Utilisation d’une autorité de certification d’entreprise
Dans l’outil d’administration Server Manager, sélectionnez le noeud Rôles et cliquez sur le lien Ajouter un rôle
Dans l’assistant, sélectionnez le rôle Active Directory Certificate Services.
Ajoutez le rôle de service Certification Authority Web Enrollment et validez la demande d’ajout des composants IIS prérequis.
Vérifiez que les paramètres d’installation suivants sont bien sélectionnés :
· CA Type : Root CA
· Private Key : Create a new private key
· Cryptography : Laissez par defaut
· CA Name : MONDOMAINE-ROOT-CA
· Laisser les autres paramètres non indiqués ici en valeur par défaut.
Lancer la console de gestion de IIS.
Vérifier la présence du répertoire virtuel sous le site par défaut, nommé Certsrv.
En se connectant sur l’url https://localhost/certsrv faire la demande puis l’installation de certificat pour le compte Administrateur ou le compte avec lequel la session est ouverte.
Vérifier dans les options d’Internet Explorer que l’on a bien reçu un certificat utilisateur.
Vérifier en lançant la console Autorité de certification que le serveur a délivré le certificat.
Vérifier dans la console UOAD que le certificat est bien enregistré et associé sur les propriété du compte de l’utilisateur.
Sur le partage du serveur \\localhost\CertEnroll\ récupérer et installer le certificat de l’autorité de certification comme certificat racine de confiance.
Une autre méthode consiste à lancer la console Autorité de certification, puis en allant à la racine de la console sur l’ordinateur local, on fera un clic droit pour aller dans les propriétés.
On a alors sur l’onglet général accès au certificat de l’autorité de certification, et l’on peut l’afficher puis l’exporter dans un fichier.
Créer une gpo qui place le certificat de l’AC comme certificat racine de confiance sur l’ensemble de postes du domaine.
Ouvrez la mmc "Autorité de certification" puis faites un clic droit sur Modèles de certificats puis Gérer. La console de gestion des modèles va alors s'ouvrir. Faites un clic droit sur le modèle Utilisateur et dupliquer le modèle.
On choisit des modèles compatibles Windows 2003 pour avoir le maximum de compatibilité.
Sur l’onglet sécurité des permissions de certificats, on va autoriser les utilisateurs du domaine à s’inscrire automatiquement.
On termine la création du modèle de certificat et on retourne sur la console Autorité de certification.
Faites un clic droit sur Modèles de certificats, Nouveau, Modèle de certificat à délivrer et on choisit le nouveau modèle de certificat à délivrer.
Pour conclure on crée une gpo nommé « activation inscription ».
Aller dans Configuration utilisateur, Stratégies, Paramètres Windows, Stratégies de clé publique puis ouvrir Client des services de certificats - Stratégie d'inscription des certificats.
Il suffira d'activer la stratégie puis de fermer en cliquant sur OK.
NB : Pour fonctionner cette procédure doit travailler sur des comptes utilisateurs qui disposent d’adresse email renseigné dans l’AD. On le remarque d’ailleurs sur le modèle de certificat dans l’onglet nom du sujet.