1

Gérer les certificats pour les portails WebGestion des CertificatsTable des matièresGestion des Certificats............................................................................................................................1

Générer un certificat serveur.............................................................................................................1

Gestion des révocations des certificats............................................................................................15

Générer un certificat serveur

Lancer la console MMC

Cliquez sur File - Add/Remove Snap-in

Sélectionnez Certificats puis cliquez sur Add puis cliquer sur OK

2

Sélectionnez Computer Account puis cliquer sur Next

Sélectionnez Local Computer puis cliquez sur Finish.

3

Validez en cliquant sur OK.

Dans la console de gestion de certificats, sélectionnez Certificates - Personnal - Certificates.

Dans la liste de certificats, faire un clic-droit puis sélectionnez All Tasks - Advanced Operations - Create Custom Request.

4

Dans la nouvelle fenêtre, sélectionnez Proceed without enrollment policy sous Custom Request puis cliquez sur Next.

Sélectionnez (No Template) CNG Key pour le template et PKCS #10 pour le format de requête puis cliquez sur Next.

5

Cliquez sur Properties.

Dans l'onglet General, saisissez un Friendly Name ainsi qu’une description.

6

Dans l'onglet Subject, dans le cadre , spécifier les champs Subject Name puis cliquez sur Add.

Un certificat standard contiendra généralement les champs CN, O, L, ST, C.

7

Dans le champ Private Key, vous pouvez choisir le CSP ainsi que le format de clé et ses options

8

Pour une clé RSA, nous recommandons une taille de clé de 2048bit. Nous recommandons aussi l'algorithme de signature SHA256 pour le CSR.

Vous pouvez également générer des clés ECC par ce biais. Attention, il faudra signer le CSR en SHA256

9

Une fois le dialogue de propriétés validé, vous pouvez reprendre la génération du CSR et terminer la demande après avoir choisi un nom et un emplacement de fichier. Il est important de choisir le format Base 64

Dans votre navigateur, connectez-vous au site certsrv hébergé sur votre serveur ADCS. Vos

identifiants et mot de passe du compte de gestion de l’ADCS vous seront demandés.

10

Sélectionner “Request a certificate”

11

Sélectionner “Submit an advanced certificate request”

12

Sélectionner “Submit a certificate request …”

13

Coller l’intégralité du fichier texte généré précédemment, puis sélectionner la template “Web Server”

et enfin cliquer sur Submit.

Télécharger le certificat en cliquant sur “Download certificate”

14

15

Gestion des révocations des certificats

Pour révoquer un certificat, lancer la MMC sur le serveur ADCS, puis cliquer sur Certificat délivrés

Sélectionnez une raison et cliquez sur "Oui'.

Maintenant, ce certificat est affiché dans les certificats révoqués. Pour que les clients sachent que ce certificat est révoqué, vous devez publier la liste des certificats révoqués.

Note : Lorsqu'un certificat est expiré, il apparait dans cette liste.

Pour cela, faites un clic droit sur "Certificats révoqués" et cliquez sur "Toutes les tâches -> Publier".

16

Lorsque la liste des certificats révoqués est petite, sélectionnez "Nouvelle liste de révocations des certificats".

Lorsque vous aurez révoqués beaucoup de certificats, vous choisirez "Liste de révocation des certificats delta uniquement".

Comme indiqué au début de cette page, les anciens certificats devront être recréés car les listes de révocations ne sont indiquées que pour le protocole ldap.

Le serveur a accès aux listes de révocations via cette adresse mais les clients de votre serveur n'y auront pas accès.

Pour illustrer ce problème, nous avons essayé d'accéder au site sur le serveur et sur un client. Le serveur affiche le message d'erreur "Le certificat de cette organisation a été révoqué".

17