Dans notre exemple et pour les articles à venir, nous disposons de deux contrôleurs de domaine lab2016dc1 et lab2019dc2. Le nom de domaine du lab est « htrab.lan ».
Nous allons créer une autorité racine « CA-Root » autonome et déconnectée du réseau. Nous choisissons une durée de vie du certificat de l'autorité racine de 30 ans et la durée de vie des CRL de 3 mois. L'autorité racine n'aura d'autre but que de générer des certificats pour l'autorité secondaire d'entreprise AD CS.
La liste de révocation de l'autorité racine sera manuellement publié sur un serveur IIS, avec un alias dns « pki-adcs.htrab.lan ». Comme l'autorité racine n'est pas accessible, il faudra en plus de l'URL de la liste de révocation déterminé la durée de vie de la liste de révocation et inclure la mise à jour manuelle dans les processus d'exploitation.
Nous ajouterons un serveur « CA-ADCSSub ». L'autorité secondaire disposera du rôle autorité de certification et service d'inscription Web. La connexion au service d'inscription Web sera en SSL. Il faudra donc configurer et distribuer des certificats pour des serveurs WEB.
Le serveur sera déployé sur Windows 2016. L'autorité sera plus tard migrée vers un nouveau serveur Windows Server 2022. Les serveurs utilisés disposent de Windows 2016 ou 2019, mais la démarche est identique avec Windows Server 2022. Le choix de ne pas utiliser la dernière version est uniquement lié au fait qu'un chapitre est dédié à la migration.
Nous utiliserons un serveur spécifique « LAB-IIS » afin de diffuser les listes de révocations de l'autorité racine et secondaire avec des liens http. Le site répondra en http sur une autre adresse lié à un alias DNS. La liste de révocation sera disponible sur l'url spécifique et avec l'alias DNS du serveur : « pki-adcs.htrab.lan ».
Un autre serveur fera office de répondeur OCSP.
L'autorité de certificat secondaire fournira des certificats pour les serveurs Web IIS, comme le service d'inscription Web. Des certificats pour les contrôleurs de domaine seront distribués automatiquement pour les connexions sécurisées à LDAP.
Nous verrons également comment désinstaller une autorité de certification AD CS, ainsi que les éléments à nettoyer dans l'annuaire AD.
Si vous envisagez de mettre en œuvre des services de certificats, vous n'êtes pas obligés de mettre en œuvre la même structure, la séparation des rôles dans cette présentation est avant tout pour vous en faire la démonstration. Il est possible de mettre en œuvre les publications CRL et la partie IIS ainsi que le répondeur OCSP directement sur l'autorité secondaire d'entreprise.
Résumé de l'environnement
|
Nom |
Adresse IP |
OS |
Role |
|
LAB2016DC1 |
172.25.16.1 |
Windows 2016 Server |
Contrôleur de domaine |
|
LAB2019DC2 |
172.25.16.2 |
Windows 2019 Server |
Contrôleur de domaine |
|
LABCL1 |
172.25.16.51 |
Windows 10 |
Membre du domaine |
|
CA-Root |
--- |
Windows Server 2019 |
Autorité racine autonome AD CS - Workgroup |
|
CA-ADCSSub |
172.26.30.1 |
Windows Server 2016 |
Autorité secondaire d'entreprise- membre du domaine |
|
OCSP |
172.26.30.2 |
Répondeur OCSP |
|
|
LAB-IIS |
172.26.30.3 |
Windows Server 2019 |
Serveur Web IIS – publication de la CRL Racine - membre du domaine |
Liste des URLs
|
URLS |
Serveurs |
Détail |
|
LAB-IIS |
Liste de révocation de l'autorité racine autonome |
|
|
LAB-IIS |
Certificat de l'autorité Racine autonome |
|
| http://pki-adcs.htrab.lan/SubCA/CA-ROOT.crl |
LAB-IIS |
Liste de révocation de l'autorité secondaire d'entreprise |
| http://pki-adcs.htrab.lan/subca/adcssub-ca.crl |
LAB-IIS |
Liste de révocation delta de l'autorité secondaire d'entreprise |
| http://pki-adcs.htrab.lan/subca/adcssub-ca.crt |
LAB-IIS |
Certificat de l'autorité secondaire d'entreprise |
|
CA-ADCSSub |
Service d'inscription Web |
