Vous pouvez utiliser cette procédure pour configurer le modèle de certificat qui sert de base aux services de certificats Active Directory® (AD CS) pour les certificats utilisateur qui sont inscrits à des membres du groupe d’utilisateurs du domaine.
Pour être autorisé à effectuer cette procédure, vous devez au minimum faire partie du groupe Enterprise Admins et du groupe Domain Admins du domaine racine.
Pour configurer le modèle et l’inscription automatique de certificats |
Sur l’ordinateur où sont installés les services de certificats Active Directory, cliquez sur Démarrer, cliquez sur Exécuter, tapez mmc, puis cliquez sur OK.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. La boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables s’ouvre.
Dans Composants logiciels enfichables disponibles, double-cliquez sur Autorité de certification Sélectionnez l’autorité de certification que vous voulez gérer, puis cliquez sur Terminer. La boîte de dialogue Autorité de certification se ferme, laissant place à la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables.
Dans Composants logiciels enfichables disponibles, double-cliquez sur Modèles de certificats, puis cliquez sur OK.
Dans l’arborescence de la console, cliquez sur Modèles de certificats. Tous les modèles de certificats sont affichés dans le volet d’informations.
Dans le volet d’informations, cliquez sur le modèle Utilisateur.
Dans le menu Action, cliquez sur Modèle dupliqué. La boîte de dialogue Modèle dupliqué s’ouvre. Sélectionnez la version du modèle appropriée pour votre déploiement, puis cliquez sur OK. La boîte de dialogue de propriétés du nouveau modèle s’ouvre.
Sous l’onglet Général, dans Nom complet, tapez un nouveau nom pour le modèle de certificat si vous ne voulez pas conserver le nom par défaut.
Cliquez sur l’onglet Sécurité. Dans Groupes ou noms d’utilisateurs, cliquez sur Utilisateurs du domaine.
Dans Autorisations pour Utilisateurs du domaine, sous Autoriser, activez les cases à cocher Inscrire et Inscription automatique, puis cliquez sur OK.
Double-cliquez sur Autorité de certification, double-cliquez sur le nom de l’autorité de certification, puis cliquez sur Modèles de certificats. Dans le menu Action, pointez sur Nouveau, puis cliquez sur Modèle de certificat à délivrer. La boîte de dialogue Activer les modèles de certificat s’ouvre.
Cliquez sur le nom du modèle de certificat que vous venez de configurer, puis cliquez sur OK. Par exemple, si vous n’avez pas modifié le nom de modèle de certificat par défaut, cliquez sur Copie de Utilisateur, puis cliquez sur OK.
Sur l’ordinateur où sont installés les services de domaine Active Directory, cliquez sur Démarrer, puis sur Exécuter, tapez mmc, puis cliquez sur OK.
Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable. La boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables s’ouvre.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, dans Composants logiciels enfichables disponibles, double-cliquez sur Éditeur de gestion des stratégies de groupe. L’Assistant Sélection d’un objet de stratégie de groupe s’ouvre. Cliquez sur Parcourir, puis sélectionnez Stratégie de domaine par défaut. Cliquez sur OK, sur Terminer, puis à nouveau sur OK.
Cliquez sur Stratégie de domaine par défaut. Ouvrez Configuration utilisateur, Stratégies, Paramètres Windows, Paramètres de sécurité, puis Stratégies de clé publique.
Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique. La boîte de dialogue Propriétés de Client des services de certificats - Inscription automatique s’ouvre.
Dans la boîte de dialogue Propriétés de Client des services de certificats - Inscription automatique, dans Modèle de configuration, sélectionnez Activé.
Activez la case à cocher Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués.
Activez la case à cocher Mettre à jour les certificats qui utilisent les modèles de certificats, puis cliquez sur OK.
Considérations supplémentaires
Une fois cette procédure effectuée, les utilisateurs du domaine inscrivent automatiquement un certificat utilisateur lorsque la stratégie de groupe est actualisée. Pour actualiser la stratégie de groupe, redémarrez l’ordinateur client ou, à l’invite de commandes, exécutez gpupdate.
Vérifiez que tous les conteneurs système du domaine appropriés sont configurés pour l’inscription automatique des certificats utilisateur, soit parce qu’ils héritent les paramètres de stratégie de groupe d’un conteneur système parent, soit parce qu’ils ont été configurés explicitement.