Certificats de contrôleur de domaine

Vous pouvez utiliser SCEPman pour émettre des certificats d'authentification Kerberos à vos contrôleurs de domaine. Cela permet à vos appareils joints à AAD ou en jointure hybride de s'authentifier de manière transparente lors de l'accès aux ressources locales. Cela peut être utilisé pour implémenter le Confiance par clé hybride pour Windows Hello for Business. SCEPman remplacera l'exigence d'une infrastructure à clé publique. Les détails peuvent être trouvés ici

Autorité racine sans extension Enhanced Key Usage (EKU)

Cette fonctionnalité impose de nouvelles exigences à l'Autorité racine. Si vous mettez à jour depuis une version antérieure comme 1.6 vous devez générer une nouvelle Autorité racine. Pour prendre en charge les certificats d'authentification Kerberos, le certificat de l'AC doit soit ne contenir aucune extension Enhanced Key Usage (EKU), soit inclure l'authentification Kerberos et l'ouverture de session par carte à puce.

Si vous commencez avec SCEPman 1.6 et générez l'Autorité racine avec notre SCEPman, vous pouvez ignorer les étapes suivantes. Sinon, veuillez suivre ce guide pour générer une nouvelle Autorité racine.

1. Accédez à votre Key Vault

2. Vérifiez si votre compte utilisateur est ajouté aux stratégies d'accès avec toutes les autorisations de certificat

3. Allez à Certificats, sélectionnez votre certificat d'AC et cliquez sur Supprimer

4. Après avoir supprimé avec succès le certificat d'AC, vous devez cliquer sur Gérer les certificats supprimés

5. Sélectionnez votre certificat d'AC, que vous avez supprimé à l'étape 3, et cliquez sur Purger (Gardez à l'esprit qu'après avoir purgé le certificat, vous ne pourrez pas le restaurer !)

6. Redémarrez maintenant vos App Services SCEPman

7. Une fois vos App Services redémarrés, ouvrez le tableau de bord SCEPman en accédant à votre URL SCEPman

8. Vous pouvez voir la section Problèmes de configuration, veuillez suivre les étapes de cette section.

9. Après avoir généré le nouveau certificat d'AC, vous pouvez vérifier l'adéquation de l'AC dans le tableau de bord SCEPman.

Adéquation de l'AC dans le tableau de bord SCEPman :

Modifications de configuration du service SCEPman

Pour activer la fonctionnalité, vous devez ajouter deux paramètres d'application dans votre service SCEPman. Dans l'implémentation actuelle, nous utilisons une clé pré-partagée (mot de passe) pour les requêtes DC. Veuillez générer une nouvelle clé/mot de passe et la stocker en lieu sûr. (vous en aurez besoin dans les étapes suivantes et plus tard, sur les contrôleurs de domaine)

1. Accédez à App Services

2. Puis choisissez votre application SCEPman

3. Ensuite, sous Paramètres cliquez sur Variables d'environnement

4. Sélectionnez Ajouter

5. Tapez AppConfig:DCValidation:Enabled comme Nom (utilisez __ au lieu de : pour SCEPman basé sur Linux)

6. Tapez true comme Valeur

7. Confirmez avec OK

8. Sélectionnez Ajouter à nouveau

9. Tapez AppConfig:DCValidation:RequestPassword comme Nom (utilisez __ au lieu de : pour SCEPman basé sur Linux)

10. Saisissez votre clé/mot de passe, que vous avez généré précédemment, comme Valeur

11. Confirmez avec OK

12. Enregistrez les paramètres de l'application

Faire confiance au certificat de l'AC dans le domaine pour l'authentification Kerberos

Les certificats utilisés pour l'authentification Kerberos doivent être approuvés au sein du domaine AD en tant que certificats d'AC d'authentification. Veuillez télécharger le certificat de l'AC depuis le tableau de bord SCEPman. Si vous avez enregistré le fichier sous scepman-root.cer, vous pouvez publier le certificat AC de SCEPman (qu'il s'agisse d'une Autorité racine ou d'une Autorité intermédiaire) avec la commande suivante en utilisant un compte disposant des droits d'administrateur d'entreprise :

De même, exécutez la commande suivante pour pousser le certificat de l'Autorité racine (c.-à-d. le certificat AC de SCEPman ou, si SCEPman est une Autorité intermédiaire, l'Autorité racine de la chaîne de certificats de l'AC SCEPman) dans le magasin des certificats racines approuvés pour toutes les machines de la forêt AD :

Ensuite, le certificat de l'AC est généralement approuvé dans AD et en particulier pour l'authentification Kerberos. Cependant, il faut un certain temps (dans la configuration par défaut jusqu'à 8 heures) avant que tous les appareils reçoivent cette configuration. Vous pouvez accélérer ce processus sur n'importe quelle machine en exécutant gpupdate /force, par exemple sur les contrôleurs de domaine.

Cela garantit que les certificats des DC sont approuvés au sein du domaine. Ils sont également approuvés sur tous les appareils gérés par Intune dans le périmètre d'un profil de certificat de confiance distribuant le certificat d'Autorité racine. Il peut être nécessaire de distribuer manuellement l'Autorité racine à d'autres services tels que des appliances ou des services cloud afin de rendre les certificats des DC approuvés pour tous les systèmes.

Installation sur le client

Ensuite, vous devez télécharger notre logiciel client SCEP open source SCEPClient. Les versions avec le suffixe -framework utilisent .NET Framework 4.6.2, qui est préinstallé sur Windows Server 2016 et compatible avec les versions plus récentes. D'autres versions nécessitent l'installation du runtime .NET Core sur les systèmes cibles.

Exécutez la commande suivante dans une invite de commandes élevée sur un contrôleur de domaine pour recevoir un certificat de contrôleur de domaine depuis SCEPman :

Vous devez ajouter l'URL SCEPman dans la commande précédente mais conserver le chemin /dc. Remplacez RequestPassword par la clé/mot de passe sécurisé que vous avez généré précédemment.

Le mot de passe de requête est chiffré avec le certificat AC de SCEPman, ainsi seul SCEPman peut le lire. Les certificats de contrôleur de domaine ne sont délivrés qu'avec le mot de passe de requête correct.

Renouvellement automatisé des certificats

Pour un renouvellement entièrement automatisé des certificats, vous devriez distribuer ScepClient à tous vos contrôleurs de domaine, ainsi que le script PowerShell enroll-dc-certificate.ps1. Ajoutez une tâche planifiée qui exécute la commande suivante dans le contexte SYSTEM (adaptez l'URL et le mot de passe de requête) :

Veuillez vous assurer que le script PowerShell réside dans le même répertoire que SCEPClient.exe et ses dépendances supplémentaires.

Cela vérifie l'existence de certificats DC dans le magasin de la machine. Ce n'est que s'il n'existe pas de certificats appropriés ayant au moins 30 jours de validité qu'il utilise ScepClient.exe pour demander un nouveau certificat DC à SCEPman. Si vous souhaitez modifier le seuil de 30 jours, utilisez le paramètre -ValidityThresholdDays du script PowerShell.

Le script écrit un fichier journal continu dans le répertoire où il est stocké. Si vous ne voulez pas de ce fichier journal, omettez le -LogToFile paramètre. Vous pouvez à la place rediriger les flux Information, Error et/ou Debug vers des fichiers (par ex. 6>logfile.txt 2>&1).

Pour WHfB, tous les DC exécutant la version 2016 ou plus récente ont besoin d'un certificat d'authentification Kerberos. Les DC plus anciens transfèrent les demandes d'authentification vers des DC plus récents, ils ne nécessitent donc pas nécessairement un certificat d'authentification Kerberos. Toutefois, il est recommandé de leur fournir également des certificats.

Phase de suppression progressive d'une PKI interne existante

Veuillez vous assurer que les PKI internes n'enregistrent pas de certificats DC (modèles de certificat "Domain Controller", "Domain Controller Authentication" et "Kerberos Authentication") en parallèle avec SCEPman. Sinon, les DC pourraient utiliser le certificat DC de la PKI interne, qui est considéré comme non approuvé si par exemple le CDP est inaccessible. Le certificat DC de SCEPman peut être utilisé pour toutes les finalités pour lesquelles les certificats des modèles susmentionnés peuvent être utilisés, par ex. l'authentification Kerberos et LDAPS.

La manière la plus simple d'y parvenir est d'empêcher les CA internes d'émettre des certificats pour les modèles "Domain Controller", "Domain Controller Authentication" et "Kerberos Authentication". Dans la MMC Certification Authority, supprimez ces modèles de la liste des modèles émis de chaque CA interne. Ensuite, supprimez les certificats déjà émis par la CA interne des magasins "PERSONNEL" ("MY") de vos contrôleurs de domaine (certlm.msc et naviguez vers Personnel). Même après un gpupdate /force, aucun nouveau certificat DC provenant de la PKI interne ne devrait apparaître dans le magasin Personnel du DC.