> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/implement-certificates/deploying-user-certificates-within-the-active-directory.md).

# Déploiement des certificats utilisateur dans Active Directory

### Installation du rôle des services de certificats AD

Installez le **"Services de certificats Active Directory"** rôle sur l’un de vos serveurs. Il est important de noter qu’un serveur hébergeant ce rôle doit être considéré comme hautement sensible et doit bénéficier d’un niveau de protection et de surveillance similaire à celui d’un contrôleur de domaine.

![](/files/079f03a629c9ed5d1aa8d2ca311f4fc77ca1e36e)

Suivez les instructions de configuration de l’autorité de certification selon les besoins de votre entreprise.

![](/files/b401d690714e89aaf38c285f2aa1f4f523dd51f5)

![](/files/716b26de475b9afda496c2963ec1cde4e99653df)

![](/files/4c4656796e241872a917bab07186617788e4a518)

### Création d’un nouveau modèle de certificat

Ouvrez le Gestionnaire de certificats (certsrv) et le **"Modèles de certificats"** dossier.

![](/files/cde9c27effdf6f11eab35be15705e00433a1dc67)

Faites un clic droit sur le **"Modèles de certificats"** dossier, sélectionnez **"Gérer"**, puis faites un clic droit sur **"Utilisateur"** et enfin sélectionnez **"Dupliquer le modèle"**.

![](/files/65289a7e0d53fecb2c78517bc56e4b99d4ea60cb)

Renommez le modèle nouvellement créé en **"Utilisateur v2"**.

![](/files/93167b3f677cb76f7767aef6f8f1327e559a0885)

Dans l’onglet **"Sécurité"** activez les autorisations **"Lire"**, **"S’inscrire"**, et **"Inscription automatique"** pour les utilisateurs du domaine.

![](/files/1135535547333a73e42d7ccbdf32ce403f1cb1cc)

Si nécessaire, la stratégie d’application de ce nouveau modèle peut être modifiée. Dans la plupart des cas, ces certificats seront utilisés pour l’authentification des utilisateurs, alors vérifiez que la stratégie d’application inclut **"Authentification du client"**. Vous pouvez supprimer les autres stratégies d’application si vous le souhaitez.

![](/files/27f22d2dac79876acc6182ac046f5577a0d49c49)

Dans l’onglet **"Gestion de la demande"** onglet, décochez l’option **"Autoriser l’exportation de la clé privée"**.

![](/files/cc02af54cdcce34813c081c9ffb0573de71f4ef9)

Confirmez la création de ce nouveau modèle.

Retournez à la fenêtre de l’Autorité de certification (certsrv), faites un clic droit sur **"Modèles de certificats"**, puis sélectionnez **"Nouveau"**, et enfin **"Modèle de certificat à émettre"**.

![](/files/7cba17fe085655f4864d9569ffeaf4d0e61dad30)

Sélectionnez le modèle nouvellement créé et cliquez sur **OK**.

Le nouveau modèle devrait maintenant apparaître dans la fenêtre actuelle.

![](/files/0b650e24ffd7b70592d2f15e468bd59225456dd5)

### Activation de l’inscription automatique pour les utilisateurs du domaine

Connectez-vous à un contrôleur de domaine et ouvrez l’outil **Gestion des stratégies de groupe** outil. Développez le domaine pour lequel vous souhaitez activer l’inscription automatique, puis ouvrez le **"Objets de stratégie de groupe"** dossier. Faites un clic droit sur **"Stratégie de domaine par défaut"** et cliquez sur **"Modifier"**.

![](/files/8b064618336c68251afabd1e8b636f8757b04f2f)

Accédez à :\
\&#xNAN;**"Configuration utilisateur" → "Stratégies" → "Paramètres Windows" → "Paramètres de sécurité" → "Stratégies de clé publique"**, puis cliquez sur **"Client des services de certificats – Inscription automatique"**.

![](/files/98476e8bd73dc73fcfe55c50603919be528bd1eb)

Sélectionnez **"Activé"** pour l’option **"Modèle de configuration"** et cochez les deux premières cases :

* **"Renouveler les certificats expirés \[...]"**
* **"Mettre à jour les certificats \[...]"**

![](/files/6b62b461310bf4b8928d126e77f5694cdeb783a4)

Puis cliquez sur **OK**.

Cliquez simplement sur **OK** à nouveau et fermez la GPO.

Depuis une session utilisateur du domaine, tapez **"gpupdate /force"** et attendez que la GPO s’applique. Un certificat devrait alors apparaître dans votre magasin de certificats. Si ce n’est pas le cas, utilisez la commande **"gpresult /r"** pour vous assurer que la GPO a été appliquée correctement.

Dans l’image ci-dessous, le certificat de l’utilisateur **"Administrator"** est visible.

![](/files/9c0ab7179c525f13e0d6329b6b1cb2a1b97762d1)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/fr/durcissez-votre-environnement/implement-certificates/deploying-user-certificates-within-the-active-directory.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
