Créer des profils de certificat

  • Article

S’applique à : Gestionnaire de Configuration (branche actuelle)

Importante

À compter de la version 2203, cette fonctionnalité d’accès aux ressources d’entreprise n’est plus prise en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.

Utilisez des profils de certificat dans Configuration Manager pour approvisionner des appareils gérés avec les certificats dont ils ont besoin pour accéder aux ressources de l’entreprise. Avant de créer des profils de certificat, configurez l’infrastructure de certificat comme décrit dans Configurer l’infrastructure de certificat.

Cet article explique comment créer des profils de certificat racine approuvés et SCEP (Simple Certificate Enrollment Protocol). Si vous souhaitez créer des profils de certificat PFX, consultez Créer des profils de certificat PFX.

Pour créer un profil de certificat :

  1. Démarrez l’Assistant Création d’un profil de certificat.
  2. Fournissez des informations générales sur le certificat.
  3. Configurez un certificat d’autorité de certification approuvée.
  4. Configurez les informations de certificat SCEP.
  5. Spécifiez les plateformes prises en charge pour le profil de certificat.

Démarrer l’Assistant

Pour démarrer La création d’un profil de certificat :

  1. Dans la console Configuration Manager, accédez à l’espace de travail Ressources et conformité, développez Paramètres de conformité, Développez Accès aux ressources de l’entreprise, puis sélectionnez le nœud Profils de certificat.

  2. Sous l’onglet Accueil du ruban, dans le groupe Créer , sélectionnez Créer un profil de certificat.

Général

Dans la page Général de l’Assistant Création d’un profil de certificat, spécifiez les informations suivantes :

  • Nom : entrez un nom unique pour le profil de certificat. Vous pouvez utiliser un maximum de 256 caractères.

  • Description : fournissez une description qui donne une vue d’ensemble du profil de certificat. Incluez également d’autres informations pertinentes qui permettent de l’identifier dans la console Configuration Manager. Vous pouvez utiliser un maximum de 256 caractères.

  • Spécifiez le type de profil de certificat que vous souhaitez créer :

    • Certificat d’autorité de certification approuvée : sélectionnez ce type pour déployer une autorité de certification racine approuvée ou un certificat d’autorité de certification intermédiaire pour former une chaîne de certificats d’approbation lorsque l’utilisateur ou l’appareil doit authentifier un autre appareil. Par exemple, l’appareil peut être un serveur RADIUS (Remote Authentication Dial-In User Service) ou un serveur VPN (Virtual Private Network).

      Configurez également un profil de certificat d’autorité de certification approuvé avant de pouvoir créer un profil de certificat SCEP. Dans ce cas, le certificat d’autorité de certification approuvé doit être pour l’autorité de certification qui émet le certificat à l’utilisateur ou à l’appareil.

    • Paramètres SCEP (Simple Certificate Enrollment Protocol) : sélectionnez ce type pour demander un certificat pour un utilisateur ou un appareil avec le protocole d’inscription de certificat simple et le service de rôle NDES (Network Device Enrollment Service).

    • Paramètres d’échange d’informations personnelles PKCS #12 (PFX) - Importer : sélectionnez cette option pour importer un certificat PFX. Pour plus d’informations, consultez Importer des profils de certificat PFX.

    • Paramètres d’échange d’informations personnelles PKCS #12 (PFX) - Créer : sélectionnez cette option pour traiter les certificats PFX à l’aide d’une autorité de certification. Pour plus d’informations, consultez Créer des profils de certificat PFX.

Certificat d’autorité de certification approuvée

Importante

Avant de créer un profil de certificat SCEP, configurez au moins un profil de certificat d’autorité de certification approuvée.

Une fois le certificat déployé, si vous modifiez l’une de ces valeurs, un nouveau certificat est demandé :

  • Fournisseur de stockage de clés
  • Nom du modèle de certificat
  • Type de certificat
  • Format de nom d’objet
  • Autre nom du sujet
  • Période de validité du certificat
  • Utilisation de la clé
  • Taille de clé
  • Utilisation de la clé étendue
  • Certificat d’autorité de certification racine

  1. Dans la page Certificat d’autorité de certification approuvée de l’Assistant Création d’un profil de certificat, spécifiez les informations suivantes :

    • Fichier de certificat : sélectionnez Importer, puis accédez au fichier de certificat.

    • Magasin de destination : pour les appareils qui ont plusieurs magasins de certificats, sélectionnez l’emplacement où stocker le certificat. Pour les appareils qui n’ont qu’un seul magasin, ce paramètre est ignoré.

  2. Utilisez la valeur Empreinte numérique du certificat pour vérifier que vous avez importé le certificat correct.

Certificats SCEP

1. Serveurs SCEP

Dans la page Serveurs SCEP de l’Assistant Création d’un profil de certificat, spécifiez les URL des serveurs NDES qui émettront des certificats via SCEP. Vous pouvez attribuer automatiquement une URL NDES en fonction de la configuration du point d’enregistrement de certificat ou ajouter manuellement des URL.

2. Inscription SCEP

Complétez la page Inscription SCEP de l’Assistant Création d’un profil de certificat.

  • Nouvelles tentatives : spécifiez le nombre de fois où l’appareil retente automatiquement la demande de certificat auprès du serveur NDES. Ce paramètre prend en charge le scénario dans lequel un responsable d’autorité de certification doit approuver une demande de certificat avant qu’elle ne soit acceptée. Ce paramètre est généralement utilisé pour les environnements à haute sécurité ou si vous disposez d’une autorité de certification émettrice autonome plutôt que d’une autorité de certification d’entreprise. Vous pouvez également utiliser ce paramètre à des fins de test afin de pouvoir inspecter les options de demande de certificat avant que l’autorité de certification émettrice traite la demande de certificat. Utilisez ce paramètre avec le paramètre Délai de nouvelle tentative (minutes).

  • Délai de nouvelle tentative (minutes) : spécifiez l’intervalle, en minutes, entre chaque tentative d’inscription lorsque vous utilisez l’approbation du responsable de l’autorité de certification avant que l’autorité de certification émettrice traite la demande de certificat. Si vous utilisez l’approbation du responsable à des fins de test, spécifiez une valeur faible. Ensuite, vous n’attendez pas longtemps que l’appareil effectue une nouvelle tentative de demande de certificat après avoir approuvé la demande.

    Si vous utilisez l’approbation du responsable sur un réseau de production, spécifiez une valeur supérieure. Ce comportement laisse suffisamment de temps à l’administrateur d’autorité de certification pour approuver ou refuser les approbations en attente.

  • Seuil de renouvellement (%) : spécifiez le pourcentage de la durée de vie du certificat qui reste avant que l’appareil demande le renouvellement du certificat.

  • Fournisseur de stockage de clés (KSP) : spécifiez l’emplacement de stockage de la clé du certificat. Choisissez une des valeurs suivantes :

    • Installer sur le module de plateforme sécurisée (TPM) le cas échéant : installe la clé du module TPM. Si le module TPM n’est pas présent, la clé est installée sur le fournisseur de stockage pour la clé logicielle.

    • Sinon, l’installation sur le module de plateforme sécurisée (TPM) échoue : installe la clé du module TPM. Si le module TPM n’est pas présent, l’installation échoue.

    • Installer sur Windows Hello Entreprise échec dans le cas contraire : cette option est disponible pour les appareils Windows 10 ou ultérieurs. Il vous permet de stocker le certificat dans le magasin Windows Hello Entreprise, qui est protégé par l’authentification multifacteur. Pour plus d’informations, consultez Windows Hello Entreprise.

      Remarque

      Cette option ne prend pas en charge l’ouverture de session par carte à puce pour l’utilisation améliorée de la clé dans la page Propriétés du certificat.

    • Installer sur le fournisseur de stockage de clé logicielle : installe la clé du fournisseur de stockage pour la clé logicielle.

  • Appareils pour l’inscription de certificat : si vous déployez le profil de certificat sur un regroupement d’utilisateurs, autorisez l’inscription de certificat uniquement sur l’appareil principal de l’utilisateur ou sur tout appareil auquel l’utilisateur se connecte.

    Si vous déployez le profil de certificat sur un regroupement d’appareils, autorisez l’inscription de certificat uniquement pour l’utilisateur principal de l’appareil ou pour tous les utilisateurs qui se connectent à l’appareil.

3. Propriétés du certificat

Dans la page Propriétés du certificat de l’Assistant Création d’un profil de certificat, spécifiez les informations suivantes :

  • Nom du modèle de certificat : sélectionnez le nom d’un modèle de certificat que vous avez configuré dans NDES et ajouté à une autorité de certification émettrice. Pour accéder aux modèles de certificat, votre compte d’utilisateur a besoin de l’autorisation Lecture sur le modèle de certificat. Si vous ne pouvez pas rechercher le certificat, tapez son nom.

    Importante

    Si le nom du modèle de certificat contient des caractères non ASCII, le certificat n’est pas déployé. (Un exemple de ces caractères provient de l’alphabet chinois.) Pour vous assurer que le certificat est déployé, commencez par créer une copie du modèle de certificat sur l’autorité de certification. Renommez ensuite la copie à l’aide de caractères ASCII.

    • Si vous recherchez le nom du modèle de certificat, certains champs de la page sont automatiquement renseignés à partir du modèle de certificat. Dans certains cas, vous ne pouvez pas modifier ces valeurs, sauf si vous choisissez un autre modèle de certificat.

    • Si vous tapez le nom du modèle de certificat, assurez-vous que le nom correspond exactement à l’un des modèles de certificat. Il doit correspondre aux noms répertoriés dans le registre du serveur NDES. Veillez à spécifier le nom du modèle de certificat, et non le nom complet du modèle de certificat.

      Pour trouver les noms des modèles de certificat, accédez à la clé de Registre suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Il répertorie les modèles de certificat comme valeurs pour EncryptionTemplate, GeneralPurposeTemplate et SignatureTemplate. Par défaut, la valeur des trois modèles de certificat est IPSECIntermediateOffline, qui correspond au nom complet du modèle IPSec (demande hors connexion).

      Avertissement

      Lorsque vous tapez le nom du modèle de certificat, Configuration Manager ne pouvez pas vérifier le contenu du modèle de certificat. Vous pourrez peut-être sélectionner des options que le modèle de certificat ne prend pas en charge, ce qui peut entraîner l’échec d’une demande de certificat. Lorsque ce comportement se produit, vous verrez un message d’erreur pour w3wp.exe dans le fichier CPR.log que le nom du modèle dans la demande de signature de certificat (CSR) et le défi ne correspondent pas.

      Lorsque vous tapez le nom du modèle de certificat spécifié pour la valeur GeneralPurposeTemplate , sélectionnez les options Chiffrement de clé et Signature numérique pour ce profil de certificat. Si vous souhaitez activer uniquement l’option Chiffrement de clé dans ce profil de certificat, spécifiez le nom du modèle de certificat pour la clé EncryptionTemplate . De même, si vous souhaitez activer uniquement l’option Signature numérique dans ce profil de certificat, spécifiez le nom du modèle de certificat pour la clé SignatureTemplate .

  • Type de certificat : indiquez si vous allez déployer le certificat sur un appareil ou un utilisateur.

  • Format du nom de l’objet : sélectionnez la façon dont Configuration Manager crée automatiquement le nom de l’objet dans la demande de certificat. Si le certificat est destiné à un utilisateur, vous pouvez également inclure l’adresse e-mail de l’utilisateur dans le nom de l’objet.

    Remarque

    Si vous sélectionnez Numéro IMEI ou Numéro de série, vous pouvez différencier les différents appareils appartenant au même utilisateur. Par exemple, ces appareils peuvent partager un nom commun, mais pas un numéro IMEI ou un numéro de série. Si l’appareil ne signale pas de numéro IMEI ou de série, le certificat est émis avec le nom commun.

  • Autre nom de l’objet : spécifiez comment Configuration Manager crée automatiquement les valeurs de l’autre nom de l’objet (SAN) dans la demande de certificat. Par exemple, si vous avez sélectionné un type de certificat utilisateur, vous pouvez inclure le nom d’utilisateur principal (UPN) dans l’autre nom de l’objet. Si le certificat client s’authentifie auprès d’un serveur de stratégie réseau, définissez l’autre nom de l’objet sur l’UPN.

  • Période de validité du certificat : si vous définissez une période de validité personnalisée sur l’autorité de certification émettrice, spécifiez le temps restant avant l’expiration du certificat.

    Conseil

    Définissez une période de validité personnalisée avec la ligne de commande suivante :certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE Pour plus d’informations sur cette commande, consultez Infrastructure de certificats.

    Vous pouvez spécifier une valeur inférieure à la période de validité dans le modèle de certificat spécifié, mais pas supérieure. Par exemple, si la période de validité du certificat dans le modèle de certificat est de deux ans, vous pouvez spécifier une valeur d’un an, mais pas une valeur de cinq ans. La valeur doit également être inférieure à la période de validité restante du certificat de l’autorité de certification émettrice.

  • Utilisation de la clé : spécifiez les options d’utilisation de la clé pour le certificat. Choisissez l'une des options suivantes :

    • Chiffrage de clés: autorisez l’échange de clés uniquement quand la clé est chiffrée.

    • Signature numérique: autorisez l’échange de clés uniquement quand une signature numérique contribue à protéger la clé.

    Si vous avez parcouru un modèle de certificat, vous ne pouvez pas modifier ces paramètres, sauf si vous sélectionnez un autre modèle de certificat.

    Configurez le modèle de certificat sélectionné avec une ou les deux options d’utilisation de clé ci-dessus. Si ce n’est pas le cas, le message suivant s’affiche dans le fichier journal du point d’enregistrement de certificat, Crp.log : L’utilisation de la clé dans csr and challenge ne correspond pas

  • Taille de clé (bits) : sélectionnez la taille de la clé en bits.

  • Utilisation étendue de la clé : ajoutez des valeurs pour l’objectif prévu du certificat. Dans la plupart des cas, le certificat nécessite l’authentification du client afin que l’utilisateur ou l’appareil puisse s’authentifier auprès d’un serveur. Vous pouvez ajouter d’autres utilisations de clé en fonction des besoins.

  • Algorithme de hachage : sélectionnez l’un des types d’algorithmes de hachage disponibles à utiliser avec ce certificat. Permet de sélectionner le niveau le plus élevé de sécurité pris en charge par les appareils se connectant.

    Remarque

    SHA-2 prend en charge SHA-256, SHA-384 et SHA-512. SHA-3 prend uniquement en charge SHA-3.

  • Certificat d’autorité de certification racine : choisissez un profil de certificat d’autorité de certification racine que vous avez précédemment configuré et déployé sur l’utilisateur ou l’appareil. Ce certificat d’autorité de certification doit être le certificat racine de l’autorité de certification qui émettra le certificat que vous configurez dans ce profil de certificat.

    Importante

    Si vous spécifiez un certificat d’autorité de certification racine qui n’est pas déployé sur l’utilisateur ou l’appareil, Configuration Manager ne lancera pas la demande de certificat que vous configurez dans ce profil de certificat.

Plateformes prises en charge

Dans la page Plateformes prises en charge de l’Assistant Création d’un profil de certificat, sélectionnez les versions de système d’exploitation où vous souhaitez installer le profil de certificat. Choisissez Sélectionner tout pour installer le profil de certificat sur tous les systèmes d’exploitation disponibles.

Prochaines étapes

Le nouveau profil de certificat apparaît dans le nœud Profils de certificat de l’espace de travail Ressources et conformité . Il est prêt à être déployé sur des utilisateurs ou des appareils. Pour plus d’informations, consultez Guide pratique pour déployer des profils.