Dans ce tutoriel, nous allons voir comment déployer un certificat sur les ordinateurs et serveurs membres d’un domaine Active Directory à l’aide d’une GPO (Stratégie de groupe).
Quelques cas où vous pouvez avoir besoin de distribuer un certificat à l’aide d’un stratégie de groupe :
- Autorité de certification interne (ADCS)
- Certificat d’appliance Firewall pour le filtrage SSL
- Certificat auto-signé de serveur web / rds
Le déploiement de certificat par stratégie de groupe vous nous permettre d’installer le certificat sur les ordinateurs directement dans le bon magasin de manière centralisé grâce à l’Active Directory.
Exporter le certificat à déployer
Opération à effectuer sur le serveur où est installé le certificat avec la clé privée.
1. Ouvrir la console MMC de gestion de certificat sur l’ordinateur local et aller sur le magasin où est stocké le certificat.
2. Sélectionner le certificat 1, faire un clic droit dessus et aller sur Toutes les tâches 2 > Exporter … 3.
3. A l’ouverture de l’assistant, cliquer sur Suivant 1.
4. Sélectionner Non, ne pas exporter la clé privée 1 puis cliquer sur Suivant 2.
5. Sélectionner un des deux formats X.509 1 et cliquer sur le bouton Suivant 2.
Le certificat doit être avec l’extension .cer
6. Cliquer sur le bouton Parcourir… 1.
7. Choisir le dossier 1, entrer le nom du fichier 2 et appuyer sur Enregistrer 3.
8. Valider le chemin et nom du fichier 1 puis cliquer sur Suivant 2.
9. Cliquer sur le bouton Terminer 1 pour fermer l’assistant.
10. Vérifier la création du fichier.
11. Placer le certificat à un emplacement accessible par votre contrôle de domaine.
Création de la stratégie (GPO) pour déployer un certificat
1. Ouvrir la console de Gestion de stratégie de groupe.
2. Faire un clic droit sur OU 1 puis cliquer sur Créer un objet GPO dans ce domaine, et le lier ici … 2.
3. Nommer la stratégie 1 et cliquer sur OK 2.
4. Faire un clic droit sur la stratégie 1 et cliquer sur Modifier … 2.
5. Aller au paramètre de Autorités de certification racines de confiance 1 qui se trouve dans : Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégie de clé publique. Faite un clic droit 2 et cliquer sur Importer 3.
6. Au lancement de l’assistant cliquer sur Suivant 1.
7. Cliquer sur Parcourir … 1.
8. Aller à l’emplacement du fichier 1, sélectionner le certificat 2 et cliquer sur Ouvrir 3.
9. De retour sur l’assistant cliquer sur Suivant 1.
10. Ne pouvant sélectionner le magasin, cliquer sur Suivant 1.
11. Cliquer Terminer 1 pour importer le certificat.
12. Cliquer sur OK 1 à la confirmation de l’import.
13. Le certificat importé doit s’afficher au niveau des paramètres 1.
14. Paramètres de la stratégie :
Tester le déploiement du certificat
1. Redémarrer un ordinateur où s’applique la stratégie de groupe qui installe le certificat
2. Ouvrir une session sur l’ordinateur.
3. Ouvrir la console MMC de gestion de certificat sur l’ordinateur local et aller sur Autorité de certification racines de confiance 1 et vérifier la présence du certificat 2.
A travers ce tutoriel, on a vu comment déployer un certificat à l’aide d’une GPO, mais aussi comment exporter une certificat depuis le magasin de certificat d’un ordinateur local.