Vous êtes sur la page 1sur 35

1.

Présentation d’AD CS
1.1 Chiffrement Asymétrique
Le chiffrement asymétrique ou chiffrement à clé publique est un chiffrement à sens unique, cela signifie qu’une fois le
message chiffré, une seule clé, appelé clé privée, peut le déchiffrer sans quoi il est extrêmement difficile de déchiffrer
le message préalablement chiffré. 
On peut décrire le déroulement d’une telle procédure en 3 étapes, qui sont :
-Génération des clés privée et publique et envoi de la clé publique au contact.
-Chiffrement du message par le contact avec la clé publique.
-Déchiffrement du message avec la clé privée.

Voici la description des étapes avec des schémas : On prend pour exemple Sylvain et Aurélien. Aurélien est amené à
envoyer de nombreuses informations en direction de Sylvain. Ce dernier souhaite que ces informations soient chiffrées
car elles peuvent contenir des données sensibles.
1ère étape : Sylvain génère une paire de clé (la clé privée et la clé publique) puis envoie à Aurélien la clé publique et
conserve la clé privée qui sera utilisée pour déchiffrer les messages reçus d’Aurélien. 

2ème étape : Aurélien chiffre son message par le biais le la clé publique puis l’envoi à Sylvain. 

3ème étape : Sylvain qui vient de recevoir le message, le déchiffre avec la clé privée. Il peut ainsi en lire le contenu.
C’est ce système qui est utilisé avec les certificats. La clé publique est représentée par le certificat tandis que la clé
privée est stockée sur le pc. Il est possible d’exporter un certificat seulement avec la clé publique (*.cer) ou avec sa clé
privée (*.pfx). Par exemple : Le certificat avec seulement la clé publique (*.cer) est utilisé pour donner à des
personnes qui vont chiffrer des messages alors que le certificat contenant la paire de clé (*.pfx) est utilisé pour
installer un certificat sur un serveur (ISA Serveur…).

1.2 Qu'est-ce qu'un certificat ? Ou est-il utilisé ?


Un certificat est un document numérique fourni par une autorité de certification. Celle-ci est chargée de délivrer des
certificats afin de vérifier l’identité d’un individu ou d’une organisation, qui garantit que la connexion est sécurisée.
Un certificat est utilisé au sein d’une entreprise qui requière un niveau d’authentification élevé.

1.3 Descriptions des rôles


Autorité de certification 
L’autorité de certification est le serveur qui émet aux utilisateurs, aux ordinateurs et aux services, gère et garantit les
certificats. C’est l’élément central du service de certificats. 

Répondeur en ligne 
La révocation de certificats est un composant nécessaire du processus de gestion des certificats délivrés par des
autorités de certification. Le moyen le plus couramment utilisé pour communiquer l’état de certificats consiste à
distribuer des listes de révocation de certificats. Un répondeur en ligne basé sur le protocole OSCP (Online Certificate
Status Protocol) peut être utilisé pour gérer et distribuer les informations d’état de révocation. 
Services d’inscription de périphériques réseau 
Le service d’inscription de périphériques réseau constitue l’implémentation du protocole MSCEP (Microsoft Simple
Certificate Enrollment Protocol), un protocole de communication qui permet aux logiciels exécutés sur des
périphériques réseau (tels que des routeurs et des commutateurs) et ne pouvant pas normalement être authentifiés sur
le réseau, d’obtenir des certificats à partir d’une autorité de certification. 
Inscription de l’autorité de certification via le Web 
Ce composant installe un site web permettant de faire une demande d’obtention de certificat via le web. 

Agent d’inscription avec restriction 


L’agent d’inscription avec restriction permet de limiter les autorisations dont disposent les utilisateurs désignés
comme agents d’inscription pour obtenir des certificats de carte à puce au nom d’autres utilisateurs.

2. Installation d’AD CS
Après avoir fait une présentation des rôles d’Active Directory service de certificats (AD CS), nous allons aborder
l’installation pas à pas d’AD CS. Ceci s’effectue en configurant une autorité de certificats qui est la base de notre
service de certificats. 
Pour ce faire cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur, dans
la section Résumé des rôles, cliquez sur Ajouter des rôles. 
Vous venez de lancer l’assistant d’ajout de rôles, vous êtes sur la première page de l’assistant, vous n’avez rien à
modifier sur cette fenêtre, cliquez sur suivant pour passer à la fenêtre suivante. 

Dans la fenêtre suivante vous sélectionnez le rôle à ajouter, vous activez la case à cocher Services de certificats Active
Directory. Cliquez sur Suivant à deux reprises. 
Cette fenêtre apparaît s’il vous manque des rôles pour ajouter celui que vous désirez, cliquez sur Ajouter les rôles
requis, la sélection des rôles requis se fera automatiquement. 
Une fois le rôle sélectionné, on passe aux choix des rôles de AD CS à installer, comme on peut le voir sur la capture
ci-dessous, il est impossible d’installer tous les rôles d’AD CS en même temps, il est recommandé de commencer par
l’autorité de certificats, puis d’installer les autres rôles. Activez la case Autorité de certification, puis cliquez sur
Suivant. En effet, l’installation de NDES va créer une sorte d’autorité de certification allégée entre notre autorité de
certification et les équipements réseaux. 
Pour installer NDES, il faut donc que l’autorité de certification racine existe. 

Nous sommes sur la page Spécifier le type d’installation, nous considérons que nous faisons partie d’un domaine, on
sélectionne donc le mode Entreprise, dans le cas contraire on n’aurait pas pu sélectionner le mode Entreprise, on aurait
dû se contenter du mode Standalone, cliquez sur Entreprise, puis sur Suivant. 
Nous arrivons sur la page Spécifier le type d’autorité de certification, cliquez sur Autorité de certification racine, car
ceci est notre première autorité de certificats, puis sur Suivant. 

Sur les pages Configurer la clé privée et Configurer le chiffrement pour l’autorité de certification s’offre à vous la
possibilité de configurer des paramètres facultatifs. Toutefois, nous accepterons les valeurs par défaut en cliquant sur
Suivant à deux reprises. 
Sur la page Configuration du nom de l’autorité de certificats, renseignez la zone Nom commun de cette autorité de
certification en tapant le nom du server que vous souhaitez utiliser, puis cliquez sur Suivant. 

Nous sommes sur la page Période de validité du certificat, acceptez la durée de validité par défaut de l’autorité de
certification racine, puis cliquez sur Suivant. 
Dans la page Configurer la base de données de certificats, acceptez les valeurs par défaut ou spécifiez d’autres
emplacements de stockage pour la base de données de certificats et son journal, puis cliquez sur Suivant. 

Vérifiez l’exactitude des informations sur la page Confirmer les options d’installation, après validation, cliquez sur
Installer. 
Vous aurez une barre de progression afin de suivre l’avancement de l’installation. 
Vous êtes sur l’écran final de l’installation, vous vérifiez que l’installation s’est déroulée correctement puis cliquez sur
Fermer. Si aucune erreur n’apparaît, vous avez fini votre installation d’AD CS, vous pouvez par la suite installer et
configurer les autres rôles d’AD CS. 

3. Modèles de certificats
Un modèle de certificat permet de créer des certificats en fonctions de leurs rôles. Par exemple, si un utilisateur veut
pouvoir signer ses emails, on va créer un modèle de certificat pour signer des emails. 
La demande de certificats va se faire en fonction des autorisations que l’on attribue aux modèles de certificats (lecture,
écriture, contrôle total, inscription, inscription automatique). 
On va prendre l’exemple d’un utilisateur qui se connecte avec une carte à puce et qui utilise EFS (Encrypting File
System). EFS est utilisé pour chiffrer des données. 
Pour créer un certificat répondant à ces critères, il faut que vous alliez dans le menu Démarrer/Outils
d’administration/Autorité de certification. 
Développez le nom de votre autorité de certification puis faites un clic droit sur « Modèles de certificats » puis gérer. 
Ensuite, on va dupliquer le modèle « Utilisateur » qui est proche de celui que l’on veut réaliser. Pour cela, clic droit
sur le modèle utilisateur et faites « Dupliquer le modèle ». 

