Partager via

Configurer l’inscription automatique des certificats pour le serveur de stratégie réseau

L’inscription automatique de certificat simplifie le processus de déploiement et de gestion des certificats sur les serveurs exécutant le serveur de stratégie réseau (NPS) dans un environnement Active Directory. Cet article explique comment configurer l’inscription automatique pour les certificats serveur et utilisateur à l’aide de la stratégie de groupe. En suivant ces étapes, vous pouvez vous assurer que les certificats sont émis, renouvelés et gérés automatiquement pour les serveurs et les utilisateurs de votre organisation.

Conditions préalables

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

  • Active Directory Certificate Services (AD CS) est installé et configuré avec au moins une autorité de certification d’entreprise.

  • Vous avez configuré le modèle de certificat de serveur pour l’inscription automatique. Pour plus d’informations, consultez Configurer un modèle de certificat de serveur pour l’inscription automatique.

  • Vous disposez d’un compte d’utilisation membre des administrateurs d’entreprise et des groupes de sécurité Administrateurs de domaine du domaine racine.

  • Accès aux consoles de gestion suivantes :

    • Gestion des stratégies de groupe
    • Serveur de stratégie réseau.

Configurer l'autorégistration du serveur et du certificat utilisateur

Pour configurer l’inscription automatique pour les certificats de serveur, procédez comme suit :

  1. Ouvrez la console gestion des stratégies de groupe.

  2. Développez les nœuds de votre forêt et de votre domaine Active Directory et recherchez la stratégie de domaine par défaut. Cliquez avec le bouton droit sur la stratégie de domaine par défaut , puis sélectionnez Modifier, ce qui ouvre l’éditeur de gestion des stratégies de groupe.

  3. Accédez au chemin d’accès suivant dans l’éditeur de gestion des stratégies de groupe : Configuration de l'ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de clé publique.

  4. Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique. La boîte de dialogue Propriétés de s’ouvre. Configurez les éléments suivants :

    1. Pour le modèle de configuration, sélectionnez Activé.
    2. Cochez la case Renouveler les certificats expirés, mettez à jour les certificats en attente et supprimez les certificats révoqués.
    3. Cochez la case pour mettre à jour les certificats qui utilisent des modèles de certificat.

  5. Cliquez sur OK. Laissez la console de l’Éditeur de gestion des stratégies de groupe ouverte pour configurer l’inscription automatique des certificats utilisateur.

  6. Accédez au chemin d’accès suivant : Configuration de l'utilisateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies de clé publique.

  7. Dans le volet d’informations, double-cliquez sur Client des services de certificats - Inscription automatique. La boîte de dialogue Propriétés de s’ouvre. Configurez les éléments suivants :

    1. Pour le modèle de configuration, sélectionnez Activé.
    2. Cochez la case Renouveler les certificats expirés, mettez à jour les certificats en attente et supprimez les certificats révoqués.
    3. Cochez la case pour mettre à jour les certificats qui utilisent des modèles de certificat.

  8. Sélectionnez OK, puis fermez la console Éditeur de gestion des stratégies de groupe.

  9. Actualisez les paramètres de stratégie de groupe sur vos serveurs NPS pour appliquer les paramètres d’inscription automatique. Vous pouvez forcer une actualisation immédiate en exécutant la commande suivante dans une invite de commandes avec élévation de privilèges :

    gpupdate /force

Vérifier l’inscription des certificats de serveur pour NPS

Une fois que vous avez configuré l’inscription automatique et la stratégie de groupe actualisée, vous pouvez vérifier que le certificat de serveur est correctement inscrit. Pour vérifier qu’un certificat de serveur est correctement configuré et inscrit au serveur NPS, vous créez une stratégie de réseau de test et autorisez NPS à vérifier que NPS peut utiliser le certificat pour l’authentification. Vous n'avez pas terminé l'assistant. Par conséquent, la stratégie de réseau de test n'est pas créée dans NPS ; cependant, vous pouvez vérifier que le certificat de serveur est inscrit.

Pour vérifier l'inscription d'un certificat de serveur dans NPS :

  1. Ouvrez la console du serveur de stratégie réseau .

  2. Développez Stratégies et sélectionnez Stratégies réseau.

  3. Cliquez avec le bouton droit sur Stratégies réseau, puis sélectionnez Nouveau. L’Assistant Nouvelle stratégie réseau s’ouvre.

  4. Pour spécifier le nom de la stratégie réseau et le type de connexion, dans le nom de la stratégie, entrez un nom, tel que tester la stratégie d’inscription automatique. Vérifiez que le type de serveur d’accès réseau a la valeur Non spécifiée, puis sélectionnez Suivant.

  5. Pour spécifier des conditions, sélectionnez Ajouter. Sélectionnez Groupes Windows, puis sélectionnez Ajouter.

  6. Pour les groupes Windows, sélectionnez Ajouter des groupes. Entrez un groupe valide, tel que Les utilisateurs de domaine, puis sélectionnez OK. Sélectionnez à nouveau OK pour les groupes Windows. Vérifiez que votre groupe est répertorié en tant que condition, puis sélectionnez Suivant.

  7. Pour spécifier l’autorisation d’accès, vérifiez que l’accès accordé est sélectionné, puis sélectionnez Suivant.

  8. Pour configurer les méthodes d’authentification, sélectionnez Ajouter. Pour Ajouter EAP, sélectionnez Microsoft : Protected EAP (PEAP), puis ok.

  9. Dans Types EAP, sélectionnez Microsoft : Protected EAP (PEAP), puis sélectionnez Modifier.

  10. Dans la boîte de dialogue Modifier les propriétés EAP protégées , dans Certificat émis, NPS affiche le nom de votre certificat de serveur en tant que nom de domaine complet (FQDN). Par exemple, si votre serveur NPS est nommé NPS-01 et que votre domaine est example.com, NPS affiche le certificat NPS-01.example.com. En outre, dans Émetteur, le nom de votre autorité de certification s’affiche et, dans Date d’expiration, la date d’expiration du certificat de serveur s’affiche.

    Important

    Si NPS n’affiche pas de certificat de serveur valide et s’il fournit le message indiquant qu’un tel certificat est introuvable sur l’ordinateur local, il existe deux raisons possibles :

    1. La stratégie de groupe n’a pas été actualisée correctement et le serveur NPS n’a pas obtenu un certificat de la part de l’autorité de certification. Dans ce cas, redémarrez le serveur NPS. Lorsque le serveur redémarre, la stratégie de groupe est actualisée et vous pouvez réessayer pour vérifier que le certificat de serveur est inscrit.

    2. Le modèle de certificat, l’inscription automatique de certificat ou les deux ne sont pas configurés correctement. Pour résoudre ces problèmes, vérifiez que vous avez suivi correctement toutes les étapes décrites dans cet article pour vous assurer que les paramètres que vous avez fournis sont exacts.

  11. Une fois que vous avez vérifié la présence d’un certificat de serveur valide, vous pouvez sélectionner OK et Annuler pour quitter l’Assistant. Étant donné que vous n’effectuez pas l’assistant de configuration, la stratégie de réseau de test n’est pas créée dans NPS.

Ce processus montre que votre serveur NPS inscrit un certificat de serveur valide qu’il peut utiliser pour prouver son identité aux ordinateurs clients qui tentent d’accéder au réseau via vos serveurs d’accès réseau, tels que les serveurs de réseau privé virtuel (VPN), les points d’accès sans fil compatibles 802.1X, les serveurs de passerelle Bureau à distance et les commutateurs Ethernet compatibles 802.1X.