Installer l’Autorité de certification dans Windows Server 2008 R2
Oui, vous pouvez avoir votre propre Autorité de certification (CA) et émettre des certificats pour les clients. La mauvaise nouvelle est que les certificats émis par votre autorité de certification interne ne sont approuvés que par vos clients internes ou par les clients qui ont importé votre certificat racine. Pour les applications internes, les sites, etc., c’est de l’or, car vous n’avez pas besoin d’un certificat commercial, mais si vous avez un site HTTPS public, vous aurez besoin d’un certificat commercial. Les autorités de certification peuvent avoir plusieurs ramifications ou niveaux, comme l’autorité de certification racine, puis une autorité de certification subordonnée, et la dernière est l’autorité de certification émettrice.Ci-dessous, j’ai créé un diagramme pour une meilleure visualisation.
L’autorité de certification racine émettra des certificats uniquement pour l’autorité de certification subordonnée et l’autorité de certification subordonnée émettra des certificats uniquement pour l’émission de l’autorité de certification. L’autorité de certification émettrice est celle qui émettra des certificats pour les clients internes. Vous pouvez, bien sûr, créer plus de trois ramifications, mais même les autorités de certification des publicités ne vont pas avec plus de trois. Il existe maintenant plusieurs types d’autorités de certification pour les domaines Windows. La première et la plus grande est l’autorité de certification Racine de l’entreprise, puis l’autorité de certification subordonnée de l’entreprise. Ces deux types ne sont utilisés que si vous avez un domaine Windows implémenté dans votre réseau. Les deux derniers sont l’Autorité de certification autonome d’entreprise et l’Autorité de certification autonome Subordonnée. Ceux-ci sont utilisés si vous n’avez pas de domaine Windows implémenté. Maintenant, la différence entre Enterprise et Standalone réside dans le fait qu’avec Enterprise, vous disposez de modèles de certificats et que le certificat racine sera automatiquement déployé sur tous les clients. Je vais terminer cette introduction maintenant et commencer à travailler.
Pour ce guide, j’ai un contrôleur de domaine (DC) exécutant Windows Server 2008 R2 et un autre Windows Server 2008 R2 (nommé Server-Cert) joint au domaine, qui sera notre CA racine d’entreprise. Oui, je vais avec la version Entreprise, car c’est un domaine Windows, et pour les petites entreprises, une seule CA racine d’entreprise est plus que suffisante.
Accédez à Server-Cert et ouvrez le Gestionnaire de serveur ; cliquez avec le bouton droit sur Rôles et choisissez Ajouter des rôles.
Cliquez sur Suivant pour ignorer l’écran d’accueil. Sur l’écran Rôles, sélectionnez les services de certificat Active Directory et cliquez sur Suivant.
Sautez l’introduction de l’annonce CS. Sur l’écran Services de rôle, nous avons la possibilité d’installer plus que le service de certificat. Pour cette démonstration, je vais également installer l’inscription Web de l’Autorité de certification. Cela nous donnera une page Web pour demander des certificats, et c’est génial, croyez-moi. Dès que vous cliquez sur l’inscription Web de l’Autorité de certification, il vous sera demandé d’installer certaines conditions préalables requises. Et bien sûr, un site Web pour fonctionner a besoin d’un serveur Web. Cliquez simplement sur Ajouter des services de rôles requis et continuez l’assistant.
Parce qu’il s’agit d’installer l’autorité de certification racine d’entreprise, laissez simplement les valeurs par défaut ici et cliquez sur Suivant.
Laissez à nouveau les valeurs par défaut ici pour installer une autorité de certification racine.
Nous devons créer une nouvelle clé privée, alors cliquez sur Suivant pour continuer.
Pour l’autorité de certification racine d’entreprise, je choisis généralement une clé de longueur de 4096 et laisse le reste par défaut.
Donnez un nom à votre CA racine. Je change toujours le nom, parce que je déteste vraiment celui par défaut.
Sélectionnez une période de validité. Pour l’entreprise Root CA, je tape généralement 30 ans.
Si vous avez une raison de changer l’emplacement du journal et de la base de données par défaut, faites-le à l’aide des boutons Parcourir. Vient maintenant la partie d’installation d’IIS, il suffit d’aller avec les valeurs par défaut et de terminer l’assistant.
L’installation est terminée. Accédez à Outils d’administration > Autorité de certification pour ouvrir la Console de gestion des Services de certificat. À partir de cette console, vous pouvez révoquer des certificats et créer des modèles.
Pour voir le certificat racine, cliquez simplement avec le bouton droit sur le nom du serveur, choisissez Propriétés et cliquez sur le bouton Afficher le certificat
Ouvrez un navigateur et tapez http://localhost/certsrv, et la page d’inscription Web des services de certificats devrait s’ouvrir. En utilisant cette page Web, les clients peuvent demander des certificats, s’ils disposent des autorisations appropriées.
Vous souhaitez recevoir un contenu comme celui-ci directement dans votre boîte de réception
?