Description : Cette procédure décrit comment l’administrateur d’un domaine peut installer et configurer AD CS qui est l’équivalent d’une autorité de certification sous Windows Server 2003.
Pré requis :
- Une forêt AD DS avec au moins un domaine racine de la forêt
- Des serveurs membres pour héberger le rôle AD CS :
– Un serveur pour la CA racine (Win2008 Standard, Enterprise ou Datacenter Edition)
– Un serveur pour la CA émettrice (Win2008 Enterprise Edition ou Datacenter Edition)
- Deux disques pour l’autorité de certification racine : Système + Data
- Trois disques pour l’autorité émettrice : Système + Data + Logs
- Un compte de service du domaine membre du groupe local IIS_IUSRS de chaque serveur qui hébergera AD CS. Exemple de compte de service : ServiceNDES
Installer AD CS avec une autorité de certification racine autonome :
1 – Connectez-vous sur le serveur qui hébergera la CA racine autonome :
2 – Démarrez le « Gestionnaire de serveur » :
3 – Sélectionnez le nœud « Rôles » puis cliquez sur « Ajouter des rôles » :
4 – Cliquez sur « Suivant » :
5 – Cochez la case « Services de certificats Active Directory » et cliquez sur « Suivant » :
6 – Cliquez sur « Suivant » :
7 – Cochez la case « Autorité de certification » et cliquez sur « Suivant » :
8 – Cochez « Autonome » et cliquez sur « Suivant » :
9 – Cochez la case « Autorité de certification racine » et cliquez sur « Suivant » :
10 – Cochez la case « Créer une nouvelle clé privée » et cliquez sur « Suivant » :
11 – Sélectionnez le fournisseur de services de chiffrement proposé, puis sélectionnez une longueur de clé en « 2048 » caractères et cochez la case « Utiliser les fonctionnalités de protection renforcée » :
12 – Tapez le nom commun de votre autorité de certification puis cliquez sur « Suivant » :
13 – Modifiez la période de validité du certificat et cliquez sur « Suivant » :
14 – Ouvrez l’explorateur, allez sur le lecteur « D:\ » et créez les répertoires suivants :
15 – Modifiez les chemins d’emplacement de la base de données et des journaux puis cliquez sur « Suivants » :
16 – Vérifiez les informations saisies puis cliquez sur « Installer » :
17 – Cliquez sur « Terminer » :
18 – Ouvrez le « Gestionnaire de server », déroulez le nœud « Rôles » pour sélectionnez les « Services de certificats Active Directory ». Dans le menu central, double cliquez sur l’ID d’évènement « 103 » :
19 – L’autorité de certification racine est désormais installée et ajouté au conteneur d’autorités de certification d’AD DS. Vous pouvez donc déconnecter du réseau le serveur pour le protéger des attaques externes.
Installer AD CS avec une autorité de certification d’entreprise émettrice :
1 – Ouvrez une session sur le serveur qui hébergera la CA émettrice :
2 – Démarrez le « Gestionnaire de serveur » :
3 – Sélectionnez le nœud « Rôles » puis cliquez sur « Ajouter des rôles » :
4 – Cliquez sur « Suivant » :
5 – Cochez la case « Services de certificats Active Directory » et cliquez sur « Suivant » :
6 – Cliquez sur « Suivant » :
7 – Cochez la case « Autorité de certification » et « Répondeur en ligne » puis cliquez sur « Suivant » :
8 – Cliquez sur « Ajouter les services de rôle requis » :
9 – Cliquez sur « Suivant » :
10 – Cochez la case « Entreprise » puis cliquez sur « Suivant » :
11 – Cochez la case « Autorité de certification secondaire » puis cliquez sur « Suivant » :
12 – Cochez la case « Créer une nouvelle clé privée » puis cliquez « Suivant » :
13 – Laissez les options par défaut puis cliquez sur « Suivant » :
14 – Tapez le nom commun de l’autorité de certification puis cliquez sur « Suivant » :
15 – Cochez « Enregistrer une demande… » puis cliquez sur « Suivant » :
16 – Modifier le chemin de l’emplacement de la base de données et des journaux puis cliquez sur « Suivant » :
17 – Cliquez sur « Suivant » :
18 – Cliquez sur « Suivant » :
19 – Cliquez sur « Installer » :
20 – Cliquez sur « Fermer » :
NB : L’installation de l’autorité de certification seconde ne sera pas utilisable tant qu’un certificat d’autorité racine n’aura pas été émis et que ce certificat n’aura pas été utilisé pour terminer l’installation de cette CA secondaire.
