Dans la configuration standard, le Certificate Authority Web Enrollment (CAWE) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer le CAWE pour HTTP via TLS (HTTPS) afin de rendre l'enregistrement du trafic réseau plus difficile. Vous trouverez ci-dessous des instructions à ce sujet.
L'enregistrement web des autorités de certification est une très vieille fonction datant de l'époque de Windows 2000 - et a été adaptée pour la dernière fois lors de la sortie de Windows Server 2003. Le code est donc ancien et potentiellement peu sûr. De même, la fonction pas de modèles de certificats avec la version 3 ou plus récente - les modèles de certificats qui utilisent des fonctions introduites avec Windows Vista / Windows Server 2008 ou plus récent ne sont donc pas utilisables. Il est recommandé de ne pas utiliser l'enregistrement web de l'autorité de certification et d'effectuer une demande de certificat par le biais des outils de bord ou de l'interface utilisateur. PSCertificateEnrollment module PowerShell.
Demander un certificat SSL
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Tout d'abord, il faut demander un certificat de serveur web pour le serveur CAWE.
- Dans l'article "Configurer un modèle de certificat Secure Socket Layer (SSL) pour serveur webLa section "Comment créer un modèle de certificat pour SSL" décrit comment créer un modèle de certificat pour SSL.
- Dans l'article "Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSLL'article "Comment créer une demande de certificat conforme à la RFC2818 pour les certificats SSL" est décrit.
Lier le certificat au serveur CAWE
Après avoir demandé un certificat SSL pour le serveur CAWE, celui-ci doit encore être lié au serveur web. Pour ce faire, le gestionnaire Internet Information Services (IIS) est appelé via les outils d'administration.
Le CAWE est installé dans le site web par défaut du serveur web. En conséquence, les liaisons doivent être traitées ici.
S'il n'y a pas encore de lien SSL, il faut en créer un nouveau.
Le site web par défaut devrait répondre à toutes les demandes non définies ailleurs, c'est pourquoi le réglage par défaut concernant les adresses IP et les noms d'hôtes peut être conservé. Seul le certificat SSL doit être sélectionné.
Forcer l'utilisation de SSL
Le serveur web prend maintenant en charge les demandes via HTTPS, mais celles-ci ne sont pas forcées pour le CAWE, c'est-à-dire qu'il est toujours possible de soumettre des demandes via HTTP. Si l'on souhaite forcer le SSL spécifiquement pour le CAWE, il faut aller sur le site web par défaut et cliquer sur le dossier "CertSrv" sur le côté gauche.
Après avoir double-cliqué sur le dossier, on choisit les "SSL Settings".
Ici, on active la case à cocher "Require SSL".
Ensuite, il faut encore cliquer sur "Apply" sur le côté droit.
CAWE devrait maintenant refuser d'accepter des connexions via HTTP sans TLS.
Français 
Deutsch 
English
Les commentaires sont fermés.