Vous pouvez utiliser ces procédures pour installer les services de certificats Active Directory® et inscrire un certificat de serveur à des serveurs exécutant NPS (Network Policy Server). Si vous déployez l’authentification basée sur les certificats, les serveurs exécutant NPS doivent posséder un certificat de serveur. Durant le processus d’authentification, ces serveurs envoient leur certificat de serveur aux ordinateurs clients comme preuve de leur identité.

La procédure de configuration de l’inscription de certificat de serveur NPS comporte trois étapes :

  1. Installez le rôle de serveur AD CS (Active Directory Certificate Service). Cette étape n’est requise que si vous n’avez pas encore déployé d’autorité de certification sur votre réseau.

  2. Configurez un modèle de certificat de serveur et son inscription automatique. Comme l’autorité de certification se sert d’un modèle pour élaborer les certificats, vous devez configurer le modèle de certificat de serveur NPS pour permettre à l’autorité de certification de délivrer des certificats. Si vous configurez l’inscription automatique, tous les serveurs exécutant NPS sur votre réseau recevront automatiquement un certificat de serveur lorsque la stratégie de groupe sur le serveur NPS sera actualisée. Si vous ajoutez des serveurs ultérieurement, ils recevront eux aussi un certificat de serveur automatiquement.

  3. Actualisez la stratégie de groupe sur les serveurs NPS. Lorsque la stratégie de groupe est actualisée, les serveurs NPS reçoivent deux certificats. Le premier est le certificat de serveur basé sur le modèle que vous avez configuré à l’étape précédente. Ce certificat est utilisé par le serveur NPS pour prouver son identité aux ordinateurs clients qui tentent de se connecter à votre réseau. Le second est celui de l’autorité de certification émettrice, qui est installé automatiquement sur les serveurs exécutant NPS dans le magasin de certificats des Autorités de certification racine de confiance. NPS utilise ce certificat pour déterminer si les certificats qu’il reçoit des autres ordinateurs sont dignes de confiance. Par exemple, si vous déployez EAP-TLS (Extensible Authentication Protocol-Transport Layer Security), les ordinateurs clients utilisent un certificat pour prouver leur identité au serveur NPS. Lorsque le serveur NPS reçoit un certificat d’un ordinateur client, il lui accorde sa confiance parce qu’il trouve le certificat de l’autorité de certification qui l’a délivré dans son propre magasin de certificats des Autorités de certification racine de confiance.

Au lieu d’inscrire automatiquement un certificat de serveur NPS, vous pouvez employer l’une des méthodes d’inscription suivantes :

  • Importez manuellement un certificat de serveur NPS à partir d’une disquette ou d’un CD-ROM dans le magasin de certificats NPS.

  • Utilisez l’outil d’inscription par le Web des services de certificats Active Directory.

Comme le certificat de serveur NPS est un certificat d’ordinateur, vous devez l’importer dans le magasin de certificats pour l’ordinateur local et non pour l’utilisateur actuel.

Attention

Si le certificat de serveur NPS est installé par inadvertance dans le magasin de certificats de l’utilisateur actuel, NPS ne peut pas l’utiliser pour l’authentification EAP ou Protected EAP (PEAP) parce que les clés privées du certificat ont une liste de contrôle d’accès mal configurée qui empêchent le système local d’accéder aux clés. Vous pouvez vérifier l’emplacement du certificat de serveur NPS à l’aide du composant logiciel enfichable Certificats de la console MMC (Microsoft Management Console). Si le certificat de serveur NPS se trouve au mauvais emplacement, n’essayez pas de le glisser-déplacer depuis le magasin de certificats de l’utilisateur actuel vers celui de l’ordinateur local. En effet, les clés privées du certificat auront toujours une liste de contrôle d’accès incorrecte. Au lieu de cela, révoquez le certificat à l’aide des services de certificats Active Directory et délivrez un nouveau certificat de serveur au serveur NPS.

Pour déployer une autorité de certification et inscrire automatiquement les certificats de serveur, utilisez les procédures suivantes :

Table des matières