{AD CS] Rôle gestionnaire de certificat

 

Les gestionnaires de certificats ont entre autres pour missions :

  • Emettre, approuver ou refuser des certificats
  • Révoquer des certificats émis

Il est recommandé d'affecter la permission d'émettre et de gérer les certificats à un groupe Active Directory et de gérer les membres du groupe en ajoutant les comptes autorisés.

Il est recommandé d'utiliser le modèle AGDLP.

Il est possible de créer plusieurs groupes différents de gestionnaire de certificats et de limiter les modèles de certificats gérés par chaque groupe.

Dans cet exemple, nous allons créer 3 groupes de gestionnaire de certificats :

  • « SDL-ADCS-CA-Gestionnaire-Cert-CptAuth » qui peuvent gérer des certificats correspondant à des modèles de certificats à destination de comptes d'ordinateur
  • « SDL-ADCS-CA-Gestionnaire-Cert-UserAuth » qui peuvent gérer des certificats correspondant à des modèles de certificats à destination de comptes utilisateurs
  • « SDL-ADCS-CA-Gestionnaire-Cert-Web » qui peuvent gérer des certificats pour des services Web.

 

  • Création des groupes pour les gestionnaires de certificats

Ouvrez la console « Utilisateurs et Ordinateurs Active Directory » (dsa.msc). Créez un groupe de sécurité de portée « domaine local », par exemple « SDL-ADCS-CA-Gestionnaire-Cert-Web » et validez par « OK »

Créez les autres groupes.

Ajouter en tant que membre de chaque groupe, les groupes globaux représentant le personnel IT autorisé à effectuer ces actions.

  • Attribution des permissions sur l'autorité de certification

Ouvrez la console de l'autorité de certification, faites un clic droit sur le nom de l'autorité puis cliquez sur « propriétés ».

Dans la partie sécurité, cliquez sur « ajouter », et recherchez-le ou les groupes concernés. Dans la partie « autorisations », sélectionnez l'option « émettre et gérer des certificats ».

 

Pour limiter la gestion des certificats pour chaque groupe au modèle souhaité, sélectionnez la page « gestionnaires de certificats ». Sélectionnez l'option « restreindre les gestionnaires de certificats », puis pour chaque groupe ajouter les modèles qu'ils sont autorisés à gérer avant de supprimer « tous ».

 

 

 

Theme: 

Systeme: 

Annee: 

Type: