You are on page 1of 21

Inscription automatique de certificats

avec une PKI sous Windows 2008 R2

Par Michaël Todorovic

Date de publication : 5 mars 2010

Cet article va vous permettre de configurer l'inscription automatique de certificats pour vos
utilisateurs et ordinateurs.
Commentez
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

I - Introduction..............................................................................................................................................................3
II - Création des nouveaux modèles de certificats......................................................................................................3
II-A - Modèle Ordinateur........................................................................................................................................ 3
II-B - Modèle Utilisateur......................................................................................................................................... 7
II-C - Ajout des modèles à délivrer........................................................................................................................9
III - Création de la GPO............................................................................................................................................ 11
III-A - Pour les comptes Ordinateur..................................................................................................................... 11
III-B - Pour les comptes Utilisateur...................................................................................................................... 18
IV - Conclusion.......................................................................................................................................................... 21
V - Remerciements.................................................................................................................................................... 21

-2-
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

I - Introduction

Cet article fait suite à mon article Configuration d'une infrastructure à clés publiques à 2 niveaux sous
Windows 2008 (R2).
Pour suivre cet article, il vous faudra une autorité de certification d'entreprise déjà installée. Une autorité autonome
n'est pas capable de gérer l'inscription automatique. Cette inscription automatique (ou auto-enrollement) va vous
permettre de délivrer automatiquement des certificats à des utilisateurs et des ordinateurs de votre domaine Active
Directory grâce aux GPO.

II - Création des nouveaux modèles de certificats

Avant de délivrer des certificats automatiquement, il faut créer de nouveaux modèles. Les modèles par défaut ne
permettent pas l'inscription automatique puisque les sources d'informations (nom commun par exemple) ne sont pas
configurées. Nous allons donc créer deux nouveaux modèles : un pour les utilisateurs et un autre pour les ordinateurs.

Le nom des autorités de certification ont changé par rapport à mon précédent article mais
l'architecture reste quant à elle identique. Mon autorité racine est nommée "Todorovic Root
Certification Authority" et mon autorité intermédiaire (d'entreprise) est nommée "Todorovic
Intermediate Certification Authority".

Toutes les étapes qui vont suivre sont exécutées sur l'autorité intermédiaire d'entreprise. Vous
devez vous connecter avec un utilisateur ayant des droits d'administration sur l'autorité.

II-A - Modèle Ordinateur

Nous allons commencer par accéder à la console de gestion des modèles de certificats. Ouvrez la mmc "Autorité
de certification" puis faites un clic droit sur Modèles de certificats puis Gérer. La console de gestion des modèles
va alors s'ouvrir.

Gestion des modèles de certificats

Comme vous pouvez le voir, il y a un certain nombre de modèles disponibles. Le nombre de modèles autorisés à être
délivrés est bien plus restreint. Nous allons utiliser des modèles existants pour en créer des nouveaux. Nous allons
commencer par le certificat Ordinateur. Faites un clic droit dessus puis Dupliquer le modèle.

-3-
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Duplication du modèle Ordinateur

Pour des raisons de compatibilité avec certains produits (comme Microsoft System Center Configuration Manager),
je vous conseille de créer des modèles Windows 2003 Server.

Niveau du modèle

Vous pouvez maintenant modifier les propriétés du modèle. Changez le nom pour qu'il soit plus explicite. La période
de validité doit être supérieure à la période de renouvellement. La durée des périodes va conditionner l'utilisation
de votre autorité. Plus les périodes seront courtes, plus l'autorité devra générer des certificats et surtout devra en
révoquer.

-4-
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Configuration générale du modèle

Vous devez ensuite préciser des paramètres dans l'onglet Nom du sujet. La différence avec une autorité autonome se
fait ici (entre autre). Le nom du sujet (de l'ordinateur) va être construit à partir des informations stockées dans Active
Directory. C'est la première étape vers l'inscription automatique : il fallait que l'autorité sache à quel nom délivrer le
certificat, c'est maintenant chose faite. Dans Format du nom de sujet, il s'agit du nom principal du certificat. Le nom de
substitution correspond au Subject Alternative Name qui permet d'ajouter plusieurs noms à un certificat. Cet attribut
ne sera pris en compte que s'il a été activé dans votre autorité intermédiaire.

Pour contrôler si l'attribut SAN est activé dans l'autorité, exécutez la


commande suivante : certutil -getreg policy\EditFlags. Si vous voyez une ligne
EDITF_ATTRIBUTESUBJECTALTNAME2, alors votre autorité supporte l'attribut SAN. Sinon,
reportez-vous ici pour l'activer.

-5-
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Construction du nom de sujet

Maintenant que l'autorité sait à qui elle doit délivrer les certificats, on doit lui indiquer qui a le droit d'en demander.
La gestion de ces droits se fait, comme sur un système de fichiers, dans l'onglet Sécurité du modèle. Ce qui nous
intéresse est l'inscription automatique. A part si vous refusez que certains ordinateurs reçoivent des certificats,
sélectionnez Ordinateurs du domaine et cochez Inscription automatique - Autoriser. Vous pouvez sélectionner
d'autres groupes mais seuls les comptes Ordinateur seront concernés par cette sécurité : un utilisateur ne devrait
pas avoir de certificat Ordinateur.

-6-
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Gestion de la sécurité du modèle

Vous pouvez maintenant fermer en faisant OK.

II-B - Modèle Utilisateur

Pour créer le modèle Utilisateur, le principe est le même que pour le modèle Ordinateur. Dupliquez le modèle
Utilisateur et définissez les paramètres pour construire le nom du sujet. Pour un utilisateur, le nom du sujet est
habituellement son nom commun (Prénom et Nom). On peut également ajouter l'adresse de messagerie ou l'UPN.

-7-
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Construction du nom du sujet

Il vous reste la sécurité à régler. Choisissez les groupes d'utilisateurs qui seront autorisés à s'inscrire automatiquement
de la même manière que pour les ordinateurs.

-8-
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Gestion de la sécurité du modèle

Fermez le modèle et la console de gestion.

II-C - Ajout des modèles à délivrer

Nos nouveaux modèles de certificats sont créés. Comme nous l'avons vu, le nombre de modèles de certificats à
délivrer est restreint : il va falloir ajouter nos nouveaux modèles dans la liste des modèles utilisables. Ouvrez la console
de gestion de votre autorité. Faites un clic droit sur Modèles de certificats, Nouveau, Modèle de certificat à délivrer.

-9-
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Nouveaux modèles de certificats à délivrer

Vous pouvez maintenant sélectionner les modèles de certificats que vous venez de créer.

Sélection des modèles de certificats

Une fois que vos nouveaux modèles seront ajoutés, vous devrez redémarrer votre autorité. Il ne reste plus que la
configuration des GPO à faire.

- 10 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

III - Création de la GPO

III-A - Pour les comptes Ordinateur

Nos modèles sont prêts à être utilisés, il faut maintenant que les clients (qu'ils soient utilisateurs ou ordinateurs)
sachent qu'ils sont autorisés à inscrire des certificats automatiquement. Il va donc falloir créer une GPO (Objet de
Stratégie de Groupe). Créez une GPO ou bien utilisez une existante.

Edition de la GPO

Notre modèle Ordinateur, avec l'inscription automatique, sera sélectionné par défaut pour générer un certificat
Ordinateur. En effet, cela est rendu possible grâce au réglage de la sécurité que nous avons effectué précédemment.

Afin de rendre cette inscription possible, il est nécessaire d'ajouter le certificat racine de votre autorité dans le magasin
dédié de vos ordinateurs. Allez dans Configuration ordinateur, Stratégies, Paramètres Windows, Stratégies de clé
publique, Autorités de certification racines de confiance puis faites un clic droit pour Importer.

- 11 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Importation du certificat de l'autorité racine

Il restera alors à sélectionner le certificat d'autorité racine et à cliquer sur Suivant pour finir l'importation. Le magasin
utilisé pour l'importation sera choisi automatiquement puisque nous avons sélectionné l'emplacement précédemment.

- 12 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Sélection du certificat d'autorité racine

Il faut également ajouter le certificat d'autorité intermédiaire. De la même manière que pour le certificat racine, allez
dans Configuration ordinateur, Stratégies, Paramètres Windows, Stratégies de clé publique, Autorités de certification
intermédiaires puis faites un clic droit pour Importer. Sélectionnez le certificat correspondant puis terminez l'assistant
en cliquant sur Suivant. Le magasin sera sélectionné automatiquement comme précédemment.

Avant d'activer l'inscription automatique, il faut définir une stratégie d'inscription. Allez dans Configuration ordinateur,
Stratégies, Paramètres Windows, Stratégies de clé publique puis ouvrez Client des services de certificats - Stratégie
d'inscription des certificats.

Stratégie d'inscription des certificats

Passez le Modèle de configuration sur Activé.

- 13 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Activation de la stratégie

La stratégie par défaut d'inscription à Active Directory s'affiche, il est possible de la modifier si besoin est.

- 14 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Stratégie d'inscription

- 15 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Edition de la stratégie d'inscription

Fermez la stratégie en cliquant sur OK.


Il va maintenant falloir activer cette stratégie et la configurer. Ouvrez Client des services de certificats - Inscription
automatique et activez la stratégie.

- 16 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Activation de la stratégie

De nouveaux paramètres s'affichent : ils permettent de gérer le renouvellement des certificats. En effet, qui dit
inscription automatique dit aucune gestion de la part de l'administrateur (ou presque). Le renouvellement des
certificats ainsi que la révocation des anciens certificats doit être automatique. Lorsqu'un certificat sera renouvelé,
l'ancien sera révoqué. Le renouvellement s'active en cochant "Renouveler les certificats expirés, mettre à jour les
certificats en attente et supprimer les certificats révoqués."

- 17 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Configuration de la stratégie

La configuration de l'inscription automatique des comptes ordinateurs est effectuée, il reste la configuration de
l'inscription automatique pour les utilisateurs à faire.

III-B - Pour les comptes Utilisateur

Le principe est le même que pour les comptes Ordinateur. C'est toutefois plus simple puisqu'il n'y a pas besoin
d'envoyer les certificats des autorités racine et intermédiaire.
Comme tout à l'heure, il faut aller dans Configuration utilisateur, Stratégies, Paramètres Windows, Stratégies de clé
publique puis ouvrir Client des services de certificats - Stratégie d'inscription des certificats.
Il suffira d'activer la stratégie puis de fermer en cliquant sur OK.

- 18 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Stratégie d'inscription

Si vos utilisateurs changent d'ordinateur, il sera nécessaire pour vous d'activer les informations d'identification
itinérantes. Pour en savoir plus, je vous suggère de lire la section Technet dédiée à ce sujet.

Pour terminer la configuration, activez l'inscription automatique en passant par Client des services de certificats -
Inscription automatique. Activez le renouvellement automatique et la mise à jour des certificats.

La création de la GPO est finie. Il vous restera à ajouter les groupes d'utilisateurs et d'ordinateurs auxquels la GPO
va s'appliquer.
Les certificats seront créés lors de l'application de la GPO sur les différents comptes.

Une fois que la GPO aura été prise en compte, vous aurez normalement deux certificats dans les magasins nommés
Personnel du compte Ordinateur et du compte Utilisateur. Ces certificats ont été créés par l'autorité intermédiaire.

- 19 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Certificat Ordinateur

- 20 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/
Inscription automatique de certificats avec une PKI sous Windows 2008 R2 par Michaël Todorovic

Certificat Utilisateur

IV - Conclusion

Ce court article vous aura permis de configurer l'inscription automatique des certificats. Cette inscription automatique
pourra vous permettre, par exemple, de signer vos emails ou utiliser la technologie DirectAccess apportée par
Windows Server 2008 R2.

V - Remerciements

Je remercie Hédhili Jaïdane pour la correction de cet article.

- 21 -
Copyright ® 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.
http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/