AD Certificate Service

[AD CS] Installation des binaires ADCS avec Powershell

 

Nous allons configurer un serveur en tant qu'autorité de certification secondaire d'entreprise. Cette autorité sera en mesure de créer différents types de certificats, comme des certificats pour des services Web.

Le serveur qui détiendra le rôle est « CA-ADCSSub ». Il sera membre du domaine Active Directory et dispose d'une adresse IP fixe.

[AD CS] Autorité secondaire d’entreprise

 

Dans ce chapitre, nous allons installer une autorité de certification secondaire d'entreprise. Le certificat de l'autorité secondaire sera délivré par notre autorité racine autonome AD CS. L'utilisation d'un produit tierce en tant qu'autorité racine est tout à fait possible. Ce type de configuration ne sera pas détaillé dans ces articles.

[AD CS] Diffuser le certificat racine par GPO

Nous avons vu dans les étapes précédentes, la mise en œuvre d'une autorité de certification racine autonome avec AD CS. Lors de l'installation, nous avons généré le certificat de l'autorité. Pour que les postes de travails et les serveurs de votre domaine Active Directory acceptent de faire confiance à cette autorité, il est nécessaire d'ajouter le certificat de l'autorité racine dans le magasin des autorités racine de confiance des différents postes.

[AD CS] Publication de la CRL avec IIS

 

Dans les étapes précédentes, nous avions installé une autorité de certification racine autonome. Cette autorité n'est pas accessible directement sur le réseau. Il nous faut maintenant configurer un site IIS sur un autre serveur afin de rendre disponible le certificat de l'autorité racine ainsi que la liste de révocation. Nous avions vu dans une étape précédente comment récupérer ces deux fichiers.

[AD CS] Configuration de la durée de vie des certificats

 

Pour modifier la durée de vie des certificats dans une autorité de certification Microsoft, il faut modifier une clé de registre. Avec une autorité de certification d'entreprise intégrée dans un domaine Active Directory, la durée de vie d'un certificat dépend du modèle de certificat sans pouvoir excéder la durée de vie du certificat de l'autorité ni de la durée de la clé de registre suivante.

Dans une autorité autonome, vous n'avez pas de modèle de certificats et vous ne pouvez donc pas définir de durée de certificat depuis un modèle.

[AD CS] Générer manuellement une nouvelle liste de révocation

 

Vous pouvez générer une nouvelle liste de révocation, même si la précédente n'a pas encore expiré. Il est même préférable de la renouveler et de la rendre disponible avant l'expiration.

Pour générer la liste de révocation, ouvrez la console « autorité de certificat », faites un clic droit sur « certificats révoqués », puis « toutes les tâches » et « publier ».

[AD CS] Configuration des extensions CA Root

 

Parmi les éléments importants dans la configuration d'une autorité de certification, il y a les extensions. Ces extensions sont généralement présentes sur les certificats que l'autorité émet et permettent de définir un lien vers le certificat de l'autorité racine ainsi qu'un lien vers la liste des certificats révoqués. Le principe de configuration est le même pour une autorité racine autonome ou pour une autorité d'entreprise. Néanmoins certains éléments, comme la publication de la liste de révocation dans Active Directory n'est exploitable que dans une autorité d'entreprise.

[AD CS] Configuration de la CA Racine

 

Après avoir installé le rôle AD CS, nous allons configurer l'autorité et générer le certificat de l'autorité racine. Dans le gestionnaire de serveur, l'étape « installation de fonctionnalité » devrait être terminé et une étape de configuration post-déploiement vous est proposé. Cliquez sur « Configurer les services de certificats Active Directory ».

[AD CS] Installation du rôle AD CS

 

Depuis le gestionnaire de serveur, ouvrez l'assistant d'ajout de rôles et de fonctionnalités ».

Sur la page « Avant de commencer », cliquez sur « suivant »

Sur la page « Type d'installation », conservez l'option « installation basée sur un rôle ou une fonctionnalité », puis « suivant ».

Sur la page « Sélection du serveur », sélectionnez le serveur local puis « suivant ».

[AD CS] Installation d’une autorité racine autonome

Dans ce chapitre, nous allons voir les étapes de l'installation d'une autorité racine autonome. Une autorité de certification autonome se gère différemment d'une autorité d'entreprise. Dans le cas d'une autorité d'entreprise, vous avez la possibilité de gérer des modèles de certificats. Les modèles dans les autorités d'entreprise sont stockés dans l'annuaire Active Directory. Dans le cas d'une autorité autonome, vous ne disposez pas de ses possibilités. Vous verrez également que certains paramètres doivent être modifiés directement dans le registre.

