[AD CS] Certificat et auto-inscription

 

L'inscription automatique de certificat permet de générer des certificats utilisateurs ou ordinateurs dans le magasin personnel du demandeur sans qu'une personne n'en fasse spécifiquement une demande.

L'utilisation de l'inscription automatique n'est valable que pour une autorité de certification d'entreprise donc intégrée à Active Directory.

Pour diffuser des certificats automatiquement, il faut :

  • Créer un modèle de certificat avec la permission d'inscription automatique pour un groupe d'utilisateur ou d'ordinateurs
  • Configurer l'autorité pour distribuer ce modèle
  • Configurer les paramètres utilisateurs ou ordinateurs à l'aide des stratégies de groupe (GPO)

     

Les clients demandeurs doivent être des ordinateurs ou des utilisateurs du domaine ou d'un domaine approuvé.

Dans cet exemple, nous déploierons un certificat automatiquement sur des ordinateurs, mais il est possible de faire la même chose pour des comptes utilisateurs.

La première étape consiste à créer un modèle de certificat autorisant l'inscription automatique. Depuis la console « Autorité de certification », dans la partie « Modèles de certificats », sélectionnez l'option « gérer » dans le menu contextuel.

 

Dans la console de gestion des modèles de certificats, recherchez le certificat « Ordinateur », puis dans le menu contextuel, sélectionnez l'option « dupliquer le modèle ».

 

Dans la partie Général, définissez le nom de votre modèle de certificat, la période de validité et de renouvellement.

 

Dans la partie sécurité ajouter le groupe « ordinateurs du domaine » et ajouter les permissions « inscription automatique ».

Dans cet exemple, nous utilisons le groupe « Ordinateurs du domaine », mais vous avez la possibilité de créer un groupe personnalisé plus restrictif.

 

 

Dans la partie « nom du sujet », vous pouvez sélectionner les éléments à partir duquel le certificat sera construit.

Il est nécessaire de définir une règle qui permet de construire automatiquement les informations du certificat.

 

Si vous souhaitez générer automatiquement des certificats, il ne faut pas demander une approbation par un gestionnaire de l'autorité.

Une fois le modèle créé, il faut configurer l'autorité de certification pour délivrer ce type de certificat. Dans la console « autorité de certification », ouvrez le menu contextuel sur « modèles de certificats » et sélectionner « nouveau » puis « modèle de certificat à délivrer ».

Dans la fenêtre « activer les modèles de certificat », sélectionnez le modèle crée et confirmez par « OK ».

Le nouveau modèle apparaît dans la zone à droite.

Une fois le modèle créé, nous allons créer une stratégie de groupe et activer les paramètres.

Etant donné qu'il s'agit d'un certificat pour les comptes d'ordinateurs, nous allons configurer la partie « configuration ordinateur ». Des paramètres identiques existent dans la section « configuration utilisateur » si vous souhaitez inscrire automatiquement des certificats pour des utilisateurs.

Nous allons activer le paramètre « client des services de certificats – inscription automatique », dans « Configuration ordinateur\ paramètre Windows \ Paramètre de sécurité \Stratégie de clé »

 

Dans modèle de configuration, sélectionnez l'option « activé » et cochez les options « renouveler les certificats expirés … ».

 

 

Sur notre poste client membre de l'OU où est lié la GPO, ouvrez une session administrateur.

La stratégie de groupe sera automatiquement appliquée au bout d'1 à 2 heures, mais pour ne pas attendre nous effectuons un « gpupdate /force ».

 

Ensuite nous ouvrons la console « certlm.msc »

 

 

Une fois le composant ouvert dans la partie « Personnel », « Certificats » nous pouvons constater que l'ordinateur à bien reçu un certificat à son nom émis par l'autorité de certification d'entreprise.

En ouvrant le certificat, il est possible de vérifier le modèle du certificat qui correspond bien au modèle que nous venons de créer.

Vous pouvez également dupliquer le modèle « utilisateur » et créer une GPO qui s'applique aux utilisateurs ou à un groupe d'utilisateurs afin de générer un automatiquement un certificat.

Theme: 

Systeme: 

Annee: 

Type: