| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| administration_ca [2019/03/28 14:12] – [Cas d'une demande manuelle] nekan | administration_ca [2021/03/05 12:34] (Version actuelle) – nekan |
|---|
| ====== Installation d'une autorité de certification ====== | ====== Installation d'une autorité de certification ====== |
| | <label type="info">Création</label> --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2019/03/27 21:25// |
| |
| L'autorité de certification (aussi appelée AD CS) est utile pour augmenter la sécurité d'une infrastructure. Elle permet de gérer, par émission, inscription et validation, des certificats permettant d'authentifier un individu, matériel ou système. | L'autorité de certification (aussi appelée AD CS) est utile pour augmenter la sécurité d'une infrastructure. Elle permet de gérer, par émission, inscription et validation, des certificats permettant d'authentifier un individu, matériel ou système. |
| |
| * Comme souvent, l'installation du rôle se lance depuis la fenêtre de gestionnaire de serveur, en cliquant sur ''Gérer'' et haut à droite puis sur ''Ajouter des rôles et fonctionnalités'' | * Comme souvent, l'installation du rôle se lance depuis la fenêtre de gestionnaire de serveur, en cliquant sur ''Gérer'' et haut à droite puis sur ''Ajouter des rôles et fonctionnalités'' |
| {{ :administration:install_ad_1.png |}} | <image shape="thumbnail">{{ :administration:install_ad_1.png |}}</image> |
| * On ignore la première page en cliquant sur ''Suivant >'' | * On ignore la première page en cliquant sur ''Suivant >'' |
| {{ :administration:install_ad_2.png |}} | <image shape="thumbnail">{{ :administration:install_ad_2.png |}}</image> |
| * Ensuite, on choisit **Installation basée sur un rôle ou une fonctionnalité** puis on clique sur ''Suivant >'' | * Ensuite, on choisit **Installation basée sur un rôle ou une fonctionnalité** puis on clique sur ''Suivant >'' |
| {{ :administration:install_ad_3.png |}} | <image shape="thumbnail">{{ :administration:install_ad_3.png |}}</image> |
| * On choisit le serveur cible puis on clique sur ''Suivant >'' | * On choisit le serveur cible puis on clique sur ''Suivant >'' |
| {{ :administration:install_ad_4.png |}} | <image shape="thumbnail">{{ :administration:install_ad_4.png |}}</image> |
| * A ce niveau, on coche **Services de certificats Active Directory** | * A ce niveau, on coche **Services de certificats Active Directory** |
| {{ :administration:install_ca_1.png |}} | <image shape="thumbnail">{{ :administration:install_ca_1.png |}}</image> |
| * Comme d'habitude, un popup apparaît signalant les fonctionnalités dépendantes qui seront installées. On les valide en cliquant sur ''Ajouter des fonctionnalités'' | * Comme d'habitude, un popup apparaît signalant les fonctionnalités dépendantes qui seront installées. On les valide en cliquant sur ''Ajouter des fonctionnalités'' |
| {{ :administration:install_ca_2.png |}} | <image shape="thumbnail">{{ :administration:install_ca_2.png |}}</image> |
| * De retour sur la page principale, on passe à la suite en cliquant sur ''Suivant >''. On arrive sur la page des fonctionnalités et vu que les dépendances sont déjà sélectionnées, on passe à la suite en cliquant sur ''Suivant >'' | * De retour sur la page principale, on passe à la suite en cliquant sur ''Suivant >''. On arrive sur la page des fonctionnalités et vu que les dépendances sont déjà sélectionnées, on passe à la suite en cliquant sur ''Suivant >'' |
| {{ :administration:install_ca_3.png |}} | <image shape="thumbnail">{{ :administration:install_ca_3.png |}}</image> |
| * La page suivante nous informe sur le rôle de AD CS. On lit et on passe à la suite. | * La page suivante nous informe sur le rôle de AD CS. On lit et on passe à la suite. |
| {{ :administration:install_ca_4.png |}} | <image shape="thumbnail">{{ :administration:install_ca_4.png |}}</image> |
| * La page suivante nous permet de définir le ou les services à installer. On a le choix entre : | * La page suivante nous permet de définir le ou les services à installer. On a le choix entre : |
| * **Authorité de certification** : Le service par défaut, permet d'émettre et de gérer les certificats. | * **Authorité de certification** : Le service par défaut, permet d'émettre et de gérer les certificats. |
| * **Service Web Stratégie d'inscription de certificats** : Ce service permet d'informer les postes hors AD de la stratégie d'inscription de certificats qui leur sera appliqué en faisant appel au service ''Service Web Inscription de certificats''. | * **Service Web Stratégie d'inscription de certificats** : Ce service permet d'informer les postes hors AD de la stratégie d'inscription de certificats qui leur sera appliqué en faisant appel au service ''Service Web Inscription de certificats''. |
| * On sélectionne donc les services dont on a besoin et on clique sur ''Suivant >''. | * On sélectionne donc les services dont on a besoin et on clique sur ''Suivant >''. |
| {{ :administration:install_ca_5.png |}} | <image shape="thumbnail">{{ :administration:install_ca_5.png |}}</image> |
| * La page suivante nous résume les rôles et fonctionnalités qui seront installés. On valide le tout en cliquant sur ''Installer''. | * La page suivante nous résume les rôles et fonctionnalités qui seront installés. On valide le tout en cliquant sur ''Installer''. |
| {{ :administration:install_ca_6.png |}} | <image shape="thumbnail">{{ :administration:install_ca_6.png |}}</image> |
| * L'installation se lance alors. | * L'installation se lance alors. |
| {{ :administration:install_ca_7.png |}} | <image shape="thumbnail">{{ :administration:install_ca_7.png |}}</image> |
| |
| ===== Paramétrage ===== | ===== Paramétrage ===== |
| |
| * Une fois l'installation terminée, un lien apparaît nous permettant de configurer notre autorité. On clique donc sur le lien. | * Une fois l'installation terminée, un lien apparaît nous permettant de configurer notre autorité. On clique donc sur le lien. |
| {{ :administration:install_ca_8.png |}} | <image shape="thumbnail">{{ :administration:install_ca_8.png |}}</image> |
| * Une nouvelle fenêtre apparaît. Dans sa première page, nous devons indiquer l'identifiant de l'administrateur qui configurera l'autorité. Cet administrateur doit appartenir à un groupe spécifique selon le type d'autorité que l'on souhaite faire. Par défaut, c'est l'identifiant de celui qui est connecté qui apparaît. On remplie donc le champs et on clique sur ''Suivant >''. | * Une nouvelle fenêtre apparaît. Dans sa première page, nous devons indiquer l'identifiant de l'administrateur qui configurera l'autorité. Cet administrateur doit appartenir à un groupe spécifique selon le type d'autorité que l'on souhaite faire. Par défaut, c'est l'identifiant de celui qui est connecté qui apparaît. On remplie donc le champs et on clique sur ''Suivant >''. |
| {{ :administration:install_ca_9.png |}} | <image shape="thumbnail">{{ :administration:install_ca_9.png |}}</image> |
| * On peut alors choisir les services à configurer. Les choix disponibles dépendent des services installés précédemment. Dans notre cas, on coche ''Autorité de certification'' et on passe à la suite. | * On peut alors choisir les services à configurer. Les choix disponibles dépendent des services installés précédemment. Dans notre cas, on coche ''Autorité de certification'' et on passe à la suite. |
| {{ :administration:install_ca_10.png |}} | <image shape="thumbnail">{{ :administration:install_ca_10.png |}}</image> |
| * Là, on passe au gros de la configuration de notre AD CS. Nous pouvons choisir le type d'autorité : | * Là, on passe au gros de la configuration de notre AD CS. Nous pouvons choisir le type d'autorité : |
| * **Autorité de certification d'entreprise** : Recommandée pour les domaines, obligatoire pour les grosses infrastructures. Utilisée notamment pour certifier des certificats hors site (via internet). | * **Autorité de certification d'entreprise** : Recommandée pour les domaines, obligatoire pour les grosses infrastructures. Utilisée notamment pour certifier des certificats hors site (via internet). |
| * **Autorité de certification autonome** : La base, utilisable en groupe de travail comme en domaine ainsi qu'en mode hors connexion. | * **Autorité de certification autonome** : La base, utilisable en groupe de travail comme en domaine ainsi qu'en mode hors connexion. |
| * On choisit le modèle qui nous convient et on clique sur ''Suivant >''. | * On choisit le modèle qui nous convient et on clique sur ''Suivant >''. |
| {{ :administration:install_ca_11.png |}} | <image shape="thumbnail">{{ :administration:install_ca_11.png |}}</image> |
| * Nous devons désormais choisir notre niveau d'autorité : | * Nous devons désormais choisir notre niveau d'autorité : |
| * **Autorité de certificat racine** : La première autorité d'une infrastructure. En choisissant cela, vous devrez créer votre clé publique lié à l'infrastructure. On parle de PKI (Public Key Infrastructure). | * **Autorité de certificat racine** : La première autorité d'une infrastructure. En choisissant cela, vous devrez créer votre clé publique lié à l'infrastructure. On parle de PKI (Public Key Infrastructure). |
| * **Autorité de certificat secondaire** : Permet d'étendre votre autorité, sorte d'équilibrage en étant autorisé à émettre des certificats gérés par l'autorité racine. En choisissant cela, la nouvelle autorité secondaire devra émettre une demande de certificat auprès d'une autorité racine. | * **Autorité de certificat secondaire** : Permet d'étendre votre autorité, sorte d'équilibrage en étant autorisé à émettre des certificats gérés par l'autorité racine. En choisissant cela, la nouvelle autorité secondaire devra émettre une demande de certificat auprès d'une autorité racine. |
| * On choisit donc l'autorité racine dans un premier temps et on clique sur ''Suivant >''. | * On choisit donc l'autorité racine dans un premier temps et on clique sur ''Suivant >''. |
| {{ :administration:install_ca_12.png |}} | <image shape="thumbnail">{{ :administration:install_ca_12.png |}}</image> |
| * Nous allons pouvoir désormais définir notre clé privée. Nous pouvons au choix : | * Nous allons pouvoir désormais définir notre clé privée. Nous pouvons au choix : |
| * **Créer une clé privée** : C'est par défaut l'option que l'on choisira pour les nouvelles autorités. | * **Créer une clé privée** : C'est par défaut l'option que l'on choisira pour les nouvelles autorités. |
| * **Utiliser la clé privée existante** : On utilisera cette option dans les cas où une autorité existait déjà (ancien serveur ou réinstallation par exemple) et que nous souhaitons une continuité des certificats et non tous les renouveler. | * **Utiliser la clé privée existante** : On utilisera cette option dans les cas où une autorité existait déjà (ancien serveur ou réinstallation par exemple) et que nous souhaitons une continuité des certificats et non tous les renouveler. |
| |
| <note important>Si vous utiliser un ancien certificat, pensez à vérifier sa date de validité ainsi que son niveau de sécurité. Autant créer une nouvelle clé si l'ancien va se périmer bientôt ou que son encryptage est faible.</note> | <callout type="primary" icon="true" title="Ancien certificat">Si vous utiliser un ancien certificat, pensez à vérifier sa date de validité ainsi que son niveau de sécurité. Autant créer une nouvelle clé si l'ancien va se périmer bientôt ou que son algorithme de chiffrement est faible.</callout> |
| |
| * Dans notre cas, on choisira la création d'une nouvelle clé et on cliquera sur ''Suivant >''. | * Dans notre cas, on choisira la création d'une nouvelle clé et on cliquera sur ''Suivant >''. |
| {{ :administration:install_ca_13.png |}} | <image shape="thumbnail">{{ :administration:install_ca_13.png |}}</image> |
| * Dans la page suivante, nous pouvons choisir le niveau de cryptage de notre clé. | * Dans la page suivante, nous pouvons choisir le niveau de chiffrement de notre clé. |
| |