On va ensuite renseigner si le modèle que l’on crée va avoir les fonctionnalités de Windows Server 2003 ou de
Windows Server 2008. Attention cependant, si on met Windows Server 2008, on pourra héberger les certificats que
sur Windows Server 2008. Il faut aussi prendre en compte la compatibilité avec les autres équipements utilisés. 
Ensuite, on renomme ce nouveau modèle. Dans notre exemple, nous allons choisir « Utilisateur EFS et Carte à puce ».
J’ai également réduit la période de validité du certificat à 6 mois pour une sécurité accrue. 

On va maintenant définir des modèles obsolètes. Définir des modèles obsolètes permet de privilégier le modèle
nouvellement créé. En effet, les modèles « EFS basique », « Utilisateur » et « Utilisateur de carte à puce » ne sont plus
d’actualité car on crée un modèle qui remplace ces 3 modèles de certificats. 

On va maintenant définir les conditions d’application de ce certificat. Puisque l’on a dupliqué le modèle « utilisateur
», notre nouveau modèle « Utilisateur EFS et Carte à puce » bénéficie des mêmes stratégies d’applications. On va
donc modifier les stratégies d’applications dans l’onglet « Extensions » de notre modèle. On rajoute la condition «
Ouverture de session par carte à puce » puis on valide. 
Il ne nous reste plus qu’à attribuer les autorisations aux utilisateurs pouvant faire la demande de certificats. Je suis
resté général, j’ai autorisé tous les « Utilisateurs authentifiés ». Pour cela, il faut leur rajouter les permissions Inscrire
(ou « enroll » en anglais) et Inscription automatique. 

Désormais, notre modèle de certificat est créé. Il ne nous manque plus qu’à l’activer. Pour cela, validez en cliquant sur
« Ok » puis revenez à la fenêtre Démarrer/Outils d’administration/Autorité de certification. Déroulez l’autorité de
certification, puis clic droit sur Modèles de certificats et faites Nouveau / Modèle de certificat à délivrer. Choisissez
maintenant votre nouveau modèle de certificat. 

4. Déploiement de certificats
Maintenant que vous avez créé votre modèle, les utilisateurs peuvent faire la demande de certificats et en obtenir. 
Il existe plusieurs méthodes pour demander un certificat : - Via le Web - Via une console MMC - Via un GPO
 
A Via le Web
Pour accéder à  l’interface Web de demande de certificats, il faut se connecter à la machine à l’adresse :
http://WINSRV2K8/certsrv/ 
Dans ce cas, mon serveur 2008 s’appelle WINSRV2K8. 
Une fois connecté avec l’adresse tapée dans le navigateur puis authentifié, on accède à l’interface suivante : 

Cliquez sur « Demander un certificat ». Cliquez sur « Certificat Utilisateur ». 


Cliquez sur « Envoyer » pour soumettre votre requète de certificat. 

Si le serveur accepte la demande de certificat, vous pouvez alors l'installer en cliquant sur « Installer ce certificat ». 

Une confirmation vous indique que votre certificat a bien été installé. 

4.1 Via une MMC


On peut aussi demander un certificat via une MMC. Pour cela, tapez « mmc » dans Démarrer/ Exécuter. Allez dans
Fichier puis Ajoutez ou supprimez des composants logiciels enfichables. Ajoutez Certificats, puis validez. 
Dans notre cas, on choisit « Utilisateur Actuel » du fait que notre certificat s'applique à un utilisateur et non à un
ordinateur. 
Développer « Certificats - Utilisateur Actuel » puis « Personnel ». Faites un clic droit sur « Certificats » puis «
Demander un nouveau certificat ». 

Suivez l'assistant et choisissez le modèle que l'on vient de créer « Utilisateur EFS et Carte à puce ». 
Vérifiez les paramètres de votre demande de certificat à la fin de l'assistant puis cliquez sur Terminer. Un message
devrait confirmer l'installation du nouveau certificat. 

Nous allons désormais vérifier si l'installation s'est bien déroulée et si nous possédons les certificats sur notre
ordinateur. Pour cela, allez dans la MMC, déroulez « Certificats - Utilisateur Actuel » puis Personnel. Vous pouvez
désormais apercevoir un certificat. 

