Exemple de déploiement pas à pas des certificats PKI pour Configuration Manager : Autorité de certification Windows Server 2008
S’applique à : Gestionnaire de Configuration (branche actuelle)
Cet exemple de déploiement pas à pas, qui utilise une autorité de certification Windows Server 2008, comporte des procédures qui vous montrent comment créer et déployer les certificats d’infrastructure à clé publique (PKI) que Configuration Manager utilise. Ces procédures utilisent une autorité de certification d’entreprise et des modèles de certificat. Les étapes sont appropriées pour un réseau de test uniquement, comme preuve de concept.
Étant donné qu’il n’existe aucune méthode de déploiement unique pour les certificats requis, consultez votre documentation de déploiement PKI particulière pour connaître les procédures requises et les meilleures pratiques pour déployer les certificats requis pour un environnement de production. Pour plus d’informations sur les conditions requises pour les certificats, consultez Configuration requise pour les certificats PKI pour Configuration Manager.
Conseil
Vous pouvez adapter les instructions de cette rubrique pour les systèmes d’exploitation qui ne sont pas documentés dans la section Tester la configuration réseau requise. Toutefois, si vous exécutez l’autorité de certification émettrice sur Windows Server 2012, vous n’êtes pas invité à entrer la version du modèle de certificat. Au lieu de cela, spécifiez cette option sous l’onglet Compatibilité des propriétés du modèle :
-
Autorité de certification : Windows Server 2003
- Destinataire du certificat : Windows XP /Server 2003
Tester la configuration réseau requise
Les instructions pas à pas présentent les conditions suivantes :
Le réseau de test s’exécute services de domaine Active Directory avec Windows Server 2008, et il est installé en tant que domaine unique, forêt unique.
Vous disposez d’un serveur membre exécutant Windows Server 2008 Êdition Entreprise, sur lequel le rôle Services de certificats Active Directory est installé, et il est configuré en tant qu’autorité de certification racine d’entreprise.
Vous avez un ordinateur sur lequel Windows Server 2008 (Standard Edition ou Êdition Entreprise, R2 ou version ultérieure) est installé sur celui-ci, cet ordinateur est désigné en tant que serveur membre et internet Information Services (IIS) est installé sur celui-ci. Cet ordinateur sera le serveur de système de site Configuration Manager que vous allez configurer avec un nom de domaine complet (FQDN) intranet pour prendre en charge les connexions client sur l’intranet et un nom de domaine complet Internet si vous devez prendre en charge des appareils mobiles inscrits par Configuration Manager et des clients sur Internet.
Vous disposez d’un client Windows Vista sur lequel le dernier Service Pack est installé, et cet ordinateur est configuré avec un nom d’ordinateur qui comprend des caractères ASCII et est joint au domaine. Cet ordinateur sera un ordinateur client Configuration Manager.
Vous pouvez vous connecter avec un compte d’administrateur de domaine racine ou un compte d’administrateur de domaine d’entreprise et utiliser ce compte pour toutes les procédures de cet exemple de déploiement.
Vue d’ensemble des certificats
Le tableau suivant répertorie les types de certificats PKI qui peuvent être requis pour Configuration Manager et décrit comment ils sont utilisés.
Conditions requises pour le certificat | Description du certificat |
---|---|
Certificat de serveur web pour les systèmes de site qui exécutent IIS | Ce certificat est utilisé pour chiffrer les données et authentifier le serveur auprès des clients. Il doit être installé en externe à partir de Configuration Manager sur des serveurs de systèmes de site qui exécutent Internet Information Services (IIS) et qui sont configurés dans Configuration Manager pour utiliser HTTPS. Pour connaître les étapes de configuration et d’installation de ce certificat, consultez Déployer le certificat de serveur web pour les systèmes de site qui exécutent IIS dans cette rubrique. |
Certificat de service permettant aux clients de se connecter à des points de distribution cloud | Pour connaître les étapes de configuration et d’installation de ce certificat, consultez Déployer le certificat de service pour les points de distribution cloud dans cette rubrique. Important: Ce certificat est utilisé conjointement avec le certificat de gestion Windows Azure. Pour plus d’informations sur le certificat de gestion, consultez Comment créer un certificat de gestion et Comment ajouter un certificat de gestion à un abonnement Windows Azure. |
Certificat client pour les ordinateurs Windows | Ce certificat est utilisé pour authentifier Configuration Manager ordinateurs clients auprès des systèmes de site configurés pour utiliser HTTPS. Il peut également être utilisé pour les points de gestion et les points de migration d’état afin de surveiller leur état opérationnel lorsqu’ils sont configurés pour utiliser HTTPS. Il doit être installé en externe à partir de Configuration Manager sur les ordinateurs. Pour connaître les étapes de configuration et d’installation de ce certificat, consultez Déployer le certificat client pour les ordinateurs Windows dans cette rubrique. |
