I. Introduction

Cet article fait suite à mon article Configuration d'une infrastructure à clés publiques à 2 niveaux sous Windows 2008 (R2)Configuration d'une infrastructure à clés publiques à 2 niveaux sous Windows 2008 (R2).
Pour suivre cet article, il vous faudra une autorité de certification d'entreprise déjà installée. Une autorité autonome n'est pas capable de gérer l'inscription automatique. Cette inscription automatique (ou auto-enrollement) va vous permettre de délivrer automatiquement des certificats à des utilisateurs et des ordinateurs de votre domaine Active Directory grâce aux GPO.

II. Création des nouveaux modèles de certificats

Avant de délivrer des certificats automatiquement, il faut créer de nouveaux modèles. Les modèles par défaut ne permettent pas l'inscription automatique puisque les sources d'informations (nom commun par exemple) ne sont pas configurées. Nous allons donc créer deux nouveaux modèles : un pour les utilisateurs et un autre pour les ordinateurs.

Le nom des autorités de certification ont changé par rapport à mon précédent article mais l'architecture reste quant à elle identique. Mon autorité racine est nommée "Todorovic Root Certification Authority" et mon autorité intermédiaire (d'entreprise) est nommée "Todorovic Intermediate Certification Authority".

Toutes les étapes qui vont suivre sont exécutées sur l'autorité intermédiaire d'entreprise. Vous devez vous connecter avec un utilisateur ayant des droits d'administration sur l'autorité.

II-A. Modèle Ordinateur

Nous allons commencer par accéder à la console de gestion des modèles de certificats. Ouvrez la mmc "Autorité de certification" puis faites un clic droit sur Modèles de certificats puis Gérer. La console de gestion des modèles va alors s'ouvrir.

Gestion des modèles de certificats
Gestion des modèles de certificats

Comme vous pouvez le voir, il y a un certain nombre de modèles disponibles. Le nombre de modèles autorisés à être délivrés est bien plus restreint. Nous allons utiliser des modèles existants pour en créer des nouveaux. Nous allons commencer par le certificat Ordinateur. Faites un clic droit dessus puis Dupliquer le modèle.

Duplication du modèle Ordinateur
Duplication du modèle Ordinateur

Pour des raisons de compatibilité avec certains produits (comme Microsoft System Center Configuration Manager), je vous conseille de créer des modèles Windows 2003 Server.

Niveau du modèle
Niveau du modèle

Vous pouvez maintenant modifier les propriétés du modèle. Changez le nom pour qu'il soit plus explicite. La période de validité doit être supérieure à la période de renouvellement. La durée des périodes va conditionner l'utilisation de votre autorité. Plus les périodes seront courtes, plus l'autorité devra générer des certificats et surtout devra en révoquer.

Configuration générale du modèle
Configuration générale du modèle

Vous devez ensuite préciser des paramètres dans l'onglet Nom du sujet. La différence avec une autorité autonome se fait ici (entre autre). Le nom du sujet (de l'ordinateur) va être construit à partir des informations stockées dans Active Directory. C'est la première étape vers l'inscription automatique : il fallait que l'autorité sache à quel nom délivrer le certificat, c'est maintenant chose faite. Dans Format du nom de sujet, il s'agit du nom principal du certificat. Le nom de substitution correspond au Subject Alternative Name qui permet d'ajouter plusieurs noms à un certificat. Cet attribut ne sera pris en compte que s'il a été activé dans votre autorité intermédiaire.

Pour contrôler si l'attribut SAN est activé dans l'autorité, exécutez la commande suivante : certutil -getreg policy\EditFlags. Si vous voyez une ligne EDITF_ATTRIBUTESUBJECTALTNAME2, alors votre autorité supporte l'attribut SAN. Sinon, reportez-vous ici pour l'activer.

Construction du nom du sujet
Construction du nom de sujet

Maintenant que l'autorité sait à qui elle doit délivrer les certificats, on doit lui indiquer qui a le droit d'en demander. La gestion de ces droits se fait, comme sur un système de fichiers, dans l'onglet Sécurité du modèle. Ce qui nous intéresse est l'inscription automatique. A part si vous refusez que certains ordinateurs reçoivent des certificats, sélectionnez Ordinateurs du domaine et cochez Inscription automatique - Autoriser. Vous pouvez sélectionner d'autres groupes mais seuls les comptes Ordinateur seront concernés par cette sécurité : un utilisateur ne devrait pas avoir de certificat Ordinateur.

Gestion de la sécurité du modèle
Gestion de la sécurité du modèle

Vous pouvez maintenant fermer en faisant OK.

II-B. Modèle Utilisateur

Pour créer le modèle Utilisateur, le principe est le même que pour le modèle Ordinateur. Dupliquez le modèle Utilisateur et définissez les paramètres pour construire le nom du sujet. Pour un utilisateur, le nom du sujet est habituellement son nom commun (Prénom et Nom). On peut également ajouter l'adresse de messagerie ou l'UPN.

Construction du nom du sujet
Construction du nom du sujet

Il vous reste la sécurité à régler. Choisissez les groupes d'utilisateurs qui seront autorisés à s'inscrire automatiquement de la même manière que pour les ordinateurs.

Gestion de la sécurité du modèle
Gestion de la sécurité du modèle

Fermez le modèle et la console de gestion.

II-C. Ajout des modèles à délivrer

Nos nouveaux modèles de certificats sont créés. Comme nous l'avons vu, le nombre de modèles de certificats à délivrer est restreint : il va falloir ajouter nos nouveaux modèles dans la liste des modèles utilisables. Ouvrez la console de gestion de votre autorité. Faites un clic droit sur Modèles de certificats, Nouveau, Modèle de certificat à délivrer.

Nouveaux modèles de certificats à délivrer
Nouveaux modèles de certificats à délivrer

Vous pouvez maintenant sélectionner les modèles de certificats que vous venez de créer.

Sélection des modèles de certificats
Sélection des modèles de certificats

Une fois que vos nouveaux modèles seront ajoutés, vous devrez redémarrer votre autorité. Il ne reste plus que la configuration des GPO à faire.

III. Création de la GPO

III-A. Pour les comptes Ordinateur

Nos modèles sont prêts à être utilisés, il faut maintenant que les clients (qu'ils soient utilisateurs ou ordinateurs) sachent qu'ils sont autorisés à inscrire des certificats automatiquement. Il va donc falloir créer une GPO (Objet de Stratégie de Groupe). Créez une GPO ou bien utilisez une existante.

Edition de la GPO
Edition de la GPO

Notre modèle Ordinateur, avec l'inscription automatique, sera sélectionné par défaut pour générer un certificat Ordinateur. En effet, cela est rendu possible grâce au réglage de la sécurité que nous avons effectué précédemment.

Afin de rendre cette inscription possible, il est nécessaire d'ajouter le certificat racine de votre autorité dans le magasin dédié de vos ordinateurs. Allez dans Configuration ordinateur, Stratégies, Paramètres Windows, Stratégies de clé publique, Autorités de certification racines de confiance puis faites un clic droit pour Importer.

Importation du certificat de l'autorité racine
Importation du certificat de l'autorité racine

Il restera alors à sélectionner le certificat d'autorité racine et à cliquer sur Suivant pour finir l'importation. Le magasin utilisé pour l'importation sera choisi automatiquement puisque nous avons sélectionné l'emplacement précédemment.

Sélection du certificat d'autorité racine
Sélection du certificat d'autorité racine

Il faut également ajouter le certificat d'autorité intermédiaire. De la même manière que pour le certificat racine, allez dans Configuration ordinateur, Stratégies, Paramètres Windows, Stratégies de clé publique, Autorités de certification intermédiaires puis faites un clic droit pour Importer. Sélectionnez le certificat correspondant puis terminez l'assistant en cliquant sur Suivant. Le magasin sera sélectionné automatiquement comme précédemment.

Avant d'activer l'inscription automatique, il faut définir une stratégie d'inscription. Allez dans Configuration ordinateur, Stratégies, Paramètres Windows, Stratégies de clé publique puis ouvrez Client des services de certificats - Stratégie d'inscription des certificats.

Stratégie d'inscription des certificats
Stratégie d'inscription des certificats

Passez le Modèle de configuration sur Activé.

Activation de la stratégie
Activation de la stratégie

La stratégie par défaut d'inscription à Active Directory s'affiche, il est possible de la modifier si besoin est.

Stratégie d'inscription
Stratégie d'inscription
Edition de la stratégie d'inscription
Edition de la stratégie d'inscription

Fermez la stratégie en cliquant sur OK.
Il va maintenant falloir activer cette stratégie et la configurer. Ouvrez Client des services de certificats - Inscription automatique et activez la stratégie.

Activation de la stratégie
Activation de la stratégie

De nouveaux paramètres s'affichent : ils permettent de gérer le renouvellement des certificats. En effet, qui dit inscription automatique dit aucune gestion de la part de l'administrateur (ou presque). Le renouvellement des certificats ainsi que la révocation des anciens certificats doit être automatique. Lorsqu'un certificat sera renouvelé, l'ancien sera révoqué. Le renouvellement s'active en cochant "Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués."

Configuration de la stratégie
Configuration de la stratégie

La configuration de l'inscription automatique des comptes ordinateurs est effectuée, il reste la configuration de l'inscription automatique pour les utilisateurs à faire.

III-B. Pour les comptes Utilisateur

Le principe est le même que pour les comptes Ordinateur. C'est toutefois plus simple puisqu'il n'y a pas besoin d'envoyer les certificats des autorités racine et intermédiaire.
Comme tout à l'heure, il faut aller dans Configuration utilisateur, Stratégies, Paramètres Windows, Stratégies de clé publique puis ouvrir Client des services de certificats - Stratégie d'inscription des certificats.
Il suffira d'activer la stratégie puis de fermer en cliquant sur OK.

Stratégie d'inscription
Stratégie d'inscription

Si vos utilisateurs changent d'ordinateur, il sera nécessaire pour vous d'activer les informations d'identification itinérantes. Pour en savoir plus, je vous suggère de lire la section Technet dédiée à ce sujet.

Pour terminer la configuration, activez l'inscription automatique en passant par Client des services de certificats - Inscription automatique. Activez le renouvellement automatique et la mise à jour des certificats.

La création de la GPO est finie. Il vous restera à ajouter les groupes d'utilisateurs et d'ordinateurs auxquels la GPO va s'appliquer.
Les certificats seront créés lors de l'application de la GPO sur les différents comptes.

Une fois que la GPO aura été prise en compte, vous aurez normalement deux certificats dans les magasins nommés Personnel du compte Ordinateur et du compte Utilisateur. Ces certificats ont été créés par l'autorité intermédiaire.

Certificat Ordinateur
Certificat Ordinateur
Certificat Utilisateur
Certificat Utilisateur

IV. Conclusion

Ce court article vous aura permis de configurer l'inscription automatique des certificats. Cette inscription automatique pourra vous permettre, par exemple, de signer vos emails ou utiliser la technologie DirectAccess apportée par Windows Server 2008 R2.

V. Remerciements

Je remercie Hédhili Jaïdane pour la correction de cet article.