Guide de déploiement d’approbation de certificat local

• S’applique à:

  ✅ Windows 11, ✅ Windows 10

Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :

• Type de déploiement : ursite
• Type d’approbation :
• Type de jointure :

---

Conditions préalables

Avant de commencer le déploiement, passez en revue les exigences décrites dans l’article Planifier un déploiement Windows Hello Entreprise.

Vérifiez que les conditions suivantes sont remplies avant de commencer :

• Infrastructure à clé publique
• Authentication
• Configuration d’appareil
• Gestion des licences pour les services cloud
• Configuration requise pour Windows
• Configuration requise pour Windows Server
• Préparer les utilisateurs à utiliser Windows Hello

Étapes de déploiement

Une fois les conditions préalables remplies, le déploiement de Windows Hello Entreprise comprend les étapes suivantes :

• Configurer et valider l’infrastructure à clé publique
• Préparer et déployer AD FS avec MFA
• Configurer et s’inscrire dans Windows Hello Entreprise

Configurer et valider l’infrastructure à clé publique

Cet article décrit Windows Hello Entreprise fonctionnalités ou scénarios qui s’appliquent à :

• Type de déploiement : ursite
• Type d’approbation :
• Type de jointure :

---

Windows Hello Entreprise devez disposer d’une infrastructure à clé publique (PKI) lors de l’utilisation des modèles d’approbation de clé ou de certificat. Les contrôleurs de domaine doivent disposer d’un certificat, qui sert de racine de confiance pour les clients. Le certificat garantit que les clients ne communiquent pas avec les contrôleurs de domaine non autorisés. Le modèle d'approbation de certificat étend l'émission de certificats aux ordinateurs clients. Lors de l'approvisionnement de Windows Hello Entreprise, l'utilisateur reçoit un certificat d'authentification.

Déployer une autorité de certification d’entreprise

Ce guide suppose que la plupart des entreprises disposent déjà d'une infrastructure à clé publique. Windows Hello Entreprise dépend d’une infrastructure à clé publique d’entreprise exécutant le rôle Services de certificats Windows Server Active Directory.
Si vous n’avez pas d’infrastructure à clé publique existante, consultez Guide de l’autorité de certification pour concevoir correctement votre infrastructure. Ensuite, consultez le Guide du laboratoire de test : déploiement d’une hiérarchie d’infrastructure à clé publique ad CS Two-Tier pour obtenir des instructions sur la configuration de votre infrastructure à clé publique à l’aide des informations de votre session de conception.

Infrastructure à clé publique basée sur un laboratoire

Les instructions suivantes peuvent être utilisées pour déployer une infrastructure à clé publique simple qui convient à un environnement lab.

Connectez-vous à l’aide d’informations d’identification équivalentes administrateur d’entreprise sur un serveur Windows Server sur lequel vous souhaitez que l’autorité de certification (CA) soit installée.

Remarque

N’installez jamais d’autorité de certification sur un contrôleur de domaine dans un environnement de production.

1. Ouvrir une invite de Windows PowerShell avec élévation de privilèges
2. Utilisez la commande suivante pour installer le rôle Services de certificats Active Directory.

   Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
   

3. Utilisez la commande suivante pour configurer l’autorité de certification à l’aide d’une configuration d’autorité de certification de base

   Install-AdcsCertificationAuthority
   

Configurer l’infrastructure à clé publique d’entreprise

Configurer des certificats de contrôleur de domaine

Les clients doivent approuver les contrôleurs de domaine, et la meilleure façon d’activer l’approbation consiste à s’assurer que chaque contrôleur de domaine dispose d’un certificat d’authentification Kerberos . L’installation d’un certificat sur les contrôleurs de domaine permet au centre de distribution de clés (KDC) de prouver son identité à d’autres membres du domaine. Les certificats fournissent aux clients une racine de confiance externe au domaine, à savoir l’autorité de certification d’entreprise.

Les contrôleurs de domaine demandent automatiquement un certificat de contrôleur de domaine (s’il est publié) lorsqu’ils découvrent qu’une autorité de certification d’entreprise est ajoutée à Active Directory. Les certificats basés sur les modèles de certificat d’authentification de contrôleur de domaine et de contrôleur de domaine n’incluent pas l’identificateur d’objet d’authentification KDC (OID), qui a été ajouté ultérieurement à la RFC Kerberos. Par conséquent, les contrôleurs de domaine doivent demander un certificat basé sur le modèle de certificat d’authentification Kerberos .

Par défaut, l’autorité de certification Active Directory fournit et publie le modèle de certificat d’authentification Kerberos . La configuration de chiffrement incluse dans le modèle est basée sur des API de chiffrement plus anciennes et moins performantes. Pour vous assurer que les contrôleurs de domaine demandent le certificat approprié avec le meilleur chiffrement disponible, utilisez le modèle de certificat d’authentification Kerberos comme base de référence pour créer un modèle de certificat de contrôleur de domaine mis à jour.

Important

Les certificats émis aux contrôleurs de domaine doivent répondre aux exigences suivantes :

• L’extension de point de distribution de liste de révocation de certificats (CRL) doit pointer vers une liste de révocation de certificats valide ou une extension AIA (Authority Information Access) qui pointe vers un répondeur OCSP (Online Certificate Status Protocol)
• Si vous le souhaitez, la section Objet du certificat peut contenir le chemin d’accès au répertoire de l’objet serveur (nom unique)
• La section Utilisation de la clé de certificat doit contenir signature numérique et chiffrement de clé
• Si vous le souhaitez, la section Contraintes de base du certificat doit contenir : [Subject Type=End Entity, Path Length Constraint=None]
• La section Utilisation étendue de la clé du certificat doit contenir l’authentification du client (1.3.6.1.5.5.7.3.2), l’authentification du serveur (1.3.6.1.5.5.7.3.1) et l’authentification KDC (1.3.6.1.5.2.3.5)
• La section Autre nom de l’objet du certificat doit contenir le nom DNS (Domain Name System)
• Le modèle de certificat doit avoir une extension qui a la valeur DomainController, encodée en tant que BMPstring. Si vous utilisez l’autorité de certification Windows Server Enterprise, cette extension est déjà incluse dans le modèle de certificat de contrôleur de domaine
• Le certificat du contrôleur de domaine doit être installé dans le magasin de certificats de l’ordinateur local

Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. Ouvrez le console de gestion autorité de certification

2. Cliquez avec le bouton droit sur Gérer les modèles de > certificats

3. Dans la console de modèle de certificat, cliquez avec le bouton droit sur le modèle d’authentification Kerberos dans le volet d’informations, puis sélectionnez Dupliquer le modèle

4. Utilisez le tableau suivant pour configurer le modèle :

   Nom de l’onglet	Configurations
   Compatibilité	Décochez la case Afficher les modifications résultantes case activée Sélectionnez Windows Server 2016 dans la liste Autorité de certification Sélectionnez Windows 10/ Windows Server 2016 dans la liste Destinataire de la certification
   Général	Spécifier un nom d’affichage de modèle, par exemple Authentification du contrôleur de domaine (Kerberos) Définir la période de validité sur la valeur souhaitée Notez le nom du modèle pour plus tard, qui doit être le même que le nom d’affichage du modèle moins les espaces
   Nom de l’objet	Sélectionnez Générer à partir de ces informations Active Directory. Sélectionnez Aucun dans la liste Format du nom de l’objet Sélectionnez le nom DNS dans la liste Inclure ces informations dans un autre objet Effacer tous les autres éléments
   Chiffrement	Définir la catégorie de fournisseur sur Fournisseur de stockage de clés Définir le nom de l’algorithme sur RSA Définissez la taille de clé minimale sur 2048 Définir le hachage de la demande sur SHA256

5. Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle

6. Fermer la console

Remplacer les certificats de contrôleur de domaine existants

Les contrôleurs de domaine peuvent avoir un certificat de contrôleur de domaine existant. Les services de certificats Active Directory fournissent un modèle de certificat par défaut pour les contrôleurs de domaine appelé certificat de contrôleur de domaine. Les versions ultérieures de Windows Server ont fourni un nouveau modèle de certificat appelé certificat d’authentification du contrôleur de domaine. Ces modèles de certificat ont été fournis avant la mise à jour de la spécification Kerberos qui indiquait que les centres de distribution de clés (KDC) effectuant l’authentification par certificat étaient nécessaires pour inclure l’extension KDC Authentication .

Le modèle de certificat d’authentification Kerberos est le modèle de certificat le plus actuel désigné pour les contrôleurs de domaine et doit être celui que vous déployez sur tous vos contrôleurs de domaine.
La fonctionnalité d’inscription automatique vous permet de remplacer les certificats de contrôleur de domaine. Utilisez la configuration suivante pour remplacer les anciens certificats de contrôleur de domaine par de nouveaux certificats, à l’aide du modèle de certificat d’authentification Kerberos .

Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .

1. Ouvrez le console de gestion autorité de certification
2. Cliquez avec le bouton droit sur Gérer les modèles de > certificats
3. Dans la console modèle de certificat, cliquez avec le bouton droit sur le modèle Authentification du contrôleur de domaine (Kerberos) (ou le nom du modèle de certificat que vous avez créé dans la section précédente) dans le volet d’informations, puis sélectionnez Propriétés.
4. Sélectionnez l’onglet Modèles remplacés . Sélectionnez Ajouter.
5. Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat contrôleur de domaine , puis sélectionnez OK > Ajouter
6. Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat d’authentification du contrôleur de domaine , puis sélectionnez OK
7. Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat d’authentification Kerberos , puis sélectionnez OK
8. Ajoutez tous les autres modèles de certificat d’entreprise précédemment configurés pour les contrôleurs de domaine à l’onglet Modèles remplacés
9. Sélectionnez OK et fermez la console Modèles de certificats.

Le modèle de certificat est configuré pour remplacer tous les modèles de certificat fournis dans la liste des modèles remplacés .
Toutefois, le modèle de certificat et le remplacement des modèles de certificat ne sont pas actifs tant que le modèle n’est pas publié sur une ou plusieurs autorités de certification.

Remarque

Le certificat du contrôleur de domaine doit être chaîné à une racine dans le magasin NTAuth. Par défaut, le certificat racine de l’autorité de certification Active Directory est ajouté au magasin NTAuth. Si vous utilisez une autorité de certification non-Microsoft, cette opération peut ne pas être effectuée par défaut. Si le certificat du contrôleur de domaine n’est pas chaîné à une racine dans le magasin NTAuth, l’authentification utilisateur échoue. Pour afficher tous les certificats dans le magasin NTAuth, utilisez la commande suivante :

Certutil -viewstore -enterprise NTAuth

Configurer un modèle de certificat de serveur web interne

Les clients Windows communiquent avec AD FS via HTTPS. Pour répondre à ce besoin, un certificat d’authentification serveur doit être émis à tous les nœuds de la batterie de serveurs AD FS. Les déploiements locaux peuvent utiliser un certificat d’authentification serveur émis par l’infrastructure à clé publique d’entreprise. Un modèle de certificat d’authentification serveur doit être configuré pour que les nœuds AD FS puissent demander un certificat.

Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. Ouvrez le console de gestion autorité de certification

2. Cliquez avec le bouton droit sur Gérer les modèles de > certificats

3. Dans la console modèle de certificat, cliquez avec le bouton droit sur le modèle serveur web dans le volet d’informations et sélectionnez Dupliquer le modèle

4. Utilisez le tableau suivant pour configurer le modèle :

   Nom de l’onglet	Configurations
   Compatibilité	Décochez la case Afficher les modifications résultantes case activée Sélectionnez Windows Server 2016 dans la liste Autorité de certification Sélectionnez Windows 10/ Windows Server 2016 dans la liste Destinataire de la certification
   Général	Spécifier un nom d’affichage de modèle, par exemple serveur web interne Définir la période de validité sur la valeur souhaitée Notez le nom du modèle pour plus tard, qui doit être le même que le nom d’affichage du modèle moins les espaces
   Gestion des demandes	Sélectionnez Autoriser l’exportation de la clé privée.
   Nom de l’objet	Sélectionnez Fournir dans la demande.
   Sécurité	Ajouter des ordinateurs de domaine avec l’accès Inscrire
   Chiffrement	Définir la catégorie de fournisseur sur Fournisseur de stockage de clés Définir le nom de l’algorithme sur RSA Définissez la taille de clé minimale sur 2048 Définir le hachage de la demande sur SHA256

5. Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle

6. Fermer la console

Configurer un modèle de certificat d’agent d’inscription

Une autorité d’inscription de certificat (CRA) est une autorité approuvée qui valide la demande de certificat. Une fois la demande validée, elle présente la demande à l’autorité de certification pour émission. L’autorité de certification émet le certificat et le retourne à l’ARC, qui retourne le certificat à l’utilisateur demandeur. Windows Hello Entreprise déploiements d’approbation de certificat utilisent AD FS comme CRA.

L’ARC s’inscrit pour obtenir un certificat d’agent d’inscription. Une fois que l’ARC a vérifié la demande de certificat, elle la signe à l’aide de son certificat d’agent d’inscription et l’envoie à l’autorité de certification. Le modèle de certificat d'authentification de Windows Hello Entreprise est configuré pour émettre uniquement les certificats suite aux demandes de certificats qui ont été signés avec un certificat d’agent d’inscription. L’autorité de certification émet un certificat pour ce modèle uniquement si l’autorité d’inscription signe la demande de certificat.

Important

Suivez les procédures ci-dessous en fonction du compte de service AD FS utilisé dans votre environnement.

Créer un certificat d’agent d’inscription pour les comptes de service administrés de groupe (GMSA)

Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. Ouvrez le console de gestion autorité de certification

2. Cliquez avec le bouton droit sur Modèles de certificats , puis sélectionnez Gérer

3. Dans la console modèle de certificat, cliquez avec le bouton droit sur le volet des détails du modèle Agent d’inscription Exchange (demande hors connexion) et sélectionnez Dupliquer le modèle

4. Utilisez le tableau suivant pour configurer le modèle :

   Nom de l’onglet	Configurations
   Compatibilité	Décochez la case Afficher les modifications résultantes case activée Sélectionnez Windows Server 2016 dans la liste Autorité de certification Sélectionnez Windows 10/ Windows Server 2016 dans la liste Destinataire de la certification
   Général	Spécifier un nom complet de modèle, par exemple l’agent d’inscription WHFB Définir la période de validité sur la valeur souhaitée
   Nom de l’objet	Sélectionnez Fournir dans la demande. Note: Les comptes de service administrés de groupe (GMSA) ne prennent pas en charge l’option Générer à partir de cette information Active Directory et entraînent l’échec de l’inscription du certificat de l’agent d’inscription par le serveur AD FS. Vous devez configurer le modèle de certificat avec Fournir dans la demande pour vous assurer que les serveurs AD FS peuvent effectuer l’inscription automatique et le renouvellement du certificat de l’agent d’inscription.
   Chiffrement	Définir la catégorie de fournisseur sur Fournisseur de stockage de clés Définir le nom de l’algorithme sur RSA Définissez la taille de clé minimale sur 2048 Définir le hachage de la demande sur SHA256
   Sécurité	Sélectionnez Ajouter. Sélectionnez Types d’objets, puis sélectionnez la zone Comptes de service case activée Sélectionnez OK. Tapez adfssvc dans la zone de texte Entrez les noms d’objets à sélectionner, puis sélectionnez OK. Sélectionnez adfssvc dans la liste Noms de groupes ou d’utilisateurs . Dans la section Autorisations pour adfssvc : Dans la section Autorisations pour adfssvc, sélectionnez la zone Autoriser case activée pour l’autorisation Inscrire À l’exception de l’utilisateur adfssvc, désactivez la zone Autoriser case activée pour les autorisations d’inscription et d’inscription automatique pour tous les autres éléments de la liste Noms de groupe ou d’utilisateurs Sélectionnez OK.

5. Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle

6. Fermer la console

Créer un certificat d’agent d’inscription pour un compte de service standard

Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. Ouvrez le console de gestion autorité de certification

2. Cliquez avec le bouton droit sur Modèles de certificats , puis sélectionnez Gérer

3. Dans la console modèle de certificat, cliquez avec le bouton droit sur le volet des détails du modèle Agent d’inscription Exchange (demande hors connexion) et sélectionnez Dupliquer le modèle

4. Utilisez le tableau suivant pour configurer le modèle :

   Nom de l’onglet	Configurations
   Compatibilité	Décochez la case Afficher les modifications résultantes case activée Sélectionnez Windows Server 2016 dans la liste Autorité de certification Sélectionnez Windows 10/Windows Server 2016 dans la liste Destinataire du certificat
   Général	Spécifier un nom complet de modèle, par exemple l’agent d’inscription WHFB Définir la période de validité sur la valeur souhaitée
   Nom de l’objet	Sélectionnez Générer à partir de ces informations Active Directory. Sélectionnez Nom unique complet dans la liste Format du nom de l’objet Sélectionnez la zone nom d’utilisateur principal (UPN) case activée sous Inclure ces informations dans un autre nom d’objet
   Chiffrement	Définir la catégorie de fournisseur sur Fournisseur de stockage de clés Définir le nom de l’algorithme sur RSA Définissez la taille de clé minimale sur 2048 Définir le hachage de la demande sur SHA256
   Sécurité	Sélectionnez Ajouter. Sélectionnez Types d’objets, puis sélectionnez la zone