La procédure d'installation de l'inscription Web de l'autorité de certification (Certificate Authority Web Enrollment, CAWE) est décrite ci-dessous.
L'enregistrement web des autorités de certification est une très vieille fonction datant de l'époque de Windows 2000 - et a été adaptée pour la dernière fois lors de la sortie de Windows Server 2003. Le code est donc ancien et potentiellement peu sûr. De même, la fonction pas de modèles de certificats avec la version 3 ou plus récente - les modèles de certificats qui utilisent des fonctions introduites avec Windows Vista / Windows Server 2008 ou plus récent ne sont donc pas utilisables. Il est recommandé de ne pas utiliser l'enregistrement web de l'autorité de certification et d'effectuer une demande de certificat par le biais des outils de bord ou de l'interface utilisateur. PSCertificateEnrollment module PowerShell.
Les instructions suivantes installent d'abord le rouleau avec les paramètres par défaut. Une adaptation sera effectuée au fur et à mesure de l'avancement des instructions.
Il est recommandé d'installer l'enregistrement web sur un serveur dédié.
Configuration des autorisations de sécurité et des partages de pare-feu
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
- La configuration des autorisations de sécurité Windows nécessaires est décrite dans l'article "Autorisations de sécurité Windows nécessaires pour l'enregistrement web de l'autorité de certification (CAWE)" décrit.
- La configuration des partages de pare-feu nécessaires est décrite dans l'article "Règles de pare-feu requises pour l'enregistrement web de l'autorité de certification (CAWE)" décrit.
Installer des fichiers de rôles et des dépendances
Cette étape n'est pas absolument nécessaire, car elle se fait de toute façon en tant que dépendance. Si aucun serveur web IIS (Internet Information Service) n'est encore installé sur le serveur cible, la commande suivante permet de l'installer avec les paramètres par défaut et les outils de gestion.
Install-WindowsFeature Web-Server -IncludeManagementTools
Ensuite, les fichiers binaires pour CAWE peuvent être installés.
Install-WindowsFeature ADCS-Web-Enrollment
Configuration du rôle CAWE
La commande PowerShell suivante est utilisée pour configurer le rôle CAWE :
Install-AdcsWebEnrollment -CAConfig "{ConfigSring}" -Force
Les caractères génériques ont la signification suivante :
- Le substitut {ConfigString} désigne la chaîne de configuration de l'autorité de certification au format "nom d'hôte pleinement qualifié\Nnom commun de l'AC", par exemple "CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2".
Un premier test en appelant le CAWE peut maintenant être effectué à l'adresse suivante :
http://{Servername-CAWE}/certsrv
À ce stade, aucun paramètre de délégation n'a encore été défini et aucun certificat SSL n'est disponible. Cela signifie que les données de connexion sont transmises en texte clair et qu'il n'est pas encore possible de demander un certificat. Ces deux éléments seront configurés dans la suite du guide.
Configuration de Secure Sockets Layer pour le CAWE
Même si CAWE fonctionne sans Secure Sockets Layer (SSL), il est recommandé de demander un certificat et de n'autoriser les connexions que par SSL. La manière de configurer un modèle de certificat pour un tel certificat est expliquée dans l'article "Configurer un modèle de certificat Secure Socket Layer (SSL) pour serveur web" décrit.
L'activation de SSL pour CAWE est décrite dans l'article "Activer le protocole Secure Sockets Layer (SSL) pour l'enregistrement web de l'autorité de certification (CAWE)" décrit.
L'identité au sein du certificat SSL doit correspondre soit au nom de serveur pleinement qualifié, soit à l'alias si le CAWE est exploité avec un tel nom.
Configurer le compte de service pour le CAWE
La configuration des comptes de service pour le CAWE est décrite dans les articles suivants :
- Configurer le CAWE pour qu'il fonctionne avec un compte de service gMSA (Group Managed Service Account, variante recommandée)
- Configurer le CAWE pour qu'il fonctionne avec un compte de domaine (non recommandé)
Liens complémentaires :
- Règles de pare-feu requises pour l'enregistrement sur le web de l'autorité de certification
- Configurer l'enregistrement web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de domaine
- Configurer le registre web de l'autorité de certification (CAWE) pour l'utiliser avec un compte de service gMSA (Group Managed Service Account)
- Activer le protocole Secure Sockets Layer (SSL) pour l'enregistrement web de l'autorité de certification (CAWE)
Sources externes
- Install-AdcsWebEnrollment (Microsoft)
- Guide d'inscription au web de l'autorité de certification (Microsoft)
- Comment configurer le proxy d'inscription au Web de Windows Server 2008 CA ? (Microsoft, archive.org)
Français 
Deutsch 
English
Les commentaires sont fermés.