> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/fr/gestion-des-certificats/active-directory/configuration-generale.md). # Configuration générale Pour permettre à SCEPman de traiter correctement les requêtes SOAP entrantes, nous devons suivre quelques étapes : {% stepper %} {% step %} ### Domaine personnalisé et BaseUrl Pour une authentification réussie avec SCEPman, assurez-vous qu’un domaine personnalisé utilisant un `enregistrement A` pointe vers l’App Service. Sinon, le client ne pourra pas demander un ticket Kerberos valide auprès du Domain Controller. {% hint style="info" %} Le domaine personnalisé n’a pas besoin de ressembler au FQDN de votre domaine AD. Ainsi, avoir un domaine `ad.contoso.local` ne signifie pas que vous ayez besoin d’un domaine personnalisé identique ou similaire pour SCEPman. Voir le problème connu ci-dessous concernant [WS\_E\_ENDPOINT\_ACCESS\_DENIED](https://app.gitbook.com/o/-LhPlvZ6dc8XcqY7tdZw/s/-LoGejQeUQcw7lqnQ3WX/~/diff/~/changes/806/certificate-management/active-directory/general-configuration#ws_e_endpoint_access_denied) pour plus d’informations. {% endhint %} Assurez-vous que SCEPman est configuré pour être accessible à l’aide d’un domaine personnalisé : {% content-ref url="/pages/f31c495f6240f0291e0e5220178c329553030d6b" %} [Domaine personnalisé](/fr/configuration-azure/custom-domain.md) {% endcontent-ref %} La même exigence s’applique également après la demande initiale de stratégie (énumération des modèles de certificats) pour inscrire des certificats. Pour permettre des authentifications réussies, assurez-vous que la [AppConfig:BaseUrl](https://app.gitbook.com/o/-LhPlvZ6dc8XcqY7tdZw/s/-LoGejQeUQcw7lqnQ3WX/~/diff/~/changes/806/scepman-configuration/application-settings/basics#appconfig-baseurl) variable correspond à votre domaine personnalisé ou utilisez le [AppConfig:ActiveDirectory:BaseUrl](https://app.gitbook.com/o/-LhPlvZ6dc8XcqY7tdZw/s/-LoGejQeUQcw7lqnQ3WX/~/diff/~/changes/806/scepman-configuration/application-settings/active-directory/general#appconfig-activedirectory-baseurl) paramètre dédié si vous préférez accéder à l’AD Endpoint via une URL différente de vos autres points de terminaison SCEPman. {% endstep %} {% step %} ### Créer un Service Principal Utilisez le `New-SCEPmanADPrincipal` Cmdlet du module PowerShell SCEPman pour créer le principal de service dans votre domaine Active Directory local. Il exportera également un keytab à partir de ce compte et le chiffrera avec le certificat CA de SCEPman. Vous pouvez exécuter cette commande sur un Domain Controller ou sur un serveur joint au domaine sur lequel la `RSAT-AD-Tools` fonctionnalité est installée. Vous aurez également besoin des autorisations suivantes dans l’OU dans laquelle vous souhaitez créer le principal : Sur l’OU elle-même : * Créer des objets ordinateur Sur les objets ordinateur descendants : * Réinitialiser le mot de passe * Écrire `msDS-SupportedEncryptionTypes` * Écrire `servicePrincipalName` * Écrire `userPrincipalName` La variante ci-dessous nécessite également un accès réseau HTTPS sortant vers votre instance SCEPman. {% hint style="info" %} Si votre ordinateur ayant accès à un Domain Controller n’a pas d’accès réseau, il existe des variantes du CMDlet qui fonctionnent sans cela, mais qui nécessitent une préparation supplémentaire, comme le téléchargement du certificat CA SCEPman et la copie de la CA sur la machine qui exécute le CMDlet. {% endhint %} ```powershell Install-Module SCEPman -Force New-SCEPmanADPrincipal -Name "SCEPmanAD" -AppServiceUrl "scepman.contoso.com" -OU "OU=Example,DC=contoso,DC=local" ``` L’exécution de cette commande effectuera les actions suivantes : 1. Créer un objet ordinateur dans l’ `OU=Example,DC=contoso,DC=com` Unité d’organisation. 2. Télécharger le certificat CA de SCEPman pour chiffrer le keytab à l’étape 5. 3. Ajouter un nom de principal de service (SPN) à l’objet ordinateur. 4. Créer un keytab pour le compte ordinateur contenant la clé de chiffrement basée sur le mot de passe de l’ordinateur. 5. Chiffrer le keytab avec le certificat CA de SCEPman, afin que seul SCEPman puisse le déchiffrer à nouveau à l’aide de la clé privée de la CA. 6. Sortir le keytab chiffré, afin qu’il puisse être transféré dans la configuration de SCEPman. La sortie encodée en Base64 doit ensuite être ajoutée à la variable d’environnement **AppConfig:ActiveDirectory:Keytab** de votre SCEPman App Service.3 {% endstep %} {% step %} ### Ajouter le keytab à SCEPman L’intégration peut être facilement activée en ajoutant les variables d’environnement suivantes dans le **SCEPman App Service.** Selon votre cas d’utilisation, activez un ou plusieurs des modèles de certificats disponibles : *Exemple avec tous les modèles de certificats activés :* | Paramètre | Valeur | | ------------------------------------------- | --------------------------------------------------------------------- | | AppConfig:ActiveDirectory:Keytab | Keytab encodé en Base64 pour le principal de service créé à l’étape 1 | | AppConfig:ActiveDirectory:Computer:Enabled | true | | AppConfig:ActiveDirectory:User:Enabled | true | | AppConfig:ActiveDirectory:DC:Enabled | true | | AppConfig:ActiveDirectory:RdpServer:Enabled | true | | {% endstep %} | | | {% endstepper %} | | ## Problèmes connus ### WS\_E\_ENDPOINT\_ACCESS\_DENIED ``` Erreur : WS_E_ENDPOINT_ACCESS_DENIED Hex : 0x803d0005 Déc : -2143485947 ``` Cette erreur est connue pour se produire lors de la validation du serveur CEP lorsque vous utilisez les *par défaut* URI de l’Azure App Service. Cette erreur est causée par le protocole Kerberos qui demande un nom de principal de service de l’enregistrement A du service à accéder. Dans le cas des domaines d’App Service par défaut, par exemple `contoso.azurewebsites.net` n’est qu’un CNAME et pointe vers un enregistrement A similaire à : ``` waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com ``` Comme cet enregistrement A d’un hôte d’infrastructure n’est pas garanti d’être cohérent à l’avenir, ajouter un nom de principal de service pour cet hôte est **déconseillé**. Veillez à ajouter un domaine personnalisé à votre App Service et à utiliser un enregistrement A chez votre fournisseur DNS pour y pointer l’App Service au lieu d’un CNAME. {% content-ref url="/pages/f31c495f6240f0291e0e5220178c329553030d6b" %} [Domaine personnalisé](/fr/configuration-azure/custom-domain.md) {% endcontent-ref %} ### ERROR\_INVALID\_PARAMETER ``` Erreur : ERROR_INVALID_PARAMETER Hex : 0x80070057 Déc : -2147024809 ``` Cette erreur se produit lors de l’enregistrement du serveur CEP si vous saisissez un URI qui commence par `http://`. Veillez à n’enregistrer un serveur CEP qu’en utilisant `https://` ### ERROR\_ACCESS\_DENIED ``` Erreur : ERROR_ACCESS_DENIED Hex : 0x80070005 Déc : -2147024891 ``` Lors de l’enregistrement d’un serveur CEP dans le contexte de l’ordinateur, l’utilisateur agissant (le compte qui a lancé `gpmc.msc`) doit être membre du groupe local Administrateurs sur l’ordinateur pendant la modification du GPO. Veillez à lancer `gpmc.msc` avec des privilèges élevés dans ce cas. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/fr/gestion-des-certificats/active-directory/configuration-generale.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.