L’onglet Validation étendue est utilisé par les administrateurs pour ajouter une stratégie de certificat de validation étendue (EV, Extended Validation) aux certificats racines distribués par la stratégie de groupe. L’ajout de la stratégie de certificat EV aux certificats racines et aux certificats délivrés aux sites Web intranet fournit un indicateur visuel qui permet de déterminer si un site est digne de confiance.

Les procédures ci-après doivent être effectuées dans le cadre de l’utilisation de certificats EV pour des sites Web intranet.

  1. Ajouter une stratégie de certificat EV à un modèle de certificat.

  2. Ajouter une stratégie de certificat EV à un certificat racine.

  3. Délivrer des certificats EV aux sites Web intranet.

Ajout d’une stratégie de certificat EV à un modèle de certificat

Outre le certificat racine, la stratégie de certificat EV doit également être incluse dans les certificats délivrés aux sites Web intranet, ainsi que tous les certificats de l’autorité de certification émettrice dans le chemin d’accès de certification.

Dans cette procédure, vous pouvez modifier un modèle de certificat utilisé pour émettre des certificats de serveur Web dans votre organisation ou tout modèle de certificat répondant aux exigences suivantes :

  • Le modèle de certificat correspond à la version 2 ou la version 3.

  • Le rôle du certificat comprend la signature et le chiffrement.

  • L’extension de la stratégie d’application comprend l’authentification serveur.

L’autorité de certification émettrice doit répondre aux exigences suivantes :

  • Le chemin d’accès de certification du certificat de l’autorité de certification émettrice comprend un certificat racine qui inclut une stratégie de certificat EV.

  • Le certificat de l’autorité de certification émettrice comprend la stratégie Toutes les stratégies d’émissions ou une stratégie de certificat EV.

  • L’autorité de certification émettrice est une autorité de certification d’entreprise.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs de l’entreprise.

Pour ajouter une stratégie de certificat EV à un modèle de certificat
  1. Sur l’autorité de certification émettrice, ouvrez le Gestionnaire de serveur. Dans l’arborescence de la console, développez Rôles, développez Services de certificats Active Directory, puis cliquez sur Modèles de certificats.

  2. Double-cliquez sur un modèle utilisé pour délivrer des certificats aux sites Web intranet.

  3. Cliquez sur l’onglet Extensions.

  4. Cliquez sur Stratégies d’application, puis sur Modifier pour ouvrir la boîte de dialogue Modifier l’extension des stratégies d’application.

  5. Cliquez sur Ajouter pour ouvrir la boîte de dialogue Ajouter une stratégie d’application.

  6. Cliquez sur Nouveau pour ouvrir la boîte de dialogue Nouvelle stratégie d’application.

  7. Tapez un nom pour la stratégie de certificat EV. Le nom s’affiche dans les extensions des certificats émis et dans les propriétés du modèle du composant logiciel enfichable Modèles de certificats.

  8. La valeur d’un identificateur d’objet unique (également appelé OID) est automatiquement générée. Copiez la valeur de l’identificateur d’objet à utiliser dans la procédure suivante. Cliquez sur OK.

  9. Dans la liste Stratégies d’application, sélectionnez la stratégie que vous avez créée. Cliquez sur OK.

  10. Cliquez sur OK pour enregistrer l’extension de la stratégie d’application. Sous l’onglet Extensions, assurez-vous que la stratégie de certificat EV s’affiche dans la zone Description des stratégies d’application.

  11. Cliquez sur l’onglet Sécurité. Assurez-vous que les groupes ou utilisateurs qui demandent des certificats pour les sites Web intranet disposent des autorisations Lecture et Inscription.

  12. Cliquez sur OK pour enregistrer le modèle de certificat.

  13. Dans l’arborescence de la console, double-cliquez sur l’autorité de certification.

  14. Dans l’arborescence de la console, cliquez avec le bouton droit sur Modèles de certificats, sur Nouveau, puis sur Modèle de certificat à délivrer afin d’ouvrir la boîte de dialogue Activer les modèles de certificat.

  15. Sélectionnez le modèle de certificat avec la stratégie de certificat EV, puis cliquez sur OK.

Ajout d’une stratégie de certificat EV à un certificat racine

Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs de l’entreprise.

Pour ajouter une stratégie de certificat EV à un certificat racine
  1. Cliquez sur Démarrer, puis sur Exécuter. Tapez gpmc.msc, puis cliquez sur OK pour ouvrir la Console de gestion des stratégies de groupe.

  2. Dans l’arborescence de la console, développez la forêt et le domaine contenant la stratégie à modifier, puis cliquez sur Objets de stratégie de groupe.

  3. Cliquez avec le bouton droit sur la stratégie à modifier, puis cliquez sur Modifier.

  4. Dans l’arborescence de la console, sous Configuration ordinateur, développez Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de clé publique et Autorités de certification racines de confiance.

  5. Si aucun certificat racine n’est affiché, exportez le certificat de l’autorité de certification à partir de l’autorité de certification racine, puis importez le certificat dans Autorités de certification racines de confiance. Voir Exporter un certificat.

  6. Cliquez avec le bouton droit sur le certificat racine, cliquez sur Propriétés, puis sur l’onglet Validation étendue.

  7. Tapez une valeur d’identificateur d’objet qui représente la stratégie de certificat EV de votre organisation. Si vous avez créé la stratégie de certificat EV à l’aide de la procédure précédente, utilisez la même valeur d’identificateur d’objet.

  8. Cliquez sur Ajouter un OID, puis sur OK pour enregistrer les modifications.

Remarques

Les modifications de la stratégie de groupe sont appliquées par les membres de domaine de manière périodique en fonction de l’intervalle d’actualisation de la stratégie de groupe, durant le démarrage de l’ordinateur et durant l’ouverture de session de l’utilisateur. L’intervalle d’actualisation par défaut est de 90 minutes. Pour actualiser immédiatement la stratégie de groupe sur un membre de domaine, exécutez la commande Gpupdate.

Émission de certificats EV

Suivez les procédures décrites dans les rubriques connexes pour demander et installer un certificat EV sur votre serveur Web intranet :

Références supplémentaires


Table des matières