Obtenir et installer le certificat de la CA émettrice :
1 – Connectez-vous sur le serveur hébergeant la CA émettrice, lancez l’explorateur Windows et sélectionnez le disque « C:\ ». Créez un nouveau dossier et nommez-le « Temp » :
2 – Cliquez avec le bouton droit sur le dossier « Temp » et sélectionnez « Partager » :
3 – Dans la boite de dialogue « Partage de fichiers », sélectionnez « Tout le monde » dans la liste déroulante et cliquez sur « Ajouter » :
4 – Dans la colonne « Niveau d’autorisation », dans la liste déroulante, affectez le rôle « Collaborateur » à « Tout le monde » et cliquez sur « Partager » :
5 – Cliquez sur « Terminer » :
6 – Copiez la requête de certificat qui a été générée précédemment depuis le dossier « Documents » dans le dossier « Temp » :
7 – Connectez-vous sur le serveur hébergeant l’autorité de certification racine et lancez la console « Autorité de certification » depuis le groupe de programme « Outils d’administration » :
8 – Dans la console « Autorité de certification », cliquez droit sur le nom de la CA racine dans l’arborescence, sélectionnez toutes les tâches et choisissez « Soumettre une nouvelle demande » :
9 – Dans la boîte de dialogue « Ouvrir un fichier de demande », positionnez-vous dans la barre d’adresse et tapez le nom du partage qui héberge le fichier de requête. Quand le dossier s’ouvre, sélectionnez la demande et cliquez sur « Ouvrir » :
10 – Dans l’arborescence, cliquez sur le nœud « Demandes en attente », cliquez droit sur la demande en attente dans le volet de détails, sélectionnez « Toutes les tâches » et choisissez « Délivrer » :
11 – Dans l’arborescence, cliquez sur « Certificats délivrés », cliquez droit sur le certificat dans le volet de détails et choisissez « Ouvrir » :
12 – Dans la boite de dialogue « Certificat », cliquez sur l’onglet « Détails » puis « Copier dans un fichier » :
13 – Cliquez sur « Suivant » :
14 – Sélectionnez « Standard de syntaxe de message de chiffrement… », puis « Inclure tous les certificats » et cliquez sur « Suivant » :
15 – Dans la boite de dialogue « Fichier à exporter », cliquez sur « Parcourir » et enregistrez le certificat dans le dossier de votre partage réseau. Nommez le fichier et cliquez sur « Enregistrer ». Cliquez ensuite sur « Suivant » :
16 – Cliquez sur « Terminer » :
17 – Cliquez sur « OK » et retournez sur votre serveur hébergeant la CA émettrice :
18 – Ouvrez la console « Autorité de certification », dans l’arborescence, cliquez droit sur le nom de l’autorité de certification, sélectionnez « Toutes les tâches » et choisissez « Installer un certificat d’Autorité de certification » :
19 – Sélectionnez le certificat au format « .p7b » puis cliquez sur « Ouvrir » :
20 – Faite un clic droit sur l’autorité de certification, « Toutes les tâches » et cliquez sur « Démarrer le service » :
NB : L’autorité de certification est désormais prête à émettre des certificats. A ce stade, il est recommandé de mettre le serveur Ca racine hors ligne pour le protéger.
Préparer l’installation de NDES (Network Device Enrollment Service) :
1 – Ouvrez la console « Utilisateur et ordinateur Active Directory » sur le DC.
2 – Créez un compte d’utilisateur qui fera office de compte de service pour le « CA émettrice ».
3 – Une fois le compte créé, se connecter sur la « CA émettrice » puis ajouter ce compte de service au groupe local « IIS_IUSRS ».
Installer NDES (Network Device Enrollment Service) :
1 – Ouvrir le « Gestionnaire de serveur », cliquez droit sur « Service de certificat Active Directory » et sélectionnez « Ajouter des services de rôles » :
2 – Cochez la case « Service d’inscription de périphériques réseau » :
3 – Cliquez sur « Ajouter les services de rôle requis » :
4 – Cliquez sur « Suivant » :
5 – Cliquez sur « Choisir un utilisateur… » :
6 – Tapez les informations d’identification du compte de service que vous avez ajouté au groupe local « IIS_IUSRS » et cliquez sur « OK » :
7 – Cliquez sur « Suivant » :
8 – Tapez le nom de l’autorité d’inscription et cliquez sur « Suivant » :
9 – Laissez les valeurs par défaut et cliquez sur « Suivant » :
10 – Cliquez sur « Suivant » :
11 – Cliquez à nouveau sur « Suivant » :
12 – Cliquez sur « Installer » :
Créer une configuration de révocation pour une autorité de certification :
1 – Connectez-vous sur une CA émettrice.
2 – Lancez la console « Autorité de certification » depuis le groupe de programme « Outils d’administration ».
3 – Cliquez droit sur la « CA émettrice » puis cliquez sur « Propriétés » :
4 – Vérifiez les informations ci-dessous puis cliquez sur « OK » :
5 – Ouvrez une invite de commandes élevée et exécutez les commandes suivantes :
- Certutil –setreg ca\CRLOverlapUnits [valeur]
- Certutil –setreg ca\CRLOverlapPeriod [unités]
- Certutil –setreg ca\CRLDeltaOverlapUnits [valeur]
- Certutil –setreg ca\CRLDeltaOverlapPeriod [unites]
Exemple :
6 – Entrez dans la console « Autorité de certification », cliquez droit sur le nom de la CA émettrice pour arrêter et redémarrer le service.
7 – Dans la console « Autorité de certification », développez l’arborescence en dessous du nom de la CA émettrice.
8 – Cliquez droit sur « Certificat révoqués » et sélectionnez « Propriétés » :
9 – Vérifiez les informations puis cliquez sur « OK » :
Configurer et personnaliser des modèles de certificats :
1 – Ouvrez une session sur une « CA émettrice ».
2 – Lancez le « Gestionnaire de serveur » depuis le groupe de programme « Outils d’administration »
3 – Développez « Rôles\Services de certificats Active Directory\Modèles de certificats »
4 – Notez que tous les modèles existants sont affichés dans le volet de détails
Cool!
Merci beaucoup ! Et bienvenue sur InfoNovice.fr
Bonjour,
Au cas où on souhaiterait avoir qu’un seul CA (pas root à part et émettrice à part) comment se fera le déploiement?