| <note important>Plus le niveau de cryptage est élevé et plus l'infrastructure sera sécurisée. Cependant, la compatibilité avec les autres systèmes, machines, logiciels sera moindre. Ces derniers devront bénéficier des technologies adéquates. Pensez à faire l'inventaire de votre parc afin d'en connaître les capacités et d'y faire les mises à niveau si nécessaire.</note> | <callout type="primary" icon="true" title="Chiffrement">Plus le niveau de chiffrement est élevé et plus l'infrastructure sera sécurisée. Cependant, la compatibilité avec les autres systèmes, machines, logiciels sera moindre. Ces derniers devront bénéficier des technologies adéquates. Pensez à faire l'inventaire de votre parc afin d'en connaître les capacités et d'y faire les mises à niveau si nécessaire.</callout> |
| |
| * On choisit donc notre niveau de cryptage et on clique sur ''Suivant >''. | * On choisit donc notre niveau de chiffrement et on clique sur ''Suivant >''. |
| {{ :administration:install_ca_14.png |}} | <image shape="thumbnail">{{ :administration:install_ca_14.png |}}</image> |
| * Dans la page suivante, on peut définir le nom de notre autorité ainsi que son suffixe (le domaine pour lequel, elle fait autorité). Cette dernière option est pertinente dans le cadre d'une forêt de plusieurs domaines. En général, on laissera les noms par défaut et on cliquera sur ''Suivant >''. | * Dans la page suivante, on peut définir le nom de notre autorité ainsi que son suffixe (le domaine pour lequel, elle fait autorité). Cette dernière option est pertinente dans le cadre d'une forêt de plusieurs domaines. En général, on laissera les noms par défaut et on cliquera sur ''Suivant >''. |
| {{ :administration:install_ca_15.png |}} | <image shape="thumbnail">{{ :administration:install_ca_15.png |}}</image> |
| * Nous pouvons ensuite choisir la durée de validité de notre clé. | * Nous pouvons ensuite choisir la durée de validité de notre clé. |
| |
| <note tip>Une durée courte augmentera la sécurité en favorisant le renouvellement fréquent de la clé et donc en limitant l'usage d'une clé volée dans le temps. Par contre, cela augmentera le travail des administrateurs gérant les certificats. A l'inverse, une durée plus longue simplifiera le travail des administrateurs mais réduira la sécurité avec les risque de vol ou d'obsolescence du niveau de cryptage. Il faut donc étudier les risques et trouver un juste milieu selon la politique interne.</note> | <callout type="tip" icon="true" title="Durée de validité">Une durée courte augmentera la sécurité en favorisant le renouvellement fréquent de la clé et donc en limitant l'usage d'une clé volée dans le temps. Par contre, cela augmentera le travail des administrateurs gérant les certificats. A l'inverse, une durée plus longue simplifiera le travail des administrateurs mais réduira la sécurité avec les risque de vol ou d'obsolescence du niveau de chiffrement. Il faut donc étudier les risques et trouver un juste milieu selon la politique interne.</callout> |
| |
| * Une fois notre durée déterminée, on clique sue ''Suivant >''. | * Une fois notre durée déterminée, on clique sue ''Suivant >''. |
| {{ :administration:install_ca_16.png |}} | <image shape="thumbnail">{{ :administration:install_ca_16.png |}}</image> |
| * La page suivante nous propose de définir les emplacements des bases de données des certificats ainsi que des journaux correspondants. On les définit ou on les laisse par défaut et on passe à la suite. | * La page suivante nous propose de définir les emplacements des bases de données des certificats ainsi que des journaux correspondants. On les définit ou on les laisse par défaut et on passe à la suite. |
| {{ :administration:install_ca_17.png |}} | <image shape="thumbnail">{{ :administration:install_ca_17.png |}}</image> |
| * Nous arrivons finalement à la fin de la configuration avec la page de validation. On vérifie et on valide en cliquant sur ''Configurer''. | * Nous arrivons finalement à la fin de la configuration avec la page de validation. On vérifie et on valide en cliquant sur ''Configurer''. |
| {{ :administration:install_ca_18.png |}} | <image shape="thumbnail">{{ :administration:install_ca_18.png |}}</image> |
| * Une fois la configuration validée, le système paramètre notre autorité et si tout va bien nous affiche un résultat positif. | * Une fois la configuration validée, le système paramètre notre autorité et si tout va bien nous affiche un résultat positif. |
| {{ :administration:install_ca_19.png |}} | <image shape="thumbnail">{{ :administration:install_ca_19.png |}}</image> |
| |
| Notre autorité est désormais accessible via l'interface du gestionnaire de serveur en cliquant sur ''Outils'' en haut à droite puis sur ''Autorité de certification'' | Notre autorité est désormais accessible via l'interface du gestionnaire de serveur en cliquant sur ''Outils'' en haut à droite puis sur ''Autorité de certification'' |
| {{ :administration:install_ca_20.png |}} | <image shape="thumbnail">{{ :administration:install_ca_20.png |}}</image> |
| |
| ===== Cas d'une autorité secondaire ===== | ===== Cas d'une autorité secondaire ===== |
| |
| * L'autorité secondaire s'installe comme l'autorité racine. Ensuite le début du paramétrage sera similaire jusqu'au choix du niveau d'autorité. Là, on choisira ''Autorité de certification secondaire'' puis on cliquera sur ''Suivant >''. A noter que cette option est sélectionnée par défaut si une autorité racine est détectée sur le domaine en question. | * L'autorité secondaire s'installe comme l'autorité racine. Ensuite le début du paramétrage sera similaire jusqu'au choix du niveau d'autorité. Là, on choisira ''Autorité de certification secondaire'' puis on cliquera sur ''Suivant >''. A noter que cette option est sélectionnée par défaut si une autorité racine est détectée sur le domaine en question. |
| {{ :administration:install_ca_21.png |}} | <image shape="thumbnail">{{ :administration:install_ca_21.png |}}</image> |
| * La suite est de nouveau similaire : | * La suite est de nouveau similaire : |
| * On crée une clé privée. | * On crée une clé privée. |
| * On choisit notre niveau de cryptage. | * On choisit notre niveau de chiffrement. |
| * On définie le nom de notre autorité et son suffixe. | * On définie le nom de notre autorité et son suffixe. |
| * Là, on arrive à la demande de certificat auprès de l'autorité racine. On a le choix entre : | * Là, on arrive à la demande de certificat auprès de l'autorité racine. On a le choix entre : |
| * **Enregistrer une demande de certificat dans un fichier de l'ordinateur cible** : en gros, vous enregistrez une demande qu'il vous faudra transmettre manuellement à l'autorité racine afin qu'elle la valide. | * **Enregistrer une demande de certificat dans un fichier de l'ordinateur cible** : en gros, vous enregistrez une demande qu'il vous faudra transmettre manuellement à l'autorité racine afin qu'elle la valide. |
| * On choisit donc le mode que nous préférons (pour ma part, j'ai choisit la voie automatique) puis on clique sur ''Suivant >'' | * On choisit donc le mode que nous préférons (pour ma part, j'ai choisit la voie automatique) puis on clique sur ''Suivant >'' |
| {{ :administration:install_ca_22.png |}} | <image shape="thumbnail">{{ :administration:install_ca_22.png |}}</image> |
| * On termine alors notre configuration de la même manière que pour l'autorité racine jusqu'à avoir la confirmation. | * On termine alors notre configuration de la même manière que pour l'autorité racine jusqu'à avoir la confirmation. |
| {{ :administration:install_ca_23.png |}} | <image shape="thumbnail">{{ :administration:install_ca_23.png |}}</image> |
| * On peut alors vérifier sur l'autorité racine que le certificat a bien été émis : | * On peut alors vérifier sur l'autorité racine que le certificat a bien été émis : |
| {{ :administration:install_ca_24.png |}} | <image shape="thumbnail">{{ :administration:install_ca_24.png |}}</image> |
| |
| ==== Cas d'une demande manuelle ==== | ==== Cas d'une demande manuelle ==== |
| |
