Dans un environnement d’entreprise, vous devez déployer des autorités de certification subordonnées et fermer votre autorité de certification racine pour des raisons de sécurité. Pour plus d'informations sur cette configuration, cliquez ici: Options de conception PKI

Installation du rôle de serveur AD CS:

Ouvrir Gestionnaire de serveur et cliquez Gérer -> Ajouter des rôles et des fonctionnalités:

ICP 1 - Ajouter des rôles et des fonctionnalités

Cliquez sur Prochain:

ICP 2 - Avant de commencer

Installation basée sur des rôles ou des fonctionnalités devrait être sélectionné puis cliquez sur Prochain:

ICP 3 - Type d'installation

Sélectionnez le serveur sur lequel vous souhaitez installer ce rôle puis cliquez sur Prochain:

PKI 4 - Sélection du serveur

Sélectionner Services de certificats Active Directory puis clique Prochain:

ICP 5 - Sélection du rôle du serveur

Dans la fenêtre contextuelle, cochez la case. Inclure des outils de gestion puis Ajouter des fonctionnalités:

ICP 5-1 - Ajout de la sélection du rôle de serveur

Cliquez sur Prochain:

ICP 5-2 - Confirmation du rôle du serveur

Aucune fonctionnalité supplémentaire n'est nécessaire. Cliquez sur Prochain:

ICP 6 - Caractéristiques

Cliquez sur Prochain:

ICP 7 - AD CS

Sélectionnez les services que vous souhaitez activer. Activer au minimum Autorité de certification. Cliquez sur Prochain:

ICP 8 - Services de rôle

Un redémarrage n'était pas nécessaire. Cliquez sur Installer:

ICP 9 - Confirmation

Une fois l'installation terminée, cliquez sur Fermer:

ICP 10 - Résultats

Configuration post-déploiement des AD CS:

Revenir sur Gestionnaire de serveur sous Les notifications cliquez sur le message Configurer les services de certificats Active Directory sur ce serveur:

PKI 11 - Configuration AD CS requise

Sélectionnez un compte d'utilisateur disposant des autorisations en fonction des services de rôle sélectionnés ci-dessus. Cliquez sur Prochain:

PKI 12 - Informations d'identification de configuration AD CS

Dans mon exemple, je vais configurer le Autorité de certification. Cliquez sur Prochain:

PKI 13 - Services de rôle de configuration AD CS

Puisque je suis sur un domaine, je choisirai CA d'entreprise. Cliquez sur Prochain:

PKI 14 - Type d'installation de configuration AD CS

Comme c'est mon premier serveur PKI, j'ai choisi CA racine. Cliquez sur Prochain:

PKI 15 - Type de CA de configuration AD CS

Créer une nouvelle clé privée puis clique Prochain:

PKI 16 - Clé privée de configuration AD CS

Entrez vos options cryptographiques puis cliquez sur Prochain:

Remarque: Ne pas sélectionner SHA1 comme il est obsolète par tous les navigateurs et l'authentification Microsoft Server; utilisation SHA256 au lieu.

PKI 17 - Cryptographie de configuration AD CS

Les champs doivent être pré-remplis, mais vous pouvez modifier le nom commun si vous le souhaitez. Cliquez sur Prochain:

PKI 18 - Nom de l'autorité de certification de configuration AD CS

Entrez une période de validité. C'est la fréquence à laquelle le certificat de l'autorité de certification expirera et devra être renouvelé sur l'autorité de certification secondaire. (le cas échéant).

Prenez note du message: La période de validité configurée pour le certificat de l'autorité de certification doit dépasser la période de validité des certificats qu'il émettra.

Cliquez sur Prochain:

ICP 19 - Période de validité de la configuration AD CS

Conseillez de laisser ces valeurs par défaut. Cliquez sur Prochain:

PKI 20 - Base de données de certificats de configuration AD CS

Assurez-vous que le résumé est correct, puis cliquez sur Configurer:

PKI 21 - Confirmation de la configuration AD CS

Fini! Cliquez sur Fermer:

PKI 22 - Résultats de la configuration AD CS

Créer un modèle de certificat pour l'authentification du poste de travail et du client:

Cette étape consiste à créer un modèle de certificat qui permettra à vos ordinateurs du domaine de demander des certificats à votre serveur PKI.

