Inscription automatique de certificats avec une PKI sous Windows 2008 R2

Nous allons commencer par accéder à la console de gestion des modèles de certificats. Ouvrez la mmc « Autorité de certification » puis faites un clic droit sur Modèles de certificats puis Gérer. La console de gestion des modèles va alors s'ouvrir.

Comme vous pouvez le voir, il y a un certain nombre de modèles disponibles. Le nombre de modèles autorisés à être délivrés est bien plus restreint. Nous allons utiliser des modèles existants pour en créer des nouveaux. Nous allons commencer par le certificat Ordinateur. Faites un clic droit dessus puis Dupliquer le modèle.

Pour des raisons de compatibilité avec certains produits (comme Microsoft System Center Configuration Manager), je vous conseille de créer des modèles Windows 2003 Server.

Vous pouvez maintenant modifier les propriétés du modèle. Changez le nom pour qu'il soit plus explicite. La période de validité doit être supérieure à la période de renouvellement. La durée des périodes va conditionner l'utilisation de votre autorité. Plus les périodes seront courtes, plus l'autorité devra générer des certificats et surtout devra en révoquer.

Vous devez ensuite préciser des paramètres dans l'onglet Nom du sujet. La différence avec une autorité autonome se fait ici (entre autres). Le nom du sujet (de l'ordinateur) va être construit à partir des informations stockées dans Active Directory. C'est la première étape vers l'inscription automatique : il fallait que l'autorité sache à quel nom délivrer le certificat, c'est maintenant chose faite. Dans Format du nom de sujet, il s'agit du nom principal du certificat. Le nom de substitution correspond au Subject Alternative Name qui permet d'ajouter plusieurs noms à un certificat. Cet attribut ne sera pris en compte que s'il a été activé dans votre autorité intermédiaire.

Maintenant que l'autorité sait à qui elle doit délivrer les certificats, on doit lui indiquer qui a le droit d'en demander. La gestion de ces droits se fait, comme sur un système de fichiers, dans l'onglet Sécurité du modèle. Ce qui nous intéresse est l'inscription automatique. À part si vous refusez que certains ordinateurs reçoivent des certificats, sélectionnez Ordinateurs du domaine et cochez Inscription automatique - Autoriser. Vous pouvez sélectionner d'autres groupes, mais seuls les comptes Ordinateur seront concernés par cette sécurité : un utilisateur ne devrait pas avoir de certificat Ordinateur.

Vous pouvez maintenant fermer en faisant OK.

Pour créer le modèle Utilisateur, le principe est le même que pour le modèle Ordinateur. Dupliquez le modèle Utilisateur et définissez les paramètres pour construire le nom du sujet. Pour un utilisateur, le nom du sujet est habituellement son nom commun (Prénom et Nom). On peut également ajouter l'adresse de messagerie ou l'UPN.

Il vous reste la sécurité à régler. Choisissez les groupes d'utilisateurs qui seront autorisés à s'inscrire automatiquement de la même manière que pour les ordinateurs.

Fermez le modèle et la console de gestion.

Nos nouveaux modèles de certificats sont créés. Comme nous l'avons vu, le nombre de modèles de certificats à délivrer est restreint : il va falloir ajouter nos nouveaux modèles dans la liste des modèles utilisables. Ouvrez la console de gestion de votre autorité. Faites un clic droit sur Modèles de certificats, Nouveau, Modèle de certificat à délivrer.

Vous pouvez maintenant sélectionner les modèles de certificats que vous venez de créer.

Une fois que vos nouveaux modèles seront ajoutés, vous devrez redémarrer votre autorité. Il ne reste plus que la configuration des GPO à faire.

Nos modèles sont prêts à être utilisés, il faut maintenant que les clients (qu'ils soient utilisateurs ou ordinateurs) sachent qu'ils sont autorisés à inscrire des certificats automatiquement. Il va donc falloir créer une GPO (Objet de Stratégie de Groupe). Créez une GPO ou bien utilisez une existante.

Notre modèle Ordinateur, avec l'inscription automatique, sera sélectionné par défaut pour générer un certificat Ordinateur. En effet, cela est rendu possible grâce au réglage de la sécurité que nous avons effectué précédemment.

Afin de rendre cette inscription possible, il est nécessaire d'ajouter le certificat racine de votre autorité dans le magasin dédié de vos ordinateurs. Allez dans Configuration ordinateur, Stratégies, Paramètres Windows, Stratégies de clé publique, Autorités de certification racines de confiance puis faites un clic droit pour Importer.

Il restera alors à sélectionner le certificat d'autorité racine et à cliquer sur Suivant pour finir l'importation. Le magasin utilisé pour l'importation sera choisi automatiquement puisque nous avons sélectionné l'emplacement précédemment.

Il faut également ajouter le certificat d'autorité intermédiaire. De la même manière que pour le certificat racine, allez dans Configuration ordinateur, Stratégies, Paramètres Windows, Stratégies de clé publique, Autorités de certification intermédiaires puis faites un clic droit pour Importer. Sélectionnez le certificat correspondant puis terminez l'assistant en cliquant sur Suivant. Le magasin sera sélectionné automatiquement comme précédemment.

Avant d'activer l'inscription automatique, il faut définir une stratégie d'inscription. Allez dans Configuration ordinateur, Stratégies, Paramètres Windows, Stratégies de clé publique puis ouvrez Client des services de certificats - Stratégie d'inscription des certificats.

Passez le Modèle de configuration sur Activé.

La stratégie par défaut d'inscription à Active Directory s'affiche, il est possible de la modifier si besoin est.

Fermez la stratégie en cliquant sur OK.
Il va maintenant falloir activer cette stratégie et la configurer. Ouvrez Client des services de certificats - Inscription automatique et activez la stratégie.

De nouveaux paramètres s'affichent : ils permettent de gérer le renouvellement des certificats. En effet, qui dit inscription automatique dit aucune gestion de la part de l'administrateur (ou presque). Le renouvellement des certificats ainsi que la révocation des anciens certificats doivent être automatiques. Lorsqu'un certificat sera renouvelé, l'ancien sera révoqué. Le renouvellement s'active en cochant « Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués. »

La configuration de l'inscription automatique des comptes ordinateurs est effectuée, il reste la configuration de l'inscription automatique pour les utilisateurs à faire.

Le principe est le même que pour les comptes Ordinateur. C'est toutefois plus simple puisqu'il n'y a pas besoin d'envoyer les certificats des autorités racine et intermédiaire.
Comme tout à l'heure, il faut aller dans Configuration utilisateur, Stratégies, Paramètres Windows, Stratégies de clé publique puis ouvrir Client des services de certificats - Stratégie d'inscription des certificats.
Il suffira d'activer la stratégie puis de fermer en cliquant sur OK.

Si vos utilisateurs changent d'ordinateur, il sera nécessaire pour vous d'activer les informations d'identification itinérantes. Pour en savoir plus, je vous suggère de lire la section Technet dédiée à ce sujet.

Pour terminer la configuration, activez l'inscription automatique en passant par Client des services de certificats - Inscription automatique. Activez le renouvellement automatique et la mise à jour des certificats.

La création de la GPO est finie. Il vous restera à ajouter les groupes d'utilisateurs et d'ordinateurs auxquels la GPO va s'appliquer.
Les certificats seront créés lors de l'application de la GPO sur les différents comptes.

Une fois que la GPO aura été prise en compte, vous aurez normalement deux certificats dans les magasins nommés Personnel du compte Ordinateur et du compte Utilisateur. Ces certificats ont été créés par l'autorité intermédiaire.