« Role Active Directory Certificate Service » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce
Aucun résumé des modifications |
|||
(24 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
{{Rôles_Active_Directory}} | |||
__TOC__ | __TOC__ | ||
== Signer un certificat | == Générer une demande de certificat == | ||
=== Depuis la console Gérer les certificats de l'ordinateur === | |||
# Ouvrir la console '''MMC : Gérer les certificats de l’ordinateur'''. | |||
# Depuis l’arborescence, cliquer sur le dossier '''Personnel''' puis '''Certificats'''. | |||
# Pour effectuer une nouvelle demande, cliquer sur le menu '''Action''' puis '''Toutes les tâches''' / '''Opérations avancées''' / '''Créer une demande personnalisée…''' . | |||
# L’assistant '''Inscription de certificats''' démarre. Cliquer sur le bouton {{Bouton|Suivant}} à l’étape '''Avant de commencer'''. | |||
# À l’étape '''Sélectionner la stratégie d’inscription de certificat''', sélectionner l’option '''Demande personnalisée''' puis cliquer sur le bouton {{Bouton|Suivant}}. | |||
# À l’étape '''Demande personnalisée''', depuis le menu déroulant '''Modèle''' sélectionner '''(Aucun modèle) Clé CNG''' puis depuis la sélection '''Format de la demande''' sélectionner '''PKCS #10'''. Cliquer sur le bouton {{Bouton|Suivant}} pour poursuivre.<br />[[Image:ADCS_INSCRIPTION_CERTORD_DEMANDE_PERSONNALISEE.png]] | |||
# À l’étape '''Informations sur le certificat''', dérouler la ligne '''Demande personnalisée''' à l’aide du bouton '''Détail {{#fas:angle-down}}''' puis cliquer sur le bouton {{Bouton|Propriétés}}.<br />[[Image:ADCS_INSCRIPTION_CERTORD_INFORMATIONS.png]] | |||
# Depuis l’onglet '''Général''' : | |||
## Dans le champ '''Nom convivial''', saisir certsrv.domaine.tld.<br />[[Image:ADCS_INSCRIPTION_CERTORD_INFORMATIONS_GENERAL.png]] | |||
## Depuis l’onglet '''Objet''', dans la section '''Nom du sujet''' ajouter les éléments suivants :<br />[[Image:ADCS_INSCRIPTION_CERTORD_OBJET_SUBJECT_TABLE.png]]<br /><br />[[Image:ADCS_INSCRIPTION_CERTORD_OBJET_SUBJECT.png]] | |||
## Toujours depuis l’onglet '''Objet''', dans la section '''Autre nom''' ajouter les éléments suivants :<br />[[Image:ADCS_INSCRIPTION_CERTORD_OBJET_NAME_TABLE.png]]<br /><br />[[Image:ADCS_INSCRIPTION_CERTORD_OBJET_NAME.png]] | |||
## Depuis l’onglet '''Clé privé''', dérouler la section '''Option de clé''' puis sélectionner la valeur '''2048''' pour le paramètre '''Taille de la clé'''. Cocher l’option '''Permettre l’exportation de la clé privée'''.<br />[[Image:ADCS_INSCRIPTION_CERTORD_PRIVATEKEY_OPTIONS.png]] | |||
## Depuis l’onglet '''Clé privé''', dérouler la section '''Sélectionner l’algorithme de hachage''' puis sélectionner la valeur '''sha256'''. Cliquer sur le bouton {{Bouton|OK}} pour valider les paramètres.<br />[[Image:ADCS_INSCRIPTION_CERTORD_PRIVATEKEY_CIPHER.png]] | |||
# Depuis l’étape '''Informations sur le certificat''', cliquer sur le bouton _Suivant_ pour poursuivre. | |||
# À l’étape '''Où voulez-vous enregistrer la demande hors connexion ?''', cliquer sur le bouton {{Bouton|Parcourir…}} puis nommer le fichier '''certsrv.domaine.tld''' et cliquer sur le bouton {{Bouton|Enregistrer}}. | |||
# Toujours depuis l’étape '''Où voulez-vous enregistrer la demande hors connexion ?''', au paramètre '''Format de fichier''' sélectionner la valeur '''Base 64'''. Cliquer sur le bouton {{Bouton|Terminer}} pour générer le fichier de demande de certificat.<br />[[Image:ADCS_INSCRIPTION_CERTORD_SAVE.png]] | |||
== Signer un certificat Web == | |||
{{ Box Attention | objet=Un compte à privilège membre du groupe Administrateur du domaine est requis pour pouvoir effectuer cette action. }} | {{ Box Attention | objet=Un compte à privilège membre du groupe Administrateur du domaine est requis pour pouvoir effectuer cette action. }} | ||