Ouvrir Panneau de contrôle ensuite aller à Outils administratifs -> Autorité de certification:

ICP 23 - Autorité de certification

Clic-droit Modèles de certificats puis Gérer:

ICP 24 - Autorité de certification - Gestion des modèles de certificats

Faites défiler jusqu'à Authentification du poste de travail, clic droit puis sélectionnez Dupliquer le modèle:

ICP 25 - Autorité de certification - Modèle dupliqué

Sur le Onglet Général entrez un nom d'affichage de modèle, puis sélectionnez une période de validité. Cliquez sur les deux options encadrées:

ICP 26 - Autorité de certification - Propriétés des modèles

Dans l'onglet Sécurité, ajoutez Domaine informatique car cela donnera la permission à vos ordinateurs de domaine. Cochez les cases pour Lis et Inscription automatique:

ICP 26-1 - Autorité de certification - Propriétés des modèles

Sur le Les extensions onglet clic Politiques d'application puis modifier:

ICP 26-2 - Autorité de certification - Propriétés des modèles

Cliquez sur Ajouter -> Authentification du serveur puis D'accord:

ICP 26-3 - Autorité de certification - Propriétés des modèles

Assurer Authentification du serveur est sélectionné puis cliquez sur D'accord:

ICP 26-4 - Autorité de certification - Propriétés des modèles

Dans l'onglet Nom du sujet, cliquez sur la zone Nom DNS pour ajouter le nom DNS au réseau de stockage du certificat. Cliquez sur Appliquer et D'accord:

ICP 26-5 - Autorité de certification - Propriétés des modèles

Vous allez maintenant avoir un nouveau modèle avec les objectifs prévus de l'authentification du client, l'authentification du serveur. Vous pouvez maintenant fermer le Console de modèles de certificats la fenêtre.

ICP 27 - Autorité de certification - Console de modèles

Retour sur le Autorité de certification fenêtre, clic droit Modèle de certification -> Nouveau -> Modèle de certificat à émettre:

ICP 28 - Autorité de certification - Créer un modèle à émettre

Sélectionnez le Modèle de certificat nous avons créé puis cliquez sur D'accord. Le modèle personnalisé doit maintenant apparaître sous Modèles de certificats.

ICP 29 - Autorité de certification - Activer les modèles de certificats

Configurez la stratégie de groupe pour l'inscription automatique des certificats:

Cette étape consiste à créer la stratégie de groupe afin que l'ordinateur demande un certificat à votre serveur PKI.

Sur votre contrôleur de domaine ouvert Panneau de contrôle puis Outils administratifs -> Gestion des politiques de groupe:

ICP 30 - Gestion des stratégies de groupe

Vous pouvez modifier la stratégie de domaine par défaut afin que tous les ordinateurs soient configurés pour demander un certificat à votre infrastructure à clé publique ou vous pouvez créer une stratégie dans une unité d'organisation spécifique. J'ai choisi de créer une nouvelle stratégie pour mon unité d'organisation Serveurs Windows.

PKI 31 - Stratégie de groupe - Créer un objet de stratégie de groupe

Entrez un nom et cliquez D'accord:

PKI 32 - Stratégie de groupe - Nouvel objet de stratégie de groupe

Maintenant, faites un clic droit sur la nouvelle politique puis cliquez sur modifier:

ICP 33 - Stratégie de groupe - Éditer un objet de stratégie de groupe

Descendre à Politiques de clé publique. Dans le volet droit, faites un clic droit Certificate Services Client – Stratégie d'inscription de certificats puis Propriétés:

ICP 34 - Stratégie de groupe - Stratégies de clé publique

Changer le menu déroulant à Activée puis clique Appliquer -> D'accord:

ICP 36 - Stratégie de groupe - Inscription de certificats

Maintenant un clic droit Certificat Services Client – Inscription automatique puis Propriétés:

ICP 35 - Stratégie de groupe - Propriétés de l'inscription automatique

Changer le menu déroulant à Activée et cochez les deux cases. Cliquez sur Appliquer puis D'accord. Vous pouvez maintenant quitter le Éditeur de gestion de stratégie de groupe:

ICP 37 - Stratégie de groupe - Activer l’inscription de certificats

Faites un clic droit sur votre politique puis cliquez sur Forcée pour activer la politique:

ICP 38 - Stratégie de groupe - Activer le GPO

Cliquez également avec le bouton droit sur l'unité d'organisation, puis cliquez sur Mise à jour de la stratégie de groupe d'accélérer l'obtention de la politique expulsée.

ICP 39 - Stratégie de groupe - Mise à jour de la stratégie de groupe

Retour sur votre serveur PKI si vous ouvrez Autorité de certification et allez à Certificats émis vous commencerez à voir que vos ordinateurs ont demandé et obtenu un certificat. Si vous ne voyez rien encore, donnez-lui du temps et actualisez-le plus tard.

ICP 40 - Des certificats sont émis

Vous avez maintenant un serveur PKI opérationnel dans sa forme la plus simple. Laissez des commentaires ci-dessous si vous avez des problèmes ou des conseils utiles!

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.