Dans ce tutoriel, je vais vous expliquer comment installer le rôle AD CS (Active Directory Certificat Service) qui permet de mettre en place une autorité de certification qui va vous permettre de déployer des certificats pour votre environnement informatique comme :
- Certificats pour serveur Web
- Certificats pour les contrôleurs de domaine
- Certificats pour les utilisateurs et ordinateurs
- Certificats de carte à puce
- …
Sur Windows Serveur, il existe deux types d’autorité de certification :
- Autonome qui n’est pas lié à un domaine Active Directory
- Entreprise qui est lié à un domaine Active Directory et qui va nous permettre plus de chose.
Dans cet article, on va voir l’installation d’une autorité de certificat d’Entreprise, qui sera donc lié à un domaine Active Direcory.
Avant de commencer, vous devez avoir un avoir serveur Windows Serveur 2025 qui va être dédié exclusivement à ce rôle, c’est à dire qu’il ne doit pas être installer sur un contrôleur de domaine.
Si vous avez opter pour un modèle de tiering, l’autorité de certification aussi appelé CA est considéré comme critique en terme de sécurité et doit donc être placé dans le tier 0.
Installer le rôle AD CS
Depuis le Gestionnaire de serveur, cliquer sur Ajouter des rôles et des fonctionnalités 1 pour lancer l’assistant.
Au lancement de l’assistant, cliquer sur le bouton Suivant 1.
Choisir le type d’installation : Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur le bouton Suivant 2.
Sélectionner le serveur 1 où sera installé le rôle puis cliquer sur le bouton Suivant 2.
Dans la liste des rôles, cocher la case : Services de certificat Active Directory 1.
Cliquer sur le bouton Ajouter des fonctionnalités 1 qui va permettre l’installation des outils d’administration.
Le rôle AD CS est sélectionné, cliquer sur le bouton Suivant 1.
Passer les fonctionnalités en cliquant sur Suivant 1.
Passer la description du rôle Service de certificats Active Directoy cliquer sur Suivant 1.
Le rôle AD CS propose différents services, par défaut le service Autorité de certification est coché, ici nous allons aussi sélectionner le service Inscription de l’autorité de certification via le Web, cocher la case 1.
Pour le fonctionnement du service AD CS d’Inscription de l’autorité de certification via le Web, il est nécessaire d’installer le rôle IIS, cliquer sur le bouton Ajouter des fonctionnalités 1.
Le service AD CS : Inscription de l’autorité de certification via le Web est sélectionné, cliquer sur le bouton Suivant 1.
Le rôle IIS étant ajouté au serveur, le résumé de celui-ci s’affiche, cliquer sur Suivant 1.
Les serves du rôle IIS sont sélectionnés pour fonctionner avec le rôle AD CS, cliquer sur Suivant 1.
Un résumé avec l’ensemble des éléments (AD CS et IIS) à installer s’affiche, cliquer sur le bouton Installer 1.
Patienter pendant l’installation des composants …
L’installation est terminée, quitter l’assistant en cliquant sur le bouton Fermer 1.
Nous allons pouvoir passer à la création de l’autorité de certification.
Créer l’autorité de certification d’entreprise avec le rôle AD CS sur Windows Serveur 2025
Maintenant que nous avons installer les rôles et services nécessaire, nous allons passer à la création de l’autorité de certification d’entreprise, pour cela vous devez êtes connecter avec un compte membre du groupe Admins du domaine car celle-ci avec être intégré au domaine Active Directory.
Depuis le Gestionnaire de serveur, cliquer sur l’icône de notification 1.
Cliquer ensuite sur Configurer les services de certificats Active Directory 1 pour lancer l’assistant.
Au lancement de l’assistant, cliquer sur le bouton Suivant 1.
Sélectionner les services à configurer, cocher les cases Autorité de certification 1 puis Inscription de l’autorité de certification via le Web 2 et cliquer sur Suivant 3.
Choisir le type AC : Autorité de certification d’entreprise 1 et cliquer sur le bouton Suivant 2.
Ici, je n’ai pas d’autorité supérieure, je vais donc choisir Autorité de certification racine 1 puis cliquer sur Suivant 2.
Choisir : Créer une clé privée 1 puis cliquer sur Suivant 2.
Configurer le chiffrement avec les options suivantes :
- 1 Longueur de la clé : 4096
- 2 Algorithme de hachage : SHA512
Puis cliquer sur le bouton Suivant 3.
Si vous le souhaitez, changer le Nom commun de la CA 1 puis ,cliquer sur Suivant 2.
Configurer la période de validité de l’autorité de certification 1 puis cliquer sur le bouton Suivant 2.
Par défaut, elle est de 5 ans.
Si nécessaire, modifier l’emplacement de la base de données et des logs puis cliquer sur Suivant 1.
Un résumé de la configuration de l’autorité de certification s’affiche, vérifier les données puis cliquer sur le bouton Configurer 1.
La configuration terminée, quitter l’assistant en cliquant sur Fermer 1.
La configuration de l’autorité de certification AD CS est terminée.
Console d’administration : Autorité de certification
Depuis le serveur, ouvrir la console Autorité de certification pour accéder à la configuration et son administration.
Depuis cette console, on peut gérer les propriétés de l’autorité de certification et aussi gérer les différents certificats.
Pour accéder aux à la configuration, faire un clic sur le nom commun de la CA et cliquer sur Propriétés 1.
Depuis l’onglet Général, en sélectionnant le Certificat n° X et en cliquant sur le bouton Afficher le certificat, on accéder au Certificat racine.
L’onglet Extensions est souvent « utilisé » pour configurer l’emplacement des certificats révoqués.
Un tutoriel à la publication des certificats révoqués dédié arrive prochainement …
Déploiement du certificat racine
Dans le cas d’un autorité de certification d’entreprise, c’est à dire intégré à votre environnement Active Directory, les ordinateurs et serveurs qui sont joins au domaine auront le certificat de déployer automatiquement sans avoir besoin de mettre en place une GPO pour déployer le certificat.
Par contre pour les autorités de certification autonome, il est nécessaire de déployer le certificat par stratégie de groupe.
Vous savez maintenant comment installer et configurer le rôle AD CS sur Windows Serveur 2025 pour déployer une autorité de certification d’entreprise.
Concernant son utilisation pour la génération de certificat, je vous invite à lire les tutoriels suivants :
