Skip to content

10/03/2024

IT-Connect

Plate-forme de cours sur l’administration systèmes et réseau pour les professionnels de

l’informatique

Parte superior do formulário

Parte inferior do formulário

Cours – Tutoriels

Administration Systèmes

Windows Server

Active Directory

Déploiement MDT – WDS

DFS – DFSR

Exchange Server

Serveur de fichiers

Stratégie de groupe

Système

WSUS

Windows Client

Astuces

Logiciels

WSL
Linux

Commandes et Système

Services

SSH

Virtualisation

Hyper-V

Virtualbox

VMware

Serveur Web

Microsoft IIS

Apache

Nginx

Stockage

NAS

Cloud

Base de données

Scripting

Bash

Batch

PowerShell

Autres

Android – iOS

Azure

Développement Web

Microsoft Intune

Microsoft Teams

Office 365

Sauvegarde

WordPress

Administration Réseau

Pare-Feu
IPCOP

Netfilter

pfSense

ZeroShell

Supervision

Cisco

HP

Wireshark

Infrastructure as Code

Référencement et Web

Internet

SEO

Domotique

Cybersécurité

Cours IT

Actualités

Entreprise

DSI Experience

Actu Cybersécurité

Web

Logiciel – OS

Matériel

Réseaux sociaux

Mobile

Bons Plans

Tests

Tutos pour les débutants

IT-Connect » Cours - Tutoriels » Administration Systèmes » Windows Server » Active Directory

» ADCS : Créer une autorité de certification racine sous Windows Server
Active Directory Windows Server

ADCS : Créer une autorité de certification racine sous Windows Server

16/01/201917/07/2023 Florian BURNEL 11700 Views 6 Commentaires ADCS, Windows Server

4 min read

Sommaire [-]

I. Présentation

II. Installer le rôle ADCS

III. Créer l'autorité de certification racine

I. Présentation

Avec une autorité de certification, vous pourrez gérer vos certificats numériques, de la
délivrance d'un certificat à sa révocation. Cette couche de sécurité offrira notamment les
avantages suivants : intégrité, authentification, non répudiation et confidentialité. Ceci est
possible grâce à l'utilisation à la fois de certificats, mais aussi de clés, c'est pour cela que l'on
parle souvent de PKI : Public Key Infrastructure, ou en français : IGC - Infrastructure de gestion
de clés.

Sous Windows Server, la mise en oeuvre d'une autorité de certification s'effectue par
l'intermédiaire du rôle ADCS : Active Directory Certificate Services. Il existe des outils open
source pour mettre en place une CA sous Unix/Linux.
Une autorité de certification peut s'avérer utile et peut être sollicitée dans le cadre de
nombreux projets : mise en place d'un serveur NPS (Network Policy Server) pour obtenir un
certificat valide pour utiliser le 802.1X, mise en place des flux sécurisés et chiffrés pour votre
serveur WSUS, ou votre Active Directory, authentification renforcée sur des applications, accès
VPN.... Tant de projets pour lesquels vous pourriez avoir besoin de la solution ADCS.

Cette autorité de certification Microsoft sera capable également de signer vos scripts
PowerShell pour que leur exécution soit autorisée sur les serveurs et les postes clients de votre
entreprise. Ce qui vous évitera de modifier la politique d'exécution des scripts et d'exposer vos
postes aux problèmes que ça implique.

L'autorité de certification est un vaste sujet, qui peut s'avérer complexe, et nécessite à minima
un serveur mais selon vos besoins et les rôles à déployer, plusieurs serveurs peuvent être
nécessaires.

Dans ce tutoriel, nous allons créer une autorité de certification racine d'entreprise, sous
Windows Server 2016, intégrée au sein du domaine it-connect.fr. Le serveur se nomme FB-
ADCS et il est déjà intégré au domaine.

II. Installer le rôle ADCS

Pour débuter l'installation, il faut installer le rôle ADCS ainsi que les outils de gestion en mode
graphique. Pour réaliser cette installation, ouvrez une console PS en tant qu'administrateur et
saisissez :

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

La partie installation s'arrête ici, ensuite ce n'est que de la configuration.

III. Créer l'autorité de certification racine

Il est à noter que cette configuration peut être réalisée entièrement en PowerShell, mais pour
faire vos premiers pas je pense que c'est bien de passer par l'assistant, pour y aller étape par
étape, et comprendre ce que vous faites. Avant de commencer, connectez-vous avec un
compte utilisateur étant admin du domaine.

