Autorité de certification autonome Windows Server - Installation et configuration

Présentation
Installation du rôle AD CS
Configuration de l’autorité de certification
Exporter le certificat racine
Génération d’un certificat

Présentation

Une autorité de certification (AC) permet de délivrer des certificats pour les sites web interne, les connexions RDS, Ordinateurs, utilisateurs …

L’avantage d’une autorité de certification interne (AC) est de pouvoir générer des certificats. Afin qu’ils soient reconnus, il est nécessaire de déployer le certificat de l’AC sur les ordinateurs.

Certains services Windows requiert des certificats émanant d’une AC pour fonctionner :

RemoteApp
Client RDP HTML5

Sous Windows, il existe deux types d’AC (résumé) :

Entreprise : AC lié à un Active Directory qui permet de délivrer des certificats pour les membres du domaine (postes/utilisateurs).
Autonome : AC qui peut être membre ou non d’un domaine qui délivre des certificats générer manuellement. Ce type d’AC est souvent installée lors de la mise en place d’une PKI hiérarchisée.

Différences entre les deux types d’AC sous Windows Server :

Dans ce tutoriel, nous allons voir comment mettre en place une autorité de certification autonome.

Installation du rôle AD CS

Depuis le gestionnaire de serveur, cliquer sur Ajouter des rôles des fonctionnalités 1.

Au lancement de l’assistant, cliquer sur Suivant 1.

Choisir Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.

Choisir le serveur 1 et cliquer sur Suivant 2.

Cocher la case Service de certificats Active Directory 1.

Choisir le rôle Services de certificats Active Directory

Cliquer sur Ajouter des fonctionnalités 1.

Ajouter les fonctionnalités complémentaires

Cliquer sur Suivant 1.

Passer la liste des fonctionnalités en cliquant sur Suivant 1.

Cliquer sur Suivant 1, cette page affiche le résume du rôle.

Cocher la case Inscription de l’autorité de certification via le Web 1, ceci permet de faire des demandes de certificat à l’aide d’une interface web.

Confirmer l’ajout des fonctionnalités en cliquant sur le bouton 1>.

Cliquer sur Suivant 1.

Cliquer sur Suivant 1.

Cliquer sur Suivant 1 pour valider les fonctionnalités IIS.

Certaines étapes s’affichent en fonction des composants sélectionnés.

Cliquer sur Installer 1.

Patienter pendant l’installation…

L’installation terminée, cliquer sur Fermer 1.

Le rôle d’autorité de certification est installé, nous allons passer à sa configuration.

Configuration de l’autorité de certification

Dans cette partie nous allons configurer une autorité de certification autonome.

1. Depuis le gestionnaire de serveur, cliquer sur le drapeau 1 puis Configurer les services de certificats Active Directory 2 pour ouvrir l’assistant de configuration.

2. Indiquer un utilisateur membre de groupe Administrateurs local 1 puis cliquer sur Suivant 2.

3. Cocher les services à configurer 1 et cliquer sur Suivant 2.

4. Choisir Autorité de certification autonome 1 et cliquer sur Suivant 2.

5. Type de l’AC, choisir Autorité de certification racine 1 puis cliquer sur Suivant 2.

6. Sélectionner Créer une clé privée 1 et cliquer sur Suivant 2.

7. Si nécessaire modifier les options de chiffrement et cliquer sur Suivant 1.

8. Configurer le nom de l’autorité de certification 1 puis cliquer sur Suivant 2.

9. Configurer la durée de validité de l’autorité (5/10/… ans) 1 puis cliquer sur Suivant 2.

10. Spécifier l’emplacement des données de la AC 1 et cliquer sur Suivant 2.

11. Cliquer sur Configurer 1 pour lancer la création de l’autorité de certification.

12. Patienter pendant la création de l’AC…

13. Une fois terminée, quitter l’assistant en cliquant sur le bouton Fermer 1.

Exporter le certificat racine

Le certificat racine de l’autorité de certification peut être exporté afin être installé sur les équipements (ordinateurs, actif réseau …) qui vont utiliser ou communiquer avec des services utilisant des certificats émis par l’autorité.

1. Ouvrir la console MMC « Certificats » sur le compte Ordinateur local et se placer le magasin Autorités de certification racines de confiance 1.

2. Faire un clic droit sur le certificat de l’autorité 1, Aller sur Toutes les tâches 2 et cliquer sur Exporter 3.

3. Au lancement de l’assistant, cliquer sur Suivant 1.

4. Choisir le format d’export 1 puis cliquer sur Suivant 2.

5. Indiquer l’emplacement où le certificat sera exporté 1 et cliquer sur Suivant 2.

6. Cliquer sur Terminer 1 pour lancer l’export.

7. L’export est terminé, fermer le message en cliquant sur OK 1.

Vous pouvez maintenant déployer le certificat racine sur l’ensemble des postes/serveurs de votre infrastructure. Dans un environnement Active Directory, il est possible de le faire par GPO.

Maintenant que nous avons le certificat racine et que celui-ci est déployé sur l’ensemble du parc, nous allons voir comment génère un certificat.

Génération d’un certificat

La génération d’un certificat avec une autorité de certification autonome se déroule en plusieurs étapes :

Génération de la demande (Certificat Signing Request).
Soumissions de la demande à AC.
Génération de la réponse.
Finalisation de la demande pour obtenir le certificat.

Génération du CSR

Il existe plusieurs moyens de générer un CSR, dans ce tutoriel, nous allons le faire avec IIS.

1. Ouvrir une console IIS et cliquer sur Certificats de serveur 1.

2. Dans le menu Actions, cliquer sur Créer une demande de certificat 1.

3. Remplir les informations du certificat 1 puis cliquer sur Suivant 2.

Le nom commun correspond à l’url du certificat.

4. Configurer le chiffrement 1 puis cliquer sur Suivant 2.

5. Entrer l’emplacement de sauvegarde de la demande (CSR) 1 et cliquer sur Terminer 2.

Le CSR est maintenant généré, si vous l’avez fait sur un serveur IIS autre que l’AC, vous devez copier le fichier dessus.

Soumissions de la demande à AC

1. Depuis la console d’administration de l’autorité, faire un clic droit sur l’autorité 1, Toutes les tâches 2 et cliquer sur Soumettre une nouvelle demande 3.