9
 Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic (Autres articles) (Blog) Date de publication : 5 mars 2010 Dernière mise à jour : Cet article va vous permettre de configurer l'inscription automatique de certificats pour vos utilisateurs et ordinateu rs.

Auto Enrollment

Embed Size (px)

Citation preview

Inscription automatique de certificats avec une PKI sous Windows 2008 R2par Michal Todorovic (Autres articles) (Blog)Date de publication : 5 mars 2010 Dernire mise jour :

Cet article va vous permettre de configurer l'inscription automatique de certificats pour vos utilisateurs et ordinateurs.

Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michal Todorovic (Autres articles) (Blog)

I - Introduction..............................................................................................................................................................3 II - Cration des nouveaux modles de certificats......................................................................................................3 II-A - Modle Ordinateur........................................................................................................................................ 3 II-B - Modle Utilisateur......................................................................................................................................... 4 II-C - Ajout des modles dlivrer........................................................................................................................5 III - Cration de la GPO.............................................................................................................................................. 5 III-A - Pour les comptes Ordinateur....................................................................................................................... 5 III-B - Pour les comptes Utilisateur........................................................................................................................ 7 IV - Conclusion............................................................................................................................................................ 8 V - Remerciements...................................................................................................................................................... 8

-2Copyright 2010 - Michal Todorovic. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' 3 ans de prison et jusqu' 300 000 E de dommages et intrts. Droits de diffusion permanents accords developpez LLC.http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/

Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michal Todorovic (Autres articles) (Blog)

I - IntroductionCet article fait suite mon article Configuration d'une infrastructure cls publiques 2 niveaux sous Windows 2008 (R2). Pour suivre cet article, il vous faudra une autorit de certification d'entreprise dj installe. Une autorit autonome n'est pas capable de grer l'inscription automatique. Cette inscription automatique (ou auto-enrollement) va vous permettre de dlivrer automatiquement des certificats des utilisateurs et des ordinateurs de votre domaine Active Directory grce aux GPO.

II - Cration des nouveaux modles de certificatsAvant de dlivrer des certificats automatiquement, il faut crer de nouveaux modles. Les modles par dfaut ne permettent pas l'inscription automatique puisque les sources d'informations (nom commun par exemple) ne sont pas configures. Nous allons donc crer deux nouveaux modles : un pour les utilisateurs et un autre pour les ordinateurs. Le nom des autorits de certification ont chang par rapport mon prcdent article mais l'architecture reste quant elle identique. Mon autorit racine est nomme "Todorovic Root Certification Authority" et mon autorit intermdiaire (d'entreprise) est nomme "Todorovic Intermediate Certification Authority". Toutes les tapes qui vont suivre sont excutes sur l'autorit intermdiaire d'entreprise. Vous devez vous connecter avec un utilisateur ayant des droits d'administration sur l'autorit.

II-A - Modle OrdinateurNous allons commencer par accder la console de gestion des modles de certificats. Ouvrez la mmc "Autorit de certification" puis faites un clic droit sur Modles de certificats puis Grer. La console de gestion des modles va alors s'ouvrir.

Gestion des modles de certificats Comme vous pouvez le voir, il y a un certain nombre de modles disponibles. Le nombre de modles autoriss tre dlivrs est bien plus restreint. Nous allons utiliser des modles existants pour en crer des nouveaux. Nous allons commencer par le certificat Ordinateur. Faites un clic droit dessus puis Dupliquer le modle.

Duplication du modle Ordinateur Pour des raisons de compatibilit avec certains produits (comme Microsoft System Center Configuration Manager), je vous conseille de crer des modles Windows 2003 Server.

Niveau du modle Vous pouvez maintenant modifier les proprits du modle. Changez le nom pour qu'il soit plus explicite. La priode de validit doit tre suprieure la priode de renouvellement. La dure des priodes va conditionner l'utilisation-3Copyright 2010 - Michal Todorovic. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' 3 ans de prison et jusqu' 300 000 E de dommages et intrts. Droits de diffusion permanents accords developpez LLC.http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/

Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michal Todorovic (Autres articles) (Blog)

de votre autorit. Plus les priodes seront courtes, plus l'autorit devra gnrer des certificats et surtout devra en rvoquer.

Configuration gnrale du modle Vous devez ensuite prciser des paramtres dans l'onglet Nom du sujet. La diffrence avec une autorit autonome se fait ici (entre autre). Le nom du sujet (de l'ordinateur) va tre construit partir des informations stockes dans Active Directory. C'est la premire tape vers l'inscription automatique : il fallait que l'autorit sache quel nom dlivrer le certificat, c'est maintenant chose faite. Dans Format du nom de sujet, il s'agit du nom principal du certificat. Le nom de substitution correspond au Subject Alternative Name qui permet d'ajouter plusieurs noms un certificat. Cet attribut ne sera pris en compte que s'il a t activ dans votre autorit intermdiaire. Pour contrler si l'attribut SAN est activ dans l'autorit, excutez la commande suivante : certutil -getreg policy\EditFlags. Si vous voyez une ligne EDITF_ATTRIBUTESUBJECTALTNAME2, alors votre autorit supporte l'attribut SAN. Sinon, reportez-vous ici pour l'activer.

Construction du nom de sujet Maintenant que l'autorit sait qui elle doit dlivrer les certificats, on doit lui indiquer qui a le droit d'en demander. La gestion de ces droits se fait, comme sur un systme de fichiers, dans l'onglet Scurit du modle. Ce qui nous intresse est l'inscription automatique. A part si vous refusez que certains ordinateurs reoivent des certificats, slectionnez Ordinateurs du domaine et cochez Inscription automatique - Autoriser. Vous pouvez slectionner d'autres groupes mais seuls les comptes Ordinateur seront concerns par cette scurit : un utilisateur ne devrait pas avoir de certificat Ordinateur.

Gestion de la scurit du modle Vous pouvez maintenant fermer en faisant OK.

II-B - Modle UtilisateurPour crer le modle Utilisateur, le principe est le mme que pour le modle Ordinateur. Dupliquez le modle Utilisateur et dfinissez les paramtres pour construire le nom du sujet. Pour un utilisateur, le nom du sujet est habituellement son nom commun (Prnom et Nom). On peut galement ajouter l'adresse de messagerie ou l'UPN.

-4Copyright 2010 - Michal Todorovic. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' 3 ans de prison et jusqu' 300 000 E de dommages et intrts. Droits de diffusion permanents accords developpez LLC.http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/

Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michal Todorovic (Autres articles) (Blog)

Construction du nom du sujet Il vous reste la scurit rgler. Choisissez les groupes d'utilisateurs qui seront autoriss s'inscrire automatiquement de la mme manire que pour les ordinateurs.

Gestion de la scurit du modle Fermez le modle et la console de gestion.

II-C - Ajout des modles dlivrerNos nouveaux modles de certificats sont crs. Comme nous l'avons vu, le nombre de modles de certificats dlivrer est restreint : il va falloir ajouter nos nouveaux modles dans la liste des modles utilisables. Ouvrez la console de gestion de votre autorit. Faites un clic droit sur Modles de certificats, Nouveau, Modle de certificat dlivrer.

Nouveaux modles de certificats dlivrer Vous pouvez maintenant slectionner les modles de certificats que vous venez de crer.

Slection des modles de certificats Une fois que vos nouveaux modles seront ajouts, vous devrez redmarrer votre autorit. Il ne reste plus que la configuration des GPO faire.

III - Cration de la GPO III-A - Pour les comptes OrdinateurNos modles sont prts tre utiliss, il faut maintenant que les clients (qu'ils soient utilisateurs ou ordinateurs) sachent qu'ils sont autoriss inscrire des certificats automatiquement. Il va donc falloir crer une GPO (Objet de Stratgie de Groupe). Crez une GPO ou bien utilisez une existante.

-5Copyright 2010 - Michal Todorovic. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' 3 ans de prison et jusqu' 300 000 E de dommages et intrts. Droits de diffusion permanents accords developpez LLC.http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/

Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michal Todorovic (Autres articles) (Blog)

Edition de la GPO Notre modle Ordinateur, avec l'inscription automatique, sera slectionn par dfaut pour gnrer un certificat Ordinateur. En effet, cela est rendu possible grce au rglage de la scurit que nous avons effectu prcdemment. Afin de rendre cette inscription possible, il est ncessaire d'ajouter le certificat racine de votre autorit dans le magasin ddi de vos ordinateurs. Allez dans Configuration ordinateur, Stratgies, Paramtres Windows, Stratgies de cl publique, Autorits de certification racines de confiance puis faites un clic droit pour Importer.

Importation du certificat de l'autorit racine Il restera alors slectionner le certificat d'autorit racine et cliquer sur Suivant pour finir l'importation. Le magasin utilis pour l'importation sera choisi automatiquement puisque nous avons slectionn l'emplacement prcdemment.

Slection du certificat d'autorit racine Il faut galement ajouter le certificat d'autorit intermdiaire. De la mme manire que pour le certificat racine, allez dans Configuration ordinateur, Stratgies, Paramtres Windows, Stratgies de cl publique, Autorits de certification intermdiaires puis faites un clic droit pour Importer. Slectionnez le certificat correspondant puis terminez l'assistant en cliquant sur Suivant. Le magasin sera slectionn automatiquement comme prcdemment. Avant d'activer l'inscription automatique, il faut dfinir une stratgie d'inscription. Allez dans Configuration ordinateur, Stratgies, Paramtres Windows, Stratgies de cl publique puis ouvrez Client des services de certificats - Stratgie d'inscription des certificats.

Stratgie d'inscription des certificats Passez le Modle de configuration sur Activ.

Activation de la stratgie La stratgie par dfaut d'inscription Active Directory s'affiche, il est possible de la modifier si besoin est.

-6Copyright 2010 - Michal Todorovic. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' 3 ans de prison et jusqu' 300 000 E de dommages et intrts. Droits de diffusion permanents accords developpez LLC.http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/

Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michal Todorovic (Autres articles) (Blog)

Stratgie d'inscription

Edition de la stratgie d'inscription Fermez la stratgie en cliquant sur OK. Il va maintenant falloir activer cette stratgie et la configurer. Ouvrez Client des services de certificats - Inscription automatique et activez la stratgie.

Activation de la stratgie De nouveaux paramtres s'affichent : ils permettent de grer le renouvellement des certificats. En effet, qui dit inscription automatique dit aucune gestion de la part de l'administrateur (ou presque). Le renouvellement des certificats ainsi que la rvocation des anciens certificats doit tre automatique. Lorsqu'un certificat sera renouvel, l'ancien sera rvoqu. Le renouvellement s'active en cochant "Renouveler les certificats expirs, mettre jour les certificats en attente et supprimer les certificats rvoqus."

Configuration de la stratgie La configuration de l'inscription automatique des comptes ordinateurs est effectue, il reste la configuration de l'inscription automatique pour les utilisateurs faire.

III-B - Pour les comptes UtilisateurLe principe est le mme que pour les comptes Ordinateur. C'est toutefois plus simple puisqu'il n'y a pas besoin d'envoyer les certificats des autorits racine et intermdiaire. Comme tout l'heure, il faut aller dans Configuration utilisateur, Stratgies, Paramtres Windows, Stratgies de cl publique puis ouvrir Client des services de certificats - Stratgie d'inscription des certificats. Il suffira d'activer la stratgie puis de fermer en cliquant sur OK.

-7Copyright 2010 - Michal Todorovic. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' 3 ans de prison et jusqu' 300 000 E de dommages et intrts. Droits de diffusion permanents accords developpez LLC.http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/

Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michal Todorovic (Autres articles) (Blog)

Stratgie d'inscription Si vos utilisateurs changent d'ordinateur, il sera ncessaire pour vous d'activer les informations d'identification itinrantes. Pour en savoir plus, je vous suggre de lire la section Technet ddie ce sujet.

Pour terminer la configuration, activez l'inscription automatique en passant par Client des services de certificats Inscription automatique. Activez le renouvellement automatique et la mise jour des certificats. La cration de la GPO est finie. Il vous restera ajouter les groupes d'utilisateurs et d'ordinateurs auxquels la GPO va s'appliquer. Les certificats seront crs lors de l'application de la GPO sur les diffrents comptes. Une fois que la GPO aura t prise en compte, vous aurez normalement deux certificats dans les magasins nomms Personnel du compte Ordinateur et du compte Utilisateur. Ces certificats ont t crs par l'autorit intermdiaire.

