Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’inscription web de l’autorité de certification (CA) dans Active Directory Certificate Services (AD CS) simplifie la gestion des certificats en fournissant une interface basée sur le navigateur pour demander et renouveler des certificats, récupérer des listes de révocation de certificats (CRL) et s’inscrire pour les certificats de carte à puce. Ce service de rôle est utile pour les organisations qui ont besoin d’une méthode flexible et interactive pour l’inscription de certificat sans nécessiter de configurations client spécifiques. Dans cet article, vous allez découvrir les fonctionnalités, les fonctionnalités et les options de configuration de l’inscription web de l’autorité de certification, ainsi que la façon dont elle se compare au service de rôle de service web d’inscription de certificats.
Fonctionnalités et tâches courantes
L’inscription web de l’autorité de certification permet aux utilisateurs d’envoyer PKCS #10 des demandes à l’autorité de certification de manière interactive via un navigateur web et un site web IIS (Internet Information Services). L’inscription web de l’autorité de certification est différente du service de rôle de service web d’inscription de certificat associé. Bien que l’inscription web de l’autorité de certification et le service web d’inscription de certificat utilisent HTTPS, elles sont essentiellement différentes technologies.
L’inscription de l’autorité de certification via le Web est utile lorsque vous interagissez avec une autorité de certification autonome, car le composant logiciel enfichable Microsoft Management Console (MMC) ne peut pas être utilisé pour interagir avec une autorité de certification autonome. Les autorités de certification d'entreprise peuvent accepter des demandes de certificats via le composant logiciel enfichable Certificats ou les pages du service de rôle d'inscription par le web de l'autorité de certification.
Le service de rôle Inscription de l’autorité de certification via le Web inclut les exemples de pages web mises à jour pour les opérations d’inscription de certificats sur le web. Ces pages web fonctionnent avec le CertEnroll composant. Pour plus d’informations sur , consultez l’API d’inscriptionCertEnroll de certificat.
Le tableau suivant récapitule les principales différences entre l’inscription web de l’autorité de certification et le service web d’inscription de certificats :
| Fonctionnalité /Fonctionnalité | Inscription web de l’autorité de certification | Service Web Inscription de certificats |
|---|---|---|
| Méthode de requête | Demandes de certificat interactives créées manuellement par le demandeur, chargées via le site web. | Inscription et renouvellement automatisés, adaptés aux déploiements à grande échelle. |
| Approvisionnement de certificats | Méthode interactive basée sur un navigateur pour des certificats individuels. | Approvisionnement automatisé pour des certificats supplémentaires. |
| Configuration requise du client | Aucun composant client ou configuration spécifique n’est requis. | Client intégré avec Windows et Windows Server. |
| Consolidation des forêts | Non pris en charge. | Supporté; permet la consolidation de l’infrastructure à clé publique sur plusieurs forêts en éliminant les déploiements d’autorité de certification par forêt. |
| Inscription du réseau de périmètre | Non pris en charge. | Supporté; autorise l’inscription de certificat en dehors du réseau d’entreprise. |
Pour plus d’informations sur la consolidation des forêts et l’utilisation de réseaux de périmètre, consultez Le service web d’inscription de certificats dans les services de certificats Active Directory.
Topologie de déploiement
Vous pouvez installer CA Web Enrollment sur un serveur qui n’est pas une autorité de certification pour séparer le trafic web de l’autorité de certification. L'installation de l'inscription par le web de l'autorité de certification configure l'ordinateur comme autorité d'inscription. Vous devez sélectionner l'autorité de certification à utiliser avec les pages d’inscription de l’autorité de certification via le Web. L’autorité de certification utilisée par l’inscription web de l’autorité de certification est l’autorité de certification cible dans l’interface utilisateur. Vous pouvez sélectionner l’autorité de certification cible que vous souhaitez utiliser à l’aide du nom de l’autorité de certification ou du nom d’ordinateur associé à l’autorité de certification.
