Scribd
Importer
48 vues38 pages

Ca Windows2012server

Transféré par

jebapi3417
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
48 vues38 pages

Ca Windows2012server

Transféré par

jebapi3417
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

Création et administration d’une autorité de certification

Lorsque vous souhaitez sécuriser la connexion à un serveur web, un serveur "Terminal Server", ... vous
devez utiliser un certificat SSL. Néanmoins, lorsque vous ne souhaitez pas payer un certificat SSL, vous
utiliserez un certificat "auto-signé". Ce type de certificat permet de sécuriser la connexion mais le navigateur
web ou le programme qui l'utilise vous affichera un avertissement car il s'agit d'un certificat "auto-signé". Le
certificat n'a donc pas été vérifié par une autorité de certification de confiance.
Dans le cas d'un serveur Terminal Server, vous devez obligatoirement utiliser un certificat signé par une
autorité de confiance pour pouvoir accéder aux "RemoteApps" via Windows (sans passer par le navigateur
web). Dans ce cas précis, soit vous achetez un certificat SSL chez une autorité reconnue, soit vous créer une
autorité de certification racine sur votre serveur et vous ajouterez votre certificat racine dans la liste des
autorités de confiance du client.

Dans ce tutoriel, nous allons créer une autorité de certification racine d'entreprise (liée à l'Active Directory)
et nous modifierons les stratégies de groupe pour que les clients de l'Active Directory reçoivent
automatiquement le certificat de notre autorité de certification racine. Ainsi, notre autorité sera reconnue par
les ordinateurs clients et aucun avertissement ne s'affichera concernant nos certificats SSL.

Pré-requis :
- un Active Directory

1. Installation et configuration de l'autorité de certification racine d'entreprise


2. Exportation du certificat de l'autorité racine
3. Créer un nouveau modèle de certificat
4. Demander un certificat
5. Protéger le serveur Web IIS avec le certificat généré
6. Distribuer le certificat de l'autorité aux clients de l'Active Directory
7. Installer l'interface web de l'autorité de certification
8. Aperçu de l'interface web de l'autorité de certification
9. Configuration des protocoles HTTP et File pour les listes de révocations
10. Révoquer un certificat
11. Demander un nouveau certificat
12. Révoquer le nouveau certificat

1. Installation et configuration de l'autorité de certification racine


d'entreprise
Pour commencer, nous allons installer notre autorité de certification racine. Pour cela, cliquez sur "Ajouter
des rôles et des fonctionnalités".

1/40
Sélectionnez "Installation basée sur un rôle ou une fonctionnalité".

Sélectionnez le serveur de destination.

2/40
Cochez la case "Services de certificats Active Directory" (AD CS).

Pas de fonctionnalités supplémentaires.

3/40
Windows vous affiche une description du rôle "Services de certificats Active Directory".

Cochez la case "Autorité de certification".

4/40
Cochez la case "Redémarrer automatiquement ..." et cliquez sur "Installer".

Une fois l'installation terminée, cliquez sur le lien "Configurer les services de certificats Active Directory
sur le serveur de destination".

5/40
La fenêtre "Configuration des services de certificats Active Directory" s'affiche.

Cochez la case "Autorité de certification" pour configurer ce rôle.

6/40
Sélectionnez "Autorité de certification d'entreprise".
Note : Si cette case est grisée, c'est que ce serveur n'est pas membre d'un Active Directory. Ce rôle peut être
installé sur le même serveur en suivant notre tutoriel : "Windows Server 2012 - Créer un Active Directory".

Sélectionnez "Autorité de certification racine" car notre autorité ne sera pas dépendante d'une autre.

Informations concernant ces 2 types d'autorités :


- Par exemple, Google a créé une autorité de certification secondaire car il a fait signer le certificat de son
autorité par "GeoTrust". Geotrust a fait signer son propre certificat d'autorité par "Equifax Secure CA". Et
étant donné que le certificat de "Equifax Secure CA" est présent dans la liste des autorités de confiance sous
Windows, l'autorité de certification de Google est donc valide ainsi que ses certificats.
- Dans notre cas, nous ne dépendrons d'aucune autorité de certification et nous devons donc distribuer notre
7/40
certificat aux ordinateurs clients pour que nos certificats soient considérés comme valides. Ce type d'autorité
de certification est donc intéressant pour un intranet (avec de préférence un Active Directory) mais est
déconseillée pour un accès public. Etant donné que notre autorité n'est pas dans les autorités de certification
de confiance par défaut, les personnes du monde entier verraient un avertissement concernant nos certificats.
Si vous souhaitez utiliser vos certificats pour un site web public, vous devrez achetez vos certificats
séparément ou créer une autorité secondaire comme Google.

