Déploiement de certificats utilisateur dans Active Directory
Installation du rôle AD Certificate Services
Installer le "Active Directory Certificate Services" rôle sur l'un de vos serveurs. Il est important de noter qu'un serveur hébergeant ce rôle doit être considéré comme hautement sensible et doit bénéficier d'un niveau de protection et de surveillance similaire à celui d'un contrôleur de domaine.
Suivez les instructions de configuration de l'autorité de certification en fonction des besoins de votre entreprise.
Création d'un nouveau modèle de certificat
Ouvrez le Gestionnaire de certificats (certsrv) et le "Modèles de certificats" dossier.
Cliquez avec le bouton droit sur le "Modèles de certificats" dossier, sélectionnez "Gérer", puis cliquez avec le bouton droit sur "Utilisateur" et enfin sélectionnez "Dupliquer le modèle".
Renommez le modèle nouvellement créé en "Utilisateur v2".
Dans l'onglet "Sécurité" , activez les autorisations "Lire", "S'inscrire", et "Inscription automatique" pour les utilisateurs du domaine.
Si nécessaire, la stratégie d'application de ce nouveau modèle peut être modifiée. Dans la plupart des cas, ces certificats seront utilisés pour l'authentification des utilisateurs, vérifiez donc que la stratégie d'application inclut "Authentification du client". Vous pouvez supprimer d'autres stratégies d'application si vous le souhaitez.
Dans l'onglet Onglet "Traitement des demandes" , décochez l'option "Autoriser l'exportation de la clé privée".
Confirmez la création de ce nouveau modèle.
Retournez à la fenêtre de l'autorité de certification (certsrv), cliquez avec le bouton droit sur "Modèles de certificats", puis sélectionnez "Nouveau", et enfin "Modèle de certificat à émettre".
Sélectionnez le modèle nouvellement créé et cliquez sur OK.
Le nouveau modèle devrait maintenant apparaître dans la fenêtre en cours.
Activation de l'inscription automatique pour les utilisateurs du domaine
Connectez-vous à un contrôleur de domaine et ouvrez l'outil Gestion des stratégies de groupe . Développez le domaine pour lequel vous souhaitez activer l'inscription automatique, puis ouvrez le dossier "Objets de stratégie de groupe" . Cliquez avec le bouton droit sur "Stratégie de domaine par défaut" et cliquez sur "Modifier".
Aller à : "Configuration utilisateur" → "Stratégies" → "Paramètres Windows" → "Paramètres de sécurité" → "Stratégies de clé publique", puis cliquez sur "Client des services de certificats – Inscription automatique".
Sélectionnez "Activé" pour l'option "Modèle de configuration" et cochez les deux premières cases :
"Renouveler les certificats expirés [...]"
"Mettre à jour les certificats [...]"
Puis cliquez OK.
Cliquez simplement OK à nouveau et fermez la GPO.
Depuis une session d'utilisateur du domaine, tapez "gpupdate /force" et attendez que la GPO s'applique. Un certificat devrait alors apparaître dans votre magasin de certificats. Sinon, utilisez la commande "gpresult /r" pour vous assurer que la GPO a été appliquée correctement.
Dans l'image ci-dessous, le certificat de l'utilisateur "Administrateur" est visible.
Mis à jour
Ce contenu vous a-t-il été utile ?