Installation d’une autorité racine d’entreprise

 

Nous allons voir comment installer les services Active Directory Certificate Services à l'aide de l'assistant « ajout/suppression de rôle ».

Avant de commencer nous disposons :

  • un domaine « phil.lan »
  • un contrôleur de domaine « DC1.phil.lan »
  • un serveur membre « CA.phil.lan » disposant d'une adresse IP Fixe.

Sur le serveur « CA.phil.lan » depuis une session sur un compte administrateur du domaine nous allons exécuter l'assistant « Ajouter des rôles et fonctionnalités ».

 

Sur « Avant de commencer » cliquez sur « suivant »

Dans « Type d'installation », conserver l'option « Installation basé sur un rôle ou une fonctionnalité » et cliquez sur suivant.

Dans « Sélection du serveur », sélectionnez le serveur par exemple « ca.phil.lan » puis suivant.

Dans « Rôles de serveurs », recherchez « Services de certificats Active Directory ».

Une fenêtre s'ouvre et vous propose d'ajouter les fonctionnalités nécessaires, comme les outils de gestions des services de certificats. Validez en cliquant sur « Ajouter des fonctionnalités ».

Dans « Rôles de serveurs » cliquez sur suivant :

Dans « fonctionnalité » cliquez sur « suivant »

Dans « AD CS » cliquez sur « suivant » :

Dans « services de rôle », l'option « autorité de certification » est coché par défaut. Nous allons ajouter l'option « inscription de l'autorité de certification via le Web ». Cette option crée un site Web sur IIS permettant à l'utilisateur de demander manuellement des certificats à partir d'un navigateur.

Quelques mots sur les autres options sans rentrer dans les détails :

  • répondeur en ligne : permet à un client d'envoyer une requête vers un serveur on-line pour vérifier si un certificat a été révoqué. La vérification est effectuée par le serveur de réponse en ligne.
  • Service d'inscription de périphérique réseau : permet aux routeurs logiciels et aux périphériques réseaux d'obtenir des certificats en se basant sur le protocole SCEP (Single Certificate Enrollment Protocole)
  • Service Web inscription de certificat et Service Web Stratégie d'inscription de certificats : permet d'utiliser l'inscription automatique en passant par des protocoles https pour des clients non membre d'un domaine ou si l'ordinateur membre du domaine. Cela permet de générer des certificats pour des forêts de partenaire par exemple ou pour des travailleurs mobiles.

     

En sélectionnant l'option l'assistant propose automatiquement d'ajouter le rôle « Server Web IIS » nécessaire :

Dans la page « Rôle Web Server (IIS) » cliquez sur « suivant »

Dans la partie « Services de rôle » conservez les paramètres par défaut et cliquez sur « suivant ».

 

Dans la fenêtre « confirmation » cliquez sur « installer » et attendre la fin de l'installation des binaires.

 

 

Une fois l'installation du rôle Active Directory Certificate Services, le gestionnaire de serveur propose d'exécuter l'assistant de configuration.

Dans la première fenêtre, comme nous utilisons le compte administrateurs du domaine, il n'est pas nécessaire de changer les informations d'identification.

Sélectionner les 2 services de rôles à configurer puis « suivant »

Vous avez la possibilité de créer 2 types d'autorité de certification :

-     Autorité de certification d'entreprise : ce type d'autorité est intégré à Active Directory Domaine Services et nécessite que le serveur soit intégré aux domaines. Une partie des informations de l'autorité sera stocké dans la partition de configuration de la forêt Active Directory. L'intégration à un domaine permet d'ajouter les fonctionnalités d'inscriptions automatiques pour les utilisateurs et les ordinateurs à l'aide de stratégie de groupe. Elle permet également de stocker les clés privées de l'objet (utilisateur ou ordinateur) dans l'annuaire et de gérer des agents de récupération de clés. Une autorité de certification racine d'entreprise diffuse automatiquement son certificat dans le conteneur « autorité de racine de confiance » sur l'ensemble des postes clients Windows lors de la mise à jour des stratégies de groupes.

-    Autorité de certification autonome : elle peut être installé sur un serveur en groupe de travail et ne permet pas de stocker les éléments dans Active Directory, ni d'utiliser des fonctionnalités avancées comme l'inscription automatique.

Dans notre exemple nous allons configurer une autorité d'entreprise intégrée à Active Directory.

Nous allons créer une autorité de certification racine qui émettra son propre certificat en tant qu'autorité de certification. Si vous souhaitez créer une structure à plusieurs niveaux, le premier sera une autorité racine et générera un certificat auto-signé. Les autorités de certification secondaire utiliserons un certificat fournit par une autorité de certification racine. Une solution souvent proposé et de créer une autorité racine autonome hors ligne dont l'accès est physiquement sécurisé et une ou plusieurs autorités secondaires d'entreprise intégré à Active Directory. L'autorité racine étant hors ligne la publication de la liste de révocation des certificats devra être gérée manuellement.

Dans notre exemple nous n'allons créer qu'un niveau avec une autorité racine d'entreprise intégré aux services de domaine.

Dans le cas d'une autorité racine vous pouvez créer une nouvelle clé privée ou utilisé une clé existante pour générer le certificat. Dans notre exemple nous créons une nouvelle clé.

Par défaut Microsoft propose d'utilisé un algorithme de hachage de type SHA1, qui n'est plus considéré comme fiable et dont le retrait est annoncé au plus tard pour le 01/01/2017. Il est préférable de sélectionner SHA256 sur la fenêtre ci-dessous.

Vous pouvez modifier le nom commun de votre autorité de certification, mais je vous propose de conserver les paramètres par défaut.

 

Sur la période de validité du certificat de l'autorité de certification nous allons générer un certificat de longue durée (20 ans), cela évitera de devoir renouveler le certificat trop rapidement.

Vous pouvez modifier le chemin de la base de données de l'autorité de certification et du journal. Dans mon exemple je conserve la valeur par défaut.

Enfin il suffit de cliquer sur configurer pour terminer l'installation de notre autorité de certification.

Après quelques minutes l'assistant de configuration indique que les 2 servies ont bien été configuré.

Nous retrouvons dans les outils d'administration la console « Autorité de Certification ».

Si nous ouvrons la console mmc « certmgr.msc » pour le compte de l'ordinateur local sur le serveur ou les services de certificat ont été installés nous pouvons voir le certificat de l'autorité qui dispose bien d'une durée de validité de 20 ans.

Si nous regardons dans l'observateur d'événement, dans le journal d'application nous pouvons voir l'événement 103 qui indique que le certificat de l'autorité va bien être installé dans le magasin des autorités racine de confiance.

 

 

En se connectant sur un poste client du domaine en Windows 8.1 et en ouvrant la console « certmgr.msc » nous pouvons constater la présence du certificat de l'autorité racine dans les « autorités de certification racine de confiance » :(Enfin si vous ne le voyez pas encore faites un « gpupdate /force » sur le poste pour actualiser les stratégies).

Comme nous avons installé le service d'inscription Web nous pouvons ouvrir dans le navigateur depuis le poste client le site http://ca.phil.lan/CertSrv. Après avoir fourni un compte et un mot de passe nous serons connectés aux services Web de l'autorité.

 

Notre autorité est maintenant installée. D'autres articles dans la même rubrique détailleront l'exploitation d'une autorité.

 

Tags: 

Theme: 

Systeme: 

Annee: 

Type: 

Commentaires

Serveur de certifical

Très bien. Mais est ce que c'est bon d'avoir un seul Autorité de certification racine dans une entreprise, bien sur intégré à Active directory ?

Re :Serveur de certifical

Cela dépend de votre environnement et de vos besoins. Il est fréquent de mettre une autorité racine autonome hors ligne qui fournira un certificat d'autorité secondaire aux autres autorités comme des autorités racine d'entreprise. Le point important qu'il faut garder à l'esprit et que si la clé privée du certificat de l'autorité de plus haut niveau est corrompu, toute la chaîne de certification est corrompue et donc à refaire. C'est pour cela que certaines entreprises créé une autorité racine autonome hors ligne. Cette option impose des opérations supplémentaires comme la publication manuelle des listes de révocation.

il y'a le certificat de la CA

il y'a le certificat de la CA qu'est auto-signé, mais il doit y avoir aussi un certificat pour le DC , délivrée par la CA automatiquement, qu'on trouve dans le magasin personnel/Ordinateur du DC1. ce certificat est basé sur le modèle: domain controller. non!!?

RE :il y'a le certificat de la CA

Je n'ai pas trop compris l'objectif de votre question. Vous pouvez effectivement avoir un certificat utilisant le modèle "Domain Controller" déployer automatiquement sur vos contrôleurs de domaine.

Aide

Bonjour,
Mes besoins se présentent comme suit:
J'ai un domaine en interne avec deux controleurs de domaines. Un TMG à trois pattes (interne, externe et dmz). Je dispose d'un nom de domaine public et le dns public sera géré localement. il y aura exchange qui sera hébergé en interne. (avec possibilité d'accès au mail à partir de l'extérieur)
Dois-je mettre en place un CA Autonome ou d'entreprise?

Re : Aide

Que vous utilisiez une CA autonome ou une CA d'entreprise, cela peut influencer les clients de messagerie. L'important est que les clients approuvent l'autorité de certification. Sur une CA autonome vous devrez ajouter le certificat de l'autorité manuellement dans le magasin de certificat. Avec une autorité d'entreprise vous avez plus de possibilité et elle sera approuvé automatiquement par les postes du domaines. Dans les deux cas les clients mobile non intégrés au domaine n'approuveront pas le certificat automatiquement.

Au niveau de la messagerie, il est fréquent d'utiliser un certificat public et de faire correspondre les noms DNS externe avec le nom interne. Cela facilite la mobilité, par exemple si vos utilisateurs passent par du Wifi interne pour synchroniser leur mobile.