Autorité de certification autonome Windows Server – Installation et configuration


Windows Server 2012R2 Windows Server 2016 Windows Server 2019

Présentation

Une autorité de certification (AC) permet de délivrer des certificats pour les sites web interne, les connexions RDS, Ordinateurs, utilisateurs …

L’avantage d’une autorité de certification interne (AC) est de pouvoir générer des certificats. Afin qu’ils soient reconnus, il est nécessaire de déployer le certificat de l’AC sur les ordinateurs.

Certains services Windows requiert des certificats émanant d’une AC pour fonctionner :

  • RemoteApp
  • Client RDP HTML5

Sous Windows, il existe deux types d’AC (résumé) :

  • Entreprise : AC lié à un Active Directory qui permet de délivrer des certificats pour les membres du domaine (postes/utilisateurs).
  • Autonome : AC qui peut être membre ou non d’un domaine qui délivre des certificats générer manuellement. Ce type d’AC est souvent installée lors de la mise en place d’une PKI hiérarchisée.

Différences entre les deux types d’AC sous Windows Server : 

Autorité de certification différence

Dans ce tutoriel, nous allons voir comment mettre en place une autorité de certification autonome.

Installation du rôle AD CS

Depuis le gestionnaire de serveur, cliquer sur Ajouter des rôles des fonctionnalités 1.

Gestionnaire de sereur

Au lancement de l’assistant, cliquer sur Suivant 1.

Assistant installation rôle

Choisir Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.

Type d'installation

Choisir le serveur 1 et cliquer sur Suivant 2.

Serveur cible

Cocher la case Service de certificats Active Directory 1.

Choisir le rôle Services de certificats Active Directory

Cliquer sur Ajouter des fonctionnalités 1.

Ajouter les fonctionnalités complémentaires

Cliquer sur Suivant 1.

Passer à l etape suivante

Passer la liste des fonctionnalités en cliquant sur Suivant 1.

Passer les fonctionnalités

Cliquer sur Suivant 1, cette page affiche le résume du rôle.

Résumer du rôle

Cocher la case Inscription de l’autorité de certification via le Web 1, ceci permet de faire des demandes de certificat à l’aide d’une interface web.

Ajout de l'interface web

Confirmer l’ajout des fonctionnalités en cliquant sur le bouton 1>.

Ajout des fonctionnalités IIS

Cliquer sur Suivant 1.

Composants AC

Cliquer sur Suivant 1.

Configuration de IIS

Cliquer sur Suivant 1 pour valider les fonctionnalités IIS.

Composant IIS

Certaines étapes s’affichent en fonction des composants sélectionnés.

Cliquer sur Installer 1.

Confirmer l'installation

Patienter pendant l’installation…

Installation en cours....

L’installation terminée, cliquer sur Fermer 1.

Installation terminée

Le rôle d’autorité de certification est installé, nous allons passer à sa configuration.

Configuration de l’autorité de certification

Dans cette partie nous allons configurer une autorité de certification autonome.

1. Depuis le gestionnaire de serveur, cliquer sur le drapeau 1 puis Configurer les services de certificats Active Directory 2 pour ouvrir l’assistant de configuration.

Configurer autorité de certification

2. Indiquer un utilisateur membre de groupe Administrateurs local 1 puis cliquer sur Suivant 2.

Identifiant

3. Cocher les services à configurer 1 et cliquer sur Suivant 2.

Choisir les services

4. Choisir Autorité de certification autonome 1 et cliquer sur Suivant 2.

Type d'AC

5. Type de l’AC, choisir Autorité de certification racine 1 puis cliquer sur Suivant 2.

Type d'AC

6. Sélectionner Créer une clé privée 1 et cliquer sur Suivant 2.

Création clef privée

7. Si nécessaire modifier les options de chiffrement et cliquer sur Suivant 1.

Configurer le chiffrement

8. Configurer le nom de l’autorité de certification 1 puis cliquer sur Suivant 2.

Configuration de l'AC

9. Configurer la durée de validité de l’autorité (5/10/… ans) 1 puis cliquer sur Suivant 2.

Durée de vie

10. Spécifier l’emplacement des données de la AC 1 et cliquer sur Suivant 2.

Emplacement des fichiers de l'AC

11. Cliquer sur Configurer 1 pour lancer la création de l’autorité de certification.

Lancer la configuration

12. Patienter pendant la création de l’AC…

Configuration en cours...

