Installation du rôle ADCS

De NCad Wiki
Aller à la navigation Aller à la recherche

Rôles Active Directory

Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce

Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS


Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008

Ajout du rôle Services de certificats Active Directory

  1. Depuis le Tableau de bord du gestionnaire de serveur, cliquer sur le menu Gérer puis Ajouter des rôles et fonctionnalités.
  2. À l’étape Avant de commencer, cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP1.png
  3. À l’étape Sélectionner le type d’installation, choisir Installation basée sur un rôle ou une fonctionnalité puis cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP2.png
  4. À l’étape Sélectionner le serveur de destination, sélectionner la machine courante puis cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP3.png
  5. À l’étape Sélectionner des rôles de serveurs, cocher Services de certificats Active Directory.
    ADCS INSTALLROLE STEP4.png
    1. Depuis la boîte de dialogue Ajouter les fonctionnalités requises pour Services de certificats Active Directory cocher l’option Inclure les outils de gestion (si applicable) puis cliquer sur le bouton Ajouter des fonctionnalités.
      ADCS INSTALLROLE STEP41.png
  6. De retour à l’étape Sélectionner des rôles de serveurs, cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP42.png
  7. À l’étape Sélectionner des fonctionnalités, conserver la sélection par défaut puis cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP5.png
  8. À l’étape Service de certificats Active Directory, cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP6.png
    1. À l’étape Sélectionner des services de rôles, cocher Autorité de certification ainsi que Inscription de l’autorité de certification via le Web puis cliquer sur le bouton Suivant.
      ADCS INSTALLROLE STEP61.png
    2. Depuis la boîte de dialogue Ajouter les fonctionnalités requises pour Inscription de l’autorité certification via le Web cocher l’option Inclure les outils de gestion (si applicable) puis cliquer sur le bouton Ajouter des fonctionnalités.
      ADCS INSTALLROLE STEP62.png
  9. De retour à l’étape Sélectionner des services de rôle, cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP63.png
  10. À l’étape Rôle Web Server (IIS), cliquer sur le bouton Suivant.
    ADCS INSTALLROLE STEP7.png
    1. À l’étape Sélectionner des services de rôle, conserver la sélection par défaut puis cliquer sur le bouton Suivant.
      ADCS INSTALLROLE STEP71.png
  11. À l’étape Confirmer les sélections d’installation cliquer sur le bouton Installation.
    ADCS INSTALLROLE STEP8.png
  12. L’installation des composants peut prendre plusieurs minutes.
    ADCS INSTALLROLE STEP9.png

Configurer les Services de certificats Active Directory

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur.
  2. Cliquer sur la zone de notification puis sur le lien Configurer les services de certificats Active Directory.
    ADCS CONFIG STEP1.png
  3. À l’étape Information d’identification, cliquer sur le bouton Suivant.
    ADCS CONFIG STEP2.png
  4. À l’étape Services de rôle, cocher les options Autorité de certification et Inscription de l’autorité de certification via le web puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP3.png
  5. À l’étape Type d’installation, sélectionner l’option Autorité de certification de l’entreprise puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP4.png
  6. À l’étape Type d’autorité de certification, sélectionner l’option Autorité de certification racine puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP5.png
  7. À l’étape Clé privée, sélectionner l’option Créer une clé privée puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP6.png
    1. À l’étape Chiffrement pour l’autorité de certification, dans le champ Longueur de la clé choisir 2048 et dans le menu Sélectionnez l’algorithme de hachage pour signer les certificats émis par cette AC choisir SHA256. Cliquer sur le bouton Suivant.
      ADCS CONFIG STEP61.png
    2. À l’étape Nom de l’autorité de certification, reprendre les informations saisies dans la capture ci-dessous :
      ADCS CONFIG STEP62.png
    3. À l’étape Période de validité, sélectionner 10 Années puis cliquer sur le bouton Suivant.
      ADCS CONFIG STEP63.png
  8. À l’étape Base de données de l’autorité de certification, conserver les paramètres par défaut puis cliquer sur le bouton Suivant.
    ADCS CONFIG STEP7.png
  9. À l’étape Confirmation, cliquer sur le bouton Configurer.
    ADCS CONFIG STEP8.png
  10. Une fois le paramétrage terminé, cliquer sur le bouton Fermer.
    ADCS CONFIG STEP9.png

Génération du certificat Web

Ce certificat sera utilisé lors de la configuration du serveur web IIS pour la mise en place de la liaison sécurisée https.

Générer la demande de certificat

  1. Accéder à la console Gérer les certificats d'ordinateur.
  2. Depuis l'arborescence, accéder à Certificats (ordinateur local) / Personnel1, puis cliquer sur l'action Autres actions2 / Toutes les tâches Opérations avancées / Créer une demande personnalisée....
    MMCCERTORD PERSONNEL AUTRES ACTIONS.png
  3. L’assistant Inscription de certificats démarre. Cliquer sur le bouton Suivant à l’étape Avant de commencer.
  4. À l’étape Sélectionner la stratégie d’inscription de certificat, sélectionner l’option Demande personnalisée puis cliquer sur le bouton Suivant.
  5. À l’étape Demande personnalisée, depuis le menu déroulant Modèle sélectionner (Aucun modèle) Clé CNG puis depuis la sélection Format de la demande sélectionner PKCS #10. Cliquer sur le bouton Suivant pour poursuivre.
    ADCS INSCRIPTION CERTORD DEMANDE PERSONNALISEE.png
  6. À l’étape Informations sur le certificat, dérouler la ligne Demande personnalisée à l’aide du bouton Détail puis cliquer sur le bouton Propriétés.
    ADCS INSCRIPTION CERTORD INFORMATIONS.png
  7. Depuis l’onglet Général :
    1. Dans le champ Nom convivial, saisir Certificat Web AC.
      ADCS INSCRIPTION CERTORD INFORMATIONS GENERAL CERTSRV.png
    2. Depuis l’onglet Objet, dans la section Nom du sujet ajouter les éléments suivants :
      1. Dans le champs Nom commun, penser à renseigner le nom FQDN de votre serveur d'Autorité de Certification. Dans notre cas, ce rôle étant installé sur notre serveur Active Directory, c'est son nom FQDN qui est ici renseigné.
        ADCS INSCRIPTION CERTORD OBJET SUBJECT TABLE CERTSRV.png

        ADCS INSCRIPTION CERTORD OBJET SUBJECT CERTSRV.png
    3. Toujours depuis l’onglet Objet, dans la section Autre nom ajouter les éléments suivants :
      ADCS INSCRIPTION CERTORD OBJET NAME TABLE CERTSRV.png

      ADCS INSCRIPTION CERTORD OBJET NAME CERTSRV.png
    4. Depuis l’onglet Clé privé, dérouler la section Option de clé puis sélectionner la valeur 2048 pour le paramètre Taille de la clé. Cocher l’option Permettre l’exportation de la clé privée.
      ADCS INSCRIPTION CERTORD PRIVATEKEY OPTIONS.png
    5. Depuis l’onglet Clé privé, dérouler la section Sélectionner l’algorithme de hachage puis sélectionner la valeur sha256. Cliquer sur le bouton OK pour valider les paramètres.
      ADCS INSCRIPTION CERTORD PRIVATEKEY CIPHER.png
  8. Depuis l’étape Informations sur le certificat, cliquer sur le bouton Suivant pour poursuivre.
  9. À l’étape Où voulez-vous enregistrer la demande hors connexion ?, cliquer sur le bouton Parcourir… puis nommer le fichier AD1SRV.ncad.fr et cliquer sur le bouton Enregistrer.
  10. Toujours depuis l’étape Où voulez-vous enregistrer la demande hors connexion ?, au paramètre Format de fichier sélectionner la valeur Base 64. Cliquer sur le bouton Terminer pour générer le fichier de demande de certificat.
    ADCS INSCRIPTION CERTORD SAVE.png

Signer la demande de certificat

  1. Se connecter au portail de l’Autorité de Certification depuis l’url http://localhost/certsrv. Depuis la page d'accueil, cliquer sur le lien Demander un certificat.
    ADCS WELCOME.png
  2. Depuis la page Demander un certificat, cliquer sur le lien demande de certificat avancée.
    ADCS DEMANDE CERTIFICAT.png
  3. Depuis la page Demande de certificat avancée, cliquer sur le lien Soumettez une demande de certificat en utilisant un fichier CMC ou PKCS #10 codé en base 64, ou soumettez une demande en utilisant un fichier PKCS #7 codé en base 64.
    ADCS DEMANDE CERTIFICAT AVANCEE.png
  4. Depuis la page Soumettre une demande de certificat ou de renouvellement :
    1. Dans le champ texte Demande enregistrée, renseignez le contenu du fichier AD1SRV.ncad.fr.req généré à la section Générer la demande de certificat.
    2. Dans le menu de sélection Modèle de certificat sélectionnez Serveur Web.
      ADCS SOUMETTRE CERTIFICAT.png
    3. Cliquer sur le bouton Envoyer > pour soumettre la demande au serveur.
  5. Depuis la page Certificat émis, sélectionner l’option Codé en base 64 puis cliquer sur le lien Télécharger le certificat.
    ADCS EMISSION CERTIFICAT.png
  6. Renommer le fichier téléchargé en AD1SRV.ncad.fr.crt.

Importer le certificat

  1. Double-cliquer sur le certificat généré à l’étape Signer la demande de certificat.
  2. Depuis la fenêtre Certificat, cliquer sur le bouton Installer un certificat….
    CERTIFICAT GENERAL CERTSRV.png
  3. Depuis la fenêtre Assistant Importation du certificat, depuis la section Emplacement de stockage sélectionner la valeur Ordinateur local1 et appuyer sur le bouton Suivant2.
    CERTIFICAT IMPORT EMPLACEMENT STOCKAGE.png
  4. Depuis l’Assistant Importation du certificat, sélectionner l’option Placer tous les certificats dans le magasin suivant1 puis cliquer sur le bouton Parcourir2:
    CERTIFICAT IMPORT MAGASIN.png
  5. Depuis la boîte de dialogue Sélectionner un magasin de certificats, choisir le dossier Personnel1 puis cliquer sur le bouton OK2.
    CERTIFICAT IMPORT MAGASIN CHOIX.png
  6. De retour sur l’Assistant Importation du certificat, cliquer sur le bouton Suivant .
  7. À l’étape Fin de l’Assistant Importation du certificat, cliquer sur le bouton Terminer.
    CERTIFICAT IMPORT TERMINER.png

Configuration du serveur web Microsoft IIS

Activer la protection étendue et désactiver le protocole http

Ce paramètre permet de se prémunir d'une attaque de type "PetitPotam" (attaque de relais NTLM classique). Pour de plus amples informations, vous pouvez consulter le correctif KB5005413 publié par Microsoft le 23 juillet 2021.

  1. Accéder à la console Gestionnaire des services Internet (IIS) :
    1. Depuis la console Gestionnaire de serveur, cliquer sur l'item IIS1 présent sur le menu vertical de gauche.
    2. Effectuer un clic droit sur le serveur présent dans la liste puis cliquer sur Gestionnaire des services Internet (IIS)2.
      GESTIONNAIREDESERVEUR IIS.png
  2. Le Gestionnaire des services Internet (IIS) s'ouvre. Depuis l'arborescence, accéder à Sites / Default Web Site / CertSrv1. Puis, depuis la Page d'accueil de /CertSrv, double-cliquer sur l'item Authentification2.
    GESTIONNAIREIIS CERTSRV AUTHENTIFICATION BOUTON.png
  3. Depuis la page Authentification, cliquer sur la ligne Authentification Windows1, puis sur le lien Paramètres avancés...2.
    GESTIONNAIREIIS CERTSRV AUTHENTIFICATION AUTH WINDOWS.png
    1. La boîte de dialogue Paramètres avancés s'affiche. Depuis le menu de sélection Protection étendue, sélectionner la valeur Nécessaire, puis cliquer sur le bouton OK pour valider.
      GESTIONNAIREIIS CERTSRV AUTHENTIFICATION AUTH WINDOWS PROTECTION ETENDUE ACTIVATION.png
  4. De retour sur la page Authentification, depuis l'arborescence, accéder à Sites / Default Web site.
  5. Depuis la Page d'accueil de Default Web Site, cliquer sur le lien Redémarrer pour finaliser la prise en charge de la protection étendue par le serveur.
    GESTIONNAIREIIS CERTSRV RESTART.png

Installation du certificat

  1. Accéder à la console Gestionnaire des services Internet (IIS) :
    1. Depuis la console Gestionnaire de serveur, cliquer sur l'item IIS présent sur le menu vertical de gauche.
    2. Effectuer un clic droit sur le serveur présent dans la liste puis cliquer sur Gestionnaire des services Internet (IIS).
      GESTIONNAIREDESERVEUR IIS.png
  2. Le Gestionnaire des services Internet (IIS) s'ouvre. Depuis l'arborescence, accéder à Sites / Default Web Site1. Puis, depuis la Page d'accueil de /CertSrv, cliquer sur le lien Liaisons…2.
    GESTIONNAIREDESERVEUR IIS Default Web Site ACCUEIL LIAISONS.png
  3. Depuis la fenêtre Liaisons de site, cliquer sur le bouton Ajouter….
    GESTIONNAIREDESERVEUR IIS Default Web Site LIAISONS CERTSRV.png
  4. Depuis la fenêtre Ajouter la liaison de site :
    1. Dans le champ Type, sélectionner https1.
    2. Dans le champ Nom de l’hôte, laisser la valeur Toutes non attribuées2.
      GESTIONNAIREDESERVEUR IIS Default Web Site LIAISONS AJOUTER CERTSRV.png
  5. À côté du champ Certificat SSL, cliquer sur le bouton Sélectionner….
  6. Depuis la fenêtre Sélectionner le certificat, parmi la liste des certificats présenté, sélectionner le certificat importé à l’étape Importation du certificat puis cliquer sur le bouton OK.
    GESTIONNAIREDESERVEUR IIS Default Web Site SELECTIONNER CERTIFICAT CERTSRV.png
  7. De retour sur le fenêtre Ajouter la liaison de site, cliquer sur le bouton OK pour valider les paramètres.
    GESTIONNAIREDESERVEUR IIS Default Web Site LIAISONS AJOUTER CERTSRV FIN.png
  8. Depuis la fenêtre Liaisons de sites, cliquer sur le bouton Fermer.
    GESTIONNAIREDESERVEUR IIS Default Web Site LIAISONS FIN.png
  9. Depuis le Gestionnaire des services Internet (IIS), cliquer sur le site Default Web Site. Puis, depuis la Page d'accueil de /CertSrv, double-cliquer sur l'item Paramètres SSL2.
    GESTIONNAIREIIS CERTSRV PARAMETRES SSL BOUTON.png
  10. Depuis la page Paramètres SSL, activer l'option Exiger SSL1 puis cliquer sur le lien Appliquer2.
    GESTIONNAIREIIS CERTSRV PARAMETRES SSL EXIGER SSL.png
  11. Depuis le Gestionnaire des services Internet (IIS), cliquer sur le site Default Web Site.
  12. Depuis le menu horizontal à droite de la fenêtre, cliquer sur le lien Redémarrer.
    GESTIONNAIREDESERVEUR IIS Default Web Site RESTART.png

Suppression de la liaison http

  1. Accéder à la console Gestionnaire des services Internet (IIS) :
    1. Depuis la console Gestionnaire de serveur, cliquer sur l'item IIS1 présent sur le menu vertical de gauche.
    2. Effectuer un clic droit sur le serveur présent dans la liste puis cliquer sur Gestionnaire des services Internet (IIS)2.
      GESTIONNAIREDESERVEUR IIS.png
  2. Le Gestionnaire des services Internet (IIS) s'ouvre. Depuis l'arborescence, accéder à Sites / Default Web Site1. Puis, depuis la Page d'accueil de /CertSrv, cliquer sur le lien Liaisons…2.
    GESTIONNAIREDESERVEUR IIS Default Web Site ACCUEIL LIAISONS.png
  3. Depuis la fenêtre Liaisons de site :
    1. Sélectionner la liaison http1 puis cliquer sur le bouton Supprimer…2.
      GESTIONNAIREDESERVEUR IIS Default Web Site LIAISONS CERTSRV HTTP DELETE.png
    2. Cliquer ensuite sur le bouton Fermer.
  4. Depuis le Gestionnaire des services Internet (IIS), cliquer sur le site Default Web Site.
  5. Depuis le menu horizontal à droite de la fenêtre, cliquer sur le lien Redémarrer.
    GESTIONNAIREDESERVEUR IIS Default Web Site RESTART.png