Certificat client pour les points de distribution | Ce certificat a deux objectifs : Le certificat est utilisé pour authentifier le point de distribution auprès d’un point de gestion compatible HTTPS avant que le point de distribution n’envoie des messages d’état. Lorsque l’option Activer la prise en charge PXE pour le point de distribution des clients est sélectionnée, le certificat est envoyé aux ordinateurs qui démarrent PXE afin qu’ils puissent se connecter à un point de gestion compatible HTTPS pendant le déploiement du système d’exploitation. Pour connaître les étapes de configuration et d’installation de ce certificat, consultez Déployer le certificat client pour les points de distribution dans cette rubrique. |
Certificat d’inscription pour les appareils mobiles | Ce certificat est utilisé pour authentifier Configuration Manager clients d’appareils mobiles auprès des systèmes de site configurés pour utiliser HTTPS. Il doit être installé dans le cadre de l’inscription des appareils mobiles dans Configuration Manager, et vous choisissez le modèle de certificat configuré comme paramètre client d’appareil mobile. Pour connaître les étapes de configuration de ce certificat, consultez Déployer le certificat d’inscription pour les appareils mobiles dans cette rubrique. |
Certificat client pour les ordinateurs Mac | Vous pouvez demander et installer ce certificat à partir d’un ordinateur Mac lorsque vous utilisez Configuration Manager inscription et que vous choisissez le modèle de certificat configuré comme paramètre client d’appareil mobile. Pour connaître les étapes de configuration de ce certificat, consultez Déployer le certificat client pour les ordinateurs Mac dans cette rubrique. |
Déployer le certificat de serveur web pour les systèmes de site qui exécutent IIS
Ce déploiement de certificat comporte les procédures suivantes :
Créer et émettre le modèle de certificat de serveur web sur l’autorité de certification
Demander le certificat de serveur web
Configurer IIS pour utiliser le certificat de serveur web
Créer et émettre le modèle de certificat de serveur web sur l’autorité de certification
Cette procédure crée un modèle de certificat pour Configuration Manager systèmes de site et l’ajoute à l’autorité de certification.
Pour créer et émettre le modèle de certificat de serveur web sur l’autorité de certification
Créez un groupe de sécurité nommé Serveurs IIS ConfigMgr avec les serveurs membres à installer Configuration Manager systèmes de site qui exécuteront IIS.
Sur le serveur membre sur lequel les services de certificats sont installés, dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console Modèles de certificats.
Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui contient Serveur web dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.
Dans la boîte de dialogue Dupliquer le modèle, vérifiez que Windows 2003 Server, Êdition Entreprise est sélectionné, puis choisissez OK.
Importante
Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.
Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle, tel que Certificat de serveur web ConfigMgr, pour générer les certificats web qui seront utilisés sur Configuration Manager systèmes de site.
Choisissez l’onglet Nom de l’objet et assurez-vous que l’option Fournir dans la demande est sélectionnée.
Choisissez l’onglet Sécurité , puis supprimez l’autorisation Inscrire des groupes de sécurité Administrateurs de domaine et Administrateurs d’entreprise .
Choisissez Ajouter, entrez Serveurs IIS ConfigMgr dans la zone de texte, puis choisissez OK.
Choisissez l’autorisation Inscrire pour ce groupe et n’effacez pas l’autorisation Lecture .
Choisissez OK, puis fermez la console Modèles de certificats.
Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à émettre.
Dans la boîte de dialogue Activer les modèles de certificat , choisissez le nouveau modèle que vous venez de créer, Certificat de serveur web ConfigMgr, puis choisissez OK.
Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.
Demander le certificat de serveur web
Cette procédure vous permet de spécifier les valeurs de nom de domaine complet intranet et Internet qui seront configurées dans les propriétés du serveur de système de site, puis d’installer le certificat de serveur web sur le serveur membre qui exécute IIS.
Pour demander le certificat de serveur web
Redémarrez le serveur membre qui exécute IIS pour vous assurer que l’ordinateur peut accéder au modèle de certificat que vous avez créé à l’aide des autorisations Lecture et Inscription que vous avez configurées.
Choisissez Démarrer, Exécuter, puis tapez mmc.exe. Dans la console vide, choisissez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , choisissez Certificats dans la liste des composants logiciels enfichables disponibles, puis ajouter.
Dans la boîte de dialogue Composant logiciel enfichable Certificat , choisissez Compte d’ordinateur, puis Suivant.
Dans la boîte de dialogue Sélectionner un ordinateur , vérifiez que l’option Ordinateur local : (l’ordinateur sur lequel cette console s’exécute) est sélectionnée, puis choisissez Terminer.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , choisissez OK.
Dans la console, développez Certificats (ordinateur local), puis choisissez Personnel.
Cliquez avec le bouton droit sur Certificats, choisissez Toutes les tâches, puis choisissez Demander un nouveau certificat.
Dans la page Avant de commencer , choisissez Suivant.
Si vous voyez la page Sélectionner une stratégie d’inscription de certificat , choisissez Suivant.
Dans la page Demander des certificats , identifiez le certificat de serveur web ConfigMgr dans la liste des certificats disponibles, puis choisissez Plus d’informations sont requises pour s’inscrire à ce certificat. Cliquez ici pour configurer les paramètres.
