Utilisez les procédures ci-dessous sur vos autorités de certification NAP (Network Access Protection) pour vérifier que ces serveurs sont correctement configurés pour être utilisés avec l’autorité HRA (Health Registration Authority) et la méthode de contrainte de mise en conformité IPsec (Internet Protocol security) NAP. Les autorités de certification NAP sont des serveurs avec les services de certificat Active Directory® installés et en cours d’exécution, peuvent émettre des certificats d’intégrité NAP. Pour plus d’informations sur les services de certificat Active Directory®, voir https://go.microsoft.com/fwlink/?LinkId=127816 (éventuellement en anglais).

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Domain Admins ou à un groupe équivalent. Examinez les détails concernant l’utilisation de comptes appropriés et d’appartenance à des groupes à l’adresse suivante https://go.microsoft.com/fwlink/?LinkId=83477 (éventuellement en anglais).

Choix d’une autorité de certification NAP

L’autorité HRA doit être associée à une autorité de certification minimum afin d’obtenir et d’émettre des certificats d’autorité NAP pour des ordinateurs clients NAP conformes. Vous pouvez sélectionner une autorité de certification pendant l’installation de l’autorité HRA en choisissant d’installer l’autorité de certification localement ou en sélectionnant une autorité de certification distante existante. Vous pouvez également ajouter des autorités de certification NAP ultérieurement à l’aide du composant logiciel enfichable HRA ou d’une ligne de commande. Vous devez utiliser le composant logiciel enfichable HRA ou une ligne de commande afin d’associer plus d’une autorité de certification avec une autorité HRA. Vous pouvez configurer une autorité HRA pour une utilisation avec une autorité de certification d’entreprise ou une autorité de certification autonome. La configuration requise pour une autorité de certification NAP diffère selon le type d’autorité de certification que vous choisissez. Vous devez configurer les paramètres de sécurité de l’autorité de certification et les conditions d’émission de certificat selon que vous choisissez une autorité de certification autonome ou d’entreprise. Dans sa configuration recommandée, l’autorité HRA est associée à une autorité de certification subordonnée autonome dédiée. Pour plus d’informations sur la configuration d’une autorité HRA pour utiliser une autorité de certification NAP, voir Configurer une autorité de certification NAP.

Choix d’une autorité de certification autonome

Une autorité de certification autonome n’utilise pas de modèles de certificat. Par conséquent, vous n’avez pas besoin de configurer de modèle de certificat d’intégrité lorsque vous utilisez une autorité de certification NAP autonome. Si vous choisissez une autorité de certification autonome, vous devez toujours configurer les paramètres de sécurité de l’autorité de certification et les conditions d’émission de certificat, afin que l’autorité HRA puisse demander et émettre automatiquement des certificats d’intégrité pour des ordinateurs clients conformes.

Choix d’une autorité de certification d’entreprise

Une autorité de certification d’entreprise émet des certificats basés sur des modèles de certificat. Le module de stratégie sert à fournir une liste d’extensions de certificat aux certificats émis, telles qu’une authentification d’intégrité du système pour NAP. Si l’autorité de certification de votre entreprise exécute Windows Server® 2008, alors le modèle de certificat Authentification de l’Agent SHA (System Health) est disponible par défaut avec les extensions de stratégie d’application qui conviennent à l’authentification de domaine et d’intégrité. Si l’autorité de certification d’entreprise exécute Windows Server® 2003, alors vous devez créer et publier un modèle contenant ces extensions de stratégie d’application. Vous pouvez utiliser les procédures suivantes pour vérifier que les autorités de certification d’entreprise sont configurées afin d’émettre automatiquement des certificats d’intégrité avec les extensions de stratégie d’application correctes.

Vérifier la disponibilité du modèle

Si le serveur de l’autorité de certification de votre entreprise exécute Windows Server 2008, un modèle de certificat pour les clients NAP authentifiés par le domaine est automatiquement disponible avec le nom complet Agent SHA (System Health). Si l’autorité de certification de votre entreprise exécute Windows Server 2003, ce modèle doit être créé. Utilisez la procédure suivante pour vous assurer qu’un modèle de certificat d’intégrité NAP est disponible avec les extensions de stratégie d’application correctes, ou créez ce modèle s’il n’est pas disponible. Cette procédure ne s’applique pas si vous utilisez une autorité de certification autonome.

Pour vérifier la disponibilité d’un modèle
  1. Cliquez sur Démarrer, sur Exécuter, tapez certtmpl.msc, puis appuyez sur Entrée.

