Certificats de contrôleur de domaine

Vous pouvez utiliser SCEPman pour émettre des certificats d'authentification Kerberos à vos contrôleurs de domaine. Cela permet à vos appareils joints à AAD ou en hybride de s'authentifier sans friction lors de l'accès aux ressources sur site. Cela peut être utilisé pour mettre en œuvre Confiance de clé hybride pour Windows Hello for Business. Le SCEPman remplacera l'exigence d'une infrastructure à clé publique. Les détails peuvent être trouvés ici

Autorité racine sans extension Enhanced Key Usage (EKU)

Cette fonctionnalité impose de nouvelles exigences pour l'autorité racine. Si vous effectuez une mise à jour depuis une version antérieure telle que 1.6 vous devez générer une nouvelle Autorité racine. Pour prendre en charge les certificats d'authentification Kerberos, le certificat de l'AC doit ne contenir soit aucune extension Enhanced Key Usage (EKU), soit inclure l'authentification Kerberos et la connexion par carte à puce.

Si vous commencez avec SCEPman 1.6 et que vous générez l'Autorité racine avec notre SCEPman, vous pouvez ignorer les étapes suivantes. Sinon, veuillez suivre ce guide pour générer une nouvelle Autorité racine.

1. Accédez à votre Key Vault

2. Vérifiez si votre compte utilisateur est ajouté aux politiques d'accès avec toutes les autorisations de certificat

3. Allez à Certificats, sélectionnez votre certificat d'AC et cliquez sur Supprimer

4. Après avoir supprimé avec succès le certificat d'AC, vous devez cliquer sur Gérer les certificats supprimés

5. Sélectionnez votre certificat d'AC, que vous avez supprimé à l'étape 3, et cliquez sur Purger (Gardez à l'esprit qu'après avoir purgé le certificat, vous ne pouvez pas le restaurer !)

6. Redémarrez maintenant vos App Services SCEPman

7. Une fois vos App Services redémarrés, ouvrez le tableau de bord SCEPman en naviguant vers votre URL SCEPman

8. Vous pouvez voir la section Problèmes de configuration, veuillez suivre les étapes de cette section.

9. Après avoir généré le nouveau certificat d'AC, vous pouvez vérifier l'adéquation de l'AC dans le tableau de bord SCEPman.

Adéquation de l'AC sur le tableau de bord SCEPman :

Modifications de configuration du service SCEPman

Pour activer la fonctionnalité, vous devez ajouter deux paramètres d'application dans votre service SCEPman. Dans l'implémentation actuelle, nous utilisons une clé pré-partagée (mot de passe) pour les requêtes DC. Veuillez générer une nouvelle clé/mot de passe et la stocker en lieu sûr. (vous en aurez besoin dans les étapes suivantes et plus tard, sur les contrôleurs de domaine)

1. Accéder à App Services

2. Puis choisissez votre application SCEPman

3. Ensuite, sous Paramètres cliquez sur Variables d'environnement

4. Sélectionnez Ajouter

5. Tapez AppConfig:DCValidation:Enabled comme Nom

6. Tapez true comme Valeur

7. Confirmez avec OK

8. Sélectionnez Ajouter à nouveau

9. Tapez AppConfig:DCValidation:RequestPassword comme Nom

10. Saisissez votre clé/mot de passe, que vous avez générée précédemment, comme Valeur

11. Confirmez avec OK

12. Enregistrez les paramètres de l'application

Faire confiance au certificat de l'AC dans le domaine pour l'authentification Kerberos

Les certificats utilisés pour l'authentification Kerberos doivent être approuvés au sein du domaine AD en tant que certificats d'AC d'authentification. Téléchargez le certificat de l'AC depuis le tableau de bord SCEPman. Si vous avez enregistré le fichier sous scepman-root.cer, vous pouvez publier le certificat AC de SCEPman (qu'il s'agisse d'une Autorité racine ou d'une Autorité intermédiaire) avec la commande suivante en utilisant un compte possédant les droits d'administrateur d'entreprise :

De façon analogue, exécutez la commande suivante pour pousser le certificat de l'Autorité racine (c.-à-d. le certificat AC SCEPman ou, dans le cas où SCEPman est une AC intermédiaire, l'Autorité racine de la chaîne de certificats de l'AC SCEPman) vers le magasin des autorités racines de confiance pour toutes les machines de la forêt AD :

Ensuite, le certificat de l'AC est généralement approuvé dans AD et particulièrement approuvé pour l'authentification Kerberos. Cependant, il faut un certain temps (dans la configuration par défaut jusqu'à 8 heures) avant que tous les appareils reçoivent cette configuration. Vous pouvez accélérer ce processus sur n'importe quelle machine en exécutant gpupdate /force, par exemple sur les contrôleurs de domaine.