Dans la boîte de dialogue Propriétés du certificat , sous l’onglet Objet , n’apportez aucune modification au nom de l’objet. Cela signifie que la zone Valeur de la section Nom de l’objet reste vide. Au lieu de cela, dans la section Autre nom , choisissez la liste déroulante Type , puis DNS.
Dans la zone Valeur, spécifiez les valeurs de nom de domaine complet que vous allez spécifier dans les propriétés du système de site Configuration Manager, puis choisissez OK pour fermer la boîte de dialogue Propriétés du certificat.
Exemples :
Si le système de site accepte uniquement les connexions clientes à partir de l’intranet et que le nom de domaine complet intranet du serveur de système de site est server1.internal.contoso.com, entrez server1.internal.contoso.com, puis choisissez Ajouter.
Si le système de site accepte les connexions client à partir de l’intranet et d’Internet, et que le nom de domaine complet intranet du serveur de système de site est server1.internal.contoso.com et que le nom de domaine complet Internet du serveur de système de site est server.contoso.com :
Entrez server1.internal.contoso.com, puis choisissez Ajouter.
Entrez server.contoso.com, puis choisissez Ajouter.
Remarque
Vous pouvez spécifier les noms de domaine complets pour Configuration Manager dans n’importe quel ordre. Toutefois, vérifiez que tous les appareils qui utiliseront le certificat, tels que les appareils mobiles et les serveurs web proxy, peuvent utiliser un autre nom d’objet du certificat (SAN) et plusieurs valeurs dans le SAN. Si les appareils ont une prise en charge limitée des valeurs SAN dans les certificats, vous devrez peut-être modifier l’ordre des noms de domaine complets ou utiliser la valeur Subject à la place.
Dans la page Demander des certificats , choisissez Certificat de serveur web ConfigMgr dans la liste des certificats disponibles, puis inscrire.
Dans la page Résultats de l’installation des certificats , attendez que le certificat soit installé, puis choisissez Terminer.
Fermez Certificats (ordinateur local).
Configurer IIS pour utiliser le certificat de serveur web
Cette procédure lie le certificat installé au site web IIS par défaut.
Pour configurer IIS afin d’utiliser le certificat de serveur web
Sur le serveur membre sur lequel IIS est installé, choisissez Démarrer, Programmes, Outils d’administration, puis Gestionnaire des services Internet (IIS).
Développez Sites, cliquez avec le bouton droit sur Site web par défaut, puis choisissez Modifier les liaisons.
Choisissez l’entrée https, puis modifier.
Dans la boîte de dialogue Modifier la liaison de site , sélectionnez le certificat que vous avez demandé à l’aide du modèle Certificats de serveur web ConfigMgr, puis choisissez OK.
Remarque
Si vous ne savez pas quel est le certificat approprié, choisissez-en un, puis choisissez Afficher. Cela vous permet de comparer les détails du certificat sélectionné aux certificats dans le composant logiciel enfichable Certificats. Par exemple, le composant logiciel enfichable Certificats affiche le modèle de certificat utilisé pour demander le certificat. Vous pouvez ensuite comparer l’empreinte du certificat demandé à l’aide du modèle Certificats de serveur web ConfigMgr à l’empreinte numérique du certificat actuellement sélectionné dans la boîte de dialogue Modifier la liaison de site .
Choisissez OK dans la boîte de dialogue Modifier la liaison de site, puis choisissez Fermer.
Fermez le Gestionnaire des services Internet (IIS).
Le serveur membre est maintenant configuré avec un certificat de serveur web Configuration Manager.
Importante
Lorsque vous installez le serveur de système de site Configuration Manager sur cet ordinateur, veillez à spécifier les mêmes noms de domaine complets dans les propriétés du système de site que vous avez spécifiés lorsque vous avez demandé le certificat.
Déployer le certificat de service pour les points de distribution cloud
Ce déploiement de certificat comporte les procédures suivantes :
Créer et émettre un modèle de certificat de serveur web personnalisé sur l’autorité de certification
Exporter le certificat de serveur web personnalisé pour les points de distribution cloud
Créer et émettre un modèle de certificat de serveur web personnalisé sur l’autorité de certification
Cette procédure crée un modèle de certificat personnalisé basé sur le modèle de certificat de serveur web. Le certificat est destiné à Configuration Manager points de distribution cloud et la clé privée doit être exportable. Une fois le modèle de certificat créé, il est ajouté à l’autorité de certification.
Remarque
Cette procédure utilise un modèle de certificat différent du modèle de certificat de serveur web que vous avez créé pour les systèmes de site qui exécutent IIS. Bien que les deux certificats nécessitent la fonctionnalité d’authentification du serveur, le certificat pour les points de distribution cloud vous oblige à entrer une valeur définie sur mesure pour le nom de l’objet et que la clé privée doit être exportée. En tant que bonne pratique de sécurité, ne configurez pas de modèles de certificat afin que la clé privée puisse être exportée, sauf si cette configuration est requise. Le point de distribution cloud nécessite cette configuration, car vous devez importer le certificat en tant que fichier, au lieu de le choisir dans le magasin de certificats.