Certificat Ordinateur

Certificat Utilisateur

IV - ConclusionCe court article vous aura permis de configurer l'inscription automatique des certificats. Cette inscription automatique pourra vous permettre, par exemple, de signer vos emails ou utiliser la technologie DirectAccess apporte par Windows Server 2008 R2.

V - RemerciementsJe remercie Hdhili Jadane pour la correction de cet article.

-8Copyright 2010 - Michal Todorovic. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' 3 ans de prison et jusqu' 300 000 E de dommages et intrts. Droits de diffusion permanents accords developpez LLC.http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/


Architecture des arbres : Auto-similarité et auto-organisationbiophysique.mnhn.fr/berder2013/berder2013_fichiers/doc_orateurs/... · Architecture des arbres : Auto-similarité et

Architecture des arbres : Auto-similarité et auto-organisationbiophysique.mnhn.fr/berder2013/berder2013_fichiers/doc_orateurs/... · Architecture des arbres : Auto-similarité et

Documents
Auto internet

Auto internet

Documents
Mahatma Gandhi Chitrakoot Gramodaya Vishwavidyalaya ... 51 SECOND YEAR 2019-20 ENROLLM… · Mahatma Gandhi Chitrakoot Gramodaya Vishwavidyalaya, Chitrakoot, Satna (M.P.) ENROLLMENT

Mahatma Gandhi Chitrakoot Gramodaya Vishwavidyalaya ... 51 SECOND YEAR 2019-20 ENROLLM… · Mahatma Gandhi Chitrakoot Gramodaya Vishwavidyalaya, Chitrakoot, Satna (M.P.) ENROLLMENT

Documents
Auto estime

Auto estime

Documents
Auto Motor Buzz Sport Auto Motor Buzz > Electric Formule 1 GP Electric Clear text Recherche Auto Motor Buzz Recherche Auto Motor Buzz Recherche Auto Motor Buzz: Electric Recevoir par

Auto Motor Buzz Sport Auto Motor Buzz > Electric Formule 1 GP Electric Clear text Recherche Auto Motor Buzz Recherche Auto Motor Buzz Recherche Auto Motor Buzz: Electric Recevoir par

Documents
MODE D'EMPLOI Auto 2-2, AUTO 4-2 et AGA5000 Analyseur …

MODE D'EMPLOI Auto 2-2, AUTO 4-2 et AGA5000 Analyseur …

Documents
Accueil - Auto Ecole MACADAM à Evian : Permis auto, Permis

Accueil - Auto Ecole MACADAM à Evian : Permis auto, Permis

Documents
Etude Auto

Etude Auto

Documents
Auto, 03.2008

Auto, 03.2008

Documents
Auto-évaluation des compétences professionnelles des ...ifgu.auf.org/media/document/auto-evaluation_des_compétences... · Auto-évaluation des compétences professionnelles des

Auto-évaluation des compétences professionnelles des ...ifgu.auf.org/media/document/auto-evaluation_des_compétences... · Auto-évaluation des compétences professionnelles des

Documents
Auto Trans

Auto Trans

Documents
Mode Auto / Mode Auto Autres modes de prise Guide d ... · 3 Avant utilisation Guide élémentaire Guide avancé Notions de base de l’appareil photo Mode Auto / Mode Auto hybride

Mode Auto / Mode Auto Autres modes de prise Guide d ... · 3 Avant utilisation Guide élémentaire Guide avancé Notions de base de l’appareil photo Mode Auto / Mode Auto hybride

Documents
Auto Empathie

Auto Empathie

Documents
Auto electrique auto plus n 1395-juin 2015

Auto electrique auto plus n 1395-juin 2015

Automotive
Assurance auto - confort auto - conditions générales - 06

Assurance auto - confort auto - conditions générales - 06

Documents
Roulements et paliers auto-aligneurs - rollin.ch et paliers auto-aligneurs.pdf · 1156 HR 1 Schaeffler Group Industrial Roulements et paliers auto-aligneurs Roulements auto-aligneurs

Roulements et paliers auto-aligneurs - rollin.ch et paliers auto-aligneurs.pdf · 1156 HR 1 Schaeffler Group Industrial Roulements et paliers auto-aligneurs Roulements auto-aligneurs

Documents
FRA - Roller Team - Gamme - Roller Team...2 3 CHASSIS AUTO-ROLLER 264 P AUTO-ROLLER 264 TL AUTO-ROLLER 265 P AUTO-ROLLER 265 TL AUTO-ROLLER 266 P AUTO-ROLLER 266 TL AUTO-ROLLER 275

