M2 SSI Sec Sys Ava
TP3
Déploiement et gestion de certificats
Objectifs
A la fin de ces travaux pratiques, vous serez à même d'effectuer les
tâches suivantes :
configurer des modèles de certificats polyvalents,
configurer l'inscription automatique de certificats,
configurer des modèles de certificats à usage unique,
mettre à jour des modèles de certificats,
révoquer des certificats.
Pour réaliser ces travaux pratiques, vous devez disposer les machines
suivantes :
* 2304_DC1 (Autorité racine + contrôleur de domaine)
* 2304_Serveur1 (Autorité secondaire)
* 2304_Client (pour tester)
Scénario
Vous utilisez une Autorité de certification d'entreprise pour émettre et
gérer les certificats. Ces certificats sont basés sur des modèles de
certificats personnalisés et sont distribués en utilisant la stratégie de
groupe. Vous allez configurer les modèles de certificats et les objets de
stratégie de groupe nécessaires pour que les utilisateurs puissent
s'inscrire et s'inscrire automatiquement pour obtenir des certificats.
Vous exécuterez ensuite des tâches d'administration relatives aux
certificats sur l'Autorité de certification.
Exercice 1 : Configuration de modèles de certificats polyvalents
Dans cet exercice, vous allez configurer des modèles de certificats dans
Active Directory pour répondre aux besoins de vos utilisateurs.
Tâche 1 : Créer un modèle de certificat nommé Employé User qui répond aux
exigences spécifiées dans le scénario
1. Assurez-vous que les ordinateurs virtuels 2304_DC1 et 2304_Serveur1
sont démarrés.
2. Ouvrez une session sur l'ordinateur virtuel 2304_Serveur1 en tant que
Administrateur.
3. Dans la fenêtre Gestion des clés publiques, cliquez sur Autorité de
certification (local), sur OK, puis, dans le menu Action, cliquez sur
Rediriger l'Autorité de certification.
4. Dans la fenêtre Autorité de certification, cliquez sur Un autre
ordinateur, tapez DC1, puis cliquez sur Terminer.
5. Dans la fenêtre Gestion des clés publiques, cliquez sur Gestion des
clés publiques.
6. Dans la fenêtre Mise en route, cliquez sur Modèles de certificats.
7. Dans le volet de contenu, cliquez sur modèle de certificats puis gérer.
Puis cliquez sur Utilisateur, puis, dans le menu Action, cliquez sur
Modèle dupliqué.
8. Sous l'onglet Général, dans le champ Nom complet du modèle, tapez
Employé User, cliquez sur Appliquer.
9. Sous l'onglet Général, spécifiez une période de validité de 6 mois.
10. Sous l'onglet Général, spécifiez une période de renouvellement de 3
mois.
11. Sous l'onglet Traitement de la demande, spécifiez une taille de clé
minimale de 2048.
1/6
�M2 SSI Sec Sys Ava
12. Sous l'onglet Traitement de la demande, cliquez sur Demander à
l'utilisateur lors de l'inscription.
13. Sous l'onglet Nom du sujet, désactivez la case à cocher Inclure le
nom de compte de messagerie dans le nom du sujet.
14. Sous l'onglet Nom du sujet, désactivez la case à cocher Nom de
messagerie électronique.
15. Cliquez sur OK.
Tâche 2 : Configurer les autorisations de sorte que les utilisateurs
puissent s'inscrire pour obtenir les certificats Employé User
1. Dans l'outil d'administration Gestion des clés publiques, dans le
volet de contenu, cliquez sur Employé User, puis, dans le menu Action,
cliquez sur Propriétés.
2. Dans la boîte de dialogue Propriétés de Employé User, cliquez sur
l'onglet Sécurité, puis sur Utilisa. du domaine (DOMAIN1\Utilisa. du
domaine).
3. Dans la boîte de dialogue Propriétés de Employé User, activez les
cases à cocher en regard de Lecture et d'Inscription automatique dans la
colonne Autoriser, puis cliquez sur OK.
4. Fermez tous les programmes.
Exercice 2 : Configuration de l'inscription automatique de
certificats
Dans cet exercice, vous allez configurer l'inscription automatique de
certificats pour les utilisateurs du domaine [Link].
Tâche 1 : Configurer l'Autorité de certification de sorte que les
utilisateurs puissent s'inscrire pour obtenir les certificats Employé
User
1 Assurez-vous que les ordinateurs virtuels 2304_DC1 et 2304_Serveur1
sont démarrés.
2 Ouvrez une session sur l'ordinateur virtuel 2304_Serveur1 en tant que
Administrateur.
3 Développez successivement Autorité de certification (DC1),
Domain1RootCA, puis cliquez sur Modèles de certificats.
4 Dans le menu Action, pointez sur Nouveau, puis cliquez sur Modèle de
certificat à délivrer.
5 Dans la boîte de dialogue Activer les modèles de certificat, cliquez
sur Employé User, puis sur OK.
6 Fermez tous les outils d'administration.
Tâche 2 : Configurer la stratégie de groupe pour prendre en charge
l'inscription automatique des certificats Employé User
1 Ouvrez une session sur l'ordinateur virtuel 2304_Serveur1 en tant que
Administrateur. Cliquez sur Démarrer, pointez sur Outils
d'administration, puis cliquez avec le bouton droit sur Gestion de
stratégie de groupe.
2 Dans Gestion de stratégie de groupe, développez successivement Forêt :
[Link], Domaines, [Link], puis cliquez sur Ventes (une unité
d’organisation que vous devez créer).
3 Dans le menu Action, cliquez sur Créer et lier un objet de stratégie de
groupe ici.
4 Tapez Infrastructure à clé publique Ventes, puis cliquez sur OK.
5 Développez Ventes, cliquez sur Infrastructure à clé publique Ventes,
puis cliquez sur OK pour accuser réception de l'avertissement.
2/6
�M2 SSI Sec Sys Ava
6 Dans le menu Action, cliquez sur Modifier.
7 Dans la fenêtre Stratégie de groupe, sous Configuration utilisateur,
développez successivement Paramètres Windows, Paramètres de sécurité,
puis cliquez sur Stratégies de clé publique.
8 Dans le volet de contenu, double-cliquez sur Paramètres d'inscription
automatique.
9 Dans la boîte de dialogue Propriétés de Paramètres d'inscription
automatique, activez les cases à cocher Renouveler les certificats
expirés, mettre à jour les certificats en attente, et supprimer les
certificats révoqués et Mettre à jour les certificats qui utilisent les
modèles de certificats.
10 Cliquez sur OK pour fermer la boîte de dialogue Propriétés de
Paramètres d'inscription automatique.
11 Fermez tous les outils d'administration et fermez la session.
Tâche 3 : Vérifier que User1, un utilisateur des ventes, peut s'inscrire
automatiquement pour obtenir un certificat Employé User
1 Ouvrez une session sur l'ordinateur virtuel 2304_Client1 en tant que
User1.
2 Lorsque la notification d'inscription automatique apparaît, cliquez sur
la bulle, puis effectuez la procédure d'inscription automatique en
cliquant sur Démarrer.
3 Cliquez sur Démarrer, puis sur Exécuter.
4 Tapez [Link] et appuyez sur ENTRÉE.
5 Dans la fenêtre Certificats, accédez à Personnel/Certificats et
sélectionnez le certificat pour User1.
6 Dans le menu Action, cliquez sur Ouvrir.
7 Dans la boîte de dialogue Certificat, cliquez sur l'onglet Détails.
8 Sélectionnez le champ Informations du modèle de certificat et vérifiez
que ce certificat est basé sur le modèle Employé User.
9 Cliquez sur OK pour fermer la boîte de dialogue Certificat.
10 Fermez la fenêtre Certificats.
Tâche 4 : Vérifier qu'aucune erreur ne s'est produite lors de
l'inscription automatique
1 Vérifiez que vous avez ouvert une session sur l'ordinateur virtuel
2304_Client1 en tant que User1.
2 Cliquez sur Démarrer, pointez sur Outils d’administration (Panneau de
configuration), puis cliquez sur Observateur d'événements.
3 Dans la fenêtre Observateur d'événements, accédez au journal
Application.
4 Dans le volet de contenu, cliquez sur l'en-tête de la colonne Source.
5 Parcourez le journal à la recherche d'événements avec AutoEnrollment
comme source.
6 Examinez les détails de chaque événement AutoEnrollment.
7 Fermez l'outil d'administration Observateur d'événements et fermez la
session.
Tâche 5 : Afficher le certificat émis
1 Ouvrez une session sur l'ordinateur virtuel 2304_Serveur1 en tant que
administrateur.
2 Accédez au conteneur Certificats délivrés.
3 Identifiez le certificat le plus récent émis à User1 en examinant les
colonnes Date d'effet du certificat et Nom commun d'émission.
4 Fermez tous les outils d'administration.
3/6
�M2 SSI Sec Sys Ava
Exercice 3 : Configuration de l'inscription automatique d'un
certificat à usage unique
Dans cet exercice, vous allez configurer l'inscription automatique pour
les certificats qui ont un usage unique.
Tâche 1 : Configurer Active Directory pour organiser les utilisateurs
autorisés à utiliser le système EFS
1. Assurez-vous que les ordinateurs virtuels 2304_DC1 et 2304_Serveur1
sont démarrés.
2. Vérifiez que vous avez ouvert une session sur l'ordinateur virtuel
2304_Serveur1 en tant que Administrateur.
3. Dans Utilisateurs et ordinateurs Active Directory, développez
[Link], cliquez sur l'unité d'organisation Ventes, cliquez sur le
menu Action, pointez sur Nouveau, puis cliquez sur Groupe.
4. Dans la zone de texte Nom du groupe de la fenêtre Nouvel objet de
Groupe, tapez EFS Users, puis cliquez sur OK.
5. Ajouter le compte User2 au groupe EFS Users.
6. Fermez tous les programmes.
Tâche 2 : Créer un modèle de certificat qui n'autorise que le système EFS
et qui n'est accessible qu'aux utilisateurs autorisés à utiliser le
système EFS
1. Vérifiez que vous avez ouvert une session sur l'ordinateur virtuel
2304_Serveur1 en tant que Administrateur.
2. Dans la fenêtre Gestion des clés publiques, cliquez sur Gestion des
clés publiques.
3. Dans la fenêtre Mise en route, cliquez sur Modèles de certificats.
4. Cliquez sur EFS basique, puis, dans le menu Action, cliquez sur Modèle
dupliqué.
5. Dans la fenêtre Propriétés du nouveau modèle, sous l'onglet Général,
dans le champ Nom complet du modèle, tapez EFS User.
6. Cliquez sur l'onglet Sécurité, puis sur Ajouter.
7. Dans la boîte de dialogue Sélectionner les utilisateurs, les
ordinateurs ou les groupes, tapez EFS Users, puis cliquez sur OK.
8. Activez les cases à cocher en regard de Inscrire et Inscription
automatique dans la colonne Autoriser.
9. Cliquez sur OK pour fermer la boîte de dialogue Propriétés du nouveau
modèle.
10. Dans la fenêtre Gestion des clés publiques, développez successivement
Autorité de certification (DC1), Domain1RootCA, puis cliquez sur Modèles
de certificats.
11. Dans le menu Action, pointez sur Nouveau, puis cliquez sur Modèle de
certificat à délivrer.
12. Dans la boîte de dialogue Activer les modèles de certificat, cliquez
sur EFS User, puis sur OK.
13. Fermez tous les outils d'administration.
Tâche 3 : Ouvrir une session en tant que User2 et s'inscrire pour obtenir
des certificats
1. Ouvrez une session sur l'ordinateur virtuel 2304_Client1 en tant que
User2.
2. Attendez 2 minutes que l'inscription automatique se termine.
4/6
�M2 SSI Sec Sys Ava
3. Lorsque la notification d'inscription automatique apparaît, effectuez
la procédure d'inscription automatique en cliquant d'abord sur la bulle
qui s'affiche, puis sur Démarrer.
4. Cliquez sur Démarrer, puis sur Exécuter.
5. Tapez [Link], puis appuyez sur ENTRÉE.
6. Dans la fenêtre Certificats, accédez à Personnel/Certificats et
sélectionnez le certificat EFS User pour User2.
• Si le certificat n'apparaît pas, l'inscription automatique n'a
peut-être pas encore eu lieu. Attendez quelques minutes, puis appuyez sur
la touche F5 pour actualiser.
7. Dans le menu Action, cliquez sur Ouvrir.
8. Dans la boîte de dialogue Certificat, cliquez sur l'onglet Détails.
9. Vérifiez que ce certificat est basé sur le modèle EFS User.
10. Cliquez sur OK pour fermer la boîte de dialogue Certificat.
11. Fermez tous les programmes, puis fermez la session.
Exercice 4 : Mise à jour d'un modèle de certificat
Dans cet exercice, vous allez mettre à jour un modèle de certificat
existant pour mettre en application de nouvelles spécifications de
sécurité dans votre entreprise, et pour obliger tous les utilisateurs à
se réinscrire pour obtenir le certificat mis à jour.
Tâche 1 : Modifier le modèle de certificat Employé User pour supprimer la
prise en charge du système EFS
1. Assurez-vous que les ordinateurs virtuels 2304_DC1 et 2304_Serveur1
sont démarrés.
2. Ouvrez une session sur l'ordinateur virtuel 2304_Serveur1 en tant que
Administrateur.
3. Dans la fenêtre Gestion des clés publiques, cliquez sur Gestion des
clés publiques.
4. Dans la fenêtre Mise en route, cliquez sur Modèles de certificats.
5. Cliquez sur le modèle de certificat Employé User, puis, dans le menu
Action, cliquez sur Propriétés.
6. Dans la boîte de dialogue Propriétés de Employé User, cliquez sur
l'onglet Extensions, puis cliquez sur Modifier.
7. Dans la boîte de dialogue Modifier l'extension des stratégies
d'application, cliquez sur Système de fichiers EFS (Encrypting File
System), sur Supprimer, puis sur OK.
8. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Employé
User.
Tâche 2 : Obliger tous les utilisateurs à se réinscrire pour obtenir les
certificats Employé User
1. Cliquez sur le modèle Employé User, puis, dans le menu Action, cliquez
sur Réinscrire tous les propriétaires de certificats.
2. Fermez tous les outils d'administration et fermez la session.
3. Ouvrez une session sur l'ordinateur virtuel 2304_Client1 en tant que
User2.
4. Attendez 2 minutes que l'inscription automatique se termine.
5. Lorsque la notification d'inscription automatique apparaît, effectuez
la procédure d'inscription automatique en cliquant d'abord sur la bulle
qui s'affiche, puis sur Démarrer.
6. Cliquez sur Démarrer, puis sur Exécuter.
7. Tapez [Link], puis appuyez sur ENTRÉE.
5/6
�M2 SSI Sec Sys Ava
8. Accédez à Personnel/Certificats et passez en revue la liste de
certificats.
9. Examinez la colonne Modèle de certificat et cliquez sur le certificat
basé sur le modèle Employé User.
10. Dans le menu Action, cliquez sur Propriétés.
11. Dans la boîte de dialogue Propriétés de User2, assurez-vous que le
certificat Employé User répertorie uniquement les rôles prévus Messagerie
électronique sécurisée et Authentification du client.
12. Fermez la boîte de dialogue Propriétés de User2.
13. Fermez tous les programmes, puis fermez la session.
Exercice 5 : Révocation d'un certificat
Dans cet exercice, vous allez révoquer le certificat d'un utilisateur qui
a changé d'emploi.
Tâche 1 : Supprimer User2 du groupe EFS Users
1. Assurez-vous que les ordinateurs virtuels 2304_DC1 et 2304_Serveur1
sont démarrés.
2. Ouvrez une session sur l'ordinateur virtuel 2304_Serveur1 en tant que
Administrateur.
3. Dans Utilisateurs et ordinateurs Active Directory, développez Ventes,
puis cliquez sur le groupe EFS Users.
4. Supprimer User2 du groupe EFS Users.
5. Fermez tous les programmes.
Tâche 2 : Révoquer le certificat EFS User émis à User2
1. Vérifiez que vous avez ouvert une session sur l'ordinateur virtuel
2304_Serveur1 en tant que Administrateur.
2. Dans la fenêtre Gestion des clés publiques, développez successivement
Autorité de certification (DC1), Domain1rootCA, puis cliquez sur le
conteneur Certificats délivrés.
3. Examinez les colonnes Nom commun d'émission et Modèle de certificat.
4. Dans le volet de contenu, sélectionnez les certificats EFS User émis à
User2, puis, dans le menu Action, pointez sur Toutes les Tâches et
cliquez sur Révoquer un certificat.
5. Dans la boîte de dialogue Révocation du certificat, dans la liste
déroulante Code de la raison, cliquez sur Modification de l'affiliation,
puis sur Oui.
6. Cliquez sur le conteneur Certificats révoqués.
7. Dans le menu Action, pointez sur Toutes les tâches, puis cliquez sur
Publier.
8. Dans la boîte de dialogue Publier la liste de révocation de
certificats, assurez-vous que l'option Nouvelle liste de révocation de
certificats est sélectionnée, puis cliquez sur OK.
9. Fermez tous les outils d'administration et fermez la session.
6/6