Il est aussi possible d'automatiser la génération de certificat. On peut par exemple définir que lorsqu'un utilisateur va
s'identifier sur le contrôleur de domaine, il va automatiquement s'inscrire dans l'autorité de certification et recevoir
un certificat en fonction de ses attributs (réglé dans l'onglet « Sécurité » lorsque l'on a définit un nouveau modèle de
certificat). 
L'automatisation de la demande de certificat peut se faire avec ou sans l'interaction de l'utilisateur. Pour le choisir,
allez dans le modèle de votre certificat, Propriétés puis dans l'onglet « Traitement de la demande ». Si vous voulez que
l'utilisateur n'interagisse pas, cochez « Inscrire le sujet sans exiger une entrée de la part de l'utilisateur ». 
Pour créer un GPO (Group Policy Object), allez dans Démarrer / Outil d'administration / Gestion des stratégies de
groupe. 
Créez une nouvelle stratégie que l'on nommera « Certificat EFS et Carte à puce », puis modifiez-la. Aller dans
Configuration Utilisateur / Stratégies / Paramètres Windows / Paramètre de sécurité / Stratégie de clé publique. 
Maintenant, activer « Client des services de certificats - Inscription automatique » et cochez les cases « Renouveler les
certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués » et « Mettre à jour les
certificats qui utilisent les modèles de certificats ». Ceci va mettre à jour automatiquement les certificats si vous en
possédiez et va en créer de nouveaux dans le cas échéant. 
Il faut maintenant lier notre GPO à l'unité d'organisation qui contient nos utilisateurs que l'on veut attribuer des
certificats. L'unité d'organisation utilisée est « Certificats users ». 

On peut vérifier, grâce à une MMC, que lorsqu'on se connecte avec un utilisateur situé dans l'unité d'organisation sur
laquelle on a appliqué la GPO, l'utilisateur possède un certificat « Utilisateur et Carte à Puce ». 
5. Gestion de certificats
Lorsqu'un utilisateur a fait une manipulation avec un certificat ou lorsqu'un utilisateur possède un certificat qu'il
n'aurait jamais du se procurer, il est possible de révoquer un certificat déjà émis. Pour cela, il faut se connecter sur
l'autorité de certification en tant qu'administrateur du domaine. 
Pour révoquer un certificat, il faut aller dans Démarrer/Outils d'administration/Autorité de certification. 
Développer le nom de votre autorité de certification puis cliquez sur « Certificats délivrés ». Faites un clic droit sur le
certificat à révoquer puis « Révoquer un certificat ». 

On peut choisir la raison pour laquelle on veut révoquer un certificat. Il y en a plusieurs au choix. 

Une fois le certificat révoqué, il est placé dans le dossier « Certificats révoqués ». 

On va désormais voir comment mettre en place une stratégie de récupération de clé. Ceci est indispensable lorsqu'un
utilisateur qui s'authentifie par carte à puce et génère des certificats via cette carte a malencontreusement perdu sa
carte. C'est aussi utilisé lorsqu'un profil utilisateur est supprimé, si le système d'exploitation est réinstallé, si le disque
est endommagé ou si l'ordinateur a été volé. 
En effet, la clé privée de l'utilisateur est stockée localement sur la machine de l'utilisateur. Une stratégie de
récupération de clé va s'opérer en 2 étapes : la sauvegarde et la restauration. Le processus de sauvegarde permet de
conserver les certificats de l'utilisateur (ou un certificat en particulier), sa clé privée et la clé publique ayant servi à
chiffrer les données. 
Pour sauvegarder votre clé, aller dans Démarrer / Outil d'administration / Sites et Services Active Directory. Aller
dans Services / Public Key Services / Certificate Template. Si vous n'avez pas le menu Services, Aller dans Affichage
et cliquez sur « Afficher le noeud des services ». 
Faites un clic droit sur le modèle « KeyRecoveryAgent » puis Propriétés. Allez dans l'onglet « Sécurité » puis cochez
« Inscrire et Inscription automatique pour les Utilisateurs authentifiés ». 

Allez dans « Démarrer/Outils d'administration/Autorité de certification ». Développer le nom de votre autorité de


certification puis faite un clic droit sur « Modèles de certificats » puis « Nouveau / modèle de certificat à délivrer »
puis rajouter le modèle « Agent de récupération de clé ». 
Avant de configurer notre serveur comme agent de récupération de clé, il faut activer le protocole HTTPS (Web
sécurisé) pour demander un certificat avec l'administrateur. Pour cela, installer un serveur IIS et aller dans la
configuration. Cliquer sur l'icône « Certificat de serveur ». 
Allez dans Démarrer/Outils d'administration/Autorité de certification. Développer le nom de votre autorité de
certification puis faite un clic droit sur « Modèles de certificats » puis « Nouveau / modèle de certificat à délivrer »
puis rajouter le modèle « Agent de récupération de clé ». 
Avant de configurer notre serveur comme agent de récupération de clé, il faut activer le protocole HTTPS (Web
sécurisé) pour demander un certificat avec l'administrateur. Pour cela, installer un serveur IIS et aller dans la
configuration. Cliquer sur l'icône « Certificat de serveur ». 

Il faut maintenant installer un certificat auto-signé pour notre Serveur Web HTTPS. Pour cela, cliquez sur la droite sur
le menu « Créer un certificat auto-signé »¦ ». 
Nommez le « Certificat Web HTTPS ». Maintenant, il faut autoriser le protocole HTTPS à utiliser les sites web. Pour
cela, dans les paramètres du serveur WEB, faites un clic droit sur « Default Web Site » et cliquez sur « Modifier les
liaisons ». 

Maintenant, cliquez sur « Ajouter » et sélectionnez le protocole HTTPS. Laisser le port par défaut et associer le
certificat créé précédemment. 

On va maintenant configurer notre serveur en tant qu'agent de récupération de clé. Pour cela, connecter vous à
l'adresse https://WINSRV2K8/certsrv/ sur votre serveur. 
Il se peut qu'il y ait une erreur de certificat non valide en passant par HTTPS. Ceci est normal car ce n'est pas une
autorité reconnue qui a délivré ce certificat. Dans ce cas, cliquez sur « Poursuivre avec ce site Web ». 
Cliquez sur Demander un certificat / Demande de certificat avancé / Créer et soumettre une demande de requête
auprès de cette autorité de certification. Dans cette page, choisissez le modèle de certificat « Agent de récupération de
clé », puis cliquez sur « Envoyez ». Une demande de certificat est en attente. Seul l'administrateur peut délivrer ou
révoquer les demandes de certificat. 

Revenez à l'adresse https://WINSRV2K8/certsrv/ puis cliquez sur « Affichez le statut d'une requête de certificat en
attente ». 

Cliquez sur la date puis vérifier si vous avez votre demande en attente. 

Il est possible de supprimer des demandes si vous en avez fait par erreur. 
Aller dans Démarrer/Outils d'administration/Autorité de certification. 
Développer le nom de votre autorité de certification puis faite un clic droit sur « Demandes en attente ». Vous verrez
votre demande. Pour délivrer un certificat, clic droit sur le certificat à délivrer, cliquez sur « Toutes les tâches » puis
sur « Délivrer ». 
Revenez sur le site Web pour la demande de certificat et actualisez. Le certificat est disponible et vous pouvez
l'installer. 

Un message confirme que le certificat a été installé avec succès. 


Aller dans Démarrer/Outils d'administration/Autorité de certification. 
Faites un clic droit sur l'autorité de certification, puis Propriété. Dans l'onglet « Agent de récupération », ajoutez le
certificat que vous venez de générer. 

Créez un nouveau modèle de certificat appelé « Utilisateur archivage de clé » à partir du modèle « Utilisateur ».
Laissez par défaut la version du certificat à Windows 2003. Dans l'onglet « Traitement de la demande », cochez la
case « Archive la clé privée de chiffrement du sujet ». 

Pour exportez vos certificats, ouvrez une MMC sur le client, ajoutez le composant logiciel enfichable « Certificat »,
développez « Certificats » Utilisateur actuel / Personnel / Certificats. Faites un clic droit sur le certificat à exporter,
puis « Toutes les tâches » et « Exportez ». 
Un assistant se lance. Cliquez sur « Oui, exportez la clé privée ». 

Au menu suivant, cochez « Inclure tous les certificats dans le chemin d'accès de certification si possible » et « Activer
la protection renforcée ». 

Pour finir, choisissez le chemin ou sauvegarder vos certificats. Cet assistant va générer un seul fichier avec l'extension
« *.PFX ». Pour restaurer vos certificats, clés privées et clés publiques, il vous suffit de faire un clic droit sur le fichier
et de choisir « Installer PFX ». 
6. Network Device Enrollment Service
Windows Server 2008 intègre désormais de base la possibilité de délivrer des certificats à des équipements réseaux
tels que les routeurs et les Switchs. Dans les versions précédentes de la famille Windows Server, cette fonctionnalité
était possible moyennant le téléchargement d'un exécutable. 
En effet, cette fonctionnalité utilise le protocole SCEP (Simple Certificate Enrollment Protocol) développé par « Cisco
System ». Ce protocole, utilisé avec NDES (Network Device Enrollment Service) permet de délivrer des certificats à
des équipements n'ayant pas de compte Active Directory. 
Nous allons voir comment configurer ADCS et un routeur Cisco pour que l'on puisse accéder au routeur en utilisant
l'adresse https://adresse_du_routeur/ et qu'il utilise un certificat délivré par notre autorité de certification tournant sous
Windows Server 2008. 
Pour le routeur Cisco, j'utilise le logiciel « Dynamips ». Le routeur émulé utilise l'IOS 7200. Je lui ai attribué 512Mo
de Ram et je l'ai mappé avec mon interface physique de ma machine pour que le routeur puisse accéder à mon
Windows Server 2008 et lui demander un certificat. 

Nous allons voir la configuration de base sur un routeur Cisco lorsqu'on active le service HTTPS. Nous allons ensuite
analyser le certificat généré. Après avoir lancé mon routeur, j'utilise la commande : « ip http secure-server » pour
activer l'administration via une connexion sécurisée (HTTPS). 

Essayons maintenant de se connecter au routeur via l'adresse : https://192.168.152.210/. L'adresse 192.168.152.210


étant celle de mon routeur. 
Lorsque l'on accède au site web, nous avons une alerte de sécurité nous demandant d'analyser le certificat. En effet, le
certificat a été généré par le routeur. Il s'agit d'un certificat auto-signé qui n'est donc pas délivré par une autorité de
certification valide reconnu par Microsoft. En général, en entreprise, il est possible de rajouter le certificat de notre
autorité de certification dans les « Autorités de certification racine de confiance ». Cette manipulation permet de ne
plus avoir de problème de sécurité avec les certificats provenant de notre autorité de certification. A la fin de cet
article, vous serez capable de délivrer à vos routeurs Cisco des certificats issus de votre autorité de certification. 
Une fois le certificat accepté, voici la page d'administration de notre routeur. Cette capture a été faite avec Internet
Explorer 6. Sous Internet Explorer 7 ou 8, dans la barre d'adresse, vous verrez en rouge toujours l'alerte sur le
certificat. 

Maintenant, il faut configurer notre serveur. Mon autorité de certification a déjà été installée. 
Pendant l'installation, vous n'avez pas pu installer le service « Network Device Enrollment Service ». 

Une autre chose qu'il faut faire attention lors de l'installation de notre autorité de certification est la longueur de la clé.
La première fois j'avais mis 4096 et mon routeur ne pouvait pas recevoir de certificat. Il faut vérifier la longueur des
clés que le routeur accepte avant d'augmenter la longueur de la clé. 
Avant de pouvoir installer le service « Network Device Enrollment Service », il faut créer un utilisateur pour autoriser
les requêtes des certificats et fournir le mot de passe adéquat. 
Pour cela, il faut aller dans « Start / Administrative Tools / Active Directory Users and Computers ». 

Pour une administration propre, j'ai préféré créer une OU pour mon utilisateur « Cisco ». 
Ensuite, il faut rajouter cet utilisateur dans le groupe « IIS_IUSRS ». 

On peut désormais installer le service « Network Device Enrollment Service ». Pour cela, Il faut aller dans « Server
Manager » et cliquer sur « Rôles / Active Directory Certificate Service » puis sur « Add Rôle Service ». 

Ensuite, cochez la case « Network Device Enrollment Service ». 


A la prochaine étape, on rentre le nom de l'utilisateur créé précédemment. Dans notre cas : « cisco ». 

On renseigne ensuite les champs nécessaires de notre « Registration authority ». Celle-ci va être la passerelle entre
notre autorité de certification (AC) et notre équipement réseau. Elle vérifie les requêtes des équipements et demande à
notre AC de délivrer ou non des certificats. 

La prochaine étape demande de choisir l'algorithme et la longueur de la clé de chiffrement. Attention toutefois à
respecter la longueur de la clé de notre Autorité de certification et qu'elle soit compatible avec notre routeur Cisco. 
Validez les informations que vous avez remplies et lancez l'installation. 

L'installation se déroule et le service est désormais installé sur votre serveur. 

Pour vérifier que le Service « Network Device Enrollment Service » a bien été installé sur notre serveur, connectez-
vous à l'adresse : http://WINSRV2K8/certsrv/mscep/ 

Cette page montre que NDES s'est bien installé. Notez que vous avez un lien vers la page
http://WINSRV2K8/CertSrv/mscep_admin. Cette page nous servira tout à l'heure et nous permettra d'obtenir des mots
de passe pour autoriser un équipement réseau à demander un certificat. L'utilisateur « Cisco » créé précédemment
nous permet de nous authentifié sur cette page. 
Nous allons désormais créer un modèle de certificat pour notre routeur. En effet, le modèle par défaut délivré aux
équipements réseau ne nous permet pas d'utiliser le protocole HTTPS. Il nous permet seulement d'utiliser IPSEC. Pour
créer un modèle de certificat, allez dans « Server Manager » puis développez « Rôles / Active Directory Certificate
Service » et cliquez sur « Certificate Templates ». Vous pouvez voir tous les modèles de certificat. Le modèle utilisé
par défaut pour les équipements réseau est « IPSEC (Offline Request) ». Nous allons en créé un nouveau à partir de
celui-ci qui va gérer en plus l'authentification du serveur pour pouvoir utiliser le service HTTPS. 

On nous demande ensuite de choisir la version du modèle de certificat. 

Une fois que l'on a choisit la version du modèle, on va pouvoir configurer les options du modèle du certificat.
Commencez par entrer un nom pour votre modèle. J'ai choisit de l'appeler : « IPSec (HTTPS) For Routers ». 
Ensuite, dans l'onglet « Extensions », rajoutez « Server Authentication » dans « Applications Policies ». Ceci va
permettre d'utiliser le certificat du routeur pour le service HTTPS. 

Il faut s'assurer également si l'utilisateur « Cisco » a la permission « Enroll ». 

Il se peut que vous ayez des problèmes de longueur minimale de clé avec votre équipement réseau. SI c'est le cas, il
faut aller dans l'onglet « Request Handling » et diminuer la longueur minimale de la clé. 
Maintenant que notre modèle de certificat est prêt, il faut le publier. En effet, si le certificat n'est pas publié, vous ne
pourrez pas le délivrer aux équipements réseau. Pour cela, il faut aller dans « Server Manager », puis « Rôles / Active
Directory Certificate Service » et cliquez sur « Certificate Template ». Choisissez d'ajouter un nouveau modèle en
cliquant sur « New / Certificate Template to issue ». 

Il faut maintenant choisir le modèle de certificat que l'on a créé précédemment afin qu'il soit publié. 

Une fois que vous avez ajouté votre modèle de certificat, vous pouvez le voir parmi la liste de tous les modèles de
certificats publiés. 

