Vous pouvez utiliser cette procédure pour configurer le modèle de certificat qui sert de base aux services de certificats Active Directory® pour les certificats d’ordinateur qui sont inscrits aux ordinateurs clients membres du domaine.

Pour être autorisé à effectuer cette procédure, vous devez au minimum faire partie du groupe Enterprise Admins et du groupe Domain Admins du domaine racine.

Important

Si vous avez déjà déployé des certificats de serveur en suivant la procédure décrite dans Certificat de serveur NPS : configurer le modèle et l’inscription automatique, vous n’avez pas besoin d’effectuer les étapes 13 à 20 de cette procédure. Ces étapes permettent de configurer l’inscription automatique des certificats de l’ordinateur et sont les mêmes que celles de la rubrique susmentionnée.

Pour configurer le modèle et l’inscription automatique de certificats

  1. Sur l’ordinateur où sont installés les services de certificats Active Directory, cliquez sur Démarrer, cliquez sur Exécuter, tapez mmc, puis cliquez sur OK.

  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. La boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables s’ouvre.

  3. Dans Composants logiciels enfichables disponibles, double-cliquez sur Autorité de certification Sélectionnez l’autorité de certification que vous voulez gérer à l’aide du composant logiciel enfichable, puis cliquez sur Terminer. La boîte de dialogue Autorité de certification se ferme, laissant place à la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables.

  4. Dans Composants logiciels enfichables disponibles, double-cliquez sur Modèles de certificats, puis cliquez sur OK.

  5. Dans l’arborescence de la console, cliquez sur Modèles de certificats. Tous les modèles de certificats sont affichés dans le volet d’informations.

  6. Dans le volet d’informations, cliquez sur le modèle Authentification de station de travail.

  7. Dans le menu Action, cliquez sur Modèle dupliqué. La boîte de dialogue Modèle dupliqué s’ouvre. Sélectionnez la version du modèle appropriée pour votre déploiement, puis cliquez sur OK. La boîte de dialogue de propriétés du nouveau modèle s’ouvre.

  8. Sous l’onglet Général, dans Nom complet, tapez un nouveau nom pour le modèle de certificat si vous ne voulez pas conserver le nom par défaut.

  9. Cliquez sur l’onglet Sécurité. Dans Groupes ou noms d’utilisateurs, cliquez sur Ordinateurs du domaine.

  10. Dans Autorisations pour Ordinateurs du domaine, sous Autoriser, activez les cases à cocher Inscrire et Inscription automatique, puis cliquez sur OK.

  11. Double-cliquez sur Autorité de certification, double-cliquez sur le nom de l’autorité de certification, puis cliquez sur Modèles de certificats. Dans le menu Action, pointez sur Nouveau, puis cliquez sur Modèle de certificat à délivrer. La boîte de dialogue Activer les modèles de certificat s’ouvre.

  12. Cliquez sur le nom du modèle de certificat que vous venez de configurer, puis cliquez sur OK. Par exemple, si vous n’avez pas modifié le nom de modèle de certificat par défaut, cliquez sur Copie de Authentification de station de travail, puis cliquez sur OK.

  13. Sur l’ordinateur où sont installés les services de domaine Active Directory, cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.

  14. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. La boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables s’ouvre.

  15. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, dans Composants logiciels enfichables disponibles, double-cliquez sur Éditeur de gestion des stratégies de groupe. L’Assistant Sélection d’un objet de stratégie de groupe s’ouvre. Cliquez sur Parcourir, puis sélectionnez Stratégie de domaine par défaut. Cliquez sur OK, sur Terminer, puis à nouveau sur OK.

  16. Double-cliquez sur Stratégie de domaine par défaut. Ouvrez Configuration ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, puis Stratégies de clé publique.

  17. Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique. La boîte de dialogue Propriétés de Client des services de certificats - Inscription automatique s’ouvre.

  18. Dans la boîte de dialogue Propriétés de Client des services de certificats - Inscription automatique, dans Modèle de configuration, sélectionnez Activé.

  19. Activez la case à cocher Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués.

  20. Activez la case à cocher Mettre à jour les certificats qui utilisent les modèles de certificats, puis cliquez sur OK.

Considérations supplémentaires

Une fois cette procédure effectuée, les ordinateurs clients membres du domaine inscrivent automatiquement un certificat d’ordinateur client lorsque la stratégie de groupe est actualisée. Pour actualiser la stratégie de groupe, redémarrez l’ordinateur client ou, à l’invite de commandes, exécutez gpupdate.

Table des matières