Commencez par démarrer le gestionnaire de serveur, et cliquez sur l'icône drapeau en haut à
droite pour démarrer la configuration.
Cliquez directement sur suivant si vous êtes bien connecté avec un compte administrateur,
sinon indiquez un compte admin du domaine. Ceci est impératif car des données doivent être
écrites dans l'Active Directory.
Plusieurs rôles sont proposés, sélectionnez uniquement "Autorité de certification".
Sélectionnez ensuite "Autorité de certification d'entreprise". Mais au fait, c'est quoi la
différence entre une CA d'entreprise et une CA autonome ?

La CA d'Entreprise nécessite un serveur intégré au domaine et elle stockera des données

directement dans votre annuaire Active Directory (certificats, clés privées, etc. avec une notion
d'archivage), et facilitera la distribution de certificats auprès des postes intégrés au domaine
notamment car ils seront automatiquement approuvés car dit de confiance. Une CA autonome
peut être installée sur un serveur hors domaine, par conséquent elle ne stocke aucune donnée
dans votre annuaire AD, ce qui empêche notamment d'utiliser l'inscription automatique.
Comme il s'agit de la première Autorité de certification de notre infrastructure, sélectionnez
"Autorité de certification racine".
Nous allons créer une nouvelle clé privée car nous partons de zéro.
Pour sécuriser notre clé privée avec un algorithme de hachage suffisamment robuste,
sélectionnez "SHA256". Le SHA1 est déprécié par Microsoft depuis janvier 2017 qui lui préfère
SHA256. Notez que SHA1 reste aujourd'hui très largement utilisé et il est malgré tout robuste,
mais ne représente pas l'avenir donc je vous conseil de partir directement sur SHA256. Une
longueur de clé de 2048 sera suffisante.
Indiquez un nom pour votre autorité de certification, il s'agit d'un nom qui sera indiqué dans
les différents certificats que vous allez émettre avec votre CA.
Spécifiez la durée de validité du certificat généré pour votre CA, par défaut la valeur est de 5
années. Vous pouvez laisser comme ceci.
Laissez par défaut les chemins indiqués pour stocker la base de données des certificats et les
logs associés. Poursuivez directement.
Il ne vous reste plus qu'à valider et après quelques minutes, vous devriez obtenir un joli
message "Configuration réussie".
La console ADCS vous permettra de gérer votre autorité de certification, mais n'oubliez pas,
PowerShell est également votre allié !

Dans un prochain tutoriel, nous verrons comment signer un script PowerShell avec un certificat
de notre autorité de certification.
Partagez cet article

← Previous Comment améliorer la réception réseau de son

smartphone ?

La compression avec xz sous Linux Next →

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and

Datacenter Management". Je souhaite partager mon expérience et mes découvertes au
travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft
et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5441.Voir tous les posts

Vous pourrez aussi aimer

Windows To Go, c’est quoi ?

16/12/201417/07/2023 Florian BURNEL 3

Active Directory : déléguer l’ajout d’ordinateurs au domaine

09/01/202017/07/2023 Florian BURNEL 2

Active Directory et l’attribut UserAccountControl

17/02/202216/02/2022 Florian BURNEL 1

6 thoughts on “ADCS : Créer une autorité de certification racine sous Windows Server”
ibou

13/05/2019 à 00:13

Permalink

Bonsoir depuis plusieurs jours je suis bloque sur cette erreur de configuration adds server 2016
et merci pour le soutien

Échec de la vérification des conditions préalables pour la promotion du contrôleur de domaine.

Le compte d’administrateur local devient le compte d’administrateur de domaine lorsque vous
créez un domaine. Il est impossible de créer le domaine car le mot de passe du compte
d’administrateur local ne répond pas aux exigences.

Actuellement, le mot de passe administrateur local est vide, ce qui peut entraîner des
problèmes de sécurité. Nous vous recommandons d’appuyer sur Ctrl+Alt+Suppr, d’utiliser
l’outil en ligne de commande net user ou de définir un mot de passe fort pour le compte
d’administrateur local dans Utilisateurs et groupes locaux avant de créer le domaine.

Répondre

ibou

18/05/2019 à 09:42

Permalink

Bonsoir depuis plusieurs jours je suis bloque sur cette erreur de configuration adds server 2016
et merci pour le soutien

Échec de la vérification des conditions préalables pour la promotion du contrôleur de domaine.

Le compte d’administrateur local devient le compte d’administrateur de domaine lorsque vous
créez un domaine. Il est impossible de créer le domaine car le mot de passe du compte
d’administrateur local ne répond pas aux exigences.

Actuellement, le mot de passe administrateur local est vide, ce qui peut entraîner des
problèmes de sécurité. Nous vous recommandons d’appuyer sur Ctrl+Alt+Suppr, d’utiliser
l’outil en ligne de commande net user ou de définir un mot de passe fort pour le compte
d’administrateur local dans Utilisateurs et groupes locaux avant de créer le domaine.

Répondre

Frank

03/06/2019 à 09:58
Permalink

essaye

net user votre login /passwordreq:yes

Répondre

Antonio

11/01/2022 à 11:52

Permalink

bonjour,
dans le cadre d’une segmentation du réseau avec des VLANs, quels sont les ports à autoriser
pour pouvoir renouveler les certificats quand c’est nécessaire?
Merci d’avance

Répondre

yann

13/02/2024 à 10:28

Permalink

J’imagine que c’est un peu tard.

https://www.binaryrecon.net/microsoft-pki-port-requirements-for-firewalls/

Répondre

Guilhem

16/02/2024 à 15:45

Permalink

Bonjour, dans le cadre de l’installation d’un serveur NPS, j’ai tenté de créer l’autorité de
certification Racine mais je tombe sur une erreur après avoir cliqué sur « configuré ».

L’erreur est pour l’autorité de certification :

« L’installation des services de certificats Active Directory a échoué avec l’erreur suivante : Le
service n’a pas répondu assez vite à la demande de lancement ou de contrôle. 0x8007041d
(WIN32: 1053 ERROR_SERVICE_REQUEST_TIMEOUT) »

En revanche l’inscription de l’autorité de certification via le web à quant à elle réussi…

merci de votre aide 🙂

Répondre

Laisser un commentaire Annuler la réponse

Parte superior do formulário

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaire *

Nom *

E-mail *

Site web

Enregistrer mon nom, mon e-mail et mon site dans le navigateur pour mon prochain
commentaire.

Laisser un commentaire 27919 0

17b6242900

1710105943256
Δ

Parte inferior do formulário

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de
vos commentaires sont utilisées.

Newsletter : 1 e-mail par semaine !

Parte superior do formulário

 subscribe_form_s 1 Remplissez ce ch Cette adresse em b62efed26f

Votre adresse e-mail*

S'abonner

Parte inferior do formulário

A la une

Tests

Test BMAX B8 Pro – Un mini PC avec un Intel Core i7

08/03/202406/03/2024 Florian BURNEL Aucun commentaire 9 min read

Test et avis sur le mini PC BMAX B8 Pro, un modèle ultra compact équipé d’un processeur Intel
Core i7-1255U, de 24 Go de RAM et d’un disque SSD NVMe de 1 To.
Commandes et Système Linux

Découverte de la commande exa : une version moderne de ls sous Linux

08/03/202407/03/2024 Luc BRETON 1 Commentaire 7 min read

Logiciel - OS

Windows 10 et la mise à jour KB5001716 – Comment résoudre l’erreur 0x80070643 ?

08/03/202408/03/2024 Florian BURNEL 2 Commentaires 3 min read

Actu Cybersécurité

Ransomware Play : en Suisse, l’attaque de Xplain a permis de voler 65 000 documents

gouvernementaux

08/03/202408/03/2024 Florian BURNEL 2 Commentaires 2 min read

PowerShell

Comment utiliser la méthode Trim de PowerShell pour nettoyer une chaîne de caractères ?

07/03/202406/03/2024 Florian BURNEL 1 Commentaire 6 min read

Découvrez nos cours

Débuter avec les stratégies de groupe sous Windows Server

Déployer et configurer Microsoft LAPS en entreprise

Débuter avec Kali Linux

Vous cherchez quelque chose ?

Parte superior do formulário

Parte inferior do formulário

Découvrir IT-Connect

A propos

Comment contribuer sur IT-Connect ?

Contact

Espace annonceurs

L’Equipe

Offres d’emploi

Politique de confidentialité

Soutenir IT-Connect

Espace personnel

Inscription

Connexion

Flux des publications

Recommandations

Blogmotion
Délibérata
Tech2tech
Générateur de mots de passe
IT-Connect - Copyright © 2024 | Creative Commons License BY-NC-ND 4.0

<div style="display:none;"><img src="//pixel.quantserve.com/pixel/p-31iz6hfFutd16.gif?

labels=Domain.it_connect_fr,DomainId.122228" border="0" height="1" width="1"
alt="Quantcast"/></div>