  2. Dans le volet d’informations, sous Nom complet modèle, consultez la liste des modèles. Double-cliquez sur le nom de votre modèle de certificat d’intégrité NAP. Si un modèle de certificat d’intégrité NAP n’est pas répertorié, suivez les étapes ci-dessous :

    1. Cliquez avec le bouton droit sur le modèle Authentification de station de travail, puis cliquez sur Modèle dupliqué.

    2. Sous Nom complet modèle, tapez Authentification de l’Agent SHA (System Health) et cliquez sur l’onglet Extensions.

    3. Sous Extensions inclues dans ce modèle, cliquez sur Stratégies d’application, puis cliquez sur Modifier.

    4. Cliquez sur Ajouter, puis sur Nouveau.

    5. Dans Nouvelle stratégie d’application, sous Nom, tapez Authentification de l’Agent SHA (System Health).

    6. Sous Identificateur d’objet, tapez 1.3.6.1.4.1.311.47.1.1, puis cliquez quatre fois sur OK.

    7. Confirmez que votre nouveau modèle a été correctement créé.

    8. Pour vérifier votre nouveau modèle, double-cliquez sur son nom et suivez les étapes restantes dans cette procédure.

  3. Cliquez sur l’onglet Extensions.

  4. Sous Extensions inclues dans ce modèle, cliquez sur Stratégies d’application.

  5. Sous Description des stratégies d’application, vérifiez qu’Authentification de l’Agent SHA (System Health) et Authentification du client sont répertoriées, puis cliquez sur Modifier.

  6. Cliquez sur Authentification de l’Agent SHA (System Health), puis sur Modifier.

  7. Dans Modifier la stratégie d’application, sous Identificateur d’objet, vérifiez que la valeur est 1.3.6.1.4.1.311.47.1.1. Si la valeur de l’identificateur d’objet de stratégie d’application est différente, utilisez alors les étapes précédentes dans cette procédure afin de créer un nouveau modèle d’authentification d’intégrité de système. Vous devez aussi corriger les noms de stratégie d’application afin que l’identificateur d’objet associé à l’Authentification de l’Agent SHA (System Health) correspond à 1.3.6.1.4.1.311.47.1.1.

  8. Cliquez sur Annuler à trois reprises, puis fermez la console Modèles de certificat.

Remarques

Si ce modèle de certificat est utilisé pour émettre des certificats d’intégrité anonymes, n’incluez pas la stratégie d’application Authentification du client. Les certificats contenant la stratégie d’application d’authentification du client sont émis vers des clients authentifiés à l’aide des informations d’identification de domaine.

Vérifier la disponibilité du certificat

Sur une autorité de certification d’entreprise, les certificats doivent être disponibles avant de pouvoir les émettre vers des ordinateurs clients. Utilisez la procédure suivante pour vous assurer que votre certificat d’intégrité NAP est disponible pour une émission. Cette procédure ne s’applique pas si vous utilisez une autorité de certification autonome.

Pour vérifier la disponibilité d’un certificat
  1. Cliquez sur Démarrer, sur Exécuter, tapez certsvr.msc, puis appuyez sur Entrée.

  2. Dans l’arborescence de la console, cliquez sur Modèles de certificat.

  3. Dans le volet d’informations, sous Nom, vérifiez que votre certificat d’intégrité NAP est répertorié. Si le serveur de l’autorité de certification de votre entreprise exécute Windows Server 2008, le modèle de certificat d’intégrité par défaut pour les clients NAP authentifiés par le domaine possède le nom complet Authentification de l’Agent SHA (System Health).

  4. Si le modèle de certificat d’intégrité a été créé, mais qu’il n’apparaît pas dans la liste, utilisez les étapes suivantes pour émettre le modèle :

    1. Cliquez avec le bouton droit sur Modèles de certificat, pointez sur Nouveau, puis cliquez sur Modèle de certificat à délivrer.

    2. Dans Activer les modèles de certificat, sous Nom, cliquez sur le nom de votre certificat d’intégrité NAP, puis sur OK. Si le modèle n’est pas répertorié, alors cela signifie qu’il a déjà été activé, ou qu’il doit être créé avant d’effectuer cette procédure.