Maintenant, il faut modifier une clé dans la base de registre pour spécifier le modèle de certificat. 
Pour cela, allez dans « Start / Run » et tapez « Regedit ». La clé à modifier se trouve à l'adresse «
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ MSCEP » et s'appelle «
GeneralPrurposeTemplate ». Mettez le nom de votre modèle (« Template name »). 
Dans le cas où vous ne publiez pas votre modèle, celui-ci est inaccessible et vous aurez l'erreur : « You do not have
sufficient permission to enroll with SCEP ». 

Notre Windows Server 2008 est désormais prêt pour pouvoir recevoir des demandes de certificats. 
Nous allons configurer notre routeur Cisco pour qu'il reçoive le certificat de la part de notre autorité de certification.
On commence par mettre une adresse IP sur l'interface du routeur connecté à notre carte réseau (ici 192.168.152.210),
on change le nom du routeur, on génère une paire de clé RSA que l'on va utiliser pour notre certificat. 
On va ensuite configurer notre routeur afin qu'il sache où chercher son certificat et les paramètres pour aller le
chercher. 

On va synchroniser notre routeur avec notre Windows Server 2008. Si notre configuration est correcte, on va pouvoir
accepter un certificat sinon une erreur est produite. 

On va maintenant réclamer un certificat à notre serveur. 

Cette étape nous demande un mot de passe. Le mot de passe doit être récupérer sur le site : 
http://WINSRV2K8/certsrv/mscep_admin/. Identifiez-vous avec le compte « Cisco » et utilisez le mot de passe généré
par le serveur. Attention le mot de passe généré peut être utilisé une seule fois et n'est valide qu'une heure. Si le
nombre de mot de passe généré maximum a été atteint, redémarrez le serveur WEB. Vous pouvez également modifier
les paramètres via la commande « Regedit » :
« HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ MSCEP »
Il ne nous manque plus qu'à configurer le serveur web pour lui associer notre configuration et de démarrer le serveur
WEB HTTPS. 

Nous venons de configurer notre routeur et celui-ci possède un certificat délivré par notre autorité de certification.
Regardons sur le routeur le certificat que nous avons : 
Nous avons bien un certificat provenant de notre autorité de certification. Pour vérifier, nous allons nous connecter à
notre serveur WEB via l'adresse https://192.168.152.210/. 

Une autre façon de voir le certificat est d'accepter l'alerte et de cliquez sur le cadenas en bas à droite. 

Nous pouvons donc voir que notre autorité de certification a bien délivré un certificat au routeur mais que celui-ci
n'est pas de confiance. En effet, je n'ai pas ajouté le certificat de mon autorité de certification dans les autorités de
certification de confiance dans mon ordinateur. Sur le serveur, nous pouvons vérifier que notre serveur a délivré un
certificat à notre équipement réseau via le « Server Manager ». Ensuite, allez dans « Rôles / Active Directory
Certificate Service / Nom_de_votre_Autorité_de_certification / Issued Certificate ». Vérifiez les certificats délivrés.
Vous pouvez voir l'utilisateur « cisco » qui a récupéré le certificat « IPSec (HTTPS) For Routers ». 
S'il y a des erreurs, vous pouvez voir les requêtes qui ont échouées et la raison pour laquelle elle a échouée. 

Dans cet exemple, la raison était la taille de la clé dans le modèle de certificat. 

Conclusion
Au travers de cet article, nous avons appris à créer, déployer et gérer des modèles de certificats sous Windows Server
2008, mais également à les intégrer à des équipements de type Cisco. 
Cette dernière fonctionnalité était auparavant possible avec Windows Server 2003 mais nécessitait le téléchargement
de modules additionnels. Windows Server 2008 intègre nativement cette fonctionnalité. 
A partir de cela, vous serez capable de créer des certificats adaptés à vos besoins pour garantir l'authenticité d'une
entité de manière sécurisée avant de lui autoriser l'accès. 
Ceci est possible dans un réseau local ou à condition d'installer le certificat de l'autorité de certification sur les clients.
Si vous visez une plus grande portée (sécuriser un site marchand...) ou que vous voulez faire plus professionnels,
privilégiez les certificats reconnus par Microsoft et signés par des autorités de certifications de confiance (ex : Thawte,
Verisign...).

Vous aimerez peut-être aussi