Dans cet article nous allons configurer les services IIS du rôle serveur d'inscription Web AD CS.
Vous pouvez consulter l'article suivant : [AD CS] Créer un nouveau modèle, pour créer un modèle de certificat Web.
Après avoir créé le modèle, vous pouvez générer un certificat pour les services Web IIS utilisé par le service d'inscription Web en suivant le lien [AD CS] Demander un certificat.
En ouvrant la console « certlm.msc », vous devez disposer d'un certificat du type « Authentification du serveur », comme pour notre modèle « Serveur WEB-2ans ».
Vous pouvez ouvrir le gestionnaire des services IIS depuis les outils d'administration ou directement en exécutant « InetMgr.exe ».
Dans le menu de gauche, naviguez jusqu'à attendre le « default Web Site ». Puis dans la barre d'action à droite sélectionnez « liaisons ».
Sur la page « liaisons de sites », cliquez sur « ajouter ».
Sur le type de liaison, sélectionnez « https » et conservez le port par défaut (443). Sur la partie certificat, sélectionnez le certificat de serveur Web correspondant au nom du serveur. Cliquez sur « afficher » pour vérifier l'état du certificat. Pour finir, validez en cliquant sur « OK ».
Sur la page « liaison de sites » vous pouvez sélectionner « http », puis supprimer.
Si vous utilisez le même serveur et le même site IIS pour diffuser les listes de révocation en http, vous aurez un souci pour supprimer le http. Il est préférable de créer un autre site que vous hébergiez les listes de révocations sur le même serveur ou sur un autre. |
Vous pouvez maintenant ouvrir la page de votre autorité de certification dans un navigateur sur un de vos postes clients. Une authentification vous sera demandée, ensuite vous pourrez consulter la page. Dans notre exemple : https://ca-adcssub.htrab.lan/certsrv/ .
Si vous obtenez un avertissement, concernant la sécurité du site, vous avez peut-être oublié de diffuser le certificat de l'autorité de certification racine dans le magasin des autorités de confiance à l'aide d'une stratégie de groupe ([AD CS] Diffuser le certificat racine par GPO).
Vous pouvez supprimer la liaison sur le port http(80).