Partager via

Exemple de déploiement pas-à-pas des certificats d'infrastructure à clés publiques requis pour le mode natif de Configuration Manager : Autorité de certification Windows Server 2003

  • Article

Mis à jour: mai 2010

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Cet exemple de déploiement étape par étape, qui utilise une autorité de certification Windows Server 2003, contient des procédures décrivant le processus de création et de déploiement des certificats pour infrastructure à clé publique (PKI) requis par Configuration Manager 2007 pour un fonctionnement en mode natif. Le mode natif offre le niveau de sécurité le plus élevé pour un site Configuration Manager 2007, et il est exigé par la gestion des clients Internet. Pour plus d'informations sur le mode natif dans Configuration Manager, consultez Avantages du mode natif.

Les procédures présentées dans cet exemple font référence à une solution PKI Microsoft, avec une autorité de certification d'entreprise et des modèles de certificats. Les étapes conviennent uniquement à un réseau de test utilisé à des fins de démonstration du concept.

Étant donné qu'il n'existe aucune méthode unique de déploiement des certificats requis, vous devez consulter la documentation de votre déploiement d'infrastructure à clés publiques (PKI) pour prendre connaissance des procédures et des meilleures pratiques liées au déploiement des certificats requis pour votre environnement de production. Pour plus d'informations sur les méthodes de déploiement possibles, consultez Déploiement des certificats d'infrastructure à clés publiques requis pour le mode natif..

Notes

L'utilisation d'une solution PKI Microsoft est recommandée pour la prise en charge de Configuration Manager 2007, mais elle n'est pas obligatoire. Configuration Manager 2007 utilise les certificats PKI standard, prenant en charge la version 3 du format de certificat x.509. Si votre déploiement PKI existant peut créer, déployer et gérer les certificats requis par Configuration Manager 2007 pour le mode natif, vous pouvez utiliser votre infrastructure PKI existante. Pour plus d'informations sur le déploiement, consultez la documentation de votre infrastructure.

Dans cette section

Cet exemple contient les sections suivantes, qui présentent les processus de création et de déploiement des certificats de base requis pour qu'un site Configuration Manager 2007 puisse fonctionner en mode natif pour les connexions intranet :

Configuration requise du réseau de test

Présentation

Déploiement du certificat de signature du serveur de site

Déploiement du certificat de serveur Web

Déploiement du certificat client

Configuration requise du réseau de test

Dans cet exemple, les impératifs de configuration sont les suivants :

  • Le réseau de test exécute les services de domaine Active Directory avec Microsoft Windows Server 2003, et il est installé en tant que domaine unique, dans une forêt unique.

  • Vous disposez d'un contrôleur de domaine qui exécute Windows Server 2003 Enterprise Edition, Service Pack 1, et sur lequel les composants suivants sont installés :

    • Console de gestion des stratégies de groupe

    • Services Internet (IIS)

    • Services de certificats installés en tant qu'autorité de certification racine d'entreprise

    Notes

    Assurez-vous que les Services IIS sont installés avant d'installer les services de certificats pour la configuration de l'inscription Web.

  • Vous disposez d'un ordinateur équipé de Windows Server 2003 (Standard Edition ou Enterprise Edition) Service Pack 1 qui est désigné comme serveur membre et sur lequel les services Internet (IIS) sont installés.

  • Vous disposez d'un client Windows XP Professionnel équipé du dernier Service Pack, et cet ordinateur est configuré avec un nom d'ordinateur incluant des caractères ASCII et est joint au domaine.

  • Vous pouvez ouvrir une session sous un compte d'administrateur de domaine racine ou d'entreprise et utiliser ce compte pour effectuer toutes les procédures présentées dans cet exemple de déploiement.

Notes

La console de gestion des stratégies de groupe (GPMC) est le complément recommandé pour la gestion des stratégies de groupe dans les services de domaine Active Directory. Pour plus d'informations sur la console GPMC et pour télécharger la dernière version du produit, visitez la page Web « Enterprise Management with the Group Policy Management Console » à l'adresse suivante : https://go.microsoft.com/fwlink/?LinkId=79386 (cette page peut être en anglais).

Présentation

Les certificats PKI doivent être installés avant l'installation de Configuration Manager 2007 en mode natif. Cet exemple ne présente pas les procédures d'installation et de configuration de Configuration Manager 2007. En revanche, il présente les étapes permettant de configurer les ordinateurs avec les certificats qui leur sont nécessaires pour fonctionner en mode natif dans Configuration Manager 2007.

Le tableau suivant présente les trois types de certificats PKI requis et décrit leur utilisation dans un site Configuration Manager 2007 en mode natif :

Certificat requis Description du certificat

Certificat de signature du serveur de site

Ce certificat est installé sur le serveur qui sera le serveur de site Configuration Manager 2007. Il permet de signer les stratégies de clients.

Certificat de serveur Web

Ce certificat est installé sur les serveurs qui seront des systèmes de site Configuration Manager 2007, avec des rôles tels que le point de gestion et le point de distribution. Il permet de chiffrer les données et d'authentifier le serveur auprès des clients.

Certificat client

Ce certificat est installé sur les ordinateurs utilisés comme clients Configuration Manager 2007, ainsi que sur le point de gestion. Il permet d'authentifier le client auprès des systèmes de site. Sur le point de gestion, il permet de gérer l'intégrité du serveur.

Pour plus d'informations sur les certificats, consultez Certificats requis pour le mode natif.

Suivez les étapes présentées dans cet exemple pour exécuter les opérations suivantes :

  • configurer le serveur membre à l'aide d'un certificat de signature du serveur de site Configuration Manager 2007, de sorte qu'il puisse fonctionner en tant que serveur de site Configuration Manager 2007 en mode natif ;

  • configurer le serveur membre à l'aide d'un certificat de serveur Web, de sorte qu'il puisse fonctionner en tant que serveur du système de site Configuration Manager 2007 en mode natif. Ce serveur doit être en mesure d'exécuter tous les rôles de système de site Configuration Manager suivants : point de gestion, point de distribution, point de mise à jour logicielle et point de migration d'état ;

  • configurer une station de travail et le serveur membre à l'aide d'un certificat client, de sorte que la station de travail puisse fonctionner en tant que client Configuration Manager 2007 en mode natif et que le point de gestion puisse consigner son état sur le serveur de site.

Déploiement du certificat de signature du serveur de site

Cette étape est constituée de quatre procédures :

  • Création et émission du modèle de certificat de signature du serveur de site sur l'autorité de certification

  • Demande du certificat de signature du serveur de site pour le serveur qui exécutera le serveur de site Configuration Manager 2007

  • Approbation du certificat de signature du serveur de site auprès de l'autorité de certification

  • Installation du certificat de signature du serveur de site sur le serveur qui exécutera le serveur de site Configuration Manager 2007

Création et émission du modèle de certificat de signature du serveur de site sur l'autorité de certification

Pour créer et émettre le modèle de certificat de signature du serveur de site

  1. Sur le contrôleur de domaine exécutant la console Windows Server 2003, cliquez sur Démarrer, pointez sur Programmes, Outils d'administration, puis cliquez sur Autorité de certification.

  2. Développez le nom de votre autorité de certification, puis cliquez sur Modèles de certificat.

  3. Cliquez avec le bouton droit sur Modèles de certificat, puis cliquez sur Gérer pour télécharger la console de gestion des modèles de certificats.

  4. Dans le volet de résultats, cliquez avec le bouton droit sur l'entrée qui affiche Ordinateur dans la colonne Nom complet du modèle, puis cliquez sur Dupliquer le modèle.

  5. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l'onglet Général, entrez un nom pour le modèle de certificat de signature du serveur de site, tel que Certificat de signature du serveur de site ConfigMgr.

  6. Sous l'onglet Nom d'objet, cliquez sur Fourni dans la demande.

  7. Sous l'onglet Extensions, vérifiez que l'option Stratégies d'application est activée, puis cliquez sur Modifier.

  8. Dans la boîte de dialogue Modifier l'extension des stratégies d'application, sélectionnez Authentification du client, appuyez sur la touche MAJ, sélectionnez Authentification du serveur, puis cliquez sur Supprimer.

  9. Dans la boîte de dialogue Modifier l'extension des stratégies d'application, cliquez sur Ajouter.

  10. Dans la boîte de dialogue Ajouter une stratégie d'application, sélectionnez Signature de document comme seule stratégie d'application, puis cliquez sur OK.

  11. Dans la boîte de dialogue Propriétés du nouveau modèle, la description des stratégies d'application indique : Signature de document.

  12. Sous l'onglet Conditions d'émission, sélectionnez Approbation du gestionnaire de certificat de l'Autorité de certification.

  13. Cliquez sur OK et fermez la console d'administration des modèles de certificats, certtmpl – [Modèles de certificats].

  14. Sous Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, cliquez sur Nouveau, puis cliquez sur Modèle de certificat à délivrer.

  15. Dans la boîte de dialogue Activer les modèles de certificat, sélectionnez le nouveau modèle que vous venez de créer, Certificat de signature du serveur de site ConfigMgr, puis cliquez sur OK.

    Notes

    Si vous ne pouvez pas procéder aux étapes 14 ou 15, vérifiez que vous utilisez Windows Server 2003 Enterprise Edition. Bien que vous puissez configurer des modèles dans Windows Server Standard Edition et les services de certificats, vous ne pouvez déployer des certificats à l'aide de modèles de certificats modifiés que dans Windows Server 2003 Enterprise Edition.

  16. Ne fermez pas l'autorité de certification.

Demande du certificat de signature du serveur de site pour le serveur qui exécutera le serveur de site Configuration Manager 2007

Pour demander le certificat de signature du serveur de site

  1. Sur le serveur membre, lancez Internet Explorer et connectez-vous au service d'inscription par le Web, à l'adresse : http://*<serveur>/*certsrv<serveur> est le nom ou l'adresse IP de l'autorité de certification d'entreprise.

  2. Sur la page d'Accueil, sélectionnez Demander un certificat.

  3. Sur la page Demander un certificat, sélectionnez Demande de certificat avancée.

  4. Sur la page Demande de certificat avancée, sélectionnez Créer et soumettre une demande de requête auprès de cette Autorité de certification.

  5. Sur la page Demande de certificat avancée, définissez les éléments suivants :

    • Dans la section Modèle de certificat, sélectionnez Certificat de signature du serveur de site ConfigMgr pour le modèle de certificat.

      Notes

      Si vous ne voyez pas le modèle de certificat affiché, assurez-vous d'avoir redémarré le serveur membre (s'il était en cours d'exécution) après la configuration du groupe de sécurité au cours de la précédente procédure.

    • Dans la section Informations d'identification pour les modèles hors connexion, dans la zone de texte Nom, tapez : The site code of this site server is <xxx>, où <xxx> est le code de site du site. Cette même phrase en anglais doit être utilisée, en respectant la casse, sans point final ni virgule, et le code du site doit être spécifié à la fin de la phrase en respectant la casse, tel qu'il est affiché dans la console Configuration Manager. Il est très important d'utiliser précisément cette formulation car il s'agit du nom d'objet du certificat, lequel permet d'identifier le serveur de site qui signe le certificat.

    • Dans la section Options de la clé, activez l'option Stocker le certificat dans le magasin de certificats de l'ordinateur local.

      Notes

      Si cette option n'est pas affichée, vous avez probablement installé le correctif (article 922706 de la base de connaissances) afin de prendre en charge l'inscription par le Web pour Windows Vista et Windows Server 2008. Ce correctif supprime l'option permettant de stocker une demande de certificat avancée dans le magasin de l'ordinateur. Par conséquent, si cette option n'est pas disponible sur vos pages d'inscription Web, vous devez utiliser une autre méthode de déploiement pour le certificat de signature du serveur de site. Par exemple, vous pouvez installer le certificat dans le magasin de l'utilisateur, puis l'exporter et l'importer dans le magasin de l'ordinateur, ou utiliser l'utilitaire de ligne de commande Certreq.exe pour demander le certificat. La méthode qui fait appel à Certreq.exe est présentée dans la rubrique suivante : Exemple de déploiement pas-à-pas des certificats d'infrastructure à clés publiques requis pour le mode natif de Configuration Manager : Autorité de certification Windows Server 2008.

    • Dans la section Options supplémentaires, entrez l'élément de votre choix dans la zone Nom convivial, par exemple Certificat de serveur de site ConfigMgr.

  6. Cliquez sur Envoyer.

  7. Sur la page Certificat en attente, vous verrez que votre demande de certificat a été reçue mais que l'émission du certificat requiert l'approbation d'un administrateur. Prenez note de l'ID de la demande affiché.

  8. Ne quittez pas Internet Explorer.

Approbation du certificat de signature du serveur de site auprès de l'autorité de certification

Pour approuver le certificat de signature du serveur de site

  1. Sur le contrôleur de domaine, sous Autorité de certification, cliquez sur Demandes en attente.

  2. Le certificat demandé s'affiche dans le volet de résultats, avec l'ID de la demande affiché sur la page d'inscription par le Web.

  3. Cliquez avec le bouton droit sur le certificat demandé, cliquez sur Toutes les tâches, puis sur Délivrer. Ne fermez pas l'autorité de certification.

Installation du certificat de signature du serveur de site sur le serveur qui exécutera le serveur de site Configuration Manager 2007

Pour installer le certificat de signature du serveur de site

  1. Sur le serveur membre, sur la page Web Services de certificat Microsoft, cliquez sur Accueil dans la partie supérieure droite de la page d'accueil.

  2. Sur la page d'accueil, cliquez sur Afficher le statut d'une requête de certificat en attente.

  3. Sur la page Afficher le statut d'une requête de certificat en attente, cliquez sur le lien hypertexte affichant le nom convivial que vous avez entré pour le certificat de signature du serveur de site, ainsi que la date et l'heure (entre parenthèses) de la demande.

  4. Sur la page Certificat délivré, cliquez sur Installer ce certificat.

  5. Si un message d'avertissement indiquant une violation potentielle de script s'affiche, cliquez sur Oui.

  6. La page finale affiche un message indiquant que votre nouveau certificat a été installé.

  7. Quittez Internet Explorer.

Le serveur membre est désormais configuré avec un certificat de signature du serveur de site Configuration Manager 2007.

Déploiement du certificat de serveur Web

Cette étape est constituée de quatre procédures :

  • Création d'un groupe de sécurité Windows pour les serveurs de système de site (point de gestion, point de distribution, point de mise à jour logicielle, point de migration d'état)

  • Création et émission du modèle de certificat de serveur Web sur l'autorité de certification

  • Demande du certificat de serveur Web

  • Configuration des services IIS pour l'utilisation du certificat de serveur Web

Création d'un groupe de sécurité Windows pour les serveurs de système de site (point de gestion, point de distribution, point de mise à jour logicielle, point de migration d'état)

Pour créer un groupe de sécurité Windows pour le serveur de système de site

  1. Sur le contrôleur de domaine, cliquez sur Démarrer, Programmes, Outils d'administration, Utilisateurs et ordinateurs Active Directory.

  2. Cliquez avec le bouton droit sur le domaine, cliquez sur Nouveau, puis sur Groupe.

  3. Dans la boîte de dialogue Nouvel objet – Groupe, entrez Serveurs ConfigMgr IIS comme Nom du groupe, puis cliquez sur OK.

  4. Sous Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le groupe que vous venez de créer, puis cliquez sur Propriétés.

  5. Sous l'onglet Membres, cliquez sur Ajouter pour sélectionner le serveur membre.

    Notes

    Dans notre environnement de test, un seul serveur doit être ajouté. Toutefois, dans un environnement de production, il est probable que plusieurs serveurs hébergeront les systèmes de site Configuration Manager 2007 qui requièrent des certificats, par exemple, le point de gestion et les points de distribution du site. Par conséquent, il est recommandé d'octroyer des autorisations à un groupe, et d'ajouter les systèmes de site qui requièrent le même type de certificat. La création d'un groupe de sécurité pour ces serveurs vous permet d'octroyer des autorisations afin que seuls ces serveurs puissent utiliser ces certificats.

  6. Cliquez sur OK, puis cliquez de nouveau sur OK pour fermer la boîte de dialogue Propriétés du groupe.

  7. Redémarrez le serveur membre (s'il est en cours d'exécution) pour qu'il détecte l'appartenance au nouveau groupe.

Création et émission du modèle de certificat de serveur Web sur l'autorité de certification

Pour créer et émettre le modèle de certificat de serveur Web sur l'autorité de certification

  1. Sur le contrôleur de domaine, lorsque la console de gestion Autorité de certification est en cours d'exécution, cliquez avec le bouton droit sur Modèles de certificats, puis cliquez sur Gérer pour télécharger la console de gestion des modèles de certificats.

  2. Dans le volet de résultats, cliquez avec le bouton droit sur l'entrée qui affiche Serveur Web dans la colonne Nom complet du modèle, puis cliquez sur Dupliquer le modèle.

  3. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l'onglet Général, entrez un nom de modèle pour générer les certificats Web à utiliser dans les systèmes de site Configuration Manager (par exemple Certificat de serveur Web ConfigMgr).

  4. Sous l'onglet Nom d'objet, sélectionnez Construire à partir de ces informations Active Directory, puis sélectionnez un format dans la liste Format du nom du sujet :

    • Nom commun : activez cette option si vous utilisez les noms de domaine complets pour les systèmes de site dans Configuration Manager (obligatoire pour la gestion des clients Internet, et recommandée pour les clients intranet).

    • Nom unique : activez cette option si vous n'utilisez pas des noms de domaine complets dans Configuration Manager.

  5. Sous l'onglet Sécurité, supprimez l'autorisation Inscription des groupes de sécurité Administrateurs du domaine et Administrateurs de l'entreprise.

  6. Cliquez sur Ajouter, tapez Serveurs ConfigMgr IIS dans la zone de texte, puis cliquez sur OK.

  7. Sélectionnez les autorisations Autoriser applicables à ce groupe : Lecture, Inscription et Inscription automatique.

  8. Cliquez sur OK et fermez la console de gestion des modèles de certificats, certtmpl – [Modèles de certificats].

  9. Dans la console de gestion de l'autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, cliquez sur Nouveau, puis sur Modèle de certificat à délivrer.

  10. Dans la boîte de dialogue Activer les modèles de certificat, sélectionnez le nouveau modèle que vous venez de créer, Certificat de serveur Web ConfigMgr, puis cliquez sur OK.

  11. Fermez l'autorité de certification.

Demande du certificat de serveur Web

Pour demander le certificat de serveur Web

  1. Redémarrez le serveur membre pour vérifier qu'il peut accéder au modèle de certificat via l'autorisation définie.

  2. Cliquez sur Démarrer, sur Exécuter, puis tapez mmc.exe. Dans la console vide, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

  3. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter, sur Certificats, et enfin sur Ajouter.

  4. Dans la boîte de dialogue Composant logiciel enfichable Certificats, sélectionnez Le compte de l'ordinateur, puis cliquez sur Suivant.

  5. Dans la boîte de dialogue Sélectionner un ordinateur, vérifiez que l'option Ordinateur local : (l'ordinateur sur lequel cette console s'exécute) est sélectionnée, puis cliquez sur Terminer.

  6. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Fermer.

  7. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur OK.

  8. Dans la console qui affiche à présent Certificats (ordinateur local), développez Certificats (ordinateur local), puis Personnel.

  9. Cliquez avec le bouton droit sur Certificats, cliquez sur Toutes les tâches, puis cliquez sur Demander un nouveau certificat.

  10. Sur la page Bienvenue !, cliquez sur Suivant.

  11. Sur la page Types de certificat, sélectionnez Certificat de serveur Web ConfigMgr dans la liste des certificats, puis cliquez sur Suivant.

  12. Sur la page Nom convivial et description du certificat, vous pouvez éventuellement entrer un nom convivial et une description qui permettront d'identifier ce certificat, puis cliquer sur Suivant.

  13. Sur la page Fin de l'Assistant Demande de certificat, cliquez sur Terminer.

  14. La boîte de dialogue Assistant Demande de certificat s'affiche pour signaler que la demande de certificat a abouti.

  15. Fermez la fenêtre Certificats (ordinateur local).

Configuration des services IIS pour l'utilisation du certificat de serveur Web

Pour configurer IIS en vue de l'utilisation du certificat de serveur Web

  1. Sur le serveur membre, cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d'administration, et cliquez sur Gestionnaire des services Internet (IIS).

  2. Développez Sites Web, cliquez avec le bouton droit sur Site Web par défaut et sélectionnez Propriétés.

  3. Cliquez sur l'onglet Sécurité de répertoire, puis cliquez sur Certificat de serveur.

  4. Sur la page Bienvenue dans l'Assistant Certificat de serveur Web, cliquez sur Suivant.

  5. Sur la page Certificat du serveur, cliquez sur Attribuer un certificat existant, puis cliquez sur Suivant.

  6. Sur la page Certificats disponibles, sélectionnez le certificat de serveur Web que vous venez de demander, en l'identifiant via le champ Rôle prévu contenant la valeur Authentification du serveur et le Nom convivial que vous avez indiqué, puis cliquez sur Suivant.

  7. Sur la page Port SSL, acceptez le numéro de port par défaut (443), puis cliquez sur Suivant.

  8. Sur la page Synthèse du certificat, cliquez sur Suivant.

  9. Sur la page Fin de l'Assistant Certificat de serveur Web, cliquez sur Terminer.

  10. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Site Web par défaut.

  11. Fermez le Gestionnaire des services Internet (IIS).

Le serveur membre est désormais doté d'un certificat de serveur Web Configuration Manager 2007.

Notes

Si ce serveur est configuré pour des mises à jour logicielles, une étape de configuration IIS doit être réalisée après l'installation de WSUS. Pour plus d'informations, consultez Comment configurer le site Web WSUS pour utiliser SSL.

Déploiement du certificat client

Cette étape comporte deux procédures :

  • Configuration de l'inscription automatique du modèle d'ordinateur avec une stratégie de groupe

  • Inscription automatique du certificat d'ordinateur et vérification de son installation sur les ordinateurs

Configuration de l'inscription automatique du modèle d'ordinateur avec une stratégie de groupe

Pour configurer l'inscription automatique du modèle d'ordinateur avec une stratégie de groupe

  1. Sur le contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Gestion des stratégies de groupe.

  2. Cliquez avec le bouton droit sur le domaine, puis sélectionnez Créer et lier un objet de stratégie de groupe ici.

    Notes

    Cette étape utilise la méthode recommandée de création d'une stratégie de groupe pour des paramètres personnalisés ; elle ne modifie pas la stratégie de domaine par défaut qui est installée avec les services de domaine Active Directory. En affectant cette stratégie de groupe au niveau du domaine, vous l'appliquerez à tous les ordinateurs de ce domaine. Toutefois, dans une environnement de production, vous pouvez limiter l'inscription automatique aux ordinateurs sélectionnés en affectant la stratégie de groupe à un niveau d'unité organisationnelle, ou vous pouvez filtrer la stratégie de groupe du domaine avec un groupe de sécurité pour qu'elle s'applique uniquement aux ordinateurs du groupe. Si vous limitez l'inscription automatique, veillez à inclure le serveur configuré comme point de gestion.