Lorsque vous créez un modèle de certificat pour ce certificat, vous pouvez restreindre les ordinateurs qui peuvent demander un certificat dont la clé privée peut être exportée. Sur un réseau de production, vous pouvez également envisager d’ajouter les modifications suivantes pour ce certificat :
- Exiger l’approbation pour installer le certificat pour une sécurité supplémentaire.
- Augmentez la période de validité du certificat. Étant donné que vous devez exporter et importer le certificat chaque fois avant son expiration, une augmentation de la période de validité réduit la fréquence à laquelle vous devez répéter cette procédure. Toutefois, une augmentation de la période de validité réduit également la sécurité du certificat, car elle donne plus de temps à un attaquant pour déchiffrer la clé privée et voler le certificat.
- Utilisez une valeur personnalisée dans l’autre nom de l’objet du certificat (SAN) pour identifier ce certificat à partir des certificats de serveur web standard que vous utilisez avec IIS.
Pour créer et émettre le modèle de certificat de serveur web personnalisé sur l’autorité de certification
Créez un groupe de sécurité nommé Serveurs de site ConfigMgr avec les serveurs membres à installer Configuration Manager serveurs de site principaux qui géreront les points de distribution cloud.
Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.
Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui contient Serveur web dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.
Dans la boîte de dialogue Dupliquer le modèle, vérifiez que Windows 2003 Server, Êdition Entreprise est sélectionné, puis choisissez OK.
Importante
Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.
Dans la boîte de dialogue Propriétés du nouveau modèle , sous l’onglet Général , entrez un nom de modèle, tel que ConfigMgr Cloud-Based Certificat de point de distribution, pour générer le certificat de serveur web pour les points de distribution cloud.
Choisissez l’onglet Gestion des demandes, puis autoriser l’exportation de la clé privée.
Choisissez l’onglet Sécurité , puis supprimez l’autorisation Inscrire du groupe de sécurité Administrateurs d’entreprise .
Choisissez Ajouter, entrez Serveurs de site ConfigMgr dans la zone de texte, puis choisissez OK.
Sélectionnez l’autorisation Inscrire pour ce groupe et n’effacez pas l’autorisation Lecture .
Choisissez l’onglet Chiffrement et vérifiez que Taille de clé minimale a été définie sur 2048.
Choisissez OK, puis fermez la console des modèles de certificats.
Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à émettre.
Dans la boîte de dialogue Activer les modèles de certificat , choisissez le nouveau modèle que vous venez de créer, ConfigMgr Cloud-Based Certificat de point de distribution, puis choisissez OK.
Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.
Demander le certificat de serveur web personnalisé
Cette procédure demande, puis installe le certificat de serveur web personnalisé sur le serveur membre qui exécutera le serveur de site.
Pour demander le certificat de serveur web personnalisé
Redémarrez le serveur membre après avoir créé et configuré le groupe de sécurité Serveurs de site ConfigMgr pour vous assurer que l’ordinateur peut accéder au modèle de certificat que vous avez créé à l’aide des autorisations Lecture et Inscription que vous avez configurées.
Choisissez Démarrer, Exécuter, puis entrez mmc.exe. Dans la console vide, choisissez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , choisissez Certificats dans la liste des composants logiciels enfichables disponibles, puis ajouter.
Dans la boîte de dialogue Composant logiciel enfichable Certificat , choisissez Compte d’ordinateur, puis Suivant.
Dans la boîte de dialogue Sélectionner un ordinateur , vérifiez que l’option Ordinateur local : (l’ordinateur sur lequel cette console s’exécute) est sélectionnée, puis choisissez Terminer.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , choisissez OK.
Dans la console, développez Certificats (ordinateur local), puis choisissez Personnel.
Cliquez avec le bouton droit sur Certificats, choisissez Toutes les tâches, puis choisissez Demander un nouveau certificat.
Dans la page Avant de commencer , choisissez Suivant.
Si vous voyez la page Sélectionner une stratégie d’inscription de certificat , choisissez Suivant.
Dans la page Demander des certificats , identifiez le Certificat de point de distribution configMgr Cloud-Based dans la liste des certificats disponibles, puis choisissez Plus d’informations sont requises pour l’inscription à ce certificat. Cliquez ici pour configurer les paramètres.
Dans la boîte de dialogue Propriétés du certificat , sous l’onglet Objet , pour nom de l’objet, choisissez Nom commun comme Type.
Dans la zone Valeur , spécifiez le nom de service et le nom de domaine de votre choix à l’aide d’un format de nom de domaine complet. Par exemple : clouddp1.contoso.com.
Remarque
Rendez le nom du service unique dans votre espace de noms. Vous allez utiliser DNS pour créer un alias (enregistrement CNAME) afin de mapper ce nom de service à un identificateur généré automatiquement (GUID) et à une adresse IP à partir de Windows Azure.
Choisissez Ajouter, puis OK pour fermer la boîte de dialogue Propriétés du certificat .
Dans la page Demander des certificats , choisissez ConfigMgr Cloud-Based Certificat de point de distribution dans la liste des certificats disponibles, puis choisissez Inscrire.
Dans la page Résultats de l’installation des certificats , attendez que le certificat soit installé, puis choisissez Terminer.
Fermez Certificats (ordinateur local).
Exporter le certificat de serveur web personnalisé pour les points de distribution cloud
Cette procédure exporte le certificat de serveur web personnalisé dans un fichier, afin qu’il puisse être importé lorsque vous créez le point de distribution cloud.
Pour exporter le certificat de serveur web personnalisé pour les points de distribution cloud
Dans la console Certificats (ordinateur local), cliquez avec le bouton droit sur le certificat que vous venez d’installer, choisissez Toutes les tâches, puis Exporter.
Dans l’Assistant Exportation de certificats, choisissez Suivant.
Dans la page Exporter la clé privée, choisissez Oui, exporter la clé privée, puis suivant.
Remarque
Si cette option n’est pas disponible, le certificat a été créé sans l’option d’exportation de la clé privée. Dans ce scénario, vous ne pouvez pas exporter le certificat au format requis. Vous devez configurer le modèle de certificat afin que la clé privée puisse être exportée, puis demander à nouveau le certificat.
Dans la page Format d’exportation du fichier , vérifiez que l’échange d’informations personnelles - PKCS #12 (. L’option PFX) est sélectionnée.
Dans la page Mot de passe , spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis choisissez Suivant.
Dans la page Fichier à exporter , spécifiez le nom du fichier à exporter, puis choisissez Suivant.
Pour fermer l’Assistant, choisissez Terminer dans la page Assistant Exportation de certificat , puis choisissez OK dans la boîte de dialogue de confirmation.
Fermez Certificats (ordinateur local).
Stockez le fichier en toute sécurité et assurez-vous que vous pouvez y accéder à partir de la console Configuration Manager.
Le certificat est maintenant prêt à être importé lorsque vous créez un point de distribution cloud.
Déployer le certificat client pour les ordinateurs Windows
Ce déploiement de certificat comporte les procédures suivantes :
Créer et émettre le modèle de certificat Authentification de station de travail sur l’autorité de certification
Configurer l’inscription automatique du modèle d’authentification de station de travail à l’aide de stratégie de groupe
Inscrire automatiquement le certificat d’authentification de station de travail et vérifier son installation sur les ordinateurs
Créer et émettre le modèle de certificat Authentification de station de travail sur l’autorité de certification
Cette procédure crée un modèle de certificat pour Configuration Manager ordinateurs clients et l’ajoute à l’autorité de certification.
Pour créer et émettre le modèle de certificat Authentification de station de travail sur l’autorité de certification
Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.
Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui contient Authentification de station de travail dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.
Dans la boîte de dialogue Dupliquer le modèle, vérifiez que Windows 2003 Server, Êdition Entreprise est sélectionné, puis choisissez OK.
Importante
Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.
Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle, tel que Certificat client ConfigMgr, pour générer les certificats clients qui seront utilisés sur Configuration Manager ordinateurs clients.
Choisissez l’onglet Sécurité , sélectionnez le groupe Ordinateurs de domaine , puis sélectionnez les autorisations supplémentaires de Lecture et inscription automatique. Ne désactivez pas Inscrire.
Choisissez OK, puis fermez la console des modèles de certificats.
Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à émettre.
Dans la boîte de dialogue Activer les modèles de certificat , choisissez le nouveau modèle que vous venez de créer, Certificat client ConfigMgr, puis choisissez OK.
Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.
Configurer l’inscription automatique du modèle d’authentification de station de travail à l’aide de stratégie de groupe
Cette procédure configure stratégie de groupe pour inscrire automatiquement le certificat client sur les ordinateurs.
Pour configurer l’inscription automatique du modèle d’authentification de station de travail à l’aide de stratégie de groupe
Sur le contrôleur de domaine, choisissez Démarrer, Outils d’administration, puis stratégie de groupe Gestion.
Accédez à votre domaine, cliquez avec le bouton droit sur le domaine, puis choisissez Créer un objet de stratégie de groupe dans ce domaine, puis liez-le ici.
Remarque
Cette étape utilise la meilleure pratique qui consiste à créer un stratégie de groupe pour les paramètres personnalisés au lieu de modifier la stratégie de domaine par défaut installée avec services de domaine Active Directory. Lorsque vous attribuez cette stratégie de groupe au niveau du domaine, vous l’appliquez à tous les ordinateurs du domaine. Dans un environnement de production, vous pouvez restreindre l’inscription automatique afin qu’elle s’inscrive uniquement sur les ordinateurs sélectionnés. Vous pouvez affecter le stratégie de groupe au niveau de l’unité d’organisation, ou vous pouvez filtrer le domaine stratégie de groupe avec un groupe de sécurité afin qu’il s’applique uniquement aux ordinateurs du groupe. Si vous limitez l’inscription automatique, n’oubliez pas d’inclure le serveur configuré comme point de gestion.
Dans la boîte de dialogue Nouvel objet de stratégie de groupe, entrez un nom, tel que Certificats d’inscription automatique, pour le nouveau stratégie de groupe, puis choisissez OK.
