[AD CS] Présentation de l’environnement

Dans notre exemple et pour les articles à venir, nous disposons de deux contrôleurs de domaine lab2016dc1 et lab2019dc2. Le nom de domaine du lab est « htrab.lan ».

Nous allons créer une autorité racine « CA-Root » autonome et déconnectée du réseau. Nous choisissons une durée de vie du certificat de l'autorité racine de 30 ans et la durée de vie des CRL de 3 mois. L'autorité racine n'aura d'autre but que de générer des certificats pour l'autorité secondaire d'entreprise AD CS.

La liste de révocation de l'autorité racine sera manuellement publié sur un serveur IIS, avec un alias dns « pki-adcs.htrab.lan ». Comme l'autorité racine n'est pas accessible, il faudra en plus de l'URL de la liste de révocation déterminé la durée de vie de la liste de révocation et inclure la mise à jour manuelle dans les processus d'exploitation.

Nous ajouterons un serveur « CA-ADCSSub ». L'autorité secondaire disposera du rôle autorité de certification et service d'inscription Web. La connexion au service d'inscription Web sera en SSL. Il faudra donc configurer et distribuer des certificats pour des serveurs WEB.

Le serveur sera déployé sur Windows 2016. L'autorité sera plus tard migrée vers un nouveau serveur Windows Server 2022. Les serveurs utilisés disposent de Windows 2016 ou 2019, mais la démarche est identique avec Windows Server 2022. Le choix de ne pas utiliser la dernière version est uniquement lié au fait qu'un chapitre est dédié à la migration.

Nous utiliserons un serveur spécifique « LAB-IIS » afin de diffuser les listes de révocations de l'autorité racine et secondaire avec des liens http. Le site répondra en http sur une autre adresse lié à un alias DNS. La liste de révocation sera disponible sur l'url spécifique et avec l'alias DNS du serveur : « pki-adcs.htrab.lan ».

Un autre serveur fera office de répondeur OCSP.

L'autorité de certificat secondaire fournira des certificats pour les serveurs Web IIS, comme le service d'inscription Web. Des certificats pour les contrôleurs de domaine seront distribués automatiquement pour les connexions sécurisées à LDAP.

Nous verrons également comment désinstaller une autorité de certification AD CS, ainsi que les éléments à nettoyer dans l'annuaire AD.

Si vous envisagez de mettre en œuvre des services de certificats, vous n'êtes pas obligés de mettre en œuvre la même structure, la séparation des rôles dans cette présentation est avant tout pour vous en faire la démonstration. Il est possible de mettre en œuvre les publications CRL et la partie IIS ainsi que le répondeur OCSP directement sur l'autorité secondaire d'entreprise.

 

 

Résumé de l'environnement 

Nom

Adresse IP

OS

Role

LAB2016DC1

172.25.16.1

Windows 2016 Server

Contrôleur de domaine

LAB2019DC2

172.25.16.2

Windows 2019 Server

Contrôleur de domaine

LABCL1

172.25.16.51

Windows 10

Membre du domaine

CA-Root

---

Windows Server 2019

Autorité racine autonome AD CS - Workgroup

CA-ADCSSub

172.26.30.1

Windows Server 2016

Autorité secondaire d'entreprise- membre du domaine

OCSP

172.26.30.2

 

Répondeur OCSP

LAB-IIS

172.26.30.3

Windows Server 2019

Serveur Web IIS – publication de la CRL Racine - membre du domaine

 

Liste des URLs

URLS

Serveurs

Détail

http://pki-adcs.htrab.lan/racine/CA-ROOT-CA.crl

LAB-IIS

Liste de révocation de l'autorité racine autonome

http://pki-adcs.htrab.lan/racine/CA-ROOT.crt

LAB-IIS

Certificat de l'autorité Racine autonome

http://pki-adcs.htrab.lan/SubCA/CA-ROOT.crl

LAB-IIS

Liste de révocation de l'autorité secondaire d'entreprise

http://pki-adcs.htrab.lan/subca/adcssub-ca.crl

LAB-IIS

Liste de révocation delta de l'autorité secondaire d'entreprise

http://pki-adcs.htrab.lan/subca/adcssub-ca.crt

LAB-IIS

Certificat de l'autorité secondaire d'entreprise

https://CA-ADCSSub.htrab.lan/CertSvr

CA-ADCSSub

Service d'inscription Web

 

 

Theme: 

Systeme: 

Annee: