Utilisation d'une autorité de certification d'entreprise
Console de gestion de l'autorité de certification
Lancement de l'outil d'administration : On lance la console Certification Authority
Dans la console, on peut vérifier les certificats émis, en cours d'attente ou refusé.
Vérification des certificats publiés dans l'AD pour un utilisateur
On va d'abord vérifier dans la console de l'Active Directory que le compte Administrator n'a pas de certificat n'a pas de certificat publié dans l'Active Directory. Pour cela on va d'abord passer la console en affichage avancé en cliquant sur le menu View puis sur Advanced
Feature.
On sélectionne le compte Administrator, on va alors dans les propriétés des certificats publiés et on constate l'absence de certificat publié pour cet utilisateur.
Demande de certificat pour un utilisateur
Cette procédure peut être jouée pour n'importe quel utilisateur du domaine Active Directory.
On va d'abord crée une console de gestion des certificats utilisateurs.
On lance le menu Exécuter pour lancer l'outil MMC
Une fois la console vide lancée, on va dans le menu Add/Remove Snap-In pour ajouter des plug-in.
On ajoute alors le snap-in Certificates
On confirme alors l'objectif de la console, la gestion des certificats utilisateur.
On obtient alors la console suivante :
On procèdre alors à la demande d'un certificat utilisateur comme le montre l'écran ci-dessous.
On lit et on clique sur Next
On sélectionne l'autorité de certification indiqué dans la stratégie de l'Active Directory et on clique Next
On choisit un certificat User parmi ceux proposés
On confirme alors la demande de certificat..
La demande s'exécute…
Et aboutie
On vérifie alors le certificat reçu dans le magasin personnel, on a la clef privé pour le certificat.
1
Enfin on vérifie la publication du certificat dans l'Active Directory
Attention le certificat est valable pour l'adresse email indiqué dans l'Active Directory.
Demande de certificat pour sécuriser un site en SSL
Vérification des certificats présents sur le serveur
On vérifie les certificats personnels du serveur IIS.
Pour cela on crée une console de gestion des certificats de l'ordinateur (on procède comme pour la création de la console de gestion des certificats utilisateurs.)
Dans notre cas on a des certificats mais dédiés à l'Active Directory.. Ils ne peuvent me servir pour un site SSL mais ils apparaitront dans la console IIS Manager dans la rubrique Certificats.
A partir de l'écran précédent, on part sur le volet Action de la console et on sélectionne Create Self-Signed Certificate
Dans l'assistant, on peut uniquement déterminer le nom d'affichage du certificat dans la console IIS et le magasin où sera stocké le certificat. ( La durée et les noms d'objet des certificats ne peuvent être déterminé à partir de l'assistant )
La demande génère aussitôt un certificat..
Demande de certificat auprès d'une autorité de certification
On lance l'action Create Certificat Request pour démarrer une demande de certificat
Pour cette demande on peut préciser la longueur de clef, et surtout le common name qui devra correspondre au nom du site utilisé
Une fois la demande préparée il faut l'exporter dans un fichier request
Récupération du certificat signé par utilisation du site d'enrollement des certificats
On lancer le site à partir de son adresse…
On démarre un Advanced Certificat Request
On sélectionne la seconde option car on a un fichier request en base 64
On récupére le corps du fichier request que l'on colle dans la request sur le serveur.
Le site nous délivre alors un fichier cer signé
On retourne alors dans la console Internet Information Manager et on clique sur Complete Certificat Request
On fournit alors les informations pour récupérer le fichier cer produit
A ce stade malgré les refus dans la console d'ingérer le certificat, l'opération va fonctionner.
On devra alors exporter le certificat en pfx.