Les autorités de certification AD CS peuvent utiliser IIS pour certains rôles comme le service d'inscription en ligne que nous avons installé précédemment.

Le service d'inscription Web peut être hébergé sur le même serveur ou sur un serveur différent. Dans notre exemple, ce service est hébergé sur l'autorité de certification. Nous avons un autre service IIS installé sur un autre serveur « LAB-IIS » sur lequel sont publié en « http », les listes de révocations et les informations de l'autorité.

Les commandes ci-dessous permettent de sauvegarder les sites IIS.

Une évolution sur la gestion des contrôles d'accès basés sur les rôles permet de créer des rôles personnalisés pour la gestion des applications.

La création de rôle personnalisé nécessite des licences Azure AD Premium P1 ou P2. Ces dernières sont respectivement dans EMS E3 / Microsoft 365 E3 et EMS E5 Microsoft E5.

Il est possible d'activer une version d'essai d'Azure AD Premium ou de EMS E5.

Vous trouverez plus d'information sur la gestion des rôles personnalisés pour les applications dans l'article suivant :

Il y a un peu plus de 3 ans, j'avais publié un article sur un script PowerShell permettant de rechercher la taille des dossiers si un ou plusieurs niveaux ici.

Le lien n'étant plus valide, vous trouverez un exemple de script ci-dessous :

L'exemple de script est téléchargeable ici.

<#

Pour restaurer une autorité de certification AD CS, vous pouvez utiliser la console de gestion de l'autorité de certification (%windir%\system32\certsrv.msc) .

Cliquez sur « OK » lors du message d'avertissement vous indiquant que les services AD CS doivent être arrêté pendant la restauration.

Pour exporter, le certificat ainsi que la clé privée, vous pouvez utiliser la console « certlm.msc ». Sélectionnez « Certificats – ordinateur local », puis « Personnel » et « certificats ».

Sélectionnez le certificat de l'autorité, puis « toutes les tâches », puis « exporter ».

Sur la première page de l' « assistant d'exportation du certificat», cliquez sur « suivant ».

Microsoft a rendu publique la pré-version de la solution d'authentification basée sur des certificats avec Azure AD / Office 365.

La solution permet de d'utiliser une infrastructure à clé public d'entreprise et des certificats X.509.

Avant la mise à disposition en mode natif dans Azure AD de l'authentification par certificat, il fallait configurer une infrastructure de fédération d'identité comme AD FS pour utiliser des certificats.

Il existe plusieurs méthodes pour soumettre une demande de certificat à une autorité AD CS. Une des méthodes consistes à utiliser la console « mmc » du magasin de certificat de l'utilisateur « certmgr.msc » ou de l'ordinateur « certlm.msc ». Dans notre exemple, nous allons demander un certificat de type « serveur Web-2 ans » pour le compte de l'ordinateur. Ouvrez la console « certmgr.msc », puis sélectionnez « personnel » et faites un clic droit sur « certificats ». Sélectionnez « toutes les tâches » et « demander un nouveau certificat ».

Lors de l'installation d'une autorité de certification d'entreprise (intégrée dans un domaine Active Directory), des modèles de certificat sont proposés par défaut. Si vous disposez de plusieurs Autorités dans la même forêt Active Directory, vous pourrez constater que les modèles sont disponibles sur l'ensemble de vos autorités. En effet, les modèles sont enregistrés dans la partition de configuration unique au sein d'une forêt Active Directory. Dans une autorité de certification autonome, donc non lié à un domaine Active Directory, vous n'aurez pas de modèle.

Nous venons d'ajouter le rôle d'inscription via le Web sur notre autorité de certification. L'étape suivante consiste à configurer IIS afin de créer le site. Le gestionnaire de serveur nous propose de lancer la configuration post installation.

La configuration du site ne demande pas de paramétrage particulier, mais il est conseillé de réaliser les étapes suivantes, notamment la configuration de IIS pour utiliser https avec un certificat de serveur WEB.

Vous avez la possibilité de vérifier votre environnement avec l'outil « PKIView ». Vous pouvez accéder à l'outil avec la commande « PKIView.msc ».

La console vous permettra de rapidement vérifier :

Nous avions déjà vu dans l'article précédent comment gérer la durée de vie des listes de révocation sur l'autorité de certification racine autonome. Le principe de configuration reste identique, dans le cas de l'autorité secondaire d'entreprise. Cependant, dans le cas de l'autorité secondaire intégré dans Active Directory, nous allons publier les informations automatiquement sur un partage de fichier.

Pour configurer l'autorité secondaire, ouvrez la console « Autorité de certification » ou « certsrv.msc ».

Nous allons revenir sur la session sur le serveur « CA-ADCSSub », hébergeant l'autorité secondaire d'entreprise. Nous ouvrons la console de l'autorité de certification « certsrv.msc ». Faites un clic droit sur le nom de l'autorité, puis « toutes les tâches » et « installer un certificat d'autorité de certification ».

Sélectionner le certificat de l'autorité secondaire que vous avez créé puis cliquez sur « ouvrir ».

Après avoir installé le rôle AD CS, il faudra exécuter l'assistant de configuration des services de certificats Active Directory, proposé dans les tâches post déploiement sur le gestionnaire de serveur.

Sur la page « Informations d'identification », conserver le compte de la session qui dispose des droits d'administrations. Par défaut, il s'agit du compte « administrateur » sur la version française. Cliquez sur « suivant ».

Nous avons vu dans les étapes précédentes, la mise en œuvre d'une autorité de certification racine autonome avec AD CS. Lors de l'installation, nous avons généré le certificat de l'autorité. Pour que les postes de travails et les serveurs de votre domaine Active Directory acceptent de faire confiance à cette autorité, il est nécessaire d'ajouter le certificat de l'autorité racine dans le magasin des autorités racine de confiance des différents postes.

Pour modifier la durée de vie des certificats dans une autorité de certification Microsoft, il faut modifier une clé de registre. Avec une autorité de certification d'entreprise intégrée dans un domaine Active Directory, la durée de vie d'un certificat dépend du modèle de certificat sans pouvoir excéder la durée de vie du certificat de l'autorité ni de la durée de la clé de registre suivante.

Dans une autorité autonome, vous n'avez pas de modèle de certificats et vous ne pouvez donc pas définir de durée de certificat depuis un modèle.