Dans le volet de résultats, sous l’onglet Objets stratégie de groupe liés, cliquez avec le bouton droit sur la nouvelle stratégie de groupe, puis choisissez Modifier.
Dans l’Éditeur de gestion stratégie de groupe, développez Stratégies sous Configuration de l’ordinateur, puis accédez à Paramètres / WindowsParamètres sécurité Stratégies / de clé publique.
Cliquez avec le bouton droit sur le type d’objet nommé Certificate Services Client - Auto-enrollment, puis choisissez Propriétés.
Dans la liste déroulante Modèle de configuration , choisissez Activé, renouveler les certificats expirés, mettre à jour les certificats en attente, supprimer les certificats révoqués, mettre à jour les certificats qui utilisent des modèles de certificats, puis ok.
Fermez stratégie de groupe Management.
Inscrire automatiquement le certificat d’authentification de station de travail et vérifier son installation sur les ordinateurs
Cette procédure installe le certificat client sur les ordinateurs et vérifie l’installation.
Pour inscrire automatiquement le certificat d’authentification de station de travail et vérifier son installation sur l’ordinateur client
Redémarrez l’ordinateur de la station de travail et attendez quelques minutes avant de vous connecter.
Remarque
Le redémarrage d’un ordinateur est la méthode la plus fiable pour garantir la réussite de l’inscription automatique des certificats.
Connectez-vous avec un compte disposant de privilèges administratifs.
Dans la zone de recherche, entrez mmc.exe,puisappuyez sur Entrée.
Dans la console de gestion vide, choisissez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , choisissez Certificats dans la liste des composants logiciels enfichables disponibles, puis ajouter.
Dans la boîte de dialogue Composant logiciel enfichable Certificat , choisissez Compte d’ordinateur, puis Suivant.
Dans la boîte de dialogue Sélectionner un ordinateur , vérifiez que l’option Ordinateur local : (l’ordinateur sur lequel cette console s’exécute) est sélectionnée, puis choisissez Terminer.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , choisissez OK.
Dans la console, développez Certificats (ordinateur local),Personnel, puis choisissez Certificats.
Dans le volet de résultats, vérifiez qu’un certificat dispose de l’authentification du client dans la colonne Objectif et que Le certificat client ConfigMgr se trouve dans la colonne Modèle de certificat .
Fermez Certificats (ordinateur local).
Répétez les étapes 1 à 11 pour le serveur membre afin de vérifier que le serveur qui sera configuré en tant que point de gestion dispose également d’un certificat client.
L’ordinateur est maintenant configuré avec un certificat client Configuration Manager.
Déployer le certificat client pour les points de distribution
Remarque
Ce certificat peut également être utilisé pour les images multimédias qui n’utilisent pas le démarrage PXE, car les exigences de certificat sont identiques.
Ce déploiement de certificat comporte les procédures suivantes :
Créer et émettre un modèle de certificat d’authentification de station de travail personnalisé sur l’autorité de certification
Demander le certificat d’authentification de station de travail personnalisé
Exporter le certificat client pour les points de distribution
Créer et émettre un modèle de certificat d’authentification de station de travail personnalisé sur l’autorité de certification
Cette procédure crée un modèle de certificat personnalisé pour Configuration Manager points de distribution afin que la clé privée puisse être exportée et ajoute le modèle de certificat à l’autorité de certification.
Remarque
Cette procédure utilise un modèle de certificat différent du modèle de certificat que vous avez créé pour les ordinateurs clients. Bien que les deux certificats nécessitent une fonctionnalité d’authentification client, le certificat pour les points de distribution exige que la clé privée soit exportée. En guise de bonne pratique de sécurité, ne configurez pas de modèles de certificat afin que la clé privée puisse être exportée, sauf si cette configuration est requise. Le point de distribution nécessite cette configuration, car vous devez importer le certificat en tant que fichier au lieu de le choisir dans le magasin de certificats.
Lorsque vous créez un modèle de certificat pour ce certificat, vous pouvez restreindre les ordinateurs qui peuvent demander un certificat dont la clé privée peut être exportée. Dans notre exemple de déploiement, il s’agit du groupe de sécurité que vous avez créé précédemment pour Configuration Manager serveurs de système de site qui exécutent IIS. Sur un réseau de production qui distribue les rôles de système de site IIS, envisagez de créer un groupe de sécurité pour les serveurs qui exécutent des points de distribution afin de pouvoir limiter le certificat à ces serveurs de système de site. Vous pouvez également envisager d’ajouter les modifications suivantes pour ce certificat :
- Exiger l’approbation pour installer le certificat pour une sécurité supplémentaire.
- Augmentez la période de validité du certificat. Étant donné que vous devez exporter et importer le certificat chaque fois avant son expiration, une augmentation de la période de validité réduit la fréquence à laquelle vous devez répéter cette procédure. Toutefois, une augmentation de la période de validité réduit également la sécurité du certificat, car elle donne plus de temps à un attaquant pour déchiffrer la clé privée et voler le certificat.
