[AD CS] Approuver ou refuser un certificat

 

Selon votre politique d'émission de certificat, il peut être intéressant de mettre en place un processus d'approbation avant de délivrer un certificat. La demande d'approbation est une option définit au niveau du modèle de certificat. Une autorité peut donc émettre certains certificats sans approbation alors que d'autres modèles l'exigent. L'approbation doit être réalisée par une personne ayant les permissions de gestion des certificats sur AD CS.

Pour configurer un modèle afin de demander une approbation, vous devez modifier les conditions d'émission du certificat dans ses propriétés.

 

Pour modifier un modèle de certificats, ouvrez la console de l'autorité « CertSrv.msc », sélectionnez l'option « gérer » dans le menu contextuel après un clic droit sur « modèles de certificats ».

Il faut ensuite sélectionner le modèle de certificat et dans le menu contextuel, sélectionner « propriétés ».

Sur la page « condition d'émission », vous pouvez activer l'option « approbation du gestionnaire de certificat de l'autorité de certification ».

Il est possible de définir le comportement lors d'un renouvellement de certificat. L'option « même critère que pour l'inscription » imposera l'approbation par un gestionnaire de l'autorité. L'option « certificat existant valide », permettra le renouvellement du certificat sans nécessité d'une nouvelle approbation.

Lorsque l'utilisateur crée une demande depuis la console « certmgr.msc » pour ce certificat, la demande sera affichée avec un statut « inscription en attente ». 

La demande en attente ainsi que la clé privée sont enregistrées dans le conteneur « objet utilisateur Active Directory / Certificats ».

 

 

 

Le gestionnaire de certificat va devoir approuver ou rejeter la demande de certificat. Depuis la console de l'autorité de certification, dans la partie « demandes en attente »

Il est possible de délivrer ou refuser une demande de certificat en attente depuis le menu contextuel, dans « toutes les tâches » puis « délivrer » ou « refuser ».

Si la demande de certificat est refusée, vous retrouverez les informations dans les demandes ayant échoué.

 Si le gestionnaire délivre le certificat, il faudra l'exporter depuis l'autorité et l'importer sur le poste du demandeur.

Pour exporter un certificat, sélectionnez-le, puis dans « détails » cliquez sur « copier dans un fichier ». Vous pouvez trouver plus de détail sur l'exportation de certificat dans ce chapitre.

Sur le poste utilisateur, depuis la console « certmgr.msc » , ouvrez le conteneur « objets utilisateur Active Directory », puis faites un clic droit et « toutes les tâches » puis « importer ».

Dans l'assistant d'importation, conservez le magasin « objet utilisateur Active Directory ».

Après l'import, si vous ouvrez le certificat, vous devez voir l'information « vous avez une clé privée qui correspond à ce certificat ».

 

Il suffit de déplacer le certificat dans le magasin personnel de l'utilisateur.

 

 

Theme: 

Systeme: 

Annee: 

Type: