Le service Web Inscription de certificats peut traiter les demandes d’inscription de nouveaux certificats et de renouvellement de certificats. Dans les deux cas, l’ordinateur client envoie la demande au service Web, qui l’envoie à son tour à l’autorité de certification pour le compte de l’ordinateur client. Par conséquent, le compte de service Web doit être approuvé pour la délégation afin de présenter l’identité du client à l’autorité de certification.
Le service Web Inscription de certificats qui accepte les demandes en provenance d’Internet présente un risque de sécurité plus important ; par ailleurs, certaines organisations peuvent décider de ne pas approuver le compte de service Web pour la délégation. Le service Web Inscription de certificats peut être configuré pour le mode renouvellement seul afin d’atténuer le risque lié à l’acceptation des demandes provenant d’Internet.
En mode renouvellement seul, le service Web accepte uniquement les demandes de renouvellement de certificats ; les demandes de nouveaux certificats sont rejetées. Pour prendre en charge le mode renouvellement seul, l’autorité de certification doit être configurée pour authentifier l’ordinateur client à l’aide de la signature de la demande de renouvellement et du certificat existant de l’ordinateur client. Dans cette configuration, il n’y a aucune obligation d’approuver le compte de service Web pour la délégation.
Le mode renouvellement seul présente les exigences suivantes :
- L’autorité de certification d’entreprise doit être en cours d’exécution Windows Server 2008 R2.
- Les ordinateurs clients doivent exécuter Windows 7 ou Windows Server 2008 R2.
- Les ordinateurs clients qui demandent un renouvellement de certificat doivent posséder un certificat qui n’est pas arrivé à expiration et qui peut être vérifié par l’autorité de certification émettrice.
Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Administrateurs de l’entreprise.
Pour configurer le service Web Inscription de certificats pour le mode renouvellement seul |
Ouvrez le Gestionnaire de serveur.
Dans l’arborescence de la console, cliquez sur Rôles.
Si Services de certificats Active Directory est affiché dans la page Résumé des rôles, cliquez sur Ajouter des services de rôle, puis passez à l’étape suivante. Dans le cas contraire, procédez comme suit avant de continuer :
- Dans la page Résumé des rôles, cliquez sur Ajouter des rôles.
- Dans la page Avant de commencer, cliquez sur Suivant.
- Dans la page Sélectionnez des rôles de serveurs, cliquez sur Services de certificats Active Directory, puis sur Suivant.
- Vérifiez les informations de la page Introduction aux services de certificats Active Directory, puis cliquez sur Suivant.
- Dans la page Résumé des rôles, cliquez sur Ajouter des rôles.
Dans la page Sélectionner les services de rôle, activez la case à cocher Service Web Inscription de certificats.
Remarques Le service de rôle Autorité de certification est automatiquement sélectionné lors de l’ajout du rôle AD CS ; toutefois, il ne peut pas être installé en même temps que le service Web Inscription de certificats. Si vous avez l’intention d’installer à la fois l’autorité de certification et le service Web Inscription de certificats, effectuez d’abord l’installation de l’autorité de certification. Voir Configuration des services de certificat Active Directory (AD CS).
Cliquez sur Ajouter les services de rôle requis lorsque vous êtes invité à installer les fonctionnalités et services de rôle requis, puis cliquez sur Suivant.
Pour spécifier une autorité de certification, cliquez sur Nom de l’Autorité de certification ou sur Nom de l’ordinateur, puis sur Parcourir. Sélectionnez une autorité de certification ou tapez un nom d’ordinateur, puis cliquez sur OK.
Activez la case à cocher Configurez le service Web Inscription de certificats pour le mode renouvellement seul.
Dans la page Sélectionnez le type d’authentification, cliquez sur Nom d’utilisateur et mot de passe ou sur Authentification de certificat client.
Dans la page Spécifier les informations d’identification du compte, cliquez sur Spécifier un compte de service ou sur Utiliser l’identité du pool d’applications intégré. Pour spécifier un compte de service, cliquez sur Sélectionner, tapez un nom d’utilisateur et un mot de passe de compte de domaine, puis cliquez sur OK. Cliquez sur Suivant.
Sélectionnez un certificat de serveur existant, cliquez sur Importer pour importer un fichier de certificat ou cliquez sur Choisir et assigner un certificat pour SSL ultérieurement, puis cliquez sur Suivant. Pour plus d’informations, voir Configuration de certificats de serveur pour les services Web d’inscription de certificats.
Dans la page Introduction au serveur Web (IIS), cliquez sur Suivant.
Dans la page Sélectionner les services de rôle, vérifiez les services de rôle sélectionnés, puis cliquez sur Suivant.
Vérifiez les informations de la page Confirmer les sélections pour l’installation, puis cliquez sur Installer.
Vérifiez les messages de la page Résultats de l’installation. Des tâches supplémentaires peuvent être requises pour configurer le service Web Inscription de certificats avant que les utilisateurs ne puissent envoyer des demandes.
Utilisez ces commandes pour configurer et redémarrer les services de certificats Active Directory. Dans cette configuration, l’autorité de certification peut également traiter les demandes de nouveaux certificats.
Pour configurer l’autorité de certification afin de prendre en charge le mode renouvellement seul |
Sur l’autorité de certification, à l’invite de commandes, tapez certutil –setreg policy\editflags +enablerenewonbehalfof, puis appuyez sur Entrée.
Ouvrez le composant logiciel enfichable Autorité de certification.
Dans l’arborescence de la console, cliquez avec le bouton droit sur l’autorité de certification, puis cliquez sur Propriétés.
Cliquez sur l’onglet Sécurité.
Si le compte de service Web est affiché dans Noms de groupes ou d’utilisateurs, assurez-vous que l’autorisation Lecture est sélectionnée. Si le compte de service Web n’est pas affiché, procédez comme suit :
- Cliquez sur Ajouter.
- Tapez le nom du compte, puis cliquez sur Vérifier les noms. Si le nom est introuvable, cliquez sur Types d’objets et assurez-vous que le type de compte approprié est sélectionné. Cliquez sur OK une fois que le nom de compte approprié a été trouvé.
- Activez la case à cocher Lecture, puis cliquez sur OK.
- Cliquez sur Ajouter.
Tapez sc stop certsvc, puis appuyez sur Entrée.
Tapez sc start certsvc, puis appuyez sur Entrée.
Références supplémentaires