- Utilisez une valeur personnalisée dans le champ Objet du certificat ou Autre nom de l’objet (SAN) pour identifier ce certificat à partir des certificats clients standard. Cela peut être particulièrement utile si vous utilisez le même certificat pour plusieurs points de distribution.
Pour créer et émettre le modèle de certificat d’authentification de station de travail personnalisé sur l’autorité de certification
Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.
Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui contient Authentification de station de travail dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.
Dans la boîte de dialogue Dupliquer le modèle, vérifiez que Windows 2003 Server, Êdition Entreprise est sélectionné, puis choisissez OK.
Importante
Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.
Dans la boîte de dialogue Propriétés du nouveau modèle , sous l’onglet Général , entrez un nom de modèle, tel que Certificat de point de distribution client ConfigMgr, pour générer le certificat d’authentification client pour les points de distribution.
Choisissez l’onglet Gestion des demandes, puis autoriser l’exportation de la clé privée.
Choisissez l’onglet Sécurité , puis supprimez l’autorisation Inscrire du groupe de sécurité Administrateurs d’entreprise .
Choisissez Ajouter, entrez Serveurs IIS ConfigMgr dans la zone de texte, puis choisissez OK.
Sélectionnez l’autorisation Inscrire pour ce groupe et n’effacez pas l’autorisation Lecture .
Choisissez OK, puis fermez la console des modèles de certificats.
Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à émettre.
Dans la boîte de dialogue Activer les modèles de certificats , choisissez le nouveau modèle que vous venez de créer, Certificat de point de distribution du client ConfigMgr, puis choisissez OK.
Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.
Demander le certificat d’authentification de station de travail personnalisé
Cette procédure demande, puis installe le certificat client personnalisé sur le serveur membre qui exécute IIS et qui sera configuré en tant que point de distribution.
Pour demander le certificat d’authentification de station de travail personnalisé
Choisissez Démarrer, Exécuter, puis entrez mmc.exe. Dans la console vide, choisissez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , choisissez Certificats dans la liste des composants logiciels enfichables disponibles, puis ajouter.
Dans la boîte de dialogue Composant logiciel enfichable Certificat , choisissez Compte d’ordinateur, puis Suivant.
Dans la boîte de dialogue Sélectionner un ordinateur , vérifiez que l’option Ordinateur local : (l’ordinateur sur lequel cette console s’exécute) est sélectionnée, puis choisissez Terminer.
Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , choisissez OK.
Dans la console, développez Certificats (ordinateur local), puis choisissez Personnel.
Cliquez avec le bouton droit sur Certificats, choisissez Toutes les tâches, puis choisissez Demander un nouveau certificat.
Dans la page Avant de commencer , choisissez Suivant.
Si vous voyez la page Sélectionner une stratégie d’inscription de certificat , choisissez Suivant.
Dans la page Demander des certificats , choisissez Certificat de point de distribution client ConfigMgr dans la liste des certificats disponibles, puis choisissez Inscrire.
Dans la page Résultats de l’installation des certificats , attendez que le certificat soit installé, puis choisissez Terminer.
Dans le volet de résultats, vérifiez qu’un certificat dispose de l’authentification du client dans la colonne Objectif et que Le certificat de point de distribution du client ConfigMgr figure dans la colonne Modèle de certificat .
Ne fermez pas Les certificats (ordinateur local).
Exporter le certificat client pour les points de distribution
Cette procédure exporte le certificat d’authentification de station de travail personnalisé dans un fichier afin qu’il puisse être importé dans les propriétés du point de distribution.
Pour exporter le certificat client pour les points de distribution
Dans la console Certificats (ordinateur local), cliquez avec le bouton droit sur le certificat que vous venez d’installer, choisissez Toutes les tâches, puis Exporter.
Dans l’Assistant Exportation de certificats, choisissez Suivant.
Dans la page Exporter la clé privée, choisissez Oui, exporter la clé privée, puis suivant.
Remarque
Si cette option n’est pas disponible, le certificat a été créé sans l’option d’exportation de la clé privée. Dans ce scénario, vous ne pouvez pas exporter le certificat au format requis. Vous devez configurer le modèle de certificat afin que la clé privée puisse être exportée, puis demander à nouveau le certificat.
Dans la page Format d’exportation du fichier , vérifiez que l’échange d’informations personnelles - PKCS #12 (. L’option PFX) est sélectionnée.
Dans la page Mot de passe , spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis choisissez Suivant.
Dans la page Fichier à exporter , spécifiez le nom du fichier à exporter, puis choisissez Suivant.
Pour fermer l’Assistant, choisissez Terminer dans la page Assistant Exportation de certificat , puis ok dans la boîte de dialogue de confirmation.
Fermez Certificats (ordinateur local).
Stockez le fichier en toute sécurité et assurez-vous que vous pouvez y accéder à partir de la console Configuration Manager.
Le certificat est maintenant prêt à être importé lorsque vous configurez le point de distribution.