FRA - Roller Team - Gamme - Roller Team...2 3 CHASSIS AUTO-ROLLER 264 P AUTO-ROLLER 264 TL AUTO-ROLLER 265 P AUTO-ROLLER 265 TL AUTO-ROLLER 266 P AUTO-ROLLER 266 TL AUTO-ROLLER 275

Documents
ASSURANCE AUTO...ASSURANCE AUTO Ref : Sada Auto Version AOG PRO du 01 08 2015 v01 2 Votre contrat se compose des éléments suivants : Les Conditions Générales Sada Auto divisées

ASSURANCE AUTO...ASSURANCE AUTO Ref : Sada Auto Version AOG PRO du 01 08 2015 v01 2 Votre contrat se compose des éléments suivants : Les Conditions Générales Sada Auto divisées

Documents
Biothérapies/Immunothérapie Maladies auto-immunes /syndromes auto … · 2020. 3. 25. · Maladies auto-immunes /syndromes auto -inflammatoires 2020. Maladies autoimmunes ... -

Biothérapies/Immunothérapie Maladies auto-immunes /syndromes auto … · 2020. 3. 25. · Maladies auto-immunes /syndromes auto -inflammatoires 2020. Maladies autoimmunes ... -

Documents
TG‑4...Auto AUTO / High AUTO Manuel ISO 100, 200, 400, 800, 1600, 3200, 6400. Balance des blancs. Système WB Auto Oui Préréglage des valeurs Ciel couvert Plein soleil Tungstène

TG‑4...Auto AUTO / High AUTO Manuel ISO 100, 200, 400, 800, 1600, 3200, 6400. Balance des blancs. Système WB Auto Oui Préréglage des valeurs Ciel couvert Plein soleil Tungstène

Documents
auto auto 1800 kg cric hydraulique - medias-norauto.fr

auto auto 1800 kg cric hydraulique - medias-norauto.fr

Documents
Take a Step in the RIGHT DIRECTION - ESC3 · Sheltered Instruction TExES ESL Supplemental #154 Review On-site customized services. The number of visits is dependent on LEP enrollment

Take a Step in the RIGHT DIRECTION - ESC3 · Sheltered Instruction TExES ESL Supplemental #154 Review On-site customized services. The number of visits is dependent on LEP enrollment

Documents
auto ou manuel le lucernaire à quatres cornes auto

auto ou manuel le lucernaire à quatres cornes auto

Documents
CONTRAT D’ASSURANCE Auto-entrepreneur Micro-entrepreneur · 2018-01-16 · CONTRAT D’ASSURANCE Auto-entrepreneur Micro-entrepreneur CONTRAT D’ASSURANCE Auto-entrepreneur Micro-entrepreneur

CONTRAT D’ASSURANCE Auto-entrepreneur Micro-entrepreneur · 2018-01-16 · CONTRAT D’ASSURANCE Auto-entrepreneur Micro-entrepreneur CONTRAT D’ASSURANCE Auto-entrepreneur Micro-entrepreneur

Documents
Auto-immunité et maladies auto-immunes Condition normale ou pathologique Condition normale ou pathologique Auto-anticorps: marqueur ou agent pathogène

Auto-immunité et maladies auto-immunes Condition normale ou pathologique Condition normale ou pathologique Auto-anticorps: marqueur ou agent pathogène

Documents
DD/MM/YY€¦ · SERVICE DE TRANSPORT SCOLAIRE: FORMULAIRE D'INSCRIPTION 2016-2017 TRANSPORTATION SERVICE: ENROLLMENT FORM 2016-2017 Les élèves déja inscrits au service de transport

DD/MM/YY€¦ · SERVICE DE TRANSPORT SCOLAIRE: FORMULAIRE D'INSCRIPTION 2016-2017 TRANSPORTATION SERVICE: ENROLLMENT FORM 2016-2017 Les élèves déja inscrits au service de transport

Documents
Auto Mutilateurs

Auto Mutilateurs

Documents
Assurance auto

Assurance auto

Documents
Quidam auto

Quidam auto

Documents
Auto sarreguemines

Auto sarreguemines

Documents