[AD CS] Créer un nouveau modèle

 

Vous pouvez gérer et créer les modèles de certificats stockés dans la partition de configuration d'un annuaire Active Directory depuis la console « MMC.exe », « modèle de certificat ».

 

Vous pouvez également accéder à cette console depuis la console de gestion de l'autorité de certification. Sur le volet de gauche, faites un clic droit sur « modèles de certificats » puis cliquez sur « gérer ».

Vous pouvez constater le nombre important de modèle disponible par défaut.

Les modèles de versions 1, disposent d'un nombre plus limité d'options et ne sont pas configurable. Il n'est d'ailleurs pas recommandé d'utilisé directement les modèles de version 1, mais plutôt de les dupliquer.

Nous allons, dupliquer le modèle serveur Web, afin de créer un modèle de certificat d'une durée de vie de 2 ans. Nous autoriserons l'utilisateur à exporter le certificat en intégrant la clé privée dans un fichier protégé par mot de passe.

Pour dupliquer un modèle, faites un clic droit sur le nom du modèle, puis sélectionnez « dupliquer le modèle ».

Sur la page compatibilité, conservez les options par défaut, le modèle « 2003 » reste compatible avec les serveurs récents. L'utilisation d'un modèle plus récent, peut ajouter des options supplémentaires dont nous n'avons pas l'utilité dans cette présentation.

Sur la partie « général », indiquez le nom complet du modèle et le nom du modèle. Indiquez la période de validité du certificat, dans notre exemple, il s'agit de 2 ans. Nous allons conserver la période de renouvellement de 6 semaines avant l'expiration du certificat.

 

Nous n'utiliserons pas la publication du certificat dans Active Directory.

 

La durée de validité du certificat crée ne pourra excéder la durée de vie maximale du certificat indiqué dans le registre sous les valeurs

  • ValidityPeriodUnits : nombre en hexadécimal (2 par défaut)
  • ValidityPeriod : nature de la période (« Years » par défaut)

 

Les valeurs se trouvent dans le registre :

 « Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

CertSvc\Configuration\XXXXXXXX » ou xxxxxxx désigne le nom de l'autorité

De certification.

 

Sur la page « traitement de la demande », cochez l'option d'autorisation de l'exportation de la clé privée.

Sur les pages « chiffrement », « conditions d'émissions », modèles obsolètes » et « extension », conservez les valeurs par défaut.

Sur la page sécurité nous allons ajouter le groupe « ordinateurs du domaine » et nous allons sélectionner les permissions « lecture », « inscrire » « inscription automatique ». L'inscription automatique évitera de devoir valider chaque demande depuis la console de l'autorité.

Valider la création du modèle en cliquant sur « OK », puis refermer la console de modèle de certificat.

Avant de pouvoir utiliser le modèle que nous venons de créer, il nous faut l'ajouter dans la liste des certificats que notre autorité accepte de délivrer.

Pour cela, faites un clic droit sur « modèles de certificats », puis sélectionnez « nouveau » et « modèle de certificat à délivrer ».

Sélectionnez le modèle « Serveur Web-2ans » que nous venons de créer, puis cliquez sur OK.

Le nouveau modèle devrait s'ajouter à la liste présente dans « modèles de certificats » de l'autorité de certification.

Theme: 

Systeme: 

Annee: 

Type: