Supposons que l'on implémente le modèle de hiérarchisation administrative Active Directory (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de renforcement comparables sur ses serveurs, cela a des répercussions sur les composants CES.
Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .
Autorisations nécessaires
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Le compte de service sous lequel le service CES est exploité (l'identité du pool d'applications IIS) nécessite les droits suivants pour fonctionner correctement :
- Accéder à cet ordinateur via le réseau (SeNetworkLogonRight) sur l'autorité de certification
- Se faire passer pour un client après authentification (SeImpersonatePrivilege) sur le serveur CES
- Se connecter en tant que tâche batch (SeBatchLogonRight) s'il s'agit d'un compte de domaine ou...
- Connectez-vous en tant que service (SeServiceLogonRight) s'il s'agit d'un compte de service géré par le groupe (gMSA).
Liens complémentaires :
- Installation d'un service web Certificate Enrollment Policy (CEP)
- Configurer le service Web d'inscription aux certificats (CES) pour une utilisation avec un compte de service géré par le groupe (gMSA)
Sources externes
- Affectation des droits d'utilisateur (Microsoft)
Français 
Deutsch 
English
Les commentaires sont fermés.