Passons à la partie configuration.
Dans cet article, nous allons aborder :
- La distribution du certificat de l'autorité de certification
- La création de modèles pour les ordinateurs et utilisateurs du domaine
- La mise en place d'une stratégie de groupe pour l'inscription automatique des certificats
- Distribution du certificat de l'autorité de certification
Dans un premier temps, ils nous faut récupérer le certificat de la chaine. Pour cela se rendre sur la page web http://nomduserveur/certsrv et cliquez sur "Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation des certificats"
Ensuite cliquez sur "Télécharger un certificat de l’autorité de certification"
Une fenêtre de téléchargement s'ouvre, cliquez sur "enregistrer"
Choisissez l'emplacement et cliquez sur "Enregistrer"
Une fois l'enregistrement terminé, cliquez sur "Fermer"
Maintenant, nous allons distribuer ce certificat à l'ensemble des postes du domaines. Pour cela nous allons créer une GPO, dans notre exemple elle sera nommée "Distribution Certificat Autorite".
Pour cela ouvrez la console "Gestion des stratégies de groupe" et faire un clic droit sur le nom de domaine (ici : testlab.local) et sélectionnez "Créer un objet GPO dans ce domaine, et le lier ici ..."
Nommez le nouvel objet GPO et cliquez sur Ok
Faire un clic droit sur la stratégie créée puis se rendre dans "Configuration Ordinateur\Stratégies\Paramètres Windows\Paramètres de Sécurité\Stratégies de clé publique".
Faire un clic droit sur "Autorités de certification racines de confiance" et sélectionnez "Importer..."
Un assistant se lance, cliquez sur "Suivant"
Cliquez sur "Parcourir" afin d'aller chercher le certificat téléchargé plus haut
Modifiez le type de fichier afin de faire apparaître le certificat
Sélectionnez le certificat et cliquez sur "Ouvrir"
Vous revenez sur l'assistant, cliquez sur "Suivant"
Laissez les paramètres par défaut et cliquez sur "Suivant"
Cliquez sur "Terminer"
Un message indiquant que l'opération s'est terminé correctement s'affiche. Cliquez sur "Ok"
Vous devez voir apparaître dans la partie gauche de la fenêtre le certificat de votre autorité de certification
Ouvrez ensuite une invite de commande et lancer la commande "Gpupdate" afin de mettre à jour les GPOs.
La distribution du certificat de l'autorité de certification est maintenant effectuées.
La distribution du certificat de l'autorité de certification est maintenant effectuées.
- Création de modèles pour les ordinateurs du domaine
Nous allons maintenant créer un modèle que nous distribuerons aux ordinateurs de notre entreprise.
Ouvrez la console "Services de certificat Active Directory" via le gestionnaire serveur et se rendre dans "Modèle de certificat (FQDN du serveur)". Faire un clic droit sur "Ordinateur" et sélectionnez "Dupliquer le modèle"
- Modèle pour les Ordinateurs
Ouvrez la console "Services de certificat Active Directory" via le gestionnaire serveur et se rendre dans "Modèle de certificat (FQDN du serveur)". Faire un clic droit sur "Ordinateur" et sélectionnez "Dupliquer le modèle"
Sélectionnez la version de Windows pour le modèle de certificat (Pour en savoir plus : Versions des modèles de certificats). Ici nous resterons en "Windows 2003 Server, Enterprise Edition", cliquez sur "Ok"
Modifier les informations de la page générale afin qu'elle corresponde à vos critères :
ATTENTION : par défaut la durée maximale d'un certificat est de deux ans. Voir cet article afin de modifier la durée maximale.
Sur l'onglet "Nom du sujet" dans le champ "Format du nom du sujet", sélectionnez "Nom commun" et cochez la case "Nom DNS"
Sur l'onglet "Sécurité", sélectionnez "Ordinateurs du domaine (NomDomaine\Ordinateurs du domaine)" et cochez la case "Inscription automatique". Cliquez sur Ok
Rendez-vous dans le répertoire "Modèles de certificats", dans le volet de droite faire un clic droit n'importe où et sélectionnez "Nouveau - Modèle de certificat à délivrer"
Sélectionnez le modèle créé plus haut et cliquez sur Ok
Votre modèle apparaît maintenant dans la liste
- Mise en place d'une stratégie de groupe pour l'inscription automatique des certificats
Se rendre à "Configuration Ordinateur\Stratégies\Paramètres Windows\Paramètres de Sécurité\Stratégies de clé publique". Double cliquez sur "Client des services de certificats - Stratégie d'inscription des certificats"
Les propriétés de la stratégie s'ouvre, Activez là.
Vous pouvez cliquer sur "Propriétés" par curiosité
Cliquez deux fois sur "Ok". Double cliquez maintenant sur la stratégie "Client des services de certificats - Inscription automatique"
La fenêtre des propriétés s'ouvre, activez la stratégie, cochez les deux premières cases et cliquez sur "Ok"
Ouvrez une invite de commande et lancez la commande "Gpupdate" afin de mettre à jour les stratégies
Enjoy ;)
Aucun commentaire:
Enregistrer un commentaire