« Installation du rôle ADCS » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce
Ligne 88 : | Ligne 88 : | ||
{{Synthèse Score Sécurité|oradad=—|pingcastle=10|CVE=—|correctifs=[https://support.microsoft.com/fr-fr/topic/kb5005413-att%C3%A9nuation-des-attaques-de-relais-ntlm-sur-les-services-de-certificats-active-directory-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429 KB5005413]<br />[https://attack.mitre.org/techniques/M1557/ T1557]|compatibilite=Windows Server 2008 et ultérieure}} | {{Synthèse Score Sécurité|oradad=—|pingcastle=10|CVE=—|correctifs=[https://support.microsoft.com/fr-fr/topic/kb5005413-att%C3%A9nuation-des-attaques-de-relais-ntlm-sur-les-services-de-certificats-active-directory-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429 KB5005413]<br />[https://attack.mitre.org/techniques/M1557/ T1557]|compatibilite=Windows Server 2008 et ultérieure}} | ||
# Accéder à la console '''Gestionnaire des services Internet ''(IIS)''''' : | |||
## Depuis la console '''Gestionnaire de serveur''', cliquer sur l'item '''IIS''' présent sur le menu vertical de gauche. | |||
## Effectuer un clic droit sur le serveur présent dans la liste puis cliquer sur '''Gestionnaire des services Internet (IIS)'''.<br />[[Image:GESTIONNAIREDESERVEUR_IIS.png]] | |||
# Le Gestionnaire des services Internet (IIS) s'ouvre. Depuis l'arborescence, accéder à Sites / Default Web Site / CertSrv. Puis, depuis la Page d'accueil de /CertSrv, double-cliquer sur l'item Authentification.<br />[[Image:GESTIONNAIREIIS_CERTSRV_AUTHENTIFICATION_BOUTON.png]] | |||
# Depuis la page '''Authentification''', cliquer sur le ligne Authentification Windows, puis sur le lien Paramètres avancés... .<br />[[Image:GESTIONNAIREIIS_CERTSRV_AUTHENTIFICATION_AUTH_WINDOWS.png]] | |||
## La boîte de dialogue '''Paramètres avancés''' s'affiche. Depuis le menu de sélection '''Protection étendue''', sélectionner la valeur '''Nécessaire''', puis cliquer sur le bouton {{Bouton|OK}} pour valider.<br />[[Image:GESTIONNAIREIIS_CERTSRV_AUTHENTIFICATION_AUTH_WINDOWS_PROTECTION_ETENDUE_ACTIVATION.png]] | |||
# De retour sur la page '''Authentification''', depuis l'arborescence, accéder à Sites / Default Web site. | |||
# Depuis la '''Page d'accueil de Default Web Site''', cliquer sur le lien '''Redémarrer''' pour finaliser la prise en charge de la '''protection''' étendue par le serveur.<br />[[Image:GESTIONNAIREIIS_CERTSRV_RESTART.png]] | |||
{{ Box Information | objet=Par défaut, l’interface web de l’autorité de certification est accessible à l’adresse http://srvadcs/certsrv. Ici, nous allons créer une adresse spécifique qui sera https://certsrv.domaine.tld. }} | {{ Box Information | objet=Par défaut, l’interface web de l’autorité de certification est accessible à l’adresse http://srvadcs/certsrv. Ici, nous allons créer une adresse spécifique qui sera https://certsrv.domaine.tld. }} |
Version du 16 juillet 2024 à 13:05
Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA
Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008
Ajout du rôle Services de certificats Active Directory
- Depuis le Tableau de bord du gestionnaire de serveur, cliquer sur le menu Gérer puis Ajouter des rôles et fonctionnalités.
- À l’étape Avant de commencer, cliquer sur le bouton Suivant.
- À l’étape Sélectionner le type d’installation, choisir Installation basée sur un rôle ou une fonctionnalité puis cliquer sur le bouton Suivant.
- À l’étape Sélectionner le serveur de destination, sélectionner la machine courante puis cliquer sur le bouton Suivant.
- À l’étape Sélectionner des rôles de serveurs, cocher Services de certificats Active Directory.
- De retour à l’étape Sélectionner des rôles de serveurs, cliquer sur le bouton Suivant.
- À l’étape Sélectionner des fonctionnalités, conserver la sélection par défaut puis cliquer sur le bouton Suivant.
- À l’étape Service de certificats Active Directory, cliquer sur le bouton Suivant.
- À l’étape Sélectionner des services de rôles, cocher Autorité de certification ainsi que Inscription de l’autorité de certification via le Web puis cliquer sur le bouton Suivant.
- Depuis la boîte de dialogue Ajouter les fonctionnalités requises pour Inscription de l’autorité certification via le Web cocher l’option Inclure les outils de gestion (si applicable) puis cliquer sur le bouton Ajouter des fonctionnalités.
- À l’étape Sélectionner des services de rôles, cocher Autorité de certification ainsi que Inscription de l’autorité de certification via le Web puis cliquer sur le bouton Suivant.
- De retour à l’étape Sélectionner des services de rôle, cliquer sur le bouton Suivant.
- À l’étape Rôle Web Server (IIS), cliquer sur le bouton Suivant.
- À l’étape Confirmer les sélections d’installation cliquer sur le bouton Installation.
- L’installation des composants peut prendre plusieurs minutes.
Configurer les Services de certificats Active Directory
- Ouvrir le Tableau de bord du Gestionnaire de serveur.
- Cliquer sur la zone de notification puis sur le lien Configurer les services de certificats Active Directory.
- À l’étape Information d’identification, cliquer sur le bouton Suivant.
- À l’étape Services de rôle, cocher les options Autorité de certification et Inscription de l’autorité de certification via le web puis cliquer sur le bouton Suivant.
- À l’étape Type d’installation, sélectionner l’option Autorité de certification de l’entreprise puis cliquer sur le bouton Suivant.
- À l’étape Type d’autorité de certification, sélectionner l’option Autorité de certification racine puis cliquer sur le bouton Suivant.
- À l’étape Clé privée, sélectionner l’option Créer une clé privée puis cliquer sur le bouton Suivant.
- À l’étape Chiffrement pour l’autorité de certification, dans le champ Longueur de la clé choisir 2048 et dans le menu Sélectionnez l’algorithme de hachage pour signer les certificats émis par cette AC choisir SHA256. Cliquer sur le bouton Suivant.
- À l’étape Nom de l’autorité de certification, reprendre les informations saisies dans la capture ci-dessous :
- À l’étape Période de validité, sélectionner 10 Années puis cliquer sur le bouton Suivant.
- À l’étape Chiffrement pour l’autorité de certification, dans le champ Longueur de la clé choisir 2048 et dans le menu Sélectionnez l’algorithme de hachage pour signer les certificats émis par cette AC choisir SHA256. Cliquer sur le bouton Suivant.
- À l’étape Base de données de l’autorité de certification, conserver les paramètres par défaut puis cliquer sur le bouton Suivant.
- À l’étape Confirmation, cliquer sur le bouton Configurer.
- Une fois le paramétrage terminé, cliquer sur le bouton Fermer.
Génération du certificat Web
|
Ce certificat sera utilisé lors de la configuration du serveur web IIS pour la mise en place de la liaison sécurisée https. |
Générer la demande de certificat
- Accéder à la console Gérer les certificats d'ordinateur.
- Depuis l'arborescence, accéder à Certificats (ordinateur local) / Personnel, puis cliquer sur l'action Autres actions / Toutes les tâches Opérations avancées / Créer une demande personnalisée....
- L’assistant Inscription de certificats démarre. Cliquer sur le bouton Suivant à l’étape Avant de commencer.
- À l’étape Sélectionner la stratégie d’inscription de certificat, sélectionner l’option Demande personnalisée puis cliquer sur le bouton Suivant.
- À l’étape Demande personnalisée, depuis le menu déroulant Modèle sélectionner (Aucun modèle) Clé CNG puis depuis la sélection Format de la demande sélectionner PKCS #10. Cliquer sur le bouton Suivant pour poursuivre.
- À l’étape Informations sur le certificat, dérouler la ligne Demande personnalisée à l’aide du bouton Détail puis cliquer sur le bouton Propriétés.
- Depuis l’onglet Général :
- Dans le champ Nom convivial, saisir Certificat Web AC.
- Depuis l’onglet Objet, dans la section Nom du sujet ajouter les éléments suivants :
- Toujours depuis l’onglet Objet, dans la section Autre nom ajouter les éléments suivants :
- Depuis l’onglet Clé privé, dérouler la section Option de clé puis sélectionner la valeur 2048 pour le paramètre Taille de la clé. Cocher l’option Permettre l’exportation de la clé privée.
- Depuis l’onglet Clé privé, dérouler la section Sélectionner l’algorithme de hachage puis sélectionner la valeur sha256. Cliquer sur le bouton OK pour valider les paramètres.
- Dans le champ Nom convivial, saisir Certificat Web AC.
- Depuis l’étape Informations sur le certificat, cliquer sur le bouton _Suivant_ pour poursuivre.
- À l’étape Où voulez-vous enregistrer la demande hors connexion ?, cliquer sur le bouton Parcourir… puis nommer le fichier AD1SRV.ncad.fr et cliquer sur le bouton Enregistrer.
- Toujours depuis l’étape Où voulez-vous enregistrer la demande hors connexion ?, au paramètre Format de fichier sélectionner la valeur Base 64. Cliquer sur le bouton Terminer pour générer le fichier de demande de certificat.
Signer la demande de certificat
- Se connecter au portail de l’Autorité de Certification depuis l’url http://localhost/certsrv. Depuis la page d'accueil, cliquer sur le lien Demander un certificat.
- Depuis la page Demander un certificat, cliquer sur le lien demande de certificat avancée.
- Depuis la page Demande de certificat avancée, cliquer sur le lien Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande en utilisant un fichier PKCS #7 codé en base 64.
- Depuis la page Soumettre une demande de certificat ou de renouvellement :
- Depuis la page Certificat émis, sélectionner l’option Codé en base 64 puis cliquer sur le lien Télécharger le certificat.
- Renommer le fichier télécharger en AD1SRV.ncad.fr.crt.
Importer le certificat
- Double-cliquer sur le certificat généré à l’étape Signer la demande de certificat.
- Depuis la fenêtre Certificat, cliquer sur le bouton Installer un certificat….
- Depuis la fenêtre Assistant Importation du certificat, depuis la section Emplacement de stockage sélectionner la valeur Ordinateur local1 et appuyer sur le bouton Suivant2.
- Depuis l’Assistant Importation du certificat, sélectionner l’option Placer tous les certificats dans le magasin suivant1 puis cliquer sur le bouton Parcourir2:
- Depuis la boîte de dialogue Sélectionner un magasin de certificats, choisir le dossier Personnel1 puis cliquer sur le bouton OK2.
- De retour sur l’Assistant Importation du certificat, cliquer sur le bouton Suivant .
- À l’étape Fin de l’Assistant Importation du certificat, cliquer sur le bouton Terminer.
Configuration du serveur web Microsoft IIS
Activer la protection étendue et désactiver le protocole http
Niveau ORADAD : | — |
---|---|
Score PingCastle : | 10 Pt(s) |
Mise en oeuvre : | {{{mo}}} |
Criticité : | {{{criticite}}} |
Compatibilité : | Windows Server 2008 et ultérieure |
CVE : | — |
Correctif(s) : | KB5005413 T1557 |
- Accéder à la console Gestionnaire des services Internet (IIS) :
- Le Gestionnaire des services Internet (IIS) s'ouvre. Depuis l'arborescence, accéder à Sites / Default Web Site / CertSrv. Puis, depuis la Page d'accueil de /CertSrv, double-cliquer sur l'item Authentification.
- Depuis la page Authentification, cliquer sur le ligne Authentification Windows, puis sur le lien Paramètres avancés... .
- De retour sur la page Authentification, depuis l'arborescence, accéder à Sites / Default Web site.
- Depuis la Page d'accueil de Default Web Site, cliquer sur le lien Redémarrer pour finaliser la prise en charge de la protection étendue par le serveur.
|
Par défaut, l’interface web de l’autorité de certification est accessible à l’adresse http://srvadcs/certsrv. Ici, nous allons créer une adresse spécifique qui sera https://certsrv.domaine.tld. |
Création du site web
- Ouvrir la console Gestionnaire des services Internet (IIS).
- Depuis l’arborescence CERTSRV, cliquer sur Sites.
- Depuis le menu horizontal à droite de la fenêtre, cliquer sur Ajouter un site Web….
- Depuis le formulaire Ajouter un site Web :
- Dans le champs Nom du site, renseigner CERTSRV1.
- Depuis la section Répertoire de contenu – dans le champ Chemin d’accès physique – sélectionner C:\inetpub\certsrv.domaine.tld2.
- Depuis la section Liaison – dans le champ Type – sélectionner http3.
- Dans le champ Nom de l’hôte, saisir certsrv.domaine.tld4.
- Cliquer sur le bouton OK pour valider.
Paramétrage de l’application
Paramètres de base
- Ouvrir la console Gestionnaire des services Internet (IIS).
- Depuis l’arborescence CERTSRV, développer l’item Sites.
- Effectuer un clic droit sur CERTSRV puis Ajouter une application… .
- Cliquer sur le bouton OK pour valider.
Paramètres avancés
- Ouvrir la console Gestionnaire des services Internet (IIS).
- Depuis l’arborescence CERTSRV, développer l’item Sites.
- Effectuer un clic droit sur CERTSRV puis Gérer le site Web et Paramètres avancés….
- Cliquer sur le bouton OK pour valider.
Paramètres de l’authentification
- Ouvrir la console Gestionnaire des services Internet (IIS).
- Depuis l’arborescence CERTSRV, développer l’item Sites puis cliquer sur CERTSRV.
- Depuis la Page d’accueil de CERTSRV, double-cliquer sur l’item Authentification.
- Au paramètre Authentification Windows, sélectionner la valeur Activé.
Paramètres ASP
- Ouvrir la console Gestionnaire des services Internet (IIS).
- Depuis l’arborescence CERTSRV, développer l’item Sites puis cliquer sur CERTSRV.
- Depuis la Page d’accueil de CERTSRV, double-cliquer sur l’item ASP.
- Au paramètre Activer les chemins d’accès relatifs au répertoire parent, sélectionner la valeur True.
Paramétrage du répertoire virtuel
- Ouvrir la console Gestionnaire des services Internet (IIS).
- Depuis l’arborescence CERTSRV, développer l’item Sites.
- Effectuer un clic droit sur CERTSRV puis Ajouter un répertoire virtuel….
- Cliquer sur le bouton OK pour valider.