Configurer le registre web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de service gMSA (Group Managed Service Account)

Auteur Uwe GradeneggerPublié le Catégories Sécurité, Enregistrement web des autorités de certification (CAWE)Étiquettes ,

Pour des raisons de sécurité, il peut être préférable de faire fonctionner le CAWE avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.

L'enregistrement web des autorités de certification est une très vieille fonction datant de l'époque de Windows 2000 - et a été adaptée pour la dernière fois lors de la sortie de Windows Server 2003. Le code est donc ancien et potentiellement peu sûr. De même, la fonction pas de modèles de certificats avec la version 3 ou plus récente - les modèles de certificats qui utilisent des fonctions introduites avec Windows Vista / Windows Server 2008 ou plus récent ne sont donc pas utilisables. Il est recommandé de ne pas utiliser l'enregistrement web de l'autorité de certification et d'effectuer une demande de certificat par le biais des outils de bord ou de l'interface utilisateur. PSCertificateEnrollment module PowerShell.

Si le CAWE a été installé selon les instructions de l'article "Installer l'enregistrement web de l'autorité de certification (CAWE)"Si l'application est installée dans un pool d'applications, le service fonctionnera sous l'identité du pool d'applications après l'installation.

Conditions requises pour le gMSA pour le CAWE

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Le gMSA pour le CAWE...

  • doit être membre du groupe local de IIS_IUSRS.
  • nécessite un nom principal de service (Service Principal Name, SPN) qui, selon la configuration, doit correspondre au nom de serveur pleinement qualifié ou à l'alias à utiliser.
  • nécessite une délégation Kerberos à l'autorité de certification.

Paramètres pour les instructions suivantes

Les instructions suivantes se basent sur les paramètres suivants, qui doivent être adaptés en conséquence à l'environnement propre.

  • Le gMSA a pour nom gMSA_CAWE.
  • Le serveur CAWE a pour nom CAWE01.intra.adcslabor.de.
  • L'autorité de certification connectée fonctionne sur le serveur CA03.intra.adcslabor.de.
  • L'alias est getcerts.adcslabor.dequi a été préalablement enregistré dans le système de noms de domaine (DNS).
  • Pour le gMSA_CAWE une Délégation limitée avec transfert de protocole configuré pour prendre en charge d'autres méthodes de connexion en plus de Kerberos.

Création de gMSA pour le Certificate Authority Web Enrollment

Le gMSA pour CEP peut être créé à l'aide de la commande PowerShell suivante, à condition que une clé racine KDS est créée dans la structure globale d'Active Directory a été 

New-ADServiceAccount -Name gMSA_CAWE -PrincipalsAllowedToRetrieveManagedPassword CAWE01$ -DNSHostName gMSA_CAWE.intra.adcslabor.de

Les arguments indiqués ont la signification suivante :

  • Le site Nom L'argument indique le nom du gMSA.
  • Le site PrincipalsAllowedToRetrieveManagedPassword indique le serveur autorisé à récupérer le mot de passe du compte de service.
  • Le site DNSHostName L'argument indique le contenu de l'attribut dNSHostName du compte, car un gMSA fonctionne techniquement comme un compte informatique.

Configurer le nom principal de service (SPN) pour le gMSA

La commande suivante permet de créer le nom principal de service (SPN) pour le gMSA.

setspn -S HTTP/getcerts.adcslabor.de INTRA\gMSA_CAWE$

Configurer les paramètres de délégation pour le gMSA

Pour les comptes de service gérés par groupe, il n'est malheureusement pas possible de configurer les paramètres de délégation via une interface graphique. La configuration doit se faire via Windows PowerShell.

Les réglages suivants sont effectués :

  • Délégation limitée vers l'autorité de certification CA03.intra.adcslabor.de avec Transfert de protocole (Protocol Transition, option "Use any authentication protocol") pour les protocoles "HOST" et "rpcss". La transition de protocole est nécessaire pour permettre l'utilisation d'autres méthodes d'authentification que Kerberos, par exemple si l'on souhaite s'authentifier auprès du CAWE à partir d'un système non-Windows ou d'un système Windows ne faisant pas partie de la structure globale de l'Active Directory.

Tout d'abord, un tableau est créé à partir des objectifs de délégation et des services.

$AllowedToDelegateTo = @(
 "rpcss/CA03",
 "rpcss/CA03.intra.adcslabor.de",
 "HOST/CA03",
 "HOST/CA03.intra.adcslabor.de"
)

Ensuite, les objectifs de délégation sont appliqués au gMSA.

Get-ADServiceAccount -Identity gMSA_CAWE | Set-ADObject -Add @{"msDS-AllowedToDelegateTo"=$AllowedToDelegateTo}

De plus, l'option "Account is sensitive and cannot be delegated" doit encore être désactivée.

Get-ADServiceAccount -Identity gMSA_CAWE | Set-ADServiceAccount -AccountNotDelegated $False

Enfin, la commande suivante modifie les paramètres de délégation pour le gMSA de "Use Kerberos only" à "Use any authentication protocol".

Get-ADServiceAccount -Identity gMSA_CAWE | Set-ADAccountControl -TrustedToAuthForDelegation $True

Installer gMSA sur le serveur CAWE

Tout d'abord, les outils de gestion Active Directory pour PowerShell doivent être installés sur le serveur CAWE. 

Add-WindowsFeature RSAT-AD-PowerShell

Ensuite, le compte de service peut être installé sur le serveur à l'aide de la commande PowerShell suivante. 

Install-ADServiceAccount gMSA_CAWE

La commande ne renvoie rien si elle a réussi.

Pour vérifier si c'est vraiment le cas, on peut utiliser la commande de ligne de commande suivante. 

Test-ADServiceAccount gMSA_CAWE

Cette commande renvoie True si le gMSA a été installé avec succès.

Ajouter gMSA au groupe IIS_IUSRS sur le serveur CAWE

Le gMSA configuré doit maintenant encore être inclus dans le groupe de sécurité local IIS_IUSRS pour pouvoir être utilisé par CAWE. Cela peut se faire via la console de gestion des utilisateurs locaux (lusrmgr.msc).

Configurer le gMSA dans le pool d'applications CAWE

Pour que le service CAWE fonctionne avec le gMSA installé, celui-ci doit être installé dans le DefaultAppPool-Le pool d'applications peut être configuré dans la console de gestion Internet Information Server (IIS). Pour ce faire, il faut cliquer avec le bouton droit sur le pool d'applications DefaultAppPool et sélectionner l'option "Advanced Settings...".

Dans l'option "Identity", on clique sur le côté droit sur le bouton "...". bouton.

Dans la boîte de dialogue qui suit, on choisit "Custom account" et on clique sur "Set...".

Lors de l'indication de l'identité dans le dialogue suivant, il faut tenir compte de certaines particularités :

  • Le nom de domaine doit obligatoirement être indiqué.
  • Étant donné qu'un gMSA fonctionne de manière similaire à un compte informatique, un signe dollar doit être indiqué à la fin du nom du compte.
  • Dans le cas d'un gMSA, aucun mot de passe n'est indiqué, les deux champs doivent donc rester vides.

Redémarrer le service du serveur web

Le service du serveur web est ensuite redémarré avec la commande iisreset.

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais