Effectuer un test de fonctionnement pour l'enregistrement web de l'autorité de certification (CAWE)

Auteur Uwe GradeneggerPublié le Catégories Test de fonctionnement, Dépannage, Enregistrement web des autorités de certification (CAWE)Étiquettes , , ,

Après l'installation et la configuration du Certificate Authority Web Enrollment (CAWE), il est essentiel que le composant soit testé de manière approfondie avant d'être mis à la disposition des utilisateurs. Vous trouverez ci-dessous des instructions pour un test fonctionnel détaillé.

L'enregistrement web des autorités de certification est une très vieille fonction datant de l'époque de Windows 2000 - et a été adaptée pour la dernière fois lors de la sortie de Windows Server 2003. Le code est donc ancien et potentiellement peu sûr. De même, la fonction pas de modèles de certificats avec la version 3 ou plus récente - les modèles de certificats qui utilisent des fonctions introduites avec Windows Vista / Windows Server 2008 ou plus récent ne sont donc pas utilisables. Il est recommandé de ne pas utiliser l'enregistrement web de l'autorité de certification et d'effectuer une demande de certificat par le biais des outils de bord ou de l'interface utilisateur. PSCertificateEnrollment module PowerShell.

Aperçu

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Les tests fonctionnels se composent des étapes suivantes

  • Appel de la page
  • Inscription sur le site
  • Soumission d'une demande de certificat - avec authentification Kerberos
  • Soumission d'une demande de certificat - sans authentification Kerberos

Détails : appel de la page

Il convient tout d'abord de vérifier si l'adresse du CAWE peut être appelée. Les problèmes possibles sont les suivants

  • Résolution de noms
  • problèmes de connexion, par exemple en raison de la configuration du pare-feu
  • Configuration du serveur web, par exemple la mise en place correcte de SSL

Si des problèmes surviennent déjà à ce niveau, les articles suivants peuvent être utiles :

Détails : inscription sur le site

Le test doit d'abord être effectué avec Internet Explorer et aucun autre navigateur.

https://{Alias-oder-Servername>/certsrv

Si l'on est invité à s'authentifier lors du premier accès à la page, l'authentification Kerberos n'a pas lieu. En général, cela est dû au fait que l'adresse du serveur CAWE n'a pas été ajoutée à la zone "Intranet local" dans les paramètres de sécurité du navigateur.

Pour ce faire, il faut ouvrir le menu avec le symbole de la roue dentée sur le côté droit et sélectionner "Options Internet".

Dans l'onglet "Sécurité", on clique sur "Sites".

Dans la boîte de dialogue qui suit, on clique sur "Advanced".

L'adresse du serveur CAWE est saisie dans la boîte de dialogue suivante. L'adresse exacte, telle qu'elle est saisie dans la barre d'adresse, doit être inscrite ici. Veuillez également penser au préfixe "https".

Ensuite, il devrait être possible d'accéder à CAWE sans masque d'authentification.

Détails : Soumission d'une demande de certificat - avec authentification Kerberos

Pour savoir si la délégation Kerberos fonctionne, il faut envoyer une demande de certificat à l'autorité de certification via CAWE.

Celui-ci doit d'abord être préparé indépendamment de ces instructions et être disponible sous forme de fichier texte. De plus, l'autorité de certification configurée doit proposer un modèle de certificat correspondant (voir article "Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSL"), et l'utilisateur doit avoir le droit "Enroll" sur la demande de certificat.

Le contenu de la demande de certificat est copié dans le presse-papiers.

Dans le CAWE, on choisit "Request a certificate".

Dans la boîte de dialogue qui suit, la deuxième option "Submit a certificate request..." est sélectionnée.

Dans la boîte de dialogue qui suit, le contenu de la demande de certificat copiée dans le presse-papiers est inséré dans le champ "Saved Request".

Dans la section "Certificate Template", le modèle de certificat souhaité est sélectionné.

Ensuite, il faut cliquer sur "Submit".

Si le modèle de certificat souhaité ne s'affiche pas ici, l'article suivant pourrait vous être utile :

Ensuite, une boîte de dialogue devrait s'afficher pour informer l'utilisateur que le site web effectue une opération de certificat avec l'identité de l'utilisateur.

Si l'on a confirmé le dialogue par "Yes", le certificat émis devrait maintenant être proposé au téléchargement.

Si un message d'erreur s'affiche au lieu de cela, ou si la demande prend beaucoup de temps, les articles suivants peuvent être utiles pour trouver l'erreur :

Détails : Soumission d'une demande de certificat - sans authentification Kerberos

Si les tests ont été concluants jusqu'ici, il convient de répéter les tests sans authentification Kerberos et avec d'autres navigateurs et systèmes d'exploitation, par exemple :

  • Internet Explorer, sans inscription du site CAWE dans la zone "Intranet local".
  • Edge
  • Mozilla Firefox
  • Google Chrome

Chacune de ces combinaisons devrait être testée avec succès.

Si vous rencontrez des erreurs, les articles suivants peuvent vous être utiles :

Liens complémentaires :

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais