circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Stratégie de groupe

Cette inscription de certificat se fonde sur le XCEParrow-up-right et WSTEParrow-up-right protocoles que toutes les versions récentes de Windows prennent en charge nativement. Dans les environnements Active Directory, les paramètres nécessaires peuvent être appliqués via des stratégies de groupe (GPO), pour permettre aux ordinateurs joints à AD d'obtenir des certificats depuis SCEPman.

Dans ce scénario, trois paramètres de stratégie de groupe sont requis pour un déploiement de certificats entièrement automatisé.

1

hashtag
Enregistrement du serveur CEP

Le serveur CEP (Certificate Enrollment Policy) (partie de SCEPman) fournira à un client authentifié une stratégie contenant tous les modèles de certificat configurés sur SCEPman pour l'enregistrement dans Active Directory. Le serveur CEP doit être ajouté sur les clients dans le registre. Windows inclut des modèles de GPO pour configurer les paramètres nécessaires dans l'interface graphique.

hashtag
Configuration de la stratégie

Pour les modèles de certificat Appareil et DC, vous devez aller dans la Configuration de l'ordinateur ruche. Pour Utilisateur, naviguez dans la Configuration de l'utilisateur ruche. Si vous utilisez des modèles de certificat des deux types, vous devrez configurer les deux. Dans ce cas, vous utilisez généralement deux GPO, l'une appliquée aux utilisateurs avec la Configuration de l'utilisateur et l'autre appliquée aux ordinateurs avec la Configuration de l'ordinateur.

Emplacement du paramètre dans l'Éditeur de gestion des stratégies de groupe (gpmc.msc)
Configuration de l'ordinateur / Configuration de l'utilisateur
└-Stratégies
  └-Paramètres Windows
    └-Paramètres de sécurité
      └-Stratégies de clé publique
        └-Client des services de certificats - Serveur de stratégie d'inscription de certificats

Dans le paramètre, ajoutez un nouveau serveur CEP dans la liste et saisissez l'URI du serveur de stratégie dans le champ correspondant. Vous pouvez copier cet URI depuis la page d'accueil de votre SCEPman. Il suit le schéma de https://scepman.contoso.com/step/policy. Après avoir saisi et validé le serveur CEP, vous pouvez terminer la configuration en l'ajoutant et en confirmant la boîte de dialogue.

circle-exclamation

Dans le processus de configuration, le client effectue déjà un appel de validation au serveur CEP. Par conséquent, le contexte de compte utilisé pour la configuration doit avoir l'autorisation d'accéder au point de terminaison CEP de SCEPman, c'est-à-dire s'authentifier avec Kerberos, et un accès réseau sortant vers le port 443 de SCEPman.

circle-exclamation

Veuillez consulter la Problèmes connus section au cas où vous recevriez une erreur lors de la validation du serveur CEP.

circle-info

Si vous utilisez le serveur CEP de SCEPman en parallèle de votre ADCS existant, vous devez choisir un serveur par défaut et vous assurer de conserver la stratégie d'inscription existante.

2

hashtag
Activer l'inscription automatique

Avec le serveur CEP enregistré, vos utilisateurs/ordinateurs peuvent demander des certificats à SCEPman. En général, vous souhaitez qu'ils le fassent automatiquement sans interaction utilisateur et pour cela, vous devez activer l'inscription automatique. Notez qu'elle peut déjà être activée si vous utilisiez auparavant l'inscription automatique avec Microsoft Active Directory Certificate Services (AD CS).

Emplacement du paramètre dans l'Éditeur de gestion des stratégies de groupe (gpmc.msc)
Configuration de l'ordinateur / Configuration de l'utilisateur
└-Stratégies
  └-Paramètres Windows
    └-Paramètres de sécurité
      └-Stratégies de clé publique
        └-Client des services de certificats - Inscription automatique

Assurez-vous de cocher Mettre à jour les certificats qui utilisent des modèles de certificat pour activer l'inscription automatique.

3

hashtag
Installer l'autorité de certification racine de confiance

Avec le serveur de stratégie d'inscription et les paramètres d'inscription automatique en place, vous devez simplement vous assurer que vos appareils cibles ou utilisateurs font confiance au certificat CA de votre SCEPman. Pour cela, vous devrez importer le certificat de l'AC dans le paramètre GPO correspondant.

Emplacement du paramètre dans l'Éditeur de gestion des stratégies de groupe (gpmc.msc)
Configuration de l'ordinateur / Configuration de l'utilisateur
└-Stratégies
  └-Paramètres Windows
    └-Paramètres de sécurité
      └-Stratégies de clé publique
        └-Autorités de certification racine de confiance
          └- Importer (Menu contextuel)

Téléchargez le certificat CA de votre SCEPman depuis sa page d'accueil et assurez-vous de l'importer dans cette boîte de dialogue.

Mis à jour

Ce contenu vous a-t-il été utile ?