Après avoir installé une autorité de certification racine, de nombreuses organisations installeront une ou plusieurs autorités de certification secondaires pour implémenter des restrictions de stratégie sur l’infrastructure à clé publique et pour délivrer des certificats aux clients finaux. Utiliser au moins une autorité de certification secondaire peut aider à protéger une autorité de certification racine contre toute exposition inutile.
Si une autorité de certification secondaire est destinée à être utilisée pour délivrer des certificats à des utilisateurs ou ordinateurs ayant des comptes dans un domaine Active Directory, l’installation d’une autorité de certification secondaire en tant qu’autorité de certification d’entreprise vous permet d’utiliser les données de compte existantes des clients contenues dans les services de domaine Active Directory (AD DS) pour émettre et gérer les certificats et pour les publier dans les services AD DS.
Le minimum requis pour mener à bien cette procédure est d’appartenir au groupe Administrateurs local ou à un groupe équivalent. S’il s’agit d’une autorité de certification d’entreprise, il est nécessaire d’appartenir au minimum au groupe Admins du domaine ou à un groupe équivalent pour mener à bien cette procédure. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.
 | Pour installer une autorité de certification secondaire |
Ouvrez Gestionnaire de serveur, cliquez sur Ajouter des rôles, sur Suivant, puis sur Services de certificats Active Directory. Cliquez sur Suivant à deux reprises.
Dans la page Sélectionner les services de rôle, cliquez sur Autorité de certification, puis sur Suivant.
Dans la page Spécifier le type d’installation, cliquez sur Autonome ou Entreprise, puis sur Suivant.
Pour plus d’informations, voir Types d’autorités de certification.
Remarques Vous devez disposer d’une connexion réseau à un contrôleur de domaine pour installer une autorité de certification d’entreprise.
Dans la page Spécifier le type d’autorité de certification, cliquez sur Autorité de certification secondaire, puis sur Suivant.
Dans la page Configurer la clé privée, cliquez sur Créer une nouvelle clé privée, puis sur Suivant.
Dans la page Configurer le chiffrement, sélectionnez le fournisseur de services de chiffrement, la longueur de la clé et l’algorithme de hachage. Cliquez sur Suivant.
Pour plus d’informations, voir Options de chiffrement des autorités de certification.
Dans la page Demander un certificat, recherchez l’autorité de certification racine ou, si l’autorité de certification racine n’est pas connectée au réseau, enregistrez la demande de certificat dans un fichier afin de pouvoir la traiter ultérieurement. Cliquez sur Suivant.
Remarques L’autorité de certification secondaire ne peut être utilisée qu’une fois qu’un certificat d’autorité de certification racine lui a été délivré et que ce certificat a été utilisé pour terminer l’installation de l’autorité de certification secondaire.
Dans la page Configurer le nom de l’autorité de certification, créez un nom unique pour identifier l’autorité de certification. Cliquez sur Suivant.
Pour plus d’informations, voir Attribution de noms aux autorités de certification.
Dans la page Période de validité du certificat, spécifiez le nombre d’années ou de mois de validité du certificat de l’autorité de certification. Cliquez sur Suivant.
Dans la page Configurer la base de données de certificats, acceptez les emplacements par défaut, à moins que vous ne vouliez spécifier un emplacement spécifique pour la base de données de certificats et pour le journal de base de données de certificats. Cliquez sur Suivant.
Pour plus d’informations, voir Base de données de certificats.
Dans la page Confirmer les options d’installation, vérifiez les paramètres de configuration que vous avez sélectionnés. Pour accepter toutes ces options, cliquez sur Installer et patientez jusqu’à la fin du processus d’installation.