Nous avons déjà introduit l'administration par les rôles et entre autres les rôles d'administrateur et de gestionnaire de certificat.
Nous allons parler d'un rôle qui n'est pas forcément utile dans toutes les structures. L'agent d'inscriptions, souvent membre des équipes techniques est une personne pouvant créer des certificats pour d'autres utilisateurs.
Nous allons créer un groupe de domaine local, afin de gérer les autorisations. Il est recommandé d'utiliser le modèle AGDLP déjà évoqué dans les articles précédents.
L'agent d'inscription doit disposer d'un certificat spécifique afin d'effectuer les demandes au nom d'une autre personne. Nous allons créer un modèle d'agent d'inscription en dupliquant le modèle déjà existant du même nom.
Ouvrez la console de l'autorité de certification « certsrv.msc ». Faites un clic avec le bouton de droite sur « modèles de certificats », puis « gérer ».
Recherchez le modèle « agent d'inscription », puis clic droit et « dupliquer le modèle ».
Indiquez le nom de votre modèle ainsi que la durée de validité ainsi que la période de renouvellement.
Dans la partie sécurité ajouter l'autorisation d' « inscrire » pour le groupe que vous avez créé précédemment.
Dans la partie « Nom du Sujet », conserver l'option de construire à partir des informations d'Active Directory ».
Une fois, le modèle de certificat crée, il faut l'ajouter à la liste des certificats à délivrer par l'autorité.
Depuis la session utilisateur d'un compte membre du groupe que nous avons créé, faites une demande de certificat pour l'agent d'inscription.
Lorsque l'assistants « inscription de certificats » est ouvert sur la page « avant de commencer », cliquez sur « suivant » .
Sur la page « sélectionner la stratégie d'inscription de certificat », sélectionnez « stratégie d'inscription à Active Directory », puis cliquez sur « suivant »
Sur la page « demander des certificats », cocher le modèle d'agent d'inscription que vous venez de créer, puis inscription.
Sur la page « résultats de l'installation des certificats », cliquez sur terminer.
Vous retrouverez le certificat de l'agent d'inscription, dans le magasin de certificat de l'utilisateur.
Pour demander un certificat au nom d'un autre utilisateur, depuis la console certificat de l'utilisateur « certmgr.msc », faites un clic droit sur certificat, puis « toutes les tâches », « opérations avancées » et sélectionnez « inscrire au nom de ».
Lorsque l'assistant « inscription de certificats » est ouvert sur la page « avant de commencer », cliquez sur « suivant ».
Sur la page « sélectionner la stratégie d'inscription de certificat », sélectionnez « stratégie d'inscription à Active Directory », puis cliquez sur « suivant »
Sur la page « sélectionner un certificat d'agent d'inscription », cliquez sur « parcourir » et sélectionnez le certificat de l'agent d'inscription, puis cliquez sur « suivant ».
Sur la page demander des certificats, sélectionner le modèle que vous souhaitez utiliser, puis ciquez sur « suivant ».
Sur la page « sélectionner un utilisateur », cliquez sur « parcourir », puis rechercher le compte dans Active Directory. Cliquez sur « OK » pour valider la recherche, puis sur « inscription ».
Une fois l'inscription terminée, vous pouvez cliquer sur « utilisateur suivant », si vous avez d'autres certificats à créer ou sur « fermer ».
.
Il est possible d'exporter le certificat afin de le transmettre à l'utilisateur.
Il est possible de créer plusieurs groupes d'agent d'inscription et de restreindre chaque groupe à des modèles spécifiques et de limiter les destinataires des certificats.