  3. Dans la boîte de dialogue Nouvel objet GPO, entrez un nom pour la nouvelle stratégie de groupe, par exemple Certificats - Inscription automatique, puis cliquez sur OK.

  4. Dans le volet de résultats, sous l'onglet Objets de stratégie de groupe liés, cliquez avec le bouton droit sur la nouvelle stratégie de groupe, puis cliquez sur Modifier.

  5. Dans l'Éditeur d'objets de stratégie de groupe, accédez à Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies de clé publique.

  6. Cliquez avec le bouton droit sur Paramètres de demande automatique de certificat, cliquez sur Nouveau, puis sur Demande automatique de certificat.

  7. Sur la page Assistant Création de demandes automatiques de certificats, cliquez sur Suivant.

  8. Sur la page Modèle de certificat, sélectionnez Ordinateur dans la liste des modèles de certificat disponibles, puis cliquez sur Suivant.

  9. Sur la page Fin de l'Assistant Demande de certificat, cliquez sur Terminer.

  10. Fermez la fenêtre Gestion des stratégies de groupe.

Inscription automatique du certificat d'ordinateur et vérification de son installation sur les ordinateurs

Pour procéder à l'inscription automatique du certificat d'ordinateur et vérifier son installation sur l'ordinateur client

  1. Redémarrez la station de travail et attendez quelques minutes avant l'ouverture de session.

    Notes

    Le redémarrage de l'ordinateur constitue la méthode la plus fiable pour l'inscription automatique des certificats.

  2. Ouvrez une session sous un compte bénéficiant d'autorisations d'administrateur.

  3. Cliquez sur Démarrer, sur Exécuter, puis tapez mmc.exe.

  4. Dans la console de gestion vide, cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

  5. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter, sur Certificats, et enfin sur Ajouter.

  6. Dans la boîte de dialogue Composant logiciel enfichable Certificats, sélectionnez Le compte de l'ordinateur, puis cliquez sur Suivant.

  7. Dans la boîte de dialogue Sélectionner un ordinateur, vérifiez que l'option Ordinateur local : (l'ordinateur sur lequel cette console s'exécute) est sélectionnée, puis cliquez sur Terminer.

  8. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Fermer.

  9. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur OK.

  10. Dans la console qui affiche à présent Certificats (ordinateur local), développez Certificats (ordinateur local), puis cliquez sur Personnel.

  11. Dans le volet de résultats, vérifiez qu'un certificat est affiché, avec la valeur Authentification du client indiquée dans le champ Rôle prévu, et la valeur Ordinateur indiquée dans le champ Modèle de certificat.

  12. Fermez la fenêtre Certificats (ordinateur local).

  13. Répétez les étapes 1 à 12 pour le serveur membre afin de vérifier que le serveur qui sera configuré comme point de gestion dispose également d'un certificat client.

La station de travail et le serveur membre sont maintenant dotés Configuration Manager 2007d'un certificat client .

Voir aussi

Tâches

Comment passer du mode mixte au mode natif

Concepts

Liste de vérification de l'administrateur : déploiement de la configuration PKI requise pour le mode natif
Flux de travail d'administration : Déploiement de la configuration PKI requise pour le mode natif
Avantages du mode natif
Certificats requis pour le mode natif
Présentation de la gestion des clients Internet
Configuration requise pour le mode natif
Exemple de déploiement pas-à-pas des certificats d'infrastructure à clés publiques requis pour le mode natif de Configuration Manager : Autorité de certification Windows Server 2008

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.