Après avoir installé le rôle AD CS, il faudra exécuter l'assistant de configuration des services de certificats Active Directory, proposé dans les tâches post déploiement sur le gestionnaire de serveur.
Sur la page « Informations d'identification », conserver le compte de la session qui dispose des droits d'administrations. Par défaut, il s'agit du compte « administrateur » sur la version française. Cliquez sur « suivant ».
Sur la page « services de rôles », sélectionner « autorité de certification », puis « suivant ».
Sur la page « Type d'installation », sélectionner « autorité de certification d'entreprise ».
Sur la page « Type d'AC » sélectionner « autorité de certification secondaire ».
Sur la page « clé privée », sélectionnez l'option « créer une clé privée ».
Sur la page « chiffrement », il est recommandé d'utiliser une clé privée de 2048 ou plus et sélectionner l'algorithme de hachage de type SHA256 ou plus. Les algorithmes de type « SHA1 » ne devraient plus être utilisés pour signer les certificats.
L'option « autorisez l'interaction de l'administrateur lorsque l'autorité de certification accède à la clé privée », active un paramètre de sécurité qui demande la saisie du mot de passe administrateur, lorsque l'autorité a besoin d'accéder à la clé privée. L'option n'est pas utile si vous utilisez un provider Microsoft. Si vous utilisez un module de sécurité tierce (HSM), il vous faudra consulter la documentation du fabricant. |
Sur la page « Nom de l'autorité de certification », définissez le nom commun de l'autorité/ Vous pouvez conserver le suffixe par défaut qui reprend le nom du domaine, mais ce n'est pas une obligation.
Comme nous installons une autorité secondaire, le certificat de l'autorité doit être généré depuis une autorité racine. Pour créer ce certificat, l'assistant de configuration génère une requête de demande de certificat sous la forme d'un fichier de requête souvent appelé « CSR ». Par défaut, le fichier est créé sous la racine du disque « c : » mais il est possible de modifier le chemin.
Dans la page « demande de certificat », sélectionner « enregistrer une demande dans un fichier de l'ordinateur cible », et modifier éventuellement le nom du fichier puis cliquez sur « suivant ».
Sur la page « base de données de l'autorité de certification », vous pouvez indiquer des chemins personnalisés, par exemple sur un autre volume, ou utiliser les chemins par défaut comme dans l'image ci-dessous.
Sur la page « Configuration », vérifier les informations puis cliquez sur « configurer ».
Une fois la configuration terminée, vous pouvez refermer la fenêtre.