La stratégie d’une Autorité de certification détermine les types de certificats qu’un utilisateur peut demander et les options qui peuvent être configurées. Si elle est activée, vous pouvez utiliser la page Web Demande de certificat avancée pour définir les options suivantes pour chaque demande de certificat :
-
Modèle de certificat (d’une Autorité de certification d’entreprise) ou Type de certificat requis (d’une Autorité de certification autonome). Cette option indique les applications pour lesquelles la clé publique du certificat peut être utilisée, par exemple l’authentification des clients ou la messagerie électronique.
-
Fournisseur de services de chiffrement. Un fournisseur de services de chiffrement est chargé de créer les clés, de les détruire et de les utiliser pour diverses opérations de chiffrement. Chaque fournisseur de services de chiffrement fournit une mise en œuvre différente de CryptoAPI. Certains proposent des algorithmes de chiffrement plus puissants, tandis que d’autres utilisent des composants matériels, notamment des cartes à puce.
-
Taille de clé. Longueur, en bits, de la clé publique du certificat. Pour les utilisateurs malveillants, les clés plus longues sont généralement plus difficiles à craquer que les clés plus petites.
-
Algorithme de hachage. Un bon algorithme de hachage rend impossible la construction, par calculs, de deux entrées indépendantes qui possèdent le même hachage. Les algorithmes de hachage habituels sont MD2, MD4, MD5 et SHA-1.
-
Utilisation de la clé. Mode d’utilisation de la clé privée. Le mode « Échange » signifie que la clé privée peut être utilisée dans l’échange d’informations sensibles. Le mode « Signature » signifie que la clé privée peut être utilisée uniquement pour créer une signature numérique. Le mode « Les deux » signifie que la clé peut être utilisée pour les fonctions Échange et Signature.
-
Créer un nouveau jeu de clés ou Utiliser un jeu de clés existant. Vous pouvez utiliser une paire de clés publique/privée existante stockée sur votre ordinateur ou en créer une nouvelle pour un certificat.
-
Activer la protection renforcée de clés privées. Si vous activez la protection renforcée par la clé privée, vous serez invité à entrer un mot de passe à chaque utilisation de la clé privée.
-
Marquer les clés comme étant exportables. Si vous marquez les clés comme étant exportables, vous pouvez enregistrer les clés publique et privée dans un fichier PKCS #12. Cette option est utile si vous changez d’ordinateur et souhaitez déplacer la paire de clés ou si vous voulez la supprimer et la placer dans un autre emplacement sûr.
-
Stocker des certificats dans le magasin de certificats d’un ordinateur local. Sélectionnez cette option si l’ordinateur doit avoir accès à la clé privée associée au certificat lorsque d’autres utilisateurs sont connectés. Sélectionnez cette option lorsque vous demandez des certificats qui doivent être délivrés à des ordinateurs (comme des serveurs Web) et non à des utilisateurs.
-
Demander le format. Cette section peut servir à sélectionner des formats PKCS #10 ou CMC. Si vous souhaitez soumettre votre demande plus tard, vous pouvez également sélectionner Enregistrer la requête dans le fichier.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum aux groupes Utilisateurs ou Administrateurs local. Pour plus d’informations, consultez la section « Considérations supplémentaires » de cette rubrique.
Pour soumettre une demande de certificat avancée sur le Web |
Ouvrez un navigateur Web.
Ouvrez https://servername/certsrv, où servername représente le nom du serveur Web qui héberge les pages d’inscription Web de l’autorité de certification.
Cliquez sur Demander un certificat.
Cliquez sur Demande de certificat avancée.
Cliquez sur Créer et soumettre une demande de certificat auprès de cette Autorité de certification.
Entrez toute information d’identification et toute autre option requises.
Cliquez sur Soumettre.
Effectuez l’une des actions suivantes :
-
Si la page Web Certificat en attente s’affiche, voir Vérifier une demande de certificat en attente pour obtenir des informations sur un certificat en attente.
-
Si la page Web Certificat émis s’affiche, cliquez sur Installer ce certificat.
-
Si la page Web Certificat en attente s’affiche, voir Vérifier une demande de certificat en attente pour obtenir des informations sur un certificat en attente.
Considérations supplémentaires
-
Les certificats d’utilisateur peuvent être gérés par l’utilisateur ou par un administrateur. Des certificats émis sur un ordinateur ou un service peuvent uniquement être gérés par un administrateur ou un utilisateur ayant reçu les autorisations appropriées.
-
Pour qu’un utilisateur obtienne un certificat via l’inscription Web, un administrateur doit définir les autorisations appropriées sur les modèles de certificats servant de base au certificat demandé.
Références supplémentaires