GPO : déployer un certificat

Dans ce tutoriel, nous allons voir comment déployer un certificat sur les ordinateurs et serveurs membres d’un domaine Active Directory à l’aide d’une GPO (Stratégie de groupe).

Quelques cas où vous pouvez avoir besoin de distribuer un certificat à l’aide d’un stratégie de groupe :

  • Autorité de certification interne (ADCS)
  • Certificat d’appliance Firewall pour le filtrage SSL
  • Certificat auto-signé de serveur web / rds

Le déploiement de certificat par stratégie de groupe vous nous permettre d’installer le certificat sur les ordinateurs directement dans le bon magasin de manière centralisé grâce à l’Active Directory.

Exporter le certificat à déployer

Opération à effectuer sur le serveur où est installé le certificat avec la clé privée.

1. Ouvrir la console MMC de gestion de certificat sur l’ordinateur local et aller sur le magasin où est stocké le certificat.

2. Sélectionner le certificat 1, faire un clic droit dessus et aller sur Toutes les tâches 2 > Exporter … 3.

Console MMC certificat

3. A l’ouverture de l’assistant, cliquer sur Suivant 1.

Assistant export

4. Sélectionner Non, ne pas exporter la clé privée 1 puis cliquer sur Suivant 2.

Export sans cle privee

5. Sélectionner un des deux formats X.509 1 et cliquer sur le bouton Suivant 2.

Format du certificat

Le certificat doit être avec l’extension .cer

6. Cliquer sur le bouton Parcourir… 1.

Emplacement export

7. Choisir le dossier 1, entrer le nom du fichier 2 et appuyer sur Enregistrer 3.

Nom du fichier

8. Valider le chemin et nom du fichier 1 puis cliquer sur Suivant 2.

Valider l'emplacement

9. Cliquer sur le bouton Terminer 1 pour fermer l’assistant.

Fermer l'assistant

10. Vérifier la création du fichier.

Certificat exporter

11. Placer le certificat à un emplacement accessible par votre contrôle de domaine.

Emplacement accessible

Création de la stratégie (GPO) pour déployer un certificat

1. Ouvrir la console de Gestion de stratégie de groupe.

2. Faire un clic droit sur OU 1 puis cliquer sur Créer un objet GPO dans ce domaine, et le lier ici … 2.

Nouvelle stratégie pour déployer un certificat

3. Nommer la stratégie 1 et cliquer sur OK 2.

Nom de la stratégie

4. Faire un clic droit sur la stratégie 1 et cliquer sur Modifier … 2.

Editer la stratégie

5. Aller au paramètre de Autorités de certification racines de confiance 1 qui se trouve dans : Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégie de clé publique. Faite un clic droit 2 et cliquer sur Importer 3.

Paramètre pour importer un certificat

6. Au lancement de l’assistant cliquer sur Suivant 1.

Assistant d'importation

7. Cliquer sur Parcourir … 1.

Cliquer sur parcourrir

8. Aller à l’emplacement du fichier 1, sélectionner le certificat 2 et cliquer sur Ouvrir 3.

Sélectionner le fichier

9. De retour sur l’assistant cliquer sur Suivant 1.

Passer à l'étape suivante

10. Ne pouvant sélectionner le magasin, cliquer sur Suivant 1.

Valider le magasin

11. Cliquer Terminer 1 pour importer le certificat.

Fermer l'assistant pour lancer l'import

12. Cliquer sur OK 1 à la confirmation de l’import.

Import réussi

13. Le certificat importé doit s’afficher au niveau des paramètres 1.

Certificat visible

14. Paramètres de la stratégie :

Résumé de la GPO

Tester le déploiement du certificat

1. Redémarrer un ordinateur où s’applique la stratégie de groupe qui installe le certificat

2. Ouvrir une session sur l’ordinateur.

3. Ouvrir la console MMC de gestion de certificat sur l’ordinateur local et aller sur Autorité de certification racines de confiance 1 et vérifier la présence du certificat 2.

Certificat sur le poste client

A travers ce tutoriel, on a vu comment déployer un certificat à l’aide d’une GPO, mais aussi comment exporter une certificat depuis le magasin de certificat d’un ordinateur local.




Laisser un commentaire