Certificat et auto inscription

Dans cet article nous allons créer un nouveau modèle de certificat pour les ordinateurs et gérer l'inscription automatique par les stratégies de groupe. L'utilisation de l'inscription automatique n'est valable que pour une autorité de certification d'entreprise donc intégré à Active Directory. Les clients demandeur doivent être des ordinateurs ou des utilisateurs du domaine. Dans cet exemple nous déploierons un certificat automatiquement sur des ordinateurs, mais il est possible de faire la même chose pour des comptes utilisateurs.

La première étape consiste à créer un modèle de certificat autorisant l'inscription automatique. Depuis la console « Autorité de certification », dans la partie « Modèles de certificats » sélectionner « gérer » dans le menu contextuel.

Dans la console de gestion des modèles de certificats, recherchez le certificat « Ordinateur » puis dans le menu contextuel sélectionner « dupliquer le modèle ».

 

Dans la partie Général, définissez le nom de votre modèle de certificat.

 

Dans la partie sécurité ajouter le groupe « ordinateurs du domaine » et ajouter les permissions « inscription automatique ».

 

Dans la partie « nom du sujet » vous pouvez sélectionner les éléments à partir duquel le certificat sera construit. Dans notre cas nous utilisons les informations de l'AD.

Il est nécessaire de définir une règle qui permet de construire automatiquement les informations du certificat.

Une fois le modèle créé il faut configurer l'autorité de certification pour délivrer ce type de certificat. Dans la console « autorité de certification », ouvrez le menu contextuel sur « modèles de certificats » et sélectionner « nouveau » puis « modèle de certificat délivrer ».

Dans la fenêtre « activer les modèles de certificat », sélectionnez le modèle crée puis OK.

Le nouveau modèle apparaît dans la zone à droite.

Une fois le modèle créé nous allons créer une stratégie de groupe et activer les paramètres ….

Nous allons maintenant sur notre poste client et nous ouvrons une session administrateur ce qui nous permettra d'afficher les certificats pour le compte de l'ordinateur. La stratégie de groupe sera automatiquement appliqué au bout d'1 à 2 heures, mais pour ne pas attendre nous effectuons un « gpupdate /force ».

 

Ensuite nous ouvrons une console « mmc » et nous ajoutons le composant certificat pour le compte de l'ordinateur local.

Une fois le composant ouvert dans la partie « Personnel », « Certificats »nous pouvons constater que l'ordinateur à bien reçu un certificat à son nom émis par l'autorité de certification d'entreprise.

En ouvrant le certificat il est possible de vérifier le modèle du certificat qui correspond bien au modèle que nous venons de créer.

 

En fonction des options sur la construction du nom dans le modèle de certificat bous retrouverons d'autre nom sur le certificat.

 

Nous avons donc vu comment gérer l'inscription automatique pour un modèle de certificat à l'aide des stratégies de groupe.

Pour finir sur les stratégies de groupe, si vous avez prévu d'utiliser votre autorité de certification dans des domaines approuvés Active Directory, vous pouvez dans les domaines distants importé automatiquement le certificat de votre autorité de certification dans le magasin des autorités de certification racine de confiance, ce qui permettra aux postes des domaines distants de reconnaître la validité des certificats émis. Mais attention n'oubliez pas de gérer l'accès aux listes de révocation des certificats.

 

 

 

Tags: 

Theme: 

Annee: 

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Cette question empêche les soumissions de spam automatisées. Merci de votre compréhension
2 + 1 =
Solve this simple math problem and enter the result. E.g. for 1+3, enter 4.