Après avoir installé le rôle AD CS, nous allons configurer l'autorité et générer le certificat de l'autorité racine. Dans le gestionnaire de serveur, l'étape « installation de fonctionnalité » devrait être terminé et une étape de configuration post-déploiement vous est proposé. Cliquez sur « Configurer les services de certificats Active Directory ».
Sur la page « Informations d'identification », conserver le compte de la session qui dispose des droits d'administrations. Par défaut, il s'agit du compte « administrateur » sur la version française. Cliquez sur « suivant ».
Sur la page « services de rôles », sélectionner « autorité de certification », puis « suivant ».
Sur la page « Type d'installation », sélectionner « autorité de certification autonome ».
Sur la page « Type d'AC » sélectionner « autorité de certification racine ».
Sur la page « clé privée », sélectionnez l'option « créer une clé privée ».
Sur la page « chiffrement », il est recommandé d'utiliser une clé privée de 2048 ou plus et sélectionner l'algorithme de hachage de type SHA256 ou plus. Les algorithmes de type « SHA1 » ne devraient plus être utilisés pour signer les certificats.
L'option « autorisez l'interaction de l'administrateur lorsque l'autorité de certification accède à la clé privée », active un paramètre de sécurité qui demande la saisie du mot de passe administrateur, lorsque l'autorité a besoin d'accéder à la clé privée. L'option n'est pas utile si vous utilisez un provider Microsoft. Si vous utilisez un module de sécurité tierce (HSM), il vous faudra consulter la documentation du fabricant. |
Sur la page « Nom de l'AC », indiquez le nom de l'autorité et le suffixe de nom unique. Le nom unique sera composé de ces deux éléments. Pour les suffixes, les valeurs suivantes sont couramment utilisées :
CN = Common name, correspond au nom commun de l'AC renseigné dans la première valeur
OU = OrganizationalUnit
O = Organization : généralement un nom désignant l'entité
L = Locality : souvent la ville
S : StateOrProvinceName = par exemple le département ou la région
C : CountryName = le code du pays
Dans notre exemple, le nom de l'autorité racine est « CA-Root-CA ». Le suffixe reprend les valeurs O, L et C. Le nom de l'autorité devient le CN dans le nom unique.
Sur la page « période de validité », nous allons définir une durée de 30 ans pour le certificat de l'autorité racine.
Sur la page « base de données de l'autorité de certification », vous pouvez indiquer des chemins personnalisés, par exemple sur un autre volume, ou utiliser les chemins par défaut comme dans l'image ci-dessous.
Sur la page « Configuration », vérifier les informations puis cliquez sur « configurer ».
Une fois la configuration terminée, vous pouvez refermer la fenêtre.