    3. Vérifiez que votre modèle de certificat d’intégrité NAP a été ajouté à la liste de modèles.

  5. Fermez la console Autorité de certification.

Vérifier les autorisations d’inscription de certificat pour une autorité HRA

Afin que l’autorité HRA obtienne des certificats auprès d’une autorité de certification d’entreprise et les émette vers des clients, une autorisation d’inscription du certificat d’intégrité doit lui être accordée. L’activation de l’autorisation d’inscription automatique permet à l’autorité HRA d’ajouter automatiquement ce certificat à son magasin de certificats local. Si seule l’autorisation d’inscription est permise, vous devez fournir manuellement un certificat d’intégrité sur le serveur HRA. Utilisez la procédure suivante pour vérifier que l’autorité HRA a reçu ces autorisations. Cette procédure ne s’applique pas si vous utilisez une autorité de certification autonome.

Pour vérifier les autorisations d’inscription de certificat pour une autorité HRA
  1. Cliquez sur Démarrer, sur Exécuter, tapez certtmpl.msc, puis appuyez sur Entrée.

  2. Dans le volet d’informations, sous Nom complet du modèle, double-cliquez sur le nom de votre certificat d’intégrité NAP. Si le serveur de l’autorité de certification de votre entreprise exécute Windows Server 2008, le modèle de certificat d’intégrité par défaut pour les clients NAP authentifiés par le domaine possède le nom complet Authentification de l’Agent SHA (System Health).

  3. Cliquez sur l’onglet Sécurité.

  4. Vérifiez que les autorisations Inscription et Inscription automatique ont été accordées au nom DNS de votre serveur HRA, ou à un groupe dont le serveur HRA est membre. Si ces autorisations ne sont pas accordées, suivez les étapes ci-dessous.

    1. Cliquez sur Ajouter, Types d’objet, activez la case à cocher Ordinateurs, puis cliquez sur OK.

    2. Tapez le nom DNS de votre serveur HRA sous Entrez les noms des objets à sélectionner, puis cliquez sur OK. Une autre solution consiste à taper le nom d’un groupe dont le serveur HRA est membre.

    3. Cliquez sur le nom ou le groupe que vous avez ajouté, sélectionnez Autoriser les autorisations pour Inscription et Inscription automatique, puis cliquez sur OK.

  5. Fermez la console Modèles de certificat.

Vérifier les paramètres de sécurité de l’autorité de certification

Les paramètres de sécurité de l’autorité de certification déterminent si l’autorité HRA est autorisée à émettre des certificats d’intégrité. Utilisez la procédure suivante pour vérifier ces autorisations sur vos autorités de certification NAP. Cette procédure s’applique aux serveurs d’autorité de certification d’entreprise et autonome.

Pour vérifier les paramètres de sécurité d’un certificat
  1. Cliquez sur Démarrer, sur Exécuter, tapez certsrv.msc, puis appuyez sur Entrée.

  2. Cliquez avec le bouton droit sur le nom courant de votre autorité de certification, puis cliquez sur Propriétés.

  3. Cliquez sur l’onglet Sécurité.

  4. Si votre autorité HRA et votre autorité de certification NAP sont exécutées sur le même ordinateur, vérifiez que SERVICE RÉSEAU figure sous Noms d’utilisateurs ou de groupes.

  5. Si votre autorité HRA et votre autorité de certification NAP sont exécutées sur des ordinateurs différents, vérifiez que le nom d’ordinateur pour votre serveur HRA figure sous Noms d’utilisateurs ou de groupes.

  6. Cliquez sur le nom de votre serveur HRA ou cliquez sur SERVICE RÉSEAU, puis vérifiez que des autorisations sont accordées pour Émettre et gérer des certificats, Gérer l’Autorité de certification et Demander des certificats.

  7. Cliquez sur OK, puis fermez la console Autorité de certification.

Vérifier les conditions d’émission de certificat

Afin que les ordinateurs clients NAP obtiennent immédiatement des certificats de sécurité lorsqu’ils sont déterminés à être conformes aux spécifications d’intégrité du réseau, les autorités de certification NAP doivent être configurées afin d’émettre automatiquement des certificats d’intégrité. Utilisez la procédure suivante pour vérifier que des certificats sont automatiquement émis. Cette procédure s’applique aux serveurs d’autorité de certification d’entreprise et autonomes.

Pour vérifier les conditions d’émission de certificat
  1. Cliquez sur Démarrer, sur Exécuter, tapez certsrv.msc, puis appuyez sur Entrée.

  2. Cliquez avec le bouton droit sur le nom courant de votre autorité de certification, puis cliquez sur Propriétés.

  3. Cliquez sur l’onglet Module de stratégie, puis sur Propriétés.

  4. Vérifiez que Suivre les paramètres dans le modèle de certificats est sélectionné.

  5. Cliquez deux fois sur OK, puis fermez la console Autorité de certification.

Références supplémentaires