Conseil
Vous pouvez utiliser le même fichier de certificat lorsque vous configurez des images multimédias pour un déploiement de système d’exploitation qui n’utilise pas le démarrage PXE, et la séquence de tâches pour installer l’image doit contacter un point de gestion qui nécessite des connexions client HTTPS.
Déployer le certificat d’inscription pour les appareils mobiles
Ce déploiement de certificat a une procédure unique pour créer et émettre le modèle de certificat d’inscription sur l’autorité de certification.
Créer et émettre le modèle de certificat d’inscription sur l’autorité de certification
Cette procédure crée un modèle de certificat d’inscription pour Configuration Manager appareils mobiles et l’ajoute à l’autorité de certification.
Pour créer et émettre le modèle de certificat d’inscription sur l’autorité de certification
Créez un groupe de sécurité avec des utilisateurs qui vont inscrire des appareils mobiles dans Configuration Manager.
Sur le serveur membre sur lequel les services de certificats sont installés, dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.
Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui contient Session authentifiée dans la colonne Nom complet du modèle , puis choisissez Dupliquer le modèle.
Dans la boîte de dialogue Dupliquer le modèle, vérifiez que Windows 2003 Server, Êdition Entreprise est sélectionné, puis choisissez OK.
Importante
Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.
Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle, tel que Certificat d’inscription d’appareil mobile ConfigMgr, pour générer les certificats d’inscription pour les appareils mobiles à gérer par Configuration Manager.
Choisissez l’onglet Nom de l’objet, assurez-vous que l’option Générer à partir de ces informations Active Directory est sélectionnée, sélectionnez Nom commun pour le format de nom d’objet , puis désactivez Nom d’utilisateur principal (UPN) dans Inclure ces informations dans un autre nom d’objet.
Choisissez l’onglet Sécurité , choisissez le groupe de sécurité sur lequel les utilisateurs ont des appareils mobiles à inscrire, puis choisissez l’autorisation supplémentaire Inscrire. N’effacez pas La lecture.
Choisissez OK, puis fermez la console des modèles de certificats.
Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à émettre.
Dans la boîte de dialogue Activer les modèles de certificats , choisissez le nouveau modèle que vous venez de créer, Certificat d’inscription d’appareil mobile ConfigMgr, puis choisissez OK.
Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez la console Autorité de certification.
Le modèle de certificat d’inscription d’appareil mobile est maintenant prêt à être sélectionné lorsque vous configurez un profil d’inscription d’appareil mobile dans les paramètres du client.
Déployer le certificat client pour les ordinateurs Mac
Ce déploiement de certificat a une procédure unique pour créer et émettre le modèle de certificat d’inscription sur l’autorité de certification.
Créer et émettre un modèle de certificat client Mac sur l’autorité de certification
Cette procédure crée un modèle de certificat personnalisé pour Configuration Manager ordinateurs Mac et ajoute le modèle de certificat à l’autorité de certification.
Remarque
Cette procédure utilise un modèle de certificat différent du modèle de certificat que vous avez peut-être créé pour les ordinateurs clients Windows ou pour les points de distribution.
Lorsque vous créez un modèle de certificat pour ce certificat, vous pouvez restreindre la demande de certificat aux utilisateurs autorisés.
Pour créer et émettre le modèle de certificat client Mac sur l’autorité de certification
Créez un groupe de sécurité disposant de comptes d’utilisateur pour les utilisateurs administratifs qui inscrivent le certificat sur l’ordinateur Mac à l’aide de Configuration Manager.
Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.
Dans le volet de résultats, cliquez avec le bouton droit sur l’entrée qui affiche Session authentifiée dans la colonne Nom complet du modèle , puis choisissez Dupliquer le modèle.
Dans la boîte de dialogue Dupliquer le modèle, vérifiez que Windows 2003 Server, Êdition Entreprise est sélectionné, puis choisissez OK.
Importante
Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.
Dans la boîte de dialogue Propriétés du nouveau modèle , sous l’onglet Général , entrez un nom de modèle, tel que Certificat client Mac ConfigMgr, pour générer le certificat client Mac.
Choisissez l’onglet Nom de l’objet, assurez-vous que l’option Générer à partir de ces informations Active Directory est sélectionnée, choisissez Nom commun pour le format de nom d’objet , puis désactivez Nom d’utilisateur principal (UPN) dans Inclure ces informations dans un autre nom d’objet.
Choisissez l’onglet Sécurité , puis supprimez l’autorisation Inscrire des groupes de sécurité Administrateurs de domaine et Administrateurs d’entreprise .
Choisissez Ajouter, spécifiez le groupe de sécurité que vous avez créé à l’étape 1, puis choisissez OK.
Choisissez l’autorisation Inscrire pour ce groupe et n’effacez pas l’autorisation Lecture .
Choisissez OK, puis fermez la console des modèles de certificats.
Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à émettre.
Dans la boîte de dialogue Activer les modèles de certificat , choisissez le nouveau modèle que vous venez de créer, Certificat client Mac ConfigMgr, puis choisissez OK.
Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.
Le modèle de certificat client Mac est maintenant prêt à être sélectionné lorsque vous configurez les paramètres client pour l’inscription.