Installation du rôle ADCS

De NCad Wiki
Aller à la navigation Aller à la recherche

Rôles Active Directory

Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce

Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA


Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008

Ajout du rôle Services de certificats Active Directory

  1. Depuis le Tableau de bord du gestionnaire de serveur, cliquer sur le menu Gérer puis Ajouter des rôles et fonctionnalités.
  2. À l’étape Avant de commencer, cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP1.png
  3. À l’étape Sélectionner le type d’installation, choisir Installation basée sur un rôle ou une fonctionnalité puis cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP2.png
  4. À l’étape Sélectionner le serveur de destination, sélectionner la machine courante puis cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP3.png
  5. À l’étape Sélectionner des rôles de serveurs, cocher Services de certificats Active Directory.
    ADCS INSTALLROLE STEP4.png
    1. Depuis la boîte de dialogue Ajouter les fonctionnalités requises pour Services de certificats Active Directory cocher l’option Inclure les outils de gestion (si applicable) puis cliquer sur le bouton Ajouter des fonctionnalités.
      ADCS INSTALLROLE STEP41.png
  6. De retour à l’étape Sélectionner des rôles de serveurs, cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP42.png
  7. À l’étape Sélectionner des fonctionnalités, conserver la sélection par défaut puis cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP5.png
  8. À l’étape Service de certificats Active Directory, cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP6.png
    1. À l’étape Sélectionner des services de rôles, cocher Autorité de certification ainsi que Inscription de l’autorité de certification via le Web puis cliquer sur le bouton Suivant.
      ADCS INSTALLROLE STEP61.png
    2. Depuis la boîte de dialogue Ajouter les fonctionnalités requises pour Inscription de l’autorité certification via le Web cocher l’option Inclure les outils de gestion (si applicable) puis cliquer sur le bouton Ajouter des fonctionnalités.
      ADCS INSTALLROLE STEP62.png
  9. De retour à l’étape Sélectionner des services de rôle, cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP63.png
  10. À l’étape Rôle Web Server (IIS), cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP7.png
    1. À l’étape Sélectionner des services de rôle, conserver la sélection par défaut puis cliquer sur le bouton Suivant.
      ADCS INSTALLROLE STEP71.png
  11. À l’étape Confirmer les sélections d’installation cliquer sur le bouton Installation.
    ADCS INSTALLROLE STEP8.png
  12. L’installation des composants peut prendre plusieurs minutes.
    ADCS INSTALLROLE STEP9.png

Configurer les Services de certificats Active Directory

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur.
  2. Cliquer sur la zone de notification puis sur le lien Configurer les services de certificats Active Directory.
    ADCS CONFIG STEP1.png
  3. À l’étape Information d’identification, cliquer sur le bouton Suivant.
    ADCS CONFIG STEP2.png
  4. À l’étape Services de rôle, cocher les options Autorité de certification et Inscription de l’autorité de certification via le web puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP3.png
  5. À l’étape Type d’installation, sélectionner l’option Autorité de certification de l’entreprise puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP4.png
  6. À l’étape Type d’autorité de certification, sélectionner l’option Autorité de certification racine puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP5.png
  7. À l’étape Clé privée, sélectionner l’option Créer une clé privée puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP6.png
    1. À l’étape Chiffrement pour l’autorité de certification, dans le champ Longueur de la clé choisir 2048 et dans le menu Sélectionnez l’algorithme de hachage pour signer les certificats émis par cette AC choisir SHA256. Cliquer sur le bouton Suivant.
      ADCS CONFIG STEP61.png
    2. À l’étape Nom de l’autorité de certification, reprendre les informations saisies dans la capture ci-dessous :
      ADCS CONFIG STEP62.png
    3. À l’étape Période de validité, sélectionner 10 Années puis cliquer sur le bouton Suivant.
      ADCS CONFIG STEP63.png
  8. À l’étape Base de données de l’autorité de certification, conserver les paramètres par défaut puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP7.png
  9. À l’étape Confirmation, cliquer sur le bouton Configurer.
    ADCS CONFIG STEP8.png
  10. Une fois le paramétrage terminé, cliquer sur le bouton Fermer.
    ADCS CONFIG STEP9.png

Configuration du serveur web Microsoft IIS

Activer la protection étendue et désactiver le protocole http

Niveau ORADAD :
Score PingCastle : 10 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2008 et ultérieure
CVE :
Correctif(s) : KB5005413
T1557

Par défaut, l’interface web de l’autorité de certification est accessible à l’adresse http://srvadcs/certsrv. Ici, nous allons créer une adresse spécifique qui sera https://certsrv.domaine.tld.

