Envoyer une demande de certificat créée manuellement à une autorité de certification

Auteur Uwe GradeneggerPublié le Catégories Utilisation du certificat, Autorité de certificationÉtiquettes

Si une demande de certificat, par exemple après création manuelle, est disponible sous forme de fichier texte (généralement avec l'extension .CSR ou .REQ), celle-ci peut être envoyée à l'autorité de certification à l'aide des outils intégrés.

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Conditions préalables

Les conditions suivantes doivent être remplies pour pouvoir envoyer la demande de certificat à l'autorité de certification :

  • Le compte d'utilisateur et le compte d'ordinateur doivent être membres de la même structure globale Active Directory.
  • Le droit de pouvoir présenter des demandes de certificat à l'organisme de certification.
  • Le droit sur le modèle de certificat de pouvoir soumettre des demandes de certificat.

Les informations suivantes sont nécessaires :

  • Le nom de l'autorité de certification.
  • Le nom de l'ordinateur du serveur sur lequel l'autorité de certification est exploitée.
  • Le nom d'objet du modèle de certificat souhaité.

En option : inspecter la demande de certificat

La demande de certificat peut être vérifiée avant d'être transmise à l'autorité de certification à l'aide de la commande de ligne de commande suivante :

certutil -dump {Zertifikatanforderung}

Envoi de la demande de certificat à l'autorité de certification

Ensuite, la demande de certificat peut être envoyée à l'autorité de certification à l'aide de la commande de ligne de commande suivante :

certreq -attrib "CertificateTemplate:{Name-der-Zertifikatvorlage}" -submit {Zertifikatantrag}.req

Il faut noter que le nom du modèle de certificat est indiqué avec l'argument -attrib. Il faut utiliser ici le nom de l'objet LDAP et non le nom d'affichage du modèle de certificat (il s'agit généralement du nom d'affichage sans espace).

On est invité à choisir l'autorité de certification.

Après avoir saisi la commande, on est invité à choisir une autorité de certification cible, puis la demande de certificat est envoyée à celle-ci.

Délivrance du certificat demandé

Sur l'autorité de certification cible, la demande de certificat apparaît maintenant dans la liste des exigences de certificat en suspens et peut y être délivrée par un gestionnaire de certificats après vérification.

Récupération du certificat délivré

De retour sur le système demandeur, le certificat délivré peut maintenant être récupéré en indiquant l'ID de la demande (Request ID) :

certreq -retrieve {Anforderungs-ID}

Arguments de ligne de commande avancés pour certreq

L'argument -config

L'argument -config permet d'indiquer l'autorité de certification ou le service web d'enregistrement de certificats (CES) à utiliser. L'autorité de certification est indiquée au format „{nom du serveur}\N{nom de l'AC}“.

exemple :

certreq -config "CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2" -submit "C:\Users\rudi\Desktop\test.req"

L'argument -username et l'argument -p

Si la demande de certificat est envoyée à un service web d'enregistrement de certificat (CES), une authentification par nom d'utilisateur et mot de passe est également possible. Le nom d'utilisateur peut être indiqué avec l'argument -username. Il est nécessaire de spécifier le mot de passe de l'utilisateur avec l'argument -p.

exemple :

certreq -username "INTRA\rudi" -p "password" -config "https://ces01.intra.adcslabor.de/ADCS%20Labor%20Issuing%20CA%202_CES_UsernamePassword/service.svc/CES" -submit "C:\Users\rudi\Desktop\test.req"

L'argument -kerberos

Si la demande de certificat est envoyée à un service web d'enregistrement de certificat (CES), une authentification via Kerberos est également possible. Si l'on souhaite effectuer une authentification Kerberos, il faut l'indiquer avec l'argument -kerberos.

exemple :

certreq -kerberos -config "https://ces01.intra.adcslabor.de/ADCS%20Labor%20Issuing%20CA%202_CES_Kerberos/service.svc/CES" -submit "C:\Users\rudi\Desktop\test.req"

Donner le certificat délivré comme argument

Si le certificat délivré par l'autorité de certification doit être écrit directement dans un fichier, le nom du fichier peut être indiqué comme dernier argument.

exemple :

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais