Site icon RDR-IT

Autorité de certification autonome Windows Server – Installation et configuration

CA

Présentation

Une autorité de certification (AC) permet de délivrer des certificats pour les sites web interne, les connexions RDS, Ordinateurs, utilisateurs …

L’avantage d’une autorité de certification interne (AC) est de pouvoir générer des certificats. Afin qu’ils soient reconnus, il est nécessaire de déployer le certificat de l’AC sur les ordinateurs.

Certains services Windows requiert des certificats émanant d’une AC pour fonctionner :

Sous Windows, il existe deux types d’AC (résumé) :

Différences entre les deux types d’AC sous Windows Server : 

Dans ce tutoriel, nous allons voir comment mettre en place une autorité de certification autonome.

Installation du rôle AD CS

Depuis le gestionnaire de serveur, cliquer sur Ajouter des rôles des fonctionnalités 1.

Au lancement de l’assistant, cliquer sur Suivant 1.

Choisir Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.

Choisir le serveur 1 et cliquer sur Suivant 2.

Cocher la case Service de certificats Active Directory 1.

Cliquer sur Ajouter des fonctionnalités 1.

Cliquer sur Suivant 1.

Passer la liste des fonctionnalités en cliquant sur Suivant 1.

Cliquer sur Suivant 1, cette page affiche le résume du rôle.

Cocher la case Inscription de l’autorité de certification via le Web 1, ceci permet de faire des demandes de certificat à l’aide d’une interface web.

Confirmer l’ajout des fonctionnalités en cliquant sur le bouton 1>.

Cliquer sur Suivant 1.

Cliquer sur Suivant 1.

Cliquer sur Suivant 1 pour valider les fonctionnalités IIS.

Certaines étapes s’affichent en fonction des composants sélectionnés.

Cliquer sur Installer 1.

Patienter pendant l’installation…

L’installation terminée, cliquer sur Fermer 1.

Le rôle d’autorité de certification est installé, nous allons passer à sa configuration.

Configuration de l’autorité de certification

Dans cette partie nous allons configurer une autorité de certification autonome.

1. Depuis le gestionnaire de serveur, cliquer sur le drapeau 1 puis Configurer les services de certificats Active Directory 2 pour ouvrir l’assistant de configuration.

2. Indiquer un utilisateur membre de groupe Administrateurs local 1 puis cliquer sur Suivant 2.

3. Cocher les services à configurer 1 et cliquer sur Suivant 2.

4. Choisir Autorité de certification autonome 1 et cliquer sur Suivant 2.

5. Type de l’AC, choisir Autorité de certification racine 1 puis cliquer sur Suivant 2.

6. Sélectionner Créer une clé privée 1 et cliquer sur Suivant 2.

7. Si nécessaire modifier les options de chiffrement et cliquer sur Suivant 1.

8. Configurer le nom de l’autorité de certification 1 puis cliquer sur Suivant 2.

9. Configurer la durée de validité de l’autorité (5/10/… ans) 1 puis cliquer sur Suivant 2.

10. Spécifier l’emplacement des données de la AC 1 et cliquer sur Suivant 2.

11. Cliquer sur Configurer 1 pour lancer la création de l’autorité de certification.

12. Patienter pendant la création de l’AC…

13. Une fois terminée, quitter l’assistant en cliquant sur le bouton Fermer 1.

Exporter le certificat racine

Le certificat racine de l’autorité de certification peut être exporté afin être installé sur les équipements (ordinateurs, actif réseau …) qui vont utiliser ou communiquer avec des services utilisant des certificats émis par l’autorité.

1. Ouvrir la console MMC « Certificats » sur le compte Ordinateur local et se placer le magasin Autorités de certification racines de confiance 1.

2. Faire un clic droit sur le certificat de l’autorité 1, Aller sur Toutes les tâches 2 et cliquer sur Exporter 3.

3. Au lancement de l’assistant, cliquer sur Suivant 1.

4. Choisir le format d’export 1 puis cliquer sur Suivant 2.

5. Indiquer l’emplacement où le certificat sera exporté 1 et cliquer sur Suivant 2.

6. Cliquer sur Terminer 1 pour lancer l’export.

7. L’export est terminé, fermer le message en cliquant sur OK 1.

Vous pouvez maintenant déployer le certificat racine sur l’ensemble des postes/serveurs de votre infrastructure. Dans un environnement Active Directory, il est possible de le faire par GPO.

Maintenant que nous avons le certificat racine et que celui-ci est déployé sur l’ensemble du parc, nous allons voir comment génère un certificat.

Génération d’un certificat

La génération d’un certificat avec une autorité de certification autonome se déroule en plusieurs étapes :

Génération du CSR

Il existe plusieurs moyens de générer un CSR, dans ce tutoriel, nous allons le faire avec IIS.

1. Ouvrir une console IIS et cliquer sur Certificats de serveur 1.

2. Dans le menu Actions, cliquer sur Créer une demande de certificat 1.

3. Remplir les informations du certificat 1 puis cliquer sur Suivant 2.

Le nom commun correspond à l’url du certificat.

4. Configurer le chiffrement 1 puis cliquer sur Suivant 2.

5. Entrer l’emplacement de sauvegarde de la demande (CSR) 1 et cliquer sur Terminer 2.

Le CSR est maintenant généré, si vous l’avez fait sur un serveur IIS autre que l’AC, vous devez copier le fichier dessus.

Soumissions de la demande à AC

1. Depuis la console d’administration de l’autorité, faire un clic droit sur l’autorité 1, Toutes les tâches 2 et cliquer sur Soumettre une nouvelle demande 3.

2. Sélectionner le fichier de demande (CSR) 1 et cliquer sur Ouvrir 2.

3. Aller sur le dossier Demande en attente 1 pour voir le certificat en attente 2.

Délivrer le certificat

1. Faire un clic droit sur la demande 1 et cliquer sur Toutes les tâches 2 / Délivrer 3.

2. Aller sur le dossier Certificats délivrés 1 et faire un double clic sur le certificat 2.

3. Aller sur l’onglet Détails 1 et cliquer sur le bouton Copier dans un fichier… 2.

4. Au lancement de l’assistant cliquer sur Suivant 1.

5. Sélectionner le format d’export 1 puis cliquer sur Suivant 2.

6. Indiquer l’emplacement et le nom du fichier 1 puis cliquer sur le bouton Suivant 2.

7. Cliquer sur Terminer 1 pour fermer l’assistant.

8. Vérifier que le certificat est exporté.

Finalisation de la demande pour obtenir le certificat

1. Aller sur la console IIS / Certificats où la demande a été faite et cliquer sur Terminer la demande de certificat… 1.

2. Sélectionner le certificat généré par l’AC 1, indiquer un nom 2 puis cliquer sur OK 3.

3. Le certificat est disponible 1.

Il est maintenant possible d’exporter le certificat avec sa clef privée

Quitter la version mobile