Création du site web

  1. Ouvrir la console Gestionnaire des services Internet (IIS).
  2. Depuis l’arborescence CERTSRV, cliquer sur Sites.
  3. Depuis le menu horizontal à droite de la fenêtre, cliquer sur Ajouter un site Web….
  4. Depuis le formulaire Ajouter un site Web :
    • Dans le champs Nom du site, renseigner CERTSRV1.
    • Depuis la section Répertoire de contenu – dans le champ Chemin d’accès physique – sélectionner C:\inetpub\certsrv.domaine.tld2.
    • Depuis la section Liaison – dans le champ Type – sélectionner http3.
    • Dans le champ Nom de l’hôte, saisir certsrv.domaine.tld4.
      ADCS IIS ADD WEBSITE.png
  5. Cliquer sur le bouton OK pour valider.

Paramétrage de l’application

Paramètres de base

  1. Ouvrir la console Gestionnaire des services Internet (IIS).
  2. Depuis l’arborescence CERTSRV, développer l’item Sites.
  3. Effectuer un clic droit sur CERTSRV puis Ajouter une application… .
    • Dans le champ Alias, saisir CertSrv.
    • Dans le champ Chemin d’accès physique, sélectionner C:\Windows\System32\certsrv\fr-FR.
      ADCS IIS ADD APP.png
  4. Cliquer sur le bouton OK pour valider.

Paramètres avancés

  1. Ouvrir la console Gestionnaire des services Internet (IIS).
  2. Depuis l’arborescence CERTSRV, développer l’item Sites.
  3. Effectuer un clic droit sur CERTSRV puis Gérer le site Web et Paramètres avancés….
    • Au paramètre Information d’identification du chemin physique pour le type d’ouverture de session, sélectionner Network1.
    • Au paramètre Préchargement Activée, sélectionner True2.
      ADCS IIS SITE ADVANCED SETTINGS.png
  4. Cliquer sur le bouton OK pour valider.

Paramètres de l’authentification

  1. Ouvrir la console Gestionnaire des services Internet (IIS).
  2. Depuis l’arborescence CERTSRV, développer l’item Sites puis cliquer sur CERTSRV.
  3. Depuis la Page d’accueil de CERTSRV, double-cliquer sur l’item Authentification.
  4. Au paramètre Authentification Windows, sélectionner la valeur Activé.
    ADCS IIS SITE AUTHENTICATION.png

Paramètres ASP

  1. Ouvrir la console Gestionnaire des services Internet (IIS).
  2. Depuis l’arborescence CERTSRV, développer l’item Sites puis cliquer sur CERTSRV.
  3. Depuis la Page d’accueil de CERTSRV, double-cliquer sur l’item ASP.
  4. Au paramètre Activer les chemins d’accès relatifs au répertoire parent, sélectionner la valeur True.
    ADCS IIS SITE ASP.png

Paramétrage du répertoire virtuel

  1. Ouvrir la console Gestionnaire des services Internet (IIS).
  2. Depuis l’arborescence CERTSRV, développer l’item Sites.
  3. Effectuer un clic droit sur CERTSRV puis Ajouter un répertoire virtuel….
    • Dans le champ Alias, saisir CertEnroll1.
    • Dans le champ Chemin d’accès physique, sélectionner C:\Windows\System32\certsrv\CertEnroll2.
      ADCS IIS ADD VIRTUAL DIRECTORY.png
  4. Cliquer sur le bouton OK pour valider.

Suppression de la liaison http