Vous pouvez configurer les services de rôle des services de certificats Active Directory (AD CS) sur des serveurs exécutant divers systèmes d’exploitation, notamment Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 et Windows 2000 Server. Toutefois, tous les systèmes d’exploitation ne prennent pas en charge l’ensemble des fonctionnalités ou des conditions de conception. Ainsi, pour créer une conception optimale, vous devez planifier et tester minutieusement les services AD CS avant de les déployer dans un environnement de production. Bien que vous puissiez déployer les services AD CS avec un seul serveur et une seule autorité de certification, les déploiements peuvent impliquer plusieurs serveurs configurés en tant qu’autorités de certification racines, de stratégie et d’émission, ainsi que d’autres serveurs configurés en tant que répondeurs en ligne.
Le tableau suivant répertorie les composants AD CS pouvant être configurés sur différentes éditions de Windows Server 2008 R2.
| Composants | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
Autorité de certification |
Non |
Oui |
Oui |
Oui |
|
Services d’inscription de périphériques réseau |
Non |
Non |
Oui |
Oui |
|
Service de répondeur en ligne |
Non |
Non |
Oui |
Oui |
|
Inscription d’autorité de certification via le Web |
Non |
Oui |
Oui |
Oui |
Service Web Inscription de certificats |
Non |
Oui |
Oui |
Oui |
Service Web Stratégie d’inscription de certificats |
Non |
Oui |
Oui |
Oui |
Les fonctionnalités suivantes sont disponibles sur les serveurs Windows Server 2008 R2 ayant été configurés en tant qu’autorités de certification.
| Fonctionnalités des services AD CS | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
|---|---|---|---|---|
|
Modèles de certificats personnalisables version 2 et version 3 |
Non |
Oui |
Oui |
Oui |
|
Archivage de clé |
Non |
Non |
Oui |
Oui |
|
Séparation des rôles |
Non |
Non |
Oui |
Oui |
|
Restrictions du gestionnaire de certificats |
Non |
Non |
Oui |
Oui |
|
Restriction de l’agent d’inscription délégué |
Non |
Non |
Oui |
Oui |
|
Inscription de certificats entre les frontières de forêts |
Non |
Non |
Oui |
Oui |
Personnalisation des services AD CS
Les services AD CS comprennent des interfaces programmables que les développeurs peuvent utiliser pour créer des prises en charge de transports, des stratégies et des propriétés et formats de certificats supplémentaires. Pour plus d’informations sur la personnalisation des services AD CS, voir l’article sur l’architecture des services de certificat (
Gestion des services AD CS
Les composants logiciels enfichables MMC (Microsoft Management Console) suivants peuvent être utilisés pour gérer les services AD CS :
-
Autorité de certification. L’outil principal pour la gestion d’une autorité de certification, de la révocation et de l’inscription de certificat.
-
Modèles de certificats. Utilisé pour dupliquer et configurer des modèles de certificats pour publication dans les services de domaine Active Directory (AD DS, Active Directory Domain Services) et pour utilisation avec des autorités de certification d’entreprise.
-
Répondeur en ligne. Utilisé pour configurer et gérer les répondeurs OCSP (Online Certificate Status Protocol).
-
PKI d’entreprise. Utilisé pour contrôler plusieurs autorités de certification, les listes de révocation de certificats, les emplacements d’accès aux informations de l’autorité, ainsi que pour gérer les objets AD CS publiés dans les services AD DS.
-
Certificats. Utilisé pour afficher et gérer les magasins de certificats pour un ordinateur, un utilisateur ou un service.
Références supplémentaires
-
Infrastructures à clé publique
-
Types d’autorités de certification
- Vue d’ensemble du service Web Inscription de certificats
- Vue d’ensemble du service Web Stratégie d’inscription de certificats
- Configuration des services Web d’inscription de certificats pour l’inscription entre les frontières de forêts