# Se connecter au portail de l’'''Autorité de Certification''' depuis l’url https://certsrv.domaine.tld/. Renseignez vos identifiants d’administration puis cliquer sur le lien '''Demander un certificat'''.[[Image:ADCS_WELCOME.png]] | # Se connecter au portail de l’'''Autorité de Certification''' depuis l’url https://certsrv.domaine.tld/. Renseignez vos identifiants d’administration puis cliquer sur le lien '''Demander un certificat'''.<br />[[Image:ADCS_WELCOME.png]] | ||
# Depuis la page '''Demander un certificat''', cliquer sur le lien '''demande de certificat avancée'''.[[Image:ADCS_DEMANDE_CERTIFICAT.png]] | # Depuis la page '''Demander un certificat''', cliquer sur le lien '''demande de certificat avancée'''.<br />[[Image:ADCS_DEMANDE_CERTIFICAT.png]] | ||
# Dans le champ ''' | # Dans le champ texte '''Demande enregistrée''', renseignez le contenu du fichier '''exemple.domaine.tld.csr'''. Puis dans le menu de sélection '''Modèle de certificat''' sélectionnez '''Serveur Web'''. Cliquer sur le bouton {{Bouton|Envoyer >}} pour soumettre la demande au serveur.<br />[[Image:ADCS_SOUMETTRE_CERTIFICAT.png]] | ||
# Depuis la page '''Certificat émis''', sélectionner l’option '''Codé en base 64''' puis cliquer sur le lien '''Télécharger le certificat'''.[[Image:ADCS_EMISSION_CERTIFICAT.png]] | # Depuis la page '''Certificat émis''', sélectionner l’option '''Codé en base 64''' puis cliquer sur le lien '''Télécharger le certificat'''.<br />[[Image:ADCS_EMISSION_CERTIFICAT.png]] | ||
# | # Renommer le fichier télécharger en '''exemple.domaine.tld.crt'''. | ||
* Si vous souhaitez utiliser votre certificat sur un serveur web fonctionnant sur un système d'exploitation '''Debian''' : | |||
** Transférer le certificat via un '''client SFTP''' à la racine web '''/var/www/exemple.domaine.tld''' du serveur d’hébergement web. | |||
** Depuis le serveur d’hébergement web, déplacer le certificat dans le répertoire '''/etc/ssl/private''' et octroyer l’accès en '''lecture''' pour l’utilisateur '''www-data''' : | |||
{{ Box Console | objet=root@apache2:~# mv /var/www/exemple.chvr.fr.crt /etc/ssl/private<br /> | |||
root@apache2:~$ chown root:www-data exemple*<br /> | |||
root@apache2:~$ chmod 640 exemple* }} | |||
:* Vous pouvez vous référer à la documentation suivante pour l'installation de votre certificat [[:Serveur_Web_Apache2#Création_du_Vhost_https | Installation du certificat SSL sur un serveur Web Apache2]]. | |||
* Si vous souhaitez utiliser votre certificat sur un serveur web fonctionnant sur un système d'exploitation '''Windows''', reportez-vous à la section [[:Role_Active_Directory_Certificate_Service#Installation_du_certificat_dans_IIS | Installer un certificat sous IIS]]. | |||
== Installer un certificat Web sous Windows == | |||
=== Importation du certificat === | |||
# Double-cliquer sur le certificat généré à l’étape [[:Role_Active_Directory_Certificate_Service#Générer_une_demande_de_certificat | Générer une demande de certificat]]. | |||
# Depuis la fenêtre '''Certificat''', cliquer sur le bouton {{Bouton|Installer un certificat…}}.<br />[[Image:CERTIFICAT_GENERAL.png]] | |||
# Depuis la fenêtre '''Assistant Importation du certificat''', depuis la section '''Emplacement de stockage''' sélectionner la valeur '''Ordinateur local'''{{Exp|1}} et appuyer sur le bouton {{Bouton|Suivant}}{{Exp|2}}.<br />[[Image:CERTIFICAT_IMPORT_EMPLACEMENT_STOCKAGE.png]] | |||
# Depuis l’'''Assistant Importation du certificat''', sélectionner l’option '''Placer tous les certificats dans le magasin suivant'''{{Exp|1}} puis cliquer sur le bouton {{Bouton|Parcourir}}{{Exp|2}}:<br />[[Image:CERTIFICAT_IMPORT_MAGASIN.png]] | |||
# Depuis la boîte de dialogue '''Sélectionner un magasin de certificats''', choisir le dossier '''Personnel''' puis cliquer sur le bouton {{Bouton|OK}}{{Exp|2}}.<br />[[Image:CERTIFICAT_IMPORT_MAGASIN_CHOIX.png]] | |||
# De retour sur l’'''Assistant Importation du certificat''', cliquer sur le bouton {{Bouton|Suivant}} . | |||
# À l’étape Fin de l’'''Assistant Importation du certificat''', cliquer sur le bouton {{Bouton|Terminer}}.<br />[[Image:CERTIFICAT_IMPORT_TERMINER.png]] | |||
=== Installation du certificat dans IIS === | |||
# Ouvrir la console '''Gestionnaire des services Internet ''(IIS)'''''. | |||
# Depuis l’arborescence '''CERTSRV''', cliquer sur '''Sites''' puis sur '''CERTSRV'''. | |||
# Depuis le menu horizontal à droite de la fenêtre, cliquer sur le lien '''Liaisons…'''. | |||
# Depuis la fenêtre '''Liaisons de site''', cliquer sur le bouton {{Bouton|Ajouter…}}.<br />[[Image:IIS_LIAISONS.png]] | |||
# Depuis la fenêtre '''Ajouter la liaison de site''' : | |||
## Dans le champ '''Type''', sélectionner '''https'''{{Exp|1}}. | |||
## Dans le champ '''Nom de l’hôte''', saisir '''certsrv.domaine.tld'''{{Exp|2}}.<br />[[Image:IIS_LIAISONS_AJOUTER.png]] | |||
# À côté du champ '''Certificat SSL''', cliquer sur le bouton {{Bouton|Sélectionner…}}. | |||
# Depuis la fenêtre '''Sélectionner le certificat''', parmi la liste des certificats présenté, sélectionner le certificat importé à l’étape [[:Role_Active_Directory_Certificate_Service#Importation_du_certificat | Importation du certificat]] puis cliquer sur le bouton {{Bouton|OK}}.<br />[[Image:IIS_SELECTIONNER_CERTIFICAT.png]] | |||
# De retour sur le fenêtre '''Ajouter la liaison de site''', cliquer sur le bouton {{Bouton|OK}} pour valider les paramètres.<br />[[Image:IIS_LIAISONS_AJOUTER_FIN.png]] | |||
# Depuis la fenêtre '''Liaisons de sites''', cliquer sur le bouton {{Bouton|Fermer}}.<br />[[Image:IIS_LIAISONS_FIN.png]] | |||
# Depuis le '''Gestionnaire des services Internet ''(IIS)''''', cliquer sur le site '''CERTSRV'''. | |||
# Depuis le menu horizontal à droite de la fenêtre, cliquer sur le lien '''Démarrer'''. | |||
[[Category:Microsoft Active Directory]] | [[Category:Microsoft Active Directory]] | ||
[[Category:Rôle ADCS]] |
Dernière version du 7 juillet 2024 à 20:46
Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA
Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008
Générer une demande de certificat
Depuis la console Gérer les certificats de l'ordinateur
- Ouvrir la console MMC : Gérer les certificats de l’ordinateur.
- Depuis l’arborescence, cliquer sur le dossier Personnel puis Certificats.
- Pour effectuer une nouvelle demande, cliquer sur le menu Action puis Toutes les tâches / Opérations avancées / Créer une demande personnalisée… .
- L’assistant Inscription de certificats démarre. Cliquer sur le bouton Suivant à l’étape Avant de commencer.
- À l’étape Sélectionner la stratégie d’inscription de certificat, sélectionner l’option Demande personnalisée puis cliquer sur le bouton Suivant.
- À l’étape Demande personnalisée, depuis le menu déroulant Modèle sélectionner (Aucun modèle) Clé CNG puis depuis la sélection Format de la demande sélectionner PKCS #10. Cliquer sur le bouton Suivant pour poursuivre.
- À l’étape Informations sur le certificat, dérouler la ligne Demande personnalisée à l’aide du bouton Détail puis cliquer sur le bouton Propriétés.
- Depuis l’onglet Général :
- Dans le champ Nom convivial, saisir certsrv.domaine.tld.
- Depuis l’onglet Objet, dans la section Nom du sujet ajouter les éléments suivants :
- Toujours depuis l’onglet Objet, dans la section Autre nom ajouter les éléments suivants :
- Depuis l’onglet Clé privé, dérouler la section Option de clé puis sélectionner la valeur 2048 pour le paramètre Taille de la clé. Cocher l’option Permettre l’exportation de la clé privée.
- Depuis l’onglet Clé privé, dérouler la section Sélectionner l’algorithme de hachage puis sélectionner la valeur sha256. Cliquer sur le bouton OK pour valider les paramètres.
- Dans le champ Nom convivial, saisir certsrv.domaine.tld.
- Depuis l’étape Informations sur le certificat, cliquer sur le bouton _Suivant_ pour poursuivre.
- À l’étape Où voulez-vous enregistrer la demande hors connexion ?, cliquer sur le bouton Parcourir… puis nommer le fichier certsrv.domaine.tld et cliquer sur le bouton Enregistrer.
- Toujours depuis l’étape Où voulez-vous enregistrer la demande hors connexion ?, au paramètre Format de fichier sélectionner la valeur Base 64. Cliquer sur le bouton Terminer pour générer le fichier de demande de certificat.
Signer un certificat Web
|
Un compte à privilège membre du groupe Administrateur du domaine est requis pour pouvoir effectuer cette action. |
- Se connecter au portail de l’Autorité de Certification depuis l’url https://certsrv.domaine.tld/. Renseignez vos identifiants d’administration puis cliquer sur le lien Demander un certificat.
- Depuis la page Demander un certificat, cliquer sur le lien demande de certificat avancée.
- Dans le champ texte Demande enregistrée, renseignez le contenu du fichier exemple.domaine.tld.csr. Puis dans le menu de sélection Modèle de certificat sélectionnez Serveur Web. Cliquer sur le bouton Envoyer > pour soumettre la demande au serveur.
- Depuis la page Certificat émis, sélectionner l’option Codé en base 64 puis cliquer sur le lien Télécharger le certificat.
- Renommer le fichier télécharger en exemple.domaine.tld.crt.
- Si vous souhaitez utiliser votre certificat sur un serveur web fonctionnant sur un système d'exploitation Debian :
- Transférer le certificat via un client SFTP à la racine web /var/www/exemple.domaine.tld du serveur d’hébergement web.
- Depuis le serveur d’hébergement web, déplacer le certificat dans le répertoire /etc/ssl/private et octroyer l’accès en lecture pour l’utilisateur www-data :
|
|
- Vous pouvez vous référer à la documentation suivante pour l'installation de votre certificat Installation du certificat SSL sur un serveur Web Apache2.
- Si vous souhaitez utiliser votre certificat sur un serveur web fonctionnant sur un système d'exploitation Windows, reportez-vous à la section Installer un certificat sous IIS.
Installer un certificat Web sous Windows
Importation du certificat
- Double-cliquer sur le certificat généré à l’étape Générer une demande de certificat.
- Depuis la fenêtre Certificat, cliquer sur le bouton Installer un certificat….
- Depuis la fenêtre Assistant Importation du certificat, depuis la section Emplacement de stockage sélectionner la valeur Ordinateur local1 et appuyer sur le bouton Suivant2.
- Depuis l’Assistant Importation du certificat, sélectionner l’option Placer tous les certificats dans le magasin suivant1 puis cliquer sur le bouton Parcourir2:
- Depuis la boîte de dialogue Sélectionner un magasin de certificats, choisir le dossier Personnel puis cliquer sur le bouton OK2.
- De retour sur l’Assistant Importation du certificat, cliquer sur le bouton Suivant .
- À l’étape Fin de l’Assistant Importation du certificat, cliquer sur le bouton Terminer.
Installation du certificat dans IIS
- Ouvrir la console Gestionnaire des services Internet (IIS).
- Depuis l’arborescence CERTSRV, cliquer sur Sites puis sur CERTSRV.
- Depuis le menu horizontal à droite de la fenêtre, cliquer sur le lien Liaisons….
- Depuis la fenêtre Liaisons de site, cliquer sur le bouton Ajouter….
- Depuis la fenêtre Ajouter la liaison de site :
- À côté du champ Certificat SSL, cliquer sur le bouton Sélectionner….
- Depuis la fenêtre Sélectionner le certificat, parmi la liste des certificats présenté, sélectionner le certificat importé à l’étape Importation du certificat puis cliquer sur le bouton OK.
- De retour sur le fenêtre Ajouter la liaison de site, cliquer sur le bouton OK pour valider les paramètres.
- Depuis la fenêtre Liaisons de sites, cliquer sur le bouton Fermer.
- Depuis le Gestionnaire des services Internet (IIS), cliquer sur le site CERTSRV.
- Depuis le menu horizontal à droite de la fenêtre, cliquer sur le lien Démarrer.