Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les services de certificats Active Directory (AD CS) sont un rôle Windows Server pour l’émission et la gestion de certificats d’infrastructure à clé publique (PKI) utilisés dans les protocoles de communication et d’authentification sécurisés.
Émettre et gérer des certificats
Les certificats numériques peuvent être utilisés pour chiffrer et signer numériquement des documents et des messages électroniques, ainsi que pour l’authentification de comptes d’ordinateur, d’utilisateur ou d’appareil sur un réseau. Par exemple, les certificats numériques fournissent :
- la confidentialité grâce au chiffrement ;
- l’intégrité grâce aux signatures numériques ;
- Authentification en associant des clés de certificat à des comptes d’ordinateur, d’utilisateur ou de périphérique sur un réseau informatique.
Fonctionnalités clés
AD CS fournit les fonctionnalités importantes suivantes :
Autorités de certification : Les autorités de certification racine et subordonnées sont utilisées pour émettre des certificats aux utilisateurs, aux ordinateurs et aux services, et pour gérer la validité des certificats.
Inscription en ligne : L’inscription Web permet aux utilisateurs de se connecter à une autorité de certification à l’aide d’un navigateur Web afin de demander des certificats et de récupérer des listes de révocation de certificats (CRL).
Répondant en ligne : Le service Répondeur en ligne décode les demandes d’état de révocation pour des certificats spécifiques, évalue l’état de ces certificats et renvoie une réponse signée contenant les informations d’état de certificat demandées.
Service d’inscription des périphériques réseau : Le service d’inscription des périphériques réseau permet aux routeurs et autres périphériques réseau qui n’ont pas de compte de domaine d’obtenir des certificats.
Attestation de clé TPM : Permet à l’autorité de certification de vérifier que la clé privée est protégée par un TPM matériel et que le TPM est un fichier de confiance de l’autorité de certification. L’attestation de clé TPM empêche l’exportation du certificat vers un appareil non autorisé et peut lier l’identité de l’utilisateur à l’appareil.
Service Web de stratégie d’inscription de certificat : Le service Web de stratégie d’inscription de certificat permet aux utilisateurs et aux ordinateurs d’obtenir des informations sur la stratégie d’inscription de certificat.
Service Web d’inscription aux certificats : Le service Web d’inscription de certificats permet aux utilisateurs et aux ordinateurs d’effectuer l’inscription de certificats par le biais d’un service Web. Associé au service Web de stratégie d’inscription de certificat, il permet l’inscription de certificats basée sur une stratégie lorsque l’ordinateur client n’est pas membre d’un domaine ou lorsqu’un membre du domaine n’est pas connecté au domaine.
Avantages
Vous pouvez utiliser AD CS pour renforcer la sécurité en liant l’identité d’une personne, d’un ordinateur ou d’un service à une clé privée correspondante. AD CS offre un moyen rentable, efficace et sécurisé de gérer la distribution et l’utilisation des certificats. Outre la liaison d’identités et de clés privées, AD CS inclut également des fonctionnalités qui vous permettent de gérer l’inscription et la révocation des certificats.
Les informations d’identité de point de terminaison existantes dans Active Directory sont utilisées pour enregistrer les certificats, ce qui permet d’insérer automatiquement ces informations dans les certificats. Les stratégies de groupe Active Directory peuvent également être utilisées pour désigner les utilisateurs et les ordinateurs autorisés à utiliser les types de certificats. La configuration de la stratégie de groupe permet un contrôle d’accès basé sur les rôles ou les attributs.
Les applications prises en charge par AD CS incluent les extensions de messagerie Internet sécurisées/polyvalentes (S/MIME), les réseaux sans fil sécurisés, le réseau privé virtuel (VPN), la sécurité du protocole Internet (IPsec), le système de fichiers de chiffrement (EFS), la connexion par carte à puce, la sécurité SSL/TLS (Secure Socket Layer/Transport Layer Security) et les signatures numériques.
Étapes suivantes
- Qu’est-ce que le service de rôle de l’autorité de certification ?
- Implémenter et gérer des services de certificats Active Directory
- Tous les services de rôle AD CS s’exécutent sur n’importe quelle version
- Tous les services de rôle AD CS peuvent être exécutés sur Server Core
- Référence Windows PowerShell pour les services de certificats