Etant donné qu'il s'agit de la première installation de notre autorité de certification, nous allons créer une
nouvelle clé privée.

Le 2ème choix vous permet de choisir la clé privée venant d'une ancienne installation de votre autorité de
certification et vous permettra de garantir la continuité des certificats émis antérieurement à cette nouvelle
installation.

8/40
Laissez le chiffrement par défaut. Le chiffrement RSA - SHA1 est celui utilisé par Google pour ses
certificats.

Par défaut, les valeurs sont déjà indiquées mais vous pouvez modifier le nom commun de cette AC si vous le
souhaitez. Lorsque vous accèderez à un site web sécurisé avec un de vos certificats, c'est ce nom commun
qui s'affichera car il s'agit du vrai nom de l'autorité.

Indiquez une période de validité pour le certificat de votre autorité de certification.


Note : Comme indiqué sur cette image, la période de validité configurée pour ce certificat d'autorité de
certification doit dépasser la période de validité pour les certificats qu'elle émettra.

9/40
Laissez les dossiers des bases de données, par défaut.

L'assistant vous affiche un résumé de votre configuration.

10/40
Notre autorité de certification est maintenant installée et configurée.

2. Exportation du certificat de l'autorité racine


Pour pouvoir distribuer notre certificat racine aux clients de l'Active Directory, nous aurons besoin de notre
certificat racine.
Pour l'exporter, allez dans le coin en bas à gauche pour allez dans l'interface tactile puis tapez "mmc".

11/40
Dans la console qui s'ouvre, allez dans le menu "Fichier -> Ajouter/Supprimer un composant logiciel
enfichable".

Sélectionnez "Certificats" dans la colonne de gauche et cliquez sur "Ajouter >".

12/40
Sélectionnez "Un compte d'ordinateur".

Puis, "L'ordinateur local".

13/40
Le composant "Certificats (ordinateur local)" s'affichera dans la colonne de droite. Cliquez sur "OK".

En allant dans "Certificats ... -> Autorités de certification racines de confiance -> Certificats", vous verrez
que notre certificat racine est déjà présent dans cette liste.
Les certificats que nous génèrerons seront donc considérés comme valides par notre serveur (uniquement).

14/40
Pour exporter ce certificat d'autorité racine au format ".cer" (donc : sans la clé privée),allez dans le dossier
"Autorités de certification de confiance -> Certificats", sélectionnez le 1er qui correspond à votre autorité de
certification et effectuez un clic droit "Toutes les tâches -> Exporter".

Pour exporter ce certificat d'autorité racine au format ".pfx" (donc : avec la clé privée), allez dans le dossier
"Personnel -> Certificats" et effectuez un clic droit "Toutes les tâches -> Exporter" sur le certificat nommé
avec le nom de votre autorité de certification.

L'assistant d'exportation s'affiche.

15/40
Si vous êtes passé par le dossier "Personnel -> Certificats", vous pourrez cochez la case "Oui, exporter la clé
privée" et sélectionnez le format "Echange d'informations personnelles - PKCS # 12 (.PFX)".

Si vous êtes passé par le dossier "Autorités de certification de confiance -> Certificats", vous pourrez
exporter le certificat au format "X.509 binaire encodé DER (*.cer)".

Si vous avez choisi le format ".pfx", vous devrez indiquer un mot de passe pour protéger la clé privée
exportée avec le certificat.

Cliquez sur "Parcourir" pour sélectionner le dossier où vous souhaitez exporter votre certificat.

16/40
Un résumé s'affiche.

Le certificat à été exporté.

17/40
Fermez la console et cliquez sur "Oui" pour l'enregistrer. Ça vous fera gagner du temps quand vous
souhaiterez gérer vos certificats.

Dans notre cas, nous allons l'enregistrer sur le bureau.

3. Créer un nouveau modèle de certificat


Pour gérer les modèles de certificats, retournez dans l'interface tactile et cliquez sur "Autorité de
certification".

Note : Sous Windows Server 2012 R2, vous devrez d'abord cliquer sur la flèche en bas à gauche, pour
trouver ce raccourci.

18/40
Allez dans "Autorité de certification (Local) -> [nom de votre autorité]" et effectuez un clic droit "Gérer" sur
"Modèles de certificats".

Dupliquez le modèle "Serveur Web", par exemple. Car nous nous montrerons comment sécuriser le serveur
web IIS.

19/40
Renommer le nouveau modèle de certificat et modifiez la période de validité si vous le souhaitez.

Ensuite, allez dans l'onglet "Sécurité" et modifiez les autorisations des "utilisateurs authentifiés" pour qu'ils
puissent demander des certificats (inscriptions).
Cochez les cases "Inscrire" et "Inscription automatique".

20/40
Recherchez le programme "gpupdate" et lancez-le.

21/40
Le programme "gpupdate" permet de mettre à jour la stratégie de l'ordinateur.

Fermez la fenêtre "certsrv" (ou Autorité de certification) et rouvrez la.


Ensuite, comme vous pouvez le voir, le nouveau modèle n'est pas affiché par défaut. Pour que ce nouveau
modèle de certificat s'affiche, vous devez effectuer un clic droit sur "Modèles de certificats" et cliquer sur
"Nouveau -> Modèle de certificat à délivrer".

Sélectionnez votre nouveau modèle.

22/40
Votre nouveau modèle est affiché.

4. Demander un certificat
Pour demander un certificat (qui sera signé par votre autorité de certification), ouvrez la console (que l'on
avait sauvegardée sur le bureau à la fin du point 2) et allez dans "Personnel -> Certificats". Effectuez un clic
droit et cliquez sur "Toutes les tâches -> Demander un nouveau certificat".

23/40
La fenêtre "Inscription de certificats" s'affiche.

Passez cette étape.

24/40
Sélectionnez votre nouveau modèle puis cliquez sur le lien "L'inscription pour obtenir ce certificat nécessite
des informations supplémentaires".

Note : Si votre nouveau modèle de certificat n'est pas affiché, vous avez probablement oublié de modifier les
autorisations dans l'onglet "Sécurité" lors de la création de votre modèle de certificat.

Etant donné que ce certificat sert à vérifier l'adresse d'un site internet, vous devez indiquer le nom de
domaine de votre ordinateur comme "nom commun".

25/40
Ensuite, vous pouvez ajouter d'autres informations dans le certificat si vous le souhaitez. Par exemple : Nous
avons ajouté le nom de l'organisation : "InformatiWeb".

Le lien bleu a disparu. Cliquez sur "Inscription".

26/40
Si tout se passe bien, la création du certificat se fera sans problèmes.

Voici notre nouveau certificat signé (ou délivré) par notre autorité de certification.

27/40
5. Protéger le serveur Web IIS avec le certificat généré
Maintenant que nous avons notre certificat, nous allons vous montrer comment sécuriser votre serveur web
IIS grâce à ce certificat.
Si vous n'avez pas installé de serveur web sur votre serveur, il suffit d'installer le rôle "Serveur Web (IIS)" et
de laisser le reste par défaut.

Ensuite, dans l'interface tactile, lancez le gestionnaire des services Internet.

Note : Sous Windows Server 2012 R2, vous devrez d'abord cliquer sur la flèche en bas à gauche, pour
trouver ce raccourci.

28/40
Si ce message s'affiche cliquez sur "Non".

Sélectionnez le site que vous souhaitez sécuriser. Dans notre cas, ce sera celui par défaut (Default Web Site).
Puis, dans la colonne de droite, cliquez sur "Liaisons".

29/40
Cliquez sur "Ajouter" pour ajouter le port HTTPS.
Note : Si celui-ci est déjà présent, sélectionnez-le et cliquez sur "Modifier".

Sélectionnez "https" (port 443 par défaut) et sélectionnez votre certificat dans la liste "Certificat SSL".

30/40
Maintenant, tapez votre nom de domaine dans le navigateur web "Internet Explorer" de votre serveur et
cliquez sur le petit cadenas qui s'affiche dans la barre d'adresse.
Comme vous pouvez le voir, votre navigateur n'a pas affiché d'avertissement concernant votre certificat car
celui-ci est signé par votre autorité de certification.
Etant donné que le certificat de votre autorité de certification se trouve dans la liste des autorités de
confiance de votre serveur, le certificat est considéré comme valide.

Notes :
- Mozilla Firefox vous affichera un avertissement car il utilise son propre magasin de certificats. Vous
devrez donc importer le certificat de votre autorité dans le magasin de certificats de Mozilla Firefox pour
que cet avertissement disparaisse aussi de ce navigateur.
- Sous Windows Server 2012 R2, cette page est différente mais cela ne pose aucun souci pour ce tutoriel.
Avec cette version de Windows, vous aurez une page nommée "Internet Information Services" avec un fond
bleu.

31/40
6. Distribuer le certificat aux clients de l'Active Directory
Etant donné que nous avons créé un Active Directory sur notre serveur, nous pouvons modifier les stratégies
de groupe pour nos clients reçoivent le certificat de notre autorité de certification. Ainsi, nos clients pourront
accéder à notre intranet (site web accessible uniquement sur un réseau interne) de façon sécurisée et sans
avoir d'avertissement concernant le certificat.

Pour commencer, créer un utilisateur dans votre Active Directory.

32/40
Ensuite, dans l'interface tactile, cherchez "stratégie groupe" et cliquez sur "Gestion des stratégies de groupe".

Dans cette fenêtre, allez dans "Forêt : ... -> Domaines -> [nom de votre domaine] -> Objets de stratégie de
groupe -> Default Domain Policy.
Ensuite, effectuez un clic droit sur "Default Domain Policy" et cliquez sur "Modifier".

La fenêtre "Editeur de gestion des stratégies de groupe" va nous permettre de modifier les paramètres
concernant notre domaine.
33/40
Dans cette fenêtre, allez dans "Stratégie Default Domain Policy [SERVER...] -> Configuration ordinateur ->
Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de clé publique -> Autorités de
certification racines de confiance".
Dans la partie droite, effectuez un clic droit -> "Importer".

L'assistant d'importation de certificat s'ouvre.

Sélectionnez le certificat de votre autorité de certification (que nous avons exporté au point 2).

34/40
Par défaut, le certificat sera importé dans le magasin "Autorité de certification racines de confiance".

Un résumé de l'importation s'affiche.

35/40
Si tout se passe bien, le certificat sera importé.

Maintenant que le certificat de notre autorité de certification est importé dans la liste des autorités de
confiance de notre domaine, tous les clients de l'Active Directory recevront ce certificat par défaut.
Etant donné que l'on utilisera des certificats signé par cette autorité de certification, nos certificats seront
toujours valides (jusqu'à leurs dates d'expiration).

Note :
En parlant de date d'expiration, pensez à renouveler vos certificats ainsi que le certificat de votre autorité de
certification car lorsque le certificat de l'autorité expire, les certificats signés par cette autorité, seront
considérés comme non valides.
Pensez aussi à réimporter le nouveau certificat dans cette fenêtre pour que les clients de l'Active Directory
reçoive le nouveau certificat de l'autorité (celui qui à été renouvelé).

36/40
Relancez le programme "gpupdate" pour mettre à jour la stratégie de l'ordinateur et celle du domaine.

Pour tester cette configuration, nous avons joint un ordinateur sous Windows 8 Pro à notre Active Directory
et nous nous sommes connecté avec l'utilisateur que nous avons créé au début du point 6.
Ensuite, lancez le programme "[Link]" sur l'ordinateur client et allez dans "Autorités de certification
racines de confiance -> Certificats".
Si vous avez configuré les stratégies de groupe correctement, vous verrez le certificat de votre autorité de
certification.

37/40
Si c'est le cas, tentez d'accédez au site web hébergé sur votre serveur en tapant le nom de domaine configuré
sur le serveur.

Notes :
- Le certificat n'est valable que pour cette adresse.
- Si vous accédez au site web via son adresse IP, le navigateur vous affichera un avertissement car l'adresse
sera différente du nom commun indiqué dans le certificat.
- Si vous souhaitez sécuriser plusieurs sous-domaines avec un seul certificat, il suffit d'indiquer
"*.[Link]" comme nom commun. Ce certificat sera valable pour tous les sous-domaines sauf le
domaine. La solution consiste donc à rediriger le domaine principal sur le sous-domaine "www" pour éviter
les avertissements concernant le certificat.
- Sous Windows Server 2012 R2, cette page est différente mais cela ne pose aucun souci pour ce tutoriel.
Avec cette version de Windows, vous aurez une page nommée "Internet Information Services" avec un fond
bleu.

38/40

Vous aimerez peut-être aussi