Dans ce tutoriel, je vais vous expliquer comment déployer un certificat pour le protocole RDP des serveurs Windows ,qui est émis par une autorité de certification AD CS.
Par défaut, le certificat présenté lors d’une connexion Bureau à distance (RDP) est autosoigné par le serveur, le but va être d’utiliser un certificat qui est émis de façon automatique par une autorité de certification AD CS.
Pour être au plus prêt d’une situation d’entreprise, les serveurs sont membres d’un domaine Active Directory, ce qui va permettre d’automatiser la délivrance des certificats en utilisant une stratégie de groupe (GPO).
Sommaire
Configuration du modèle de certificat pour le protocole RDP
La première étape va être de configurer le modèle de certificat qui va être déployé et appliquer au protocole RDP.
Ouvrir la console d’administration de l’Autorité de certification AD CS.
Aller sur le dossier Modèles de certificats 1.
Faire un clic droit sur Modèles de certificats, puis cliquer sur Gérer 1.
Nous allons utiliser le modèle ordinateur pour les certificats RDP, faire un clic droit sur le modèle Ordinateur et cliquer sur Dupliquer le modèle 1.
Aller sur l’onglet Général, nommer le certificat 1 puis cocher la case Publier le certificat dans Active Directory 2.
Aller sur l’onglet Extensions, sélectionner Stratégies d’application 1 et cliquer sur le bouton Modifier 2.
On va ajouter une stratégie d’application, cliquer sur le bouton Ajouter 1.
La stratégie pour le protocole RDP n’est pas présent par défaut, il faut l’ajouter, cliquer sur le bouton Nouveau 1.
Nommer la stratégie 1, dans le champ Identificateur d’objet saisir : 1.3.6.1.4.1.311.54.1.2 2 puis cliquer sur OK 3.
Sélectionner la stratégie 1 que l’on vient de créer et cliquer sur le bouton OK 2.
La stratégie est ajoutée, sélectionner Authentification du client et Authentification du serveur 1 et cliquer sur le bouton Supprimer 2.
Les stratégies d’application sont configurées, cliquer sur OK 1.
Aller maintenant sur l’onglet Sécurité, sélectionner Ordinateur du domaine 1 et cocher les cases Lecture 2 puis Inscription automatique 3. Terminer la création du modèle en cliquant sur les bouton Appliquer 4 et OK 5.
Le modèle est ajouté, fermer la Console des modèles de certificat.
De retour sur la console de l’autorité de certification AD CS, dans la zone centrale Modèles de certificats, faire un clic droit, aller sur Nouveau 1 puis sur Modèle de certificat à délivrer 2.
Sélectionner le modèle 1 que l’on vient de créer pour le protocole RDP et cliquer sur OK 2 pour l’ajouter.
Le modèle est ajouté aux certificats qui peuvent être délivrés.
GPO pour la demande du certificat et la configuration du protocole RDP
Depuis la console Gestion de stratégie de groupe, faire un clic droit sur Objets de stratégie de groupe et cliquer sur Nouveau 1.
Nommer l’objet 1 et cliquer sur OK 2 pour le créer.
Faire un clic droit sur la GPO que l’on vient de créer et cliquer sur Modifier 1.
Aller à l’emplacement suivant : Configuration ordinateurs / Stratégies / Modèles d’administration / Composant Windows / Services Bureau à distance / Hôte de la session Bureau à distance / Sécurité.
Ouvrir le paramètre : Modèle de certificat d’authentification serveur 1.
Activer le paramètres 1, entrer le nom du modèle 2 que l’on a créé en premier partie et cliquer sur Appliquer 3 et OK 4.
Maintenant ouvrir le paramètre : Nécessite l’utilisation d’une couche de sécurité spécifique pour les connexions distantes (RDP) 1.
Activer le paramètre 1 puis sélectionner la couche de sécurité SSL 2 et cliquer sur Appliquer 3 et OK 4.
Si vous rencontrez des problèmes avec certain client RDP comme Guacamole par exemple, sélectionner Négocier.
Pour finir, si vous n’avez pas encore configurer l’inscription automatique dans une autre GPO, aller à l’emplacement suivant : Configuration ordinateurs / Stratégies / Paramètres de sécurité / Stratégies de clé publique et ouvrir le paramètre : Client des services de certificats – Inscription automatique 1.
Sélectionner Activé 1, cocher les cases : Renouveler les certificats expirés, mettre à jour certificats en attente et supprimer les certificats révoqués 2 et Mettre à jour certificats qui utilisent les modèles de certificats 3 puis cliquer sur Appliquer 4 et OK 5.
Fermer l’éditeur, la stratégie de groupe est prête.
Il faut maintenant lier la stratégie de que l’on vient de créer afin qu’elle soit appliqué, ici je vais la liée à l’unité d’organisation Servers qui contient les serveurs membres du domaine Active Directory.
Faire un clic à l’emplacement souhaité, puis cliquer sur Lier un objet de stratégie de groupe existant 1.
Sélectionner l’objet stratégie de groupe 1 que l’on a créé et cliquer sur OK 2.
La stratégie de groupe est liée.
Patienter pendant l’application de la stratégie de groupe.
Valider l’application de la stratégie de groupe pour le protocole RDP
La première vérification à faire est au niveau de l’autorité de certification, regarder dans les Certificats délivrés si des certificats ont été émis.
Pour valider que le certificat est bien utilisé, ouvrir une connexion RDP sur un ordinateur qui a eu un certificat de délivré, ici je vais me connecter au serveur lab-srv-1.
Une fois connecté, cliquer sur le cadenas dans le bandeau de connexion.
Sur la fenêtre qui s’ouvre sur Afficher le certificat.
Le certificat utilisé pour la connexion RDP est bien celui qui a été émis par l’autorité de certification.
Vous savez maintenant comment utiliser des certificats pour le protocole RDP sur Windows Serveur qui sont émis par une autorité de certification AD CS.
Terminé les messages d’erreur des certificats windows !!! Ca va nous etre tres utile, merci beaucoup !!!