Si vous installez les pages d'inscription de l’autorité de certification via le Web sur un ordinateur qui n'est pas l'autorité de certification cible, le compte ordinateur où vous installez les pages d'inscription de l'autorité de certification via le Web doit être approuvé pour la délégation. Pour plus d’informations, consultez Installer la prise en charge de l’inscription web sur un autre ordinateur (facultatif) et comment configurer le proxy d’inscription web de l’autorité de certification Windows Server 2008.
Remarque
Si les pages d’inscription web de l’autorité de certification ne s’installent pas correctement sur une autorité de certification migrée, il est possible que l’état d’installation dans le Registre ne soit pas configuré correctement. Pour plus d’informations, consultez La configuration de l’inscription web de l’autorité de certification a échoué 0x80070057 (WIN32 : 87).
Les pages du service de rôle Inscription de l’autorité de certification via le Web nécessitent que vous les sécurisez avec SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). Si ce n’est pas le cas, le message d’erreur suivant s’affiche : pour terminer l’inscription du certificat, le site web de l’autorité de certification doit être configuré pour utiliser l’authentification HTTPS. Pour en savoir plus sur la configuration de l’authentification HTTPS, consultez Active Directory Certificate Services (AD CS) : Erreur : « Pour terminer l’inscription de certificat, le site web de l’autorité de certification doit être configuré pour utiliser l’authentification HTTPS.
Utiliser les pages d’inscription web de l’autorité de certification
Si vous disposez d’autorisations d’accès, vous pouvez effectuer les tâches suivantes à partir des pages d’inscription web de l’autorité de certification :
Demandez un certificat de base.
Demandez un certificat avec des options avancées. La demande avec des options avancées vous permet de mieux contrôler la demande de certificat. Les options disponibles dans une demande de certificat avancée sont les suivantes :
Dans les options du fournisseur de services de chiffrement (CSP), vous pouvez configurer le nom du fournisseur de services de chiffrement, la taille de clé (1024, 2048, etc.), l’algorithme de hachage (par exemple, SHA/RSA, SHA/DSA, MD2 ou MD5) et la spécification de clé (échange ou signature).
Les options de génération de clés vous permettent de créer un jeu de clés ou d’utiliser un jeu de clés existant, de marquer les clés comme exportables, d’activer la protection forte des clés et d’utiliser le magasin d’ordinateurs local pour générer la clé.
Options supplémentaires. Enregistrez la requête dans un fichier PKCS #10 ou ajoutez des attributs spécifiques au certificat.
Vérifiez une demande de certificat en attente. Si vous envoyez une demande de certificat à une autorité de certification autonome, vous devez vérifier l’état de la demande en attente pour vous assurer que l’autorité de certification a émis le certificat. Si l’autorité a émis le certificat, celui-ci devient disponible sur la page web pour que vous puissiez l'installer.
Extrayez le certificat de l'autorité de certification pour le placer dans votre magasin racine approuvé ou installez la totalité de la chaîne de certificats dans votre magasin de certificats.
Extrayez la liste de révocation de certificats de base et la liste de révocation de certificats delta.
Envoyez une demande de certificat à l’aide d’un fichier PKCS #10 ou d’un fichier PKCS #7. En général, vous utilisez un fichier PKCS #10 pour envoyer une demande de nouveau certificat et un fichier PKCS #7 pour soumettre une demande de renouvellement d’un certificat existant. L’envoi de demandes avec des fichiers est utile lorsque le demandeur de certificat ne parvient pas à envoyer une demande en ligne à l’autorité de certification.
Ces pages web se trouvent à l’emplacement https://<servername>/certsrv, où <servername> se trouve le nom du serveur qui héberge les pages d’inscription web de l’autorité de certification. La certsrv partie de l’URL doit toujours être en minuscules ; sinon, les utilisateurs peuvent avoir des difficultés à vérifier et récupérer des certificats en attente.
Étapes suivantes
Pour plus d’informations sur l’inscription web et la résolution des problèmes courants, consultez les articles suivants :