13. Une fois terminée, quitter l’assistant en cliquant sur le bouton Fermer 1.

Installation terminée

Exporter le certificat racine

Le certificat racine de l’autorité de certification peut être exporté afin être installé sur les équipements (ordinateurs, actif réseau …) qui vont utiliser ou communiquer avec des services utilisant des certificats émis par l’autorité.

1. Ouvrir la console MMC « Certificats » sur le compte Ordinateur local et se placer le magasin Autorités de certification racines de confiance 1.

Console AC

2. Faire un clic droit sur le certificat de l’autorité 1, Aller sur Toutes les tâches 2 et cliquer sur Exporter 3.

Export du certificat

3. Au lancement de l’assistant, cliquer sur Suivant 1.

Assistant export

4. Choisir le format d’export 1 puis cliquer sur Suivant 2.

Format d'export

5. Indiquer l’emplacement où le certificat sera exporté 1 et cliquer sur Suivant 2.

Nom et emplacement

6. Cliquer sur Terminer 1 pour lancer l’export.

Lancer l'export

7. L’export est terminé, fermer le message en cliquant sur OK 1.

export terminé

Vous pouvez maintenant déployer le certificat racine sur l’ensemble des postes/serveurs de votre infrastructure. Dans un environnement Active Directory, il est possible de le faire par GPO.

Maintenant que nous avons le certificat racine et que celui-ci est déployé sur l’ensemble du parc, nous allons voir comment génère un certificat.

Génération d’un certificat

La génération d’un certificat avec une autorité de certification autonome se déroule en plusieurs étapes :

  • Génération de la demande (Certificat Signing Request).
  • Soumissions de la demande à AC.
  • Génération de la réponse.
  • Finalisation de la demande pour obtenir le certificat.

Génération du CSR

Il existe plusieurs moyens de générer un CSR, dans ce tutoriel, nous allons le faire avec IIS.

1. Ouvrir une console IIS et cliquer sur Certificats de serveur 1.

Console IIS

2. Dans le menu Actions, cliquer sur Créer une demande de certificat 1.

Créer une demande

3. Remplir les informations du certificat 1 puis cliquer sur Suivant 2.

Information sur le certificat

Le nom commun correspond à l’url du certificat.

4. Configurer le chiffrement 1 puis cliquer sur Suivant 2.

Chiffrement du certificat

5. Entrer l’emplacement de sauvegarde de la demande (CSR) 1 et cliquer sur Terminer 2.

Emplacement de sauvegarde du csr

Le CSR est maintenant généré, si vous l’avez fait sur un serveur IIS autre que l’AC, vous devez copier le fichier dessus.

Soumissions de la demande à AC

1. Depuis la console d’administration de l’autorité, faire un clic droit sur l’autorité 1, Toutes les tâches 2 et cliquer sur Soumettre une nouvelle demande 3.

Soumettre la demande

2. Sélectionner le fichier de demande (CSR) 1 et cliquer sur Ouvrir 2.

Fichier texte

3. Aller sur le dossier Demande en attente 1 pour voir le certificat en attente 2.

Demande en attente

Délivrer le certificat

1. Faire un clic droit sur la demande 1 et cliquer sur Toutes les tâches 2 / Délivrer 3.

Délivrer le certificat

2. Aller sur le dossier Certificats délivrés 1 et faire un double clic sur le certificat 2.

Liste

3. Aller sur l’onglet Détails 1 et cliquer sur le bouton Copier dans un fichier… 2.

Détail

4. Au lancement de l’assistant cliquer sur Suivant 1.

Export

5. Sélectionner le format d’export 1 puis cliquer sur Suivant 2.

Format à l'export

6. Indiquer l’emplacement et le nom du fichier 1 puis cliquer sur le bouton Suivant 2.

nom et emplacement du fichier

7. Cliquer sur Terminer 1 pour fermer l’assistant.

Lancer l'export

8. Vérifier que le certificat est exporté.

Certificat

Finalisation de la demande pour obtenir le certificat

1. Aller sur la console IIS / Certificats où la demande a été faite et cliquer sur Terminer la demande de certificat… 1.

Console IIS

2. Sélectionner le certificat généré par l’AC 1, indiquer un nom 2 puis cliquer sur OK 3.

Clôture demande

3. Le certificat est disponible 1.

Certificat genere

Il est maintenant possible d’exporter le certificat avec sa clef privée




Laisser un commentaire