Cette inscription de certificat repose sur les XCEP et WSTEP protocoles, que toutes les versions récentes de Windows prennent en charge nativement. Dans les environnements Active Directory, les paramètres nécessaires peuvent être appliqués via des stratégies de groupe (GPO) afin de permettre aux ordinateurs joints à l’AD d’inscrire des certificats à partir de SCEPman.
Dans ce scénario, trois paramètres de stratégie de groupe sont nécessaires pour un déploiement de certificats entièrement automatisé.
1
Enregistrement du serveur CEP
Le serveur CEP (Certificate Enrollment Policy) (partie de SCEPman) fournira à un client authentifié une stratégie contenant tous les modèles de certificats configurés sur SCEPman pour l’inscription Active Directory. Le serveur CEP doit être ajouté sur les clients dans le registre. Windows inclut des modèles GPO pour configurer les paramètres nécessaires dans l’interface graphique.
Configuration de la stratégie
Pour les modèles de certificats Appareil et DC, vous devez aller dans la ruche Configuration de l’ordinateur . Pour Utilisateur, naviguez dans la ruche Configuration de l’utilisateur . Si vous utilisez des modèles de certificats des deux types, vous devrez configurer les deux. Dans ce cas, vous utiliserez généralement deux GPO, l’une appliquée aux utilisateurs avec la Configuration de l’utilisateur et l’autre appliquée aux ordinateurs avec la Configuration de l’ordinateur.
Emplacement du paramètre dans l’Éditeur de gestion des stratégies de groupe (gpmc.msc)
Configuration de l’ordinateur / Configuration de l’utilisateur
└-Stratégies
└-Paramètres Windows
└-Paramètres de sécurité
└-Stratégies de clés publiques
└-Client Services de certificats - Serveur de stratégie d’inscription de certificats
Dans le paramètre, ajoutez un nouveau serveur CEP dans la liste et saisissez l’URI du serveur de stratégie dans le champ correspondant. Vous pouvez copier cet URI depuis la page d’accueil de votre SCEPman. Il suit le schéma https://scepman.contoso.com/step/policy. Après avoir saisi et validé le serveur CEP, vous pouvez finaliser le paramètre en l’ajoutant et en confirmant la boîte de dialogue.
Au cours du processus de configuration, le client effectue déjà un appel de validation au serveur CEP. Par conséquent, le contexte de compte utilisé pour la configuration doit avoir l’autorisation d’accéder au point de terminaison CEP de SCEPman, c.-à-d. s’authentifier avec Kerberos, et un accès réseau sortant vers le port 443 de SCEPman.
Veuillez consulter la Problèmes connus section si vous recevez une erreur lors de la validation du serveur CEP.
Si vous utilisez le serveur CEP SCEPman en parallèle de votre ADCS existant, vous devez choisir un serveur par défaut et vous assurer de conserver la stratégie d’inscription existante.
2
Activer l’inscription automatique
Avec le serveur de stratégie CEP enregistré, vos utilisateurs/ordinateurs peuvent demander des certificats à SCEPman. En général, vous souhaitez qu’ils le fassent automatiquement sans intervention de l’utilisateur, et pour cela, vous devez activer l’inscription automatique. Notez qu’elle peut déjà être activée si vous utilisiez déjà l’inscription automatique avec Microsoft Active Directory Certificate Services (AD CS).
Emplacement du paramètre dans l’Éditeur de gestion des stratégies de groupe (gpmc.msc)
Configuration de l’ordinateur / Configuration de l’utilisateur
└-Stratégies
└-Paramètres Windows
└-Paramètres de sécurité
└-Stratégies de clés publiques
└-Client Services de certificats - Inscription automatique
Veillez à cocher Mettre à jour les certificats qui utilisent des modèles de certificats pour activer l’inscription automatique.
3
Installer l’AC racine de confiance
Une fois le serveur de stratégie d’inscription et les paramètres d’inscription automatique en place, il vous suffit de vous assurer que vos appareils ou utilisateurs cibles font confiance au certificat de l’AC de SCEPman. Pour cela, vous devrez importer le certificat de l’AC dans le paramètre GPO correspondant.
Emplacement du paramètre dans l’Éditeur de gestion des stratégies de groupe (gpmc.msc)
Configuration de l’ordinateur / Configuration de l’utilisateur
└-Stratégies
└-Paramètres Windows
└-Paramètres de sécurité
└-Stratégies de clés publiques
└-Autorités de certification racines de confiance
└- Importer (menu contextuel)
Téléchargez le certificat de l’AC de votre SCEPman depuis sa page d’accueil et assurez-vous de l’importer dans cette boîte de dialogue.
