Demander un certificat à l’autorité de certification
Générer un certificat depuis la console Certificats
Dans cette partie, nous allons voir comment faire une demande de certificat depuis la console MMC Certificats d’un ordinateur membre du domaine Active Directory. Le compte utilisé est membre du groupe Admins du domaine.
Pour illustrer le tutoriel, nous allons générer un certificat Ordinateur qui sera utiliser pour les connexions Bureau à distance.
Sur la console se placer dans le dossier Personnel 1 et faire un clic droit dans la zone centrale et aller sur Toutes les tâches 2 et cliquer sur Demande un nouveau certificat 3.
Au lancement de l’assistant cliquer sur Suivant 1.
Sélectionner le modèle de certificat Ordinateur 1 puis cliquer sur Inscription 2.
Le certificat a été généré, cliquer sur Terminer 1.
Le certificat est maintenant disponible dans le magasin.
Faire un copier / coller pour le mettre dans le magasin Bureau à distance 1 et supprimer le certificat auto signé du serveur.
Il est possible de voir le certificat généré sur l’autorité de certification depuis la console d’administration dans le dossier Certificats délivrés.
Pour utiliser le certificat, il faut passer cette commande :wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="<certificate thumbprint>"
Demande de certificat depuis IIS
Dans cette partie, nous allons voir comment effectuer une demande de certificat de domaine à l’aide de la console IIS. Afin de pouvoir contacter l’autorité de certification d’entreprise, le serveur doit être membre du domaine.
Depuis la console IIS d’un serveur, cliquer sur Certificats de serveur 1.
Faire un clic droit dans la zone des certificats et cliquer sur Créer un certificat de domaine 1 ou passer par le menu Actions.
Entrer les informations du certificat 1, le nom commun contient l’adresse celui-ci va identifier. Il est possible de créer un certificat pour un autre domaine. Cliquer sur Suivant 2.
Il faut maintenant choisir l’autorité de certification d’entreprise, cliquer sur Sélectionner 1.
Choisir l’autorité 1 et cliquer sur OK 2.
L’autorité sélectionnée, entrer le nom convivial 1 du serveur et cliquer sur Terminer 2.
Le certificat 1 est généré et disponible dans IIS.
Le certificat est également disponible dans le magasin Certificats délivrés de l’autorité de certification.
Faire une demande personnalisée de certificat
Maintenant que nous avons vu comment effectuer des demandes de certificats pour les ordinateurs et les sites web dans IIS, nous allons maintenant voir comment faire pour faire une demande personnalisée de certificat avec plusieurs nom dns et adresse IP.
Depuis la console Certificats d’un ordinateur membre du domaine, aller sur le dossier Personnel / Certificats 1. Faire un clic droit dans la zone d’affichage et aller sur Toutes les tâches 2 / Opérations avancées 3 et cliquer sur Créer une demande personnalisée 4.
Au lancement de l’assistant, cliquer sur Suivant 1.
Sélectionner la stratégie d’inscription à l’Active Directory 1 puis cliquer sur Suivant 2.
Choisir le modèle 1 (Serveur web) et cliquer sur Suivant 2.
Un résume du modèle de certificat s’affiche, cliquer sur Propriétés 1.
Configurer le nom commun du certificat 1 et cliquer sur Ajouter 2.
Maintenant que le nom commun est ajouté, dans la section Autre nom 1, choisir le type DNS 2, entrer le nom souhaité 3 et cliquer sur Ajouter 4.
Comme vous pouvez le voir ci-dessous, il est possible d’ajouter plusieurs nom DNS. On va maintenant ajouter une adresse IP, choisir le type Adresse IP (v4) 1, indiquer l’adresse IP 2 et cliquer sur Ajouter 3.
Maintenant que l’adresse IP est ajoutée, cliquer sur Appliquer 1 et OK 2 pour valider les informations du certificat.
Cliquer sur Suivant 1 pour continuer la demande.
Indiquer l’emplacement et le nom du fichier 1 (CSR) pour sauvegarder la demande et cliquer sur Terminer 2.
Le fichier de demande a été généré, il faut maintenant soumettre la demande à l’autorité de certification d’entreprise. Ouvrir un navigateur internet et entrer l’url http://server-name/certsrv/ 1. Cliquer sur le lien Demander un certificat 2.
Cliquer sur demande de certificat avancée 1.
Ouvrir le fichier de requête avec un éditeur de test et copier la chaine 1.
Coller la demande 1 dans le champ Demande enregistrée, choisir le modèle 2 et cliquer sur Envoyer 3.
Récupérer le certificat en cliquant sur Télécharger le certificat 1.
Retourner sur la console Certificats, aller sur Demande d’inscription de certificat 1 / Certificats 2, faire un clic droit dessus puis Toutes les tâches 3 / Importer 4.
Au lancement de l’assistant, cliquer sur Suivant 1.
Sélectionner le certificat téléchargé 1 et cliquer sur Suivant 2.
Laisser le magasin, cliquer sur Suivant 1.
Cliquer sur Terminer 1 pour finir l’importation.
Le certificat est généré et on voit qu’il a été délivré par l’autorité de certification d’entreprise.
Vous pouvez maintenant déplacer le certificat de magasin pour le mettre dans Personnel.
Il n’est pas possible par défaut d’exporter le certificat avec sa clef privée, il faut modifier le modèle.