Une station d’inscription de carte à puce permet à un agent ou employé désigné d’émettre des cartes à puce depuis une station de travail centralisée ou depuis l’une des stations de travail désignées. Désigner des stations et des agents d’inscription simplifie la préparation physique des cartes à puce à émettre, réduit les risques d’interruption des services de certificats et empêche les utilisateurs et gestionnaires de valider leur propre identification et d’émettre leurs propres certificats, en particulier pour les organisations ou environnements dans lesquels différents niveaux de sécurité et d’accès sont en vigueur.
Préparer une station d’inscription de certificat de carte à puce
Avant de demander des certificats d’ouverture de session par carte à puce pour les utilisateurs :
-
L’agent d’inscription et les certificats d’ouverture de session par carte à puce ou d’utilisateur de carte à puce doivent être configurés et activés pour l’autorité de certification.
-
Si vous le souhaitez, des restrictions d’agent d’inscription doivent être configurées.
-
L’agent d’inscription doit être inscrit pour le compte d’autres utilisateurs pour le certificat d’agent d’inscription.
-
Sur l’ordinateur que vous utiliserez pour configurer les cartes à puce, suivez les instructions du fabricant pour installer le lecteur de carte à puce.
La procédure ci-dessous explique comment inscrire des certificats de cartes à puce pour le compte d’autres utilisateurs et comment préparer la station d’inscription une fois le certificat d’agent d’inscription disponible. Ces procédures peuvent être effectuées sur n’importe quel ordinateur exécutant Windows 7 ou Windows Vista, ou sur un serveur membre Windows Server 2008 R2 ou Windows Server 2008 à utiliser comme station d’inscription de certificats de carte à puce.
L’appartenance au groupe Utilisateurs et un certificat d’agent d’inscription sont les critères minimaux requis pour réaliser cette procédure.
Pour s’inscrire à un certificat pour le compte d’autres utilisateurs |
Ouvrez le composant logiciel enfichable Certificats pour un utilisateur.
Pour confirmer que vous êtes à l’affichage Magasins de certificats logiques, cliquez avec le bouton droit sur Certificats - Utilisateur actuel, pointez sur Affichage, cliquez sur Options, vérifiez que Magasins de certificats logiques est sélectionné, puis cliquez sur OK.
Dans l’arborescence de la console, développez le magasin Personnel, puis cliquez sur Certificats.
Dans le menu Action, pointez sur Toutes les tâches, cliquez sur Opérations avancées, puis sur Inscrire au nom de pour ouvrir l’Assistant Inscription de certificat. Cliquez sur Suivant.
Accédez au certificat d’agent d’inscription que vous allez utiliser pour signer la demande de certificat que vous traitez. Cliquez sur Suivant.
Sélectionnez le type de certificat auquel vous souhaitez vous inscrire. Quand vous êtes prêt à demander un certificat, cliquez sur Inscription.
Une fois que vous êtes parvenu avec succès au terme de l’Assistant Inscription de certificat, cliquez sur Fermer.
Pour accomplir la procédure suivante, vous devez être connecté en tant qu’utilisateur du domaine disposant des privilèges nécessaires pour ajouter des composants logiciels enfichables.
Pour préparer une station d’inscription de certificat de carte à puce |
Cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.
Dans Composant logiciel enfichable, double-cliquez sur Certificats.
Cliquez sur Mon compte d’utilisateur, puis sur Terminer.
Cliquez sur Fermer, puis sur OK.
Double-cliquez sur Certificats - Utilisateur actuel.
Dans l’arborescence de la console, cliquez sur Personnel.
Dans le menu Action, pointez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.
Dans l’Assistant Inscription de certificat, cliquez sur le modèle de certificat Agent d’inscription et fournissez les informations demandées.
Lorsque vous y êtes invité par l’Assistant Inscription de certificat, cliquez sur Installer le certificat.
Considérations supplémentaires
-
Vous pouvez installer le certificat d’agent d’inscription sur une carte à puce. Pour cela, vous devez utiliser le fournisseur de services de chiffrement du fabricant de la carte à puce lors de la demande de certificat. (Dans l’Assistant Demande de certificat, cliquez sur Options avancées pour sélectionner le fournisseur de services de chiffrement du certificat d’agent d’inscription.)
-
Lorsqu’une personne possède un certificat d’agent d’inscription, elle peut s’inscrire pour obtenir un certificat et générer une carte à puce au nom de toute personne de l’organisation. La carte à puce résultante pourrait alors être utilisée pour se connecter au réseau et emprunter l’identité de l’utilisateur réel. Par conséquent, il est recommandé que votre organisation maintienne des stratégies de sécurité renforcées pour restreindre l’utilisation des certificats d’agent d’inscription.
Références supplémentaires
-
Pour configurer un modèle de certificat d’agent d’inscription à émettre par une autorité de certification, voir Gestion de modèles de certificats (
https://go.microsoft.com/fwlink/?LinkID=142230 , éventuellement en anglais).
-
Pour configurer un agent d’inscription restreint, voir Établir des agents d’inscription restreints.