Cela garantit que les certificats DC sont approuvés au sein du domaine. Ils sont également approuvés sur tous les appareils gérés par Intune dans le périmètre d'un profil de certificat de confiance distribuant le certificat de l'AC racine. Il peut être nécessaire de distribuer manuellement l'AC racine à d'autres services comme des appliances ou des services cloud pour que les certificats DC soient approuvés par tous les systèmes.

Installation sur le client

Ensuite, vous devez télécharger notre logiciel client SCEP open source SCEPClient. Les versions avec le suffixe -framework utilisent .NET Framework 4.6.2, qui est préinstallé sur Windows Server 2016 et compatible avec les versions plus récentes. D'autres versions nécessitent que le runtime .NET Core soit installé sur les systèmes cibles.

Exécutez la commande suivante dans une invite de commandes élevée sur un contrôleur de domaine pour recevoir un certificat de contrôleur de domaine depuis SCEPman :

Vous devez ajouter l'URL SCEPman dans la commande précédente mais conserver le chemin /dc. Remplacez RequestPassword par la clé/mot de passe sécurisé que vous avez généré précédemment.

Le mot de passe de requête est chiffré avec le certificat AC de SCEPman, donc seul SCEPman peut le lire. Les certificats de contrôleur de domaine ne sont émis qu'avec le mot de passe de requête correct.

Renouvellement automatique des certificats

Pour un renouvellement entièrement automatisé des certificats, vous devriez distribuer ScepClient à tous vos contrôleurs de domaine, accompagné du script PowerShell enroll-dc-certificate.ps1. Ajoutez une tâche planifiée qui exécute la commande suivante dans un contexte SYSTEM (adaptez l'URL et le mot de passe de requête) :

Veuillez vous assurer que le script PowerShell se trouve dans le même répertoire que SCEPClient.exe et ses dépendances additionnelles.

Ceci vérifie les certificats DC existants dans le magasin machine. Ce n'est que s'il n'existe pas de certificats appropriés avec au moins 30 jours de validité qu'il utilise ScepClient.exe pour demander un nouveau certificat DC à SCEPman. Si vous souhaitez modifier le seuil de 30 jours, utilisez le paramètre -ValidityThresholdDays du script PowerShell.

Le script écrit un fichier journal continu dans le répertoire où il est stocké. Si vous ne voulez pas ce fichier journal, omettez le -LogToFile paramètre. Vous pouvez à la place rediriger les flux Information, Error et/ou Debug vers des fichiers (par ex. 6>logfile.txt 2>&1).

Pour WHfB, tous les DC exécutant la version 2016 ou plus récente ont besoin d'un certificat d'authentification Kerberos. Les DC plus anciens transmettent les demandes d'authentification à des DC plus récents, ils n'exigent donc pas nécessairement un certificat d'authentification Kerberos. Il est toutefois recommandé de leur fournir également des certificats.

Suppression progressive d'une PKI interne existante

Veuillez vous assurer que les PKI internes n'enrôlent pas de certificats DC (modèles de certificat "Domain Controller", "Domain Controller Authentication" et "Kerberos Authentication") en parallèle avec SCEPman. Sinon, les DC pourraient utiliser le certificat DC provenant de la PKI interne, qui est considéré comme non fiable si par exemple le CDP est injoignable. Le certificat DC SCEPman peut être utilisé pour toutes les finalités pour lesquelles les certificats des modèles susmentionnés peuvent être utilisés, par ex. l'authentification Kerberos et LDAPS.

La façon la plus simple d'y parvenir est d'empêcher les AC internes d'émettre des certificats pour les modèles "Domain Controller", "Domain Controller Authentication" et "Kerberos Authentication". Dans la console MMC de l'Autorité de certification, supprimez ces modèles de la liste des modèles émis de chaque AC interne. Ensuite, supprimez les certificats déjà émis par l'AC interne des magasins "PERSONAL" ("MY") de vos contrôleurs de domaine (certlm.msc et naviguez vers Personnel). Même après une gpupdate /force, aucun nouveau certificat DC provenant de la PKI interne ne devrait apparaître dans le magasin Personnel du DC.