Cette rubrique suppose que vous ayez quelques notions en matière de chaînage d’approbation de certificat, de signature de certificat et des principes de base de la configuration de l’infrastructure de clé publique et des certificats. Pour plus d’informations sur la configuration de l’infrastructure de clé publique dans Windows Server 2008, voir le document ITPROADD-204 concernant l’amélioration de l’infrastructure de clé publique dans Windows Vista et Windows Server 2008 (
Par défaut, le protocole TLS (Transport Layer Security) 1.0 est utilisé pour chiffrer les communications entre les clients des Services Bureau à distance et les serveurs de Passerelle Bureau à distance sur Internet. TLS est un protocole standard utilisé pour fournir des communications Web sécurisées sur Internet ou sur des intranets. TLS et la version la plus récente et la plus sécurisée du protocole SSL (Secure Sockets Layer). Pour plus d’informations sur TLS, voir :
- la page concernant SSL/TLS dans Windows Server 2003 (
https://go.microsoft.com/fwlink/?LinkID=19646 ) (éventuellement en anglais) - le document RFC 2246 consacré à la version 1.0 du protocole TLS (
https://go.microsoft.com/fwlink/?LinkID=40979 ) (éventuellement en anglais)
Pour que le protocole TLS fonctionne correctement, vous devez installer un certificat X.509 compatible SSL sur le serveur de Passerelle Bureau à distance.
Vue d’ensemble du processus d’installation et de configuration d’un certificat
Le processus qui consiste à obtenir, installer et configurer un certificat pour le serveur de Passerelle Bureau à distance implique l’exécution de la procédure ci-dessous.
Étape 1 : Obtenir un certificat pour le serveur de passerelle Bureau à distance
Vous pouvez obtenir un certificat pour le serveur de Passerelle Bureau à distance par le biais de l’une des méthodes suivantes :
- Si votre société gère une autorité de certification autonome ou d’entreprise configurée pour émettre des certificats X.509 compatibles SSL, conformes aux conditions requises par la Passerelle Bureau à distance, vous pouvez générer et envoyer une demande de certificat de plusieurs manières, en fonction des stratégies et de la configuration de l’autorité de certification de votre société. Les méthodes pour l’obtention d’un certificat sont les suivantes :
- Initialisation de l’inscription automatique à partir du composant logiciel enfichable Certificats.
- Demande de certificats à l’aide de l’Assistant Demande de certificat.
- Demande d’un certificat sur le Web.
Remarques Si vous avez une autorité de certification Windows Server 2003, sachez que la fonctionnalité d’inscription des services de certificats via le Web de Windows Server 2003 repose sur un contrôle ActiveX nommé Xenroll. Ce contrôle ActiveX est disponible dans Microsoft Windows Server 2003, Windows 2000 et Windows XP. En revanche, Xenroll a été désapprouvé dans Windows Server 2008 et dans Windows Vista. Les pages Web d’exemple d’inscription de certificats incluses dans la version originale de Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) et Windows Server 2003 Service Pack 2 (SP2) n’ont pas été conçues pour gérer le changement d’exécution des opérations d’inscription de certificats via le Web dans Windows Server 2008 et Windows Vista. Pour plus d’informations sur la procédure à effectuer pour résoudre ce problème, voir l’article 922706 (éventuellement en anglais) de la Base de connaissances Microsoft (
https://go.microsoft.com/fwlink/?LinkId=94472 ). - Utilisation de l’outil de ligne de commande Certreq
https://go.microsoft.com/fwlink/?LinkID=19638 ) (éventuellement en anglais).
Un certificat émis par une autorité de certification autonome ou d’entreprise doit être co-signé par une autorité de certification publique approuvée qui participe au programme de certificat racine Microsoft (https://go.microsoft.com/fwlink/?LinkID=59547 ). Sinon, les utilisateurs qui se connectent à partir d’un ordinateur à domicile ou d’une borne risquent de ne pas pouvoir établir une connexion à un serveur de Passerelle des services Terminal Server ou de Passerelle Bureau à distance. En effet, ces connexions peuvent échouer, car la racine émise par l’autorité de certification peut ne pas être approuvée par des ordinateurs non membres de domaine, tels que, précisément, les ordinateurs à domicile ou les bornes. - Initialisation de l’inscription automatique à partir du composant logiciel enfichable Certificats.
