Cette section fournit des instructions sur les points suivants :
Configuration de l'autorité de certification (CA) d'entreprise Microsoft à l'aide du Network Device Enrollment Service (NDES) de Microsoft
Création d'un serveur CA racine
Le serveur CA racine est le serveur d'autorité de certification principal de toute organisation et est le premier de l'infrastructure PKI. L'autorité de certification racine authentifie le serveur CA subordonné. Ce serveur est généralement maintenu en mode hors ligne pour empêcher toute intrusion et sécuriser la clé privée.
Pour configurer le serveur CA racine, procédez comme suit :
Vérifiez que le serveur CA racine est installé. Pour plus d'informations, reportez-vous à la section Installation du serveur CA racine.
Configurez les paramètres du point de distribution de la certification et de l'accès aux informations d'autorité. Pour plus d'informations, reportez-vous à la section Configuration des paramètres du point de distribution de la certification et de l'accès aux informations d'autorité.
Configurez l'accessibilité CRL. Pour plus d'informations, reportez-vous à la section Configuration de l'accessibilité CRL.
Dans Server Manager, cliquez sur Gérer > Ajouter des rôles et des fonctionnalités.
Cliquez sur Rôles du serveur, sélectionnez Services de certificats Active Directory et toutes ses fonctionnalités, puis cliquez sur Suivant.
Dans la section Services de rôle AD CS, sélectionnez Autorité de certification, puis cliquez sur Suivant > Installer.
Après l'installation, cliquez sur Configurer les services de certificats Active Directory sur le serveur de destination.
Dans la section Services de rôle, sélectionnez Autorité de certification > Suivant.
Dans la section Type de configuration, sélectionnez Autorité de certification autonome, puis cliquez sur Suivant.
Dans la section Type d'autorité de certification, sélectionnez Autorité de certification racine, puis cliquez sur Suivant.
Sélectionnez Créer une nouvelle clé privée, puis cliquez sur Suivant.
Dans le menu Sélectionner un fournisseur de cryptographie, sélectionnez RSA#Microsoft Software Key Storage Provider.
Dans le menu Longueur de clé, sélectionnez 4096.
Dans la liste des algorithmes de hachage, sélectionnez SHA512, puis cliquez sur Suivant.
Dans le champ Nom commun de cette autorité de certification, saisissez le nom du serveur d'hébergement.
Dans le champ Suffixe du nom unique, saisissez le composant de domaine.
Nom de domaine complet de la machine (FQDN - Fully Qualified Domain Name) :
Nom commun (CN) :
Suffixe du nom unique :
Cliquez sur Suivant.
Spécifiez la période de validité, puis cliquez sur Suivant.
Ne modifiez rien dans la fenêtre des emplacements de la base de données.
Terminez l'installation.
Dans le scénario de déploiement suivant, toutes les autorisations sont basées sur les autorisations définies sur les modèles de certificat publiés dans le contrôleur de domaine. Les demandes de certificat envoyées à l'autorité de certification sont basées sur des modèles de certificat.
Pour cette configuration, assurez-vous que vous disposez des éléments suivants :
Une machine hébergeant l'autorité de certification subordonnée (il peut également s'agir de l'autorité de certification racine)
Une machine hébergeant le service NDES
Un contrôleur de domaine
Créez les utilisateurs suivants dans le contrôleur de domaine :
Administrateur de service
Nommé SCEPAdmin
Doit être membre des groupes administrateur local et administrateur d'entreprise
Doit être connecté localement lorsque l'installation du rôle NDES est déclenchée
Dispose de l'autorisation Inscrire pour les modèles de certificat
Dispose de l'autorisation Ajouter un modèle sur l'autorité de certification
Compte de service
Nommé SCEPSvc
Doit être membre du groupe IIS_IUSRS local
Doit être un utilisateur de domaine et dispose d'autorisations de lecture et d'inscription sur les modèles configurés
Dispose de l'autorisation de demande sur l'autorité de certification
Administrateur du périphérique
Nommé DeviceAdmin
Dispose de l'autorisation Inscrire sur tous les modèles configurés dans le registre
Le serveur CA subordonné est le serveur CA intermédiaire et est toujours en ligne. Il gère généralement la gestion des certificats.
Pour configurer le serveur CA subordonné, procédez comme suit :
Vérifiez que le serveur CA subordonné est installé. Pour plus d'informations, reportez-vous à la section Installation du serveur CA subordonné.
Configurez les paramètres du point de distribution de la certification et de l'accès aux informations d'autorité. Pour plus d'informations, reportez-vous à la section Configuration des paramètres du point de distribution de la certification et de l'accès aux informations d'autorité.
Configurez l'accessibilité CRL. Pour plus d'informations, reportez-vous à la section Configuration de l'accessibilité CRL.
A partir du serveur, connectez-vous en tant qu'utilisateur de domaine SCEPAdmin.
Dans Server Manager, cliquez sur Gérer > Ajouter des rôles et des fonctionnalités.
Cliquez sur Rôles du serveur, sélectionnez Services de certificats Active Directory et toutes ses fonctionnalités, puis cliquez sur Suivant.
Dans la section Services de rôle AD CS, sélectionnez Autorité de certification et Inscription Web de l'autorité de certification, puis cliquez sur Suivant.
Dans la section Services de rôle du rôle Serveur Web (IIS), conservez les paramètres par défaut.
Après l'installation, cliquez sur Configurer les services de certificats Active Directory sur le serveur de destination.
Dans la section Services de rôle, sélectionnez Autorité de certification et Inscription Web de l'autorité de certification, puis cliquez sur Suivant.
Dans la section Type de configuration, sélectionnez Autorité de certification d'entreprise, puis cliquez sur Suivant.
Dans la section Type d'autorité de certification, sélectionnez Autorité de certification subordonnée, puis cliquez sur Suivant.
Sélectionnez Créer une nouvelle clé privée, puis cliquez sur Suivant.
Dans le menu Sélectionner un fournisseur de cryptographie, sélectionnez RSA#Microsoft Software Key Storage Provider.
Dans le menu Longueur de clé, sélectionnez 4096.
Dans la liste des algorithmes de hachage, sélectionnez SHA512, puis cliquez sur Suivant.
Dans le champ Nom commun de cette autorité de certification, saisissez le nom du serveur d'hébergement.
Dans le champ Suffixe du nom unique, saisissez le composant de domaine.
Nom de domaine complet de la machine (FQDN - Fully Qualified Domain Name) :
Nom commun (CN) :
Suffixe du nom unique :
Dans la boîte de dialogue Demande de certificat, enregistrez le fichier de demande, puis cliquez sur Suivant.
Ne modifiez rien dans la fenêtre des emplacements de la base de données.
Terminez l'installation.
Signez la demande de l'autorité de certification racine, puis exportez le certificat signé au format PKCS7.
A partir de l'autorité de certification subordonnée, ouvrez Autorité de certification.
Dans le panneau de gauche, cliquez avec le bouton droit de la souris sur l'autorité de certification, puis cliquez sur Toutes les tâches > Installer le certificat CA.
Sélectionnez le certificat signé, puis démarrez le service d'autorisation de certificat.
Dans Server Manager, cliquez sur Outils > Autorité de certification.
Dans le panneau de gauche, cliquez avec le bouton droit de la souris sur l'autorité de certification, puis cliquez sur Propriétés > Extensions.
Dans le menu Sélectionner un poste, sélectionnez Point de distribution CRL (CDP).
Dans la liste de révocation des certificats, sélectionnez C:\Windows\system32\, puis procédez comme suit :
Sélectionnez Publier les CRL à cet emplacement.
Désactivez Publier les CRL à cet emplacement.
Supprimez toutes les autres entrées sauf C:\Windows\system32\.
Cliquez sur Ajouter.
Dans le champ Emplacement, ajoutez , où est l'adresse IP du serveur.
Cliquez sur OK.
Sélectionnez Inclure dans l'extension CDP des certificats émis pour l'entrée créée.
Dans le menu Sélectionner un poste, sélectionnez Accès aux informations de l'autorité (AIA).
Supprimez toutes les autres entrées sauf C:\Windows\system32\.
Cliquez sur Ajouter.
Dans le champ Emplacement, ajoutez , où est l'adresse IP du serveur.
Cliquez sur OK.
Sélectionnez Inclure dans l'extension AIA des certificats émis pour l'entrée créée.
Cliquez sur Appliquer > OK.
Dans le volet de gauche, développez l'autorité de certification, cliquez avec le bouton droit de la souris sur Certificats révoqués, puis cliquez sur Propriétés.
Spécifiez la valeur de Intervalle de publication CRL et Intervalle de publication des CRL Delta, puis cliquez sur Appliquer > OK.
Dans le panneau de gauche, cliquez avec le bouton droit de la souris sur Certificats révoqués, cliquez sur Toutes les tâches, puis publiez dans la nouvelle CRL.
Dans le gestionnaire IIS, développez l'autorité de certification, puis développez Sites.
Cliquez avec le bouton droit de la souris sur Site Web par défaut, puis cliquez sur Ajouter un répertoire virtuel.
Dans le champ Alias, saisissez .
Dans le champ Chemin physique, saisissez .
Cliquez sur OK.
Cliquez avec le bouton droit de la souris sur CertEnroll, puis cliquez sur Modifier les autorisations.
Dans l'onglet Sécurité, supprimez tout accès en écriture, à l'exception du système.
Cliquez sur OK.
A partir du serveur, connectez-vous en tant qu'utilisateur de domaine SCEPAdmin.
Dans Server Manager, cliquez sur Gérer > Ajouter des rôles et des fonctionnalités.
Cliquez sur Rôles du serveur, sélectionnez Services de certificats Active Directory et toutes ses fonctionnalités, puis cliquez sur Suivant.
Dans la section Services de rôle AD CS, désactivez Autorité de certification.
Sélectionnez Network Device Enrollment Service et toutes ses fonctionnalités, puis cliquez sur Suivant.
Dans la section Services de rôle du rôle Serveur Web (IIS), conservez les paramètres par défaut.
Après l'installation, cliquez sur Configurer les services de certificats Active Directory sur le serveur de destination.
Dans la section Services de rôle, sélectionnez Network Device Enrollment Service, puis cliquez sur Suivant.
Sélectionnez le compte de service SCEPSvc.
Dans la section Autorité de certification pour NDES, sélectionnez Nom de l'autorité de certification ou Nom de l'ordinateur, puis cliquez sur Suivant.
Dans la section Informations RA, spécifiez les informations, puis cliquez sur Suivant.
Dans la section Cryptographie pour NDES, procédez comme suit :
Sélectionnez les fournisseurs de signature et de clé de cryptage appropriés.
Dans le menu Longueur de la clé, sélectionnez la même longueur de clé que le serveur CA.
Cliquez sur Suivant.
Terminez l'installation.
Vous pouvez désormais accéder au serveur NDES à partir d'un navigateur Web en tant qu'utilisateur SCEPSvc. A partir du serveur NDES, vous pouvez afficher la miniature du certificat de l'autorité de certification, le mot de passe de challenge de l'inscription et la période de validité du mot de passe de challenge.
Ouvrez un navigateur Web et saisissez , où correspond à l'adresse IP du serveur NDES.
A partir de l'autorité de certification (certserv) subordonnée, ouvrez Autorité de certification.
Dans le panneau de gauche, développez l'autorité de certification en cliquant avec le bouton droit de la souris sur Modèles de certificat, puis sur Gérer.
Dans Console des modèles de certificat, créez une copie de Serveur Web.
Dans l'onglet Général, saisissez comme nom de modèle.
Dans l'onglet Sécurité, attribuez aux utilisateurs SCEPAdmin et SCEPSvc les autorisations appropriées.
Dans l'onglet Nom d'objet, sélectionnez Envoyer la demande.
A partir de l'autorité de certification (certserv) subordonnée, ouvrez Autorité de certification.
Dans l'onglet Extensions, sélectionnez Stratégies d'application > Modifier.
Cliquez sur Ajouter >Authentification client > OK.
Dans le panneau de gauche, développez l'autorité de certification en cliquant avec le bouton droit de la souris sur Modèles de certificat, puis sur Nouveau > Modèle de certificat à fournir.
Sélectionnez les nouveaux certificats créés, puis cliquez sur OK.
Vous pouvez désormais accéder aux modèles à l'aide du portail d'inscription Web de l'autorité de certification.
Ouvrez un navigateur Web et saisissez , où correspond à l'adresse IP du serveur CA.
Dans le menu Modèle de certificat, affichez les modèles.
A partir de votre ordinateur, lancez l'éditeur de registre.
Accédez à HKEY_LOCAL_MACHINE >SOFTWARE >Microsoft > Cryptographie > MSCEP.
Configurez les éléments suivants, puis définissez-les sur MVEWebServer :
EncryptionTemplate
GeneralPurposeTemplate
SignatureTemplate
Donnez à l'utilisateur SCEPSvc l'autorisation complète sur MSCEP.
Dans le gestionnaire IIS, développez l'autorité de certification, puis cliquez sur Pools d'applications.
Dans le volet de droite, cliquez sur Recycler pour redémarrer le pool d'applications SCEP.
Dans le gestionnaire IIS, développez l'autorité de certification, puis Sites > Site Web par défaut.
Dans le panneau de droite, cliquez sur Redémarrer.
A partir de votre ordinateur, lancez l'éditeur de registre.
Accédez à HKEY_LOCAL_MACHINE > SOFTWARE >Microsoft > Cryptographie > MSCEP.
Définissez EnforcePassword sur .
Dans le gestionnaire IIS, développez l'autorité de certification, cliquez sur Pools d'applications, puis sélectionnez SCEP.
Dans le panneau de droite, cliquez sur Paramètres avancés.
Définissez Charger le profil utilisateur sur True, puis cliquez sur OK.
Dans le volet de droite, cliquez sur Recycler pour redémarrer le pool d'applications SCEP.
Dans le gestionnaire IIS, développez l'autorité de certification, puis Sites > Site Web par défaut.
Dans le panneau de droite, cliquez sur Redémarrer.
Lors de l'ouverture de NDES à partir du navigateur Web, vous ne pouvez désormais afficher que la miniature de l'autorité de certification.