Table des matières

Installation d'une autorité de certification
Discussion

Installation d'une autorité de certification

Création — Nicolas THOREZ 2019/03/27 21:25

L'autorité de certification (aussi appelée AD CS) est utile pour augmenter la sécurité d'une infrastructure. Elle permet de gérer, par émission, inscription et validation, des certificats permettant d'authentifier un individu, matériel ou système.

Installation

Comme souvent, l'installation du rôle se lance depuis la fenêtre de gestionnaire de serveur, en cliquant sur Gérer et haut à droite puis sur Ajouter des rôles et fonctionnalités

On ignore la première page en cliquant sur Suivant >

Ensuite, on choisit Installation basée sur un rôle ou une fonctionnalité puis on clique sur Suivant >

On choisit le serveur cible puis on clique sur Suivant >

A ce niveau, on coche Services de certificats Active Directory

Comme d'habitude, un popup apparaît signalant les fonctionnalités dépendantes qui seront installées. On les valide en cliquant sur Ajouter des fonctionnalités

De retour sur la page principale, on passe à la suite en cliquant sur Suivant >. On arrive sur la page des fonctionnalités et vu que les dépendances sont déjà sélectionnées, on passe à la suite en cliquant sur Suivant >

La page suivante nous informe sur le rôle de AD CS. On lit et on passe à la suite.

La page suivante nous permet de définir le ou les services à installer. On a le choix entre :
- Authorité de certification : Le service par défaut, permet d'émettre et de gérer les certificats.
- Inscription de l'autorité de certification via le Web : Permet de disposer d'une interface Web pour interagir avec l'autorité. Utile pour les itinérants et les grosses structures.
- Répondeur en ligne : Permet aux clients de l'autorité d'accéder aux données de vérification de la révocation des certificats.
- Service d'inscription de périphérique réseau : Permet d'émettre et de gérer des certificats pour des périphériques réseaux (routeurs, switchs…) ne possédant pas de compte dans l'AD.
- Service Web Inscription de certificats : Un peu similaire au service Inscription de l'autorité de certification via le Web, ce service est destiné à ceux qui ne font pas parti de l'AD mais qui ont besoin d'avoir accès à une autorité de certification. Il fonctionne en liaison avec le service Service Web Stratégie d'inscription de certificats.
- Service Web Stratégie d'inscription de certificats : Ce service permet d'informer les postes hors AD de la stratégie d'inscription de certificats qui leur sera appliqué en faisant appel au service Service Web Inscription de certificats.
On sélectionne donc les services dont on a besoin et on clique sur Suivant >.

La page suivante nous résume les rôles et fonctionnalités qui seront installés. On valide le tout en cliquant sur Installer.

L'installation se lance alors.

Paramétrage

Une fois l'installation terminée, un lien apparaît nous permettant de configurer notre autorité. On clique donc sur le lien.

Une nouvelle fenêtre apparaît. Dans sa première page, nous devons indiquer l'identifiant de l'administrateur qui configurera l'autorité. Cet administrateur doit appartenir à un groupe spécifique selon le type d'autorité que l'on souhaite faire. Par défaut, c'est l'identifiant de celui qui est connecté qui apparaît. On remplie donc le champs et on clique sur Suivant >.

On peut alors choisir les services à configurer. Les choix disponibles dépendent des services installés précédemment. Dans notre cas, on coche Autorité de certification et on passe à la suite.

Là, on passe au gros de la configuration de notre AD CS. Nous pouvons choisir le type d'autorité :
- Autorité de certification d'entreprise : Recommandée pour les domaines, obligatoire pour les grosses infrastructures. Utilisée notamment pour certifier des certificats hors site (via internet).
- Autorité de certification autonome : La base, utilisable en groupe de travail comme en domaine ainsi qu'en mode hors connexion.
On choisit le modèle qui nous convient et on clique sur Suivant >.

Nous devons désormais choisir notre niveau d'autorité :
- Autorité de certificat racine : La première autorité d'une infrastructure. En choisissant cela, vous devrez créer votre clé publique lié à l'infrastructure. On parle de PKI (Public Key Infrastructure).
- Autorité de certificat secondaire : Permet d'étendre votre autorité, sorte d'équilibrage en étant autorisé à émettre des certificats gérés par l'autorité racine. En choisissant cela, la nouvelle autorité secondaire devra émettre une demande de certificat auprès d'une autorité racine.
On choisit donc l'autorité racine dans un premier temps et on clique sur Suivant >.

Nous allons pouvoir désormais définir notre clé privée. Nous pouvons au choix :
- Créer une clé privée : C'est par défaut l'option que l'on choisira pour les nouvelles autorités.
- Utiliser la clé privée existante : On utilisera cette option dans les cas où une autorité existait déjà (ancien serveur ou réinstallation par exemple) et que nous souhaitons une continuité des certificats et non tous les renouveler.

Ancien certificat

Si vous utiliser un ancien certificat, pensez à vérifier sa date de validité ainsi que son niveau de sécurité. Autant créer une nouvelle clé si l'ancien va se périmer bientôt ou que son algorithme de chiffrement est faible.

Dans notre cas, on choisira la création d'une nouvelle clé et on cliquera sur Suivant >.

Dans la page suivante, nous pouvons choisir le niveau de chiffrement de notre clé.

Chiffrement

Plus le niveau de chiffrement est élevé et plus l'infrastructure sera sécurisée. Cependant, la compatibilité avec les autres systèmes, machines, logiciels sera moindre. Ces derniers devront bénéficier des technologies adéquates. Pensez à faire l'inventaire de votre parc afin d'en connaître les capacités et d'y faire les mises à niveau si nécessaire.

On choisit donc notre niveau de chiffrement et on clique sur Suivant >.

Dans la page suivante, on peut définir le nom de notre autorité ainsi que son suffixe (le domaine pour lequel, elle fait autorité). Cette dernière option est pertinente dans le cadre d'une forêt de plusieurs domaines. En général, on laissera les noms par défaut et on cliquera sur Suivant >.

Nous pouvons ensuite choisir la durée de validité de notre clé.

Durée de validité

Une durée courte augmentera la sécurité en favorisant le renouvellement fréquent de la clé et donc en limitant l'usage d'une clé volée dans le temps. Par contre, cela augmentera le travail des administrateurs gérant les certificats. A l'inverse, une durée plus longue simplifiera le travail des administrateurs mais réduira la sécurité avec les risque de vol ou d'obsolescence du niveau de chiffrement. Il faut donc étudier les risques et trouver un juste milieu selon la politique interne.

Une fois notre durée déterminée, on clique sue Suivant >.

La page suivante nous propose de définir les emplacements des bases de données des certificats ainsi que des journaux correspondants. On les définit ou on les laisse par défaut et on passe à la suite.

Nous arrivons finalement à la fin de la configuration avec la page de validation. On vérifie et on valide en cliquant sur Configurer.

Une fois la configuration validée, le système paramètre notre autorité et si tout va bien nous affiche un résultat positif.

Notre autorité est désormais accessible via l'interface du gestionnaire de serveur en cliquant sur Outils en haut à droite puis sur Autorité de certification

Cas d'une autorité secondaire

L'autorité secondaire s'installe comme l'autorité racine. Ensuite le début du paramétrage sera similaire jusqu'au choix du niveau d'autorité. Là, on choisira Autorité de certification secondaire puis on cliquera sur Suivant >. A noter que cette option est sélectionnée par défaut si une autorité racine est détectée sur le domaine en question.

La suite est de nouveau similaire :
- On crée une clé privée.
- On choisit notre niveau de chiffrement.
- On définie le nom de notre autorité et son suffixe.
Là, on arrive à la demande de certificat auprès de l'autorité racine. On a le choix entre :
- Envoyer une demande de certificat à une AC parente : basiquement, on demande le nouveau certificat à l'autorité racine. Cette option est à privilégier pour l'automatisation qu'elle procure.
- Enregistrer une demande de certificat dans un fichier de l'ordinateur cible : en gros, vous enregistrez une demande qu'il vous faudra transmettre manuellement à l'autorité racine afin qu'elle la valide.
On choisit donc le mode que nous préférons (pour ma part, j'ai choisit la voie automatique) puis on clique sur Suivant >

On termine alors notre configuration de la même manière que pour l'autorité racine jusqu'à avoir la confirmation.

On peut alors vérifier sur l'autorité racine que le certificat a bien été émis :

Cas d'une demande manuelle

Dans le cas où on choisit une demande manuelle de certificat, on sélectionne alors l'option correspondante. Après avoir indiquer un nom pour notre requête (ou laisser le nom par défaut), on termine la configuration comme pour la demande automatique.

Cependant, à la fin de la configuration un avertissement apparaît. C'est normal, le certificat pour l'autorité secondaire n'a pas encore été émis.

On récupère alors notre fichier de requête et on l'enregistre dans la console de l'autorité de certification racine. Pour cela, une fois la console lancée (à partir du gestionnaire de serveur, Outils > Autorité de certification), on fait un clic droit sur le nom de l'authorité puis Toutes les tâches > et enfin Soumettre une nouvelle demande…

La première fenêtre qui apparaît nous permet d'aller chercher la requête créée au préalable.

Une fois la requête ouverte, une nouvelle fenêtre apparaît pour nous permettre d'enregistrer le certificat.

Une fois le certificat créé, on retourne avec sur le serveur hébergeant l'autorité secondaire. Dans la console de l'autorité, on fait un clic droit sur le nom de l'autorité à l'arrêt puis un clique sur Toutes les tâches > et Démarrer le service.

Un popup apparaît alors nous demandant si on veut enregistrer le certificat. On clique alors sur Oui.

On va donc chercher le nouveau certificat.

Le certificat s'installe alors et le service peut démarrer.