- Si votre société ne gère pas d’autorité de certification autonome ou d’entreprise configurée pour émettre des certificats X.509 compatibles SSL, vous pouvez acheter un certificat auprès d’une autorité de certification publique approuvée qui participe au programme de certificat racine Microsoft (
https://go.microsoft.com/fwlink/?LinkID=59547 ). Certaines de ces autorités de certification publiques peuvent offrir des certificats gratuitement, à titre d’essai. - Sinon, si votre société ne gère pas d’autorité de certification autonome ou d’entreprise et que vous n’avez pas de certificat compatible provenant d’une autorité de certification publique approuvée, vous pouvez également créer et importer un certificat auto-signé pour votre serveur de Passerelle Bureau à distance à des fins d’évaluation technique et de test. Pour plus d’informations, voir Créer un certificat auto-signé pour le serveur de passerelle Bureau à distance.
Notez que les clients des Services Bureau à distance doivent disposer du certificat de l’autorité de certification qui a émis le certificat du serveur dans leur magasin d’Autorités de certification racine de confiance. Pour obtenir des instructions pas à pas pour l’installation du certificat sur le client, voir Installer le certificat racine du serveur de passerelle Bureau à distance sur le client des services Bureau à distance.Important Si vous utilisez l’une des deux premières méthodes pour obtenir un certificat (c’est-à-dire, si vous obtenez un certificat à partir d’une autorité de certification autonome ou d’entreprise, ou d’une autorité de certification publique approuvée), vous devez également Importer un certificat dans le serveur de passerelle Bureau à distance et Sélectionner un certificat existant pour une passerelle des services Bureau à distance. En revanche, si vous créez un certificat auto-signé à l’aide de l’Assistant Ajout de rôles au cours de l’installation du service de rôle de passerelle Bureau à distance ou en utilisant le Gestionnaire de passerelle Bureau à distance après son installation (comme indiqué dans Créer un certificat auto-signé pour le serveur de passerelle Bureau à distance), il est inutile d’installer ou de mapper le certificat sur le serveur de Passerelle Bureau à distance. Dans ce cas, le certificat est automatiquement créé, installé dans l’emplacement approprié sur le serveur de Passerelle Bureau à distance et mappé sur le serveur de Passerelle Bureau à distance.
Si vous avez utilisé l’une des deux premières méthodes pour obtenir un certificat et que l’ordinateur client des Services Bureau à distance approuve l’autorité de certification émettrice, il est inutile d’installer le certificat de l’autorité de certification qui a émis le certificat du serveur dans le magasin de certificats de l’ordinateur client. Par exemple, il est inutile d’installer le certificat de l’autorité de certification émettrice du magasin de certificats de l’ordinateur client si un certificat VeriSign ou un autre certificat public approuvé est installé sur le serveur de Passerelle Bureau à distance. Si vous utilisez la troisième méthode pour obtenir un certificat (c’est-à-dire, si vous créez un certificat auto-signé), il est inutile d’installer le certificat de l’autorité de certification qui a émis le certificat du serveur dans le magasin d’Autorités de certification racine de confiance sur l’ordinateur client. Pour plus d’informations, voir Installer le certificat racine du serveur de passerelle Bureau à distance sur le client des services Bureau à distance.
Étape 2 : Importer un certificat
Après l’obtention d’un certificat, vous pouvez importer ce certificat sur le serveur de Passerelle Bureau à distance par le biais de l’une des méthodes suivantes :
- Pour installer un certificat dans le magasin de certificats et importer le certificat sur le serveur de Passerelle Bureau à distance, voir Importer un certificat dans le serveur de passerelle Bureau à distance.
- Pour importer un certificat existant du magasin de certificats sur le serveur de Passerelle Bureau à distance, voir Sélectionner un certificat existant pour une passerelle des services Bureau à distance.