Configurer le Certificate Enrollment Policy Web Service (CEP) pour qu'il fonctionne avec un Group Managed Service Account (gMSA)

Auteur Uwe GradeneggerPublié le Catégories Services d'information sur Internet (IIS), Sécurité, Services web d'enregistrement des certificatsÉtiquettes , , ,

Pour des raisons de sécurité, il peut être préférable de faire fonctionner le CEP avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.

Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .

La CEP a-t-elle été mise en place suite à la décision prise dans l'article "Installation d'un service web Certificate Enrollment Policy (CEP)Si le service est installé conformément aux instructions de la section "Installation", il fonctionnera sous l'identité du pool d'applications après l'installation.

Si CEP et CES sont installés sur le même serveur et qu'un compte de service avec délégation est utilisé, les pools d'applications CEP et CES doivent être exploités sous le même compte.

Conditions pour le compte de service CEP

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Le compte de service CEP...

  • doit être membre du groupe local de IIS_IUSRS.
  • nécessite un nom principal de service (Service Principal Name, SPN) qui, selon la configuration, doit correspondre au nom de serveur pleinement qualifié ou à l'alias à utiliser.

Création du gMSA pour le service web de la Certificate Enrollment Policy

Le gMSA pour CEP peut être créé à l'aide de la commande PowerShell suivante, à condition que une clé racine KDS est créée dans la structure globale d'Active Directory a été 

New-ADServiceAccount `
    -Name gMSA_CEP `
    -PrincipalsAllowedToRetrieveManagedPassword CEP01$ `
    -DNSHostName gMSA_CEP.intra.adcslabor.de

Les arguments indiqués ont la signification suivante :

  • Le site Nom L'argument indique le nom du gMSA.
  • Le site PrincipalsAllowedToRetrieveManagedPassword indique le serveur autorisé à récupérer le mot de passe du compte de service.
  • Le site DNSHostName L'argument indique le contenu de l'attribut dNSHostName du compte, car un gMSA fonctionne techniquement comme un compte informatique.

Configurer le nom principal de service (SPN) pour le gMSA

La commande suivante permet de créer le nom principal de service (SPN) pour le gMSA. 

setspn -S HTTP/cep01.intra.adcslabor.de INTRA\gMSA_CEP$

Installer gMSA sur le serveur CEP

Tout d'abord, les outils de gestion Active Directory pour PowerShell doivent être installés sur le serveur CEP. 

Add-WindowsFeature RSAT-AD-PowerShell

Ensuite, le compte de service peut être installé sur le serveur à l'aide de la commande PowerShell suivante.

Install-ADServiceAccount gMSA_CEP

La commande ne renvoie rien si elle a réussi.

Pour vérifier si c'est vraiment le cas, on peut utiliser la commande de ligne de commande suivante.

Test-ADServiceAccount gMSA_CEP

Cette commande renvoie True si le gMSA a été installé avec succès.

Ajouter gMSA au groupe IIS_IUSRS sur le serveur CEP

Le gMSA configuré doit maintenant encore être inclus dans le groupe de sécurité local IIS_IUSRS afin de pouvoir être utilisé par le CEP. Cela peut se faire via la console de gestion des utilisateurs locaux (lusrmgr.msc).

Configurer le gMSA dans le pool d'applications CEP

Pour que le service CEP fonctionne avec le gMSA installé, celui-ci doit être installé dans le WSEnrollmentPolicyServer-Il est possible de configurer le pool d'applications dans la console de gestion Internet Information Server (IIS). Pour ce faire, il suffit de cliquer avec le bouton droit sur le pool d'applications WSEnrollmentPolicyServer et de sélectionner l'option "Advanced Settings...".

Dans l'option "Identity", on clique sur le côté droit sur le bouton "...". bouton.

Dans la boîte de dialogue qui suit, on choisit "Custom account" et on clique sur "Set...".

Lors de l'indication de l'identité dans le dialogue suivant, il faut tenir compte de certaines particularités :

  • Le nom de domaine doit obligatoirement être indiqué.
  • Étant donné qu'un gMSA fonctionne de manière similaire à un compte informatique, un signe dollar doit être indiqué à la fin du nom du compte.
  • Dans le cas d'un gMSA, aucun mot de passe n'est indiqué, les deux champs doivent donc rester vides.

Redémarrer le service du serveur web

Le service du serveur web est ensuite redémarré avec la commande iisreset.

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais