Pour qu'une inscription par carte à puce réussisse, certaines conditions doivent être remplies dans l'environnement Active Directory :
Conditions préalables
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Les certificats de contrôleur de domaine doivent autoriser la connexion
Les contrôleurs de domaine doivent disposer disposer de certificats permettant l'inscription par carte à puce. L'un des critères suivants doit s'appliquer.
- L'extension "Extended Key Usage" comprend l'Extended Key Usage pour KDC Authentication (1.3.6.1.5.2.3.5) ou
- L'extension "Extended Key Usage" comprend l'Extended Key Usage pour Smartcard Logon (1.3.6.1.4.1.311.20.2.2) ou
- Une extension "Template Name" existe et possède la valeur "DomainController".
Microsoft utilise le terme "Enhanced Key Usage" (utilisation améliorée des clés), mais la désignation correcte selon le RFC 5280 est "Extended Key Usage"..
Les certificats d'autorité de certification doivent être inscrits dans NTAuthCertificates
Les certificats d'autorité de certification suivants doivent être déposés dans l'objet Active Directory "NTAuthCertificates". Voir également à ce sujet l'article "Modifier l'objet NTAuthCertificates dans Active Directory„ .
- Le certificat d'autorité de certification de l'autorité de certification qui délivre les certificats de contrôleur de domaine.
- le certificat d'autorité de certification de l'autorité de certification qui délivre les certificats d'utilisateur
Les certificats d'autorité de certification doivent autoriser l'utilisation de la clé étendue correspondante.
Le certificat d'autorité de certification de l'autorité de certification qui délivre les certificats d'utilisateur doit prendre en charge soit l'utilisation de la clé étendue "Smart Card Logon", soit "Client Authentication", à savoir il n'est pas interdit par une extension Extended Key Usages correspondante.
Les conditions ci-dessus sont remplies par défaut, c'est-à-dire que si une autorité de certification intégrée à Active Directory est installée, les paramètres nécessaires sont définis comme ci-dessus. Les modèles de certificats standard pour les contrôleurs de domaine disposent des propriétés correspondantes.
Liens complémentaires :
- Modèles de certificats de contrôleur de domaine et inscription par carte à puce
- Modifier l'objet NTAuthCertificates dans Active Directory
- Principes de base : limiter l'utilisation de la clé étendue (Extended Key Usage, EKU) dans les certificats d'autorité de certification
Français 
Deutsch 
English
Les commentaires sont fermés.