[AD CS] Présentation de l’environnement

Dans notre exemple et pour les articles à venir, nous disposons de deux contrôleurs de domaine lab2016dc1 et lab2019dc2. Le nom de domaine du lab est « htrab.lan ».

Nous allons créer une autorité racine « CA-Root » autonome et déconnectée du réseau. Nous choisissons une durée de vie du certificat de l'autorité racine de 30 ans et la durée de vie des CRL de 3 mois. L'autorité racine n'aura d'autre but que de générer des certificats pour l'autorité secondaire d'entreprise AD CS.

[AD CS] Planification d’une autorité AD CS

 

Avant de débuter, il faudra répondre à quelques questions. Le premier élément est d'identifier les types de certificats et l'utilisation qui en sera faites.

Il faudra définir si vous devez publier en format web, la liste de révocation et les informations de l'autorité (AIA), ou si la publication dans l'AD, existant par défaut est suffisante pour votre usage.

Migrer SHA-1 à SHA-2 dans Windows AD CS

 

Dans cet article nous allons voir comment passer du SHA1 au SHA2 dans une autorité de certification d'entreprise Microsoft. L'exemple présenté ci-dessous a été réalisé sur un serveur AD CS en Windows 2012 R2. Le rôle de contrôleur de domaine est hébergé par un autre serveur Windows 2012 r2. Avant de migrer notre autorité de certification nous allons commencer par présenté les problèmes de compatibilité qui peuvent se présenter.

Sauvegarder et récupérer les clés dans l’AD

Dans cet article nous allons voir comment stocké et récupérer les clés privées et les certificats en les archivant les clés dans l'annuaire AD.

La première étape consiste à ajouter le modèle « agent de récupération de clé » dans la liste des modèles délivrés. Pour cela ouvrez la console de l'autorité de certification et clic droit sur « modèle de certificat » puis « nouveau » et « modèle de certificat à délivrer ».

Tags: 

Information de la CA d’entreprise stocké dans l'annuaire AD

 

Dans cet article nous allons présenter les éléments d'une autorité de certificat d'entreprise (intégré à Active Directory Domain Services). Dans les propriétés de l'autorité de certification, dans la partie stockage, il est possible de vérifier que l'autorité est bien liée à Active Directory. Dans les autorités de certificats d'entreprise la configuration est stockée dans l'annuaire dans la partition de configuration unique dans l'ensemble de la forêt.

Tags: 

Certificat et auto inscription

Dans cet article nous allons créer un nouveau modèle de certificat pour les ordinateurs et gérer l'inscription automatique par les stratégies de groupe. L'utilisation de l'inscription automatique n'est valable que pour une autorité de certification d'entreprise donc intégré à Active Directory. Les clients demandeur doivent être des ordinateurs ou des utilisateurs du domaine. Dans cet exemple nous déploierons un certificat automatiquement sur des ordinateurs, mais il est possible de faire la même chose pour des comptes utilisateurs.

Tags: 

Ajouter la publication de la CRL en http

*Dans cet article nous allons voir à travers un exemple comment géré la publication de la liste de révocations des certificats (CRL). Il existe plusieurs possibilités pour diffuser la CRL dont entre autre dans Active Directory, sur un partage de fichier et dans un lien internet (http).

Tags: 

Installation d’une autorité racine d’entreprise

 

Nous allons voir comment installer les services Active Directory Certificate Services à l'aide de l'assistant « ajout/suppression de rôle ».

Avant de commencer nous disposons :

  • un domaine « phil.lan »
  • un contrôleur de domaine « DC1.phil.lan »
  • un serveur membre « CA.phil.lan » disposant d'une adresse IP Fixe.

Sur le serveur « CA.phil.lan » depuis une session sur un compte administrateur du domaine nous allons exécuter l'assistant « Ajouter des rôles et fonctionnalités ».

 

Tags: 

Service de certificat et dépréciation du SHA1

L'utilisation des signatures SHA1 dans les certificats est déjà remise en cause depuis quelques temps. Que ce soit Microsoft, Google ou autre les signatures utilisant le SHA1 ne seront bientôt plus approuvées. Un calendrier définissant la fin de ce type de certificat pour le 01/01/2017 avait déjà été annoncé. Néanmoins les choses pourraient s'accélérer. La date du 01/06/16 est de plus en plus mise en avant, comme par exemple dans le lien suivant :

Pages

S'abonner à RSS - AD Certificate Service