Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les modèles de certificats sont gérés via le composant logiciel enfichable (snap-in) Microsoft Management Console (MMC) de Modèles de certificats. Vous pouvez utiliser ce snap-in pour gérer les Services de certificats Active Directory (AD CS) localement et à distance.
Comment gérer les modèles
Vous devez être membre des Admins du domaine pour accéder et administrer les modèles de certificats pour un domaine. Pour ajouter ce snap-in, installez les outils de gestion AD CS sur l’ordinateur de gestion. Les outils de gestion AD CS font partie des Outils d’administration de serveur distant (RSAT). Vous pouvez installer les outils de gestion sur un ordinateur Windows Server en exécutant la commande PowerShell suivante à partir d’une session PowerShell élevée :
Install-WindowsFeature RSAT-ADCS
Pour configurer un MMC pour utiliser le snap-in Modèles de certificats :
- Faites un clic droit sur Démarrer, cliquez sur Exécuter, puis tapez mmc.
- Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
- Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, double-cliquez sur le snap-in Modèles de certificats pour l’ajouter à la liste. Cliquez sur OK.
Créer un nouveau modèle de certificat
Vous pouvez créer un nouveau modèle de certificat en dupliquant un modèle existant et en utilisant les propriétés du modèle existant comme défaut pour le nouveau modèle. Passez en revue la liste des modèles de certificats par défaut et examinez leurs propriétés pour identifier le modèle de certificat existant qui répond le mieux à vos besoins. L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.
Pour créer un nouveau modèle de certificat :
- Ouvrez le snap-in Modèles de certificats et connectez-vous au serveur racine ou subordonné AC CS Entreprise.
- Faites un clic droit sur le modèle à partir duquel copier, puis cliquez sur Dupliquer le modèle.
- Choisissez la version minimale du système d’exploitation de l’Autorité de certification de certificats AD CS (CA) que vous souhaitez prendre en charge. Actuellement, la version la plus récente de Windows Server que vous pouvez sélectionner est Windows Server 2016. Vous pouvez également sélectionner le système d’exploitation destinataire minimal pour le modèle de certificat, la version la plus récente étant Windows 10/Windows Server 2016.
- Fournissez un nom pour le modèle de certificat et configurez les paramètres du modèle.
Supprimer un modèle de certificat
Vous pouvez supprimer un modèle de certificat lorsque vous ne souhaitez plus qu’il soit disponible à l’utilisation. Lorsque vous supprimez un modèle de certificat, les certificats basés sur le modèle ne peuvent plus être émis. Les suppressions de modèles affectent toutes les CA dans une forêt. Les modèles de certificats ne peuvent pas être récupérés une fois qu’ils sont supprimés. L’appartenance aux Admins du domaine ou aux Admins de l’entreprise, ou équivalent, est requise pour supprimer un modèle de certificat.
Pour supprimer un modèle de certificat, voici la procédure à suivre :
- Ouvrez un MMC avec le snap-in Modèles de certificats.
- Faites un clic droit sur le modèle que vous souhaitez supprimer, puis cliquez sur Supprimer.
- Cliquez sur Oui pour confirmer que vous souhaitez supprimer le modèle.
Renommer un modèle de certificat
Les noms des modèles de certificats par défaut ne peuvent pas être changés. Les administrateurs peuvent changer les noms des modèles de certificats personnalisés. Le nom du modèle est l’attribut de nom commun de l’objet de modèle de certificat dans les Services de domaine Active Directory (AD DS). Seul cet objet de modèle est mis à jour si le nom du modèle est changé. Si le modèle modifié était précédemment publié aux autorités de certification émettrices (CA) ou ajouté à une liste de modèles supplantés, alors ces actions doivent être répétées pour maintenir la cohérence de l’environnement d’infrastructure à clé publique (PKI).
Pour changer le nom d’un modèle de certificat :
- Ouvrez le snap-in Modèles de certificats et connectez-vous à l’AD CS CA.
- Sélectionnez le modèle de certificat que vous souhaitez modifier. Dans le menu Action, cliquez sur Modifier les noms.
- Saisissez un nouveau nom dans le champ Nom du modèle ou le champ Nom d’affichage du modèle, ou les deux.
- Cliquez sur OK pour enregistrer les modifications.
Si le modèle modifié est déjà publié aux CA émettrices, retirez le modèle des Modèles de certificats sur ces CA émettrices, puis redémarrez ces ordinateurs CA émetteurs, et ajoutez ensuite le modèle renommé aux CA émettrices. Si un autre modèle supplante le modèle modifié, alors mettez à jour le modèle supplantant en ajoutant le modèle modifié à la liste des modèles supplantés.
Déployer des modèles de certificats sur une CA
Lorsque vous créez une autorité de certification d’entreprise (CA), les modèles de certificats sont stockés dans les Services de domaine Active Directory (AD DS) et peuvent être rendus disponibles à toutes les CA d’entreprise dans la forêt. Tout nouveau modèle de certificat créé sera automatiquement répliqué à tous les contrôleurs de domaine de l’entreprise.
Pour configurer une CA pour émettre des certificats basés sur un modèle de certificat, effectuez les étapes suivantes :
- Ouvrez le snap-in Autorité de certification, et double-cliquez sur le nom de la CA.
- Faites un clic droit sur Modèles de certificats, cliquez sur Nouveau, puis sur Modèle de certificat à émettre.
- Sélectionnez le modèle de certificat, puis cliquez sur OK.
Supprimer un modèle de certificat d’une CA
Il peut être nécessaire de supprimer un modèle de certificat d’une autorité de certification (CA). Par exemple, si vous devez éviter toute confusion lors de l’ajout d’une version plus récente du modèle de certificat.
Pour supprimer un modèle de certificat d’une CA :
- Ouvrez le composant logiciel enfichable Autorité de certification.
- Dans l’arborescence de la console, cliquez sur Modèles de certificats.
- Dans le volet de détails, faites un clic droit sur le modèle de certificat que vous souhaitez supprimer, puis cliquez sur Supprimer.
Vous ne pouvez pas supprimer les modèles de certificats intégrés.