| * Dans le cas où on choisit une demande manuelle de certificat, on sélectionne alors l'option correspondante. Après avoir indiquer un nom pour notre requête (ou laisser le nom par défaut), on termine la configuration comme pour la demande automatique. | * Dans le cas où on choisit une demande manuelle de certificat, on sélectionne alors l'option correspondante. Après avoir indiquer un nom pour notre requête (ou laisser le nom par défaut), on termine la configuration comme pour la demande automatique. |
| {{ :administration:install_ca_25.png |}} | <image shape="thumbnail">{{ :administration:install_ca_25.png |}}</image> |
| * Cependant, à la fin de la configuration un avertissement apparaît. C'est normal, le certificat pour l'autorité secondaire n'a pas encore été émis. | * Cependant, à la fin de la configuration un avertissement apparaît. C'est normal, le certificat pour l'autorité secondaire n'a pas encore été émis. |
| {{ :administration:install_ca_26.png |}} | <image shape="thumbnail">{{ :administration:install_ca_26.png |}}</image> |
| * On récupère alors notre fichier de requête et on l'enregistre dans la console de l'autorité de certification racine. Pour cela, une fois la console lancée (à partir du gestionnaire de serveur, ''Outils > Autorité de certification''), on fait un clic droit sur le nom de l'authorité puis ''Toutes les tâches >'' et enfin ''Soumettre une nouvelle demande...'' | * On récupère alors notre fichier de requête et on l'enregistre dans la console de l'autorité de certification racine. Pour cela, une fois la console lancée (à partir du gestionnaire de serveur, ''Outils > Autorité de certification''), on fait un clic droit sur le nom de l'authorité puis ''Toutes les tâches >'' et enfin ''Soumettre une nouvelle demande...'' |
| {{ :administration:install_ca_27.png |}} | <image shape="thumbnail">{{ :administration:install_ca_27.png |}}</image> |
| * La première fenêtre qui apparaît nous permet d'aller chercher la requête créée au préalable. | * La première fenêtre qui apparaît nous permet d'aller chercher la requête créée au préalable. |
| {{ :administration:install_ca_28.png |}} | <image shape="thumbnail">{{ :administration:install_ca_28.png |}}</image> |
| * Une fois la requête ouverte, une nouvelle fenêtre apparaît pour nous permettre d'enregistrer le certificat. | * Une fois la requête ouverte, une nouvelle fenêtre apparaît pour nous permettre d'enregistrer le certificat. |
| {{ :administration:install_ca_29.png |}} | <image shape="thumbnail">{{ :administration:install_ca_29.png |}}</image> |
| * Une fois le certificat créé, on retourne avec sur le serveur hébergeant l'autorité secondaire. Dans la console de l'autorité, on fait un clic droit sur le nom de l'autorité à l'arrêt puis un clique sur ''Toutes les tâches >'' et ''Démarrer le service''. | * Une fois le certificat créé, on retourne avec sur le serveur hébergeant l'autorité secondaire. Dans la console de l'autorité, on fait un clic droit sur le nom de l'autorité à l'arrêt puis un clique sur ''Toutes les tâches >'' et ''Démarrer le service''. |
| {{ :administration:install_ca_30.png |}} | <image shape="thumbnail">{{ :administration:install_ca_30.png |}}</image> |
| * Un popup apparaît alors nous demandant si on veut enregistrer le certificat. On clique alors sur ''Oui''. | * Un popup apparaît alors nous demandant si on veut enregistrer le certificat. On clique alors sur ''Oui''. |
| {{ :administration:install_ca_31.png |}} | <image shape="thumbnail">{{ :administration:install_ca_31.png |}}</image> |
| * On va donc chercher le nouveau certificat. | * On va donc chercher le nouveau certificat. |
| {{ :administration:install_ca_32.png |}} | <image shape="thumbnail">{{ :administration:install_ca_32.png |}}</image> |
| * Le certificat s'installe alors et le service peut démarrer. | * Le certificat s'installe alors et le service peut démarrer. |
| | <image shape="thumbnail">{{ :administration:install_ca_33.png |}}</image> |
| | |
| ===== Création d'un nouveau modèle de certificat ===== | |
| |
| ~~DISCUSSION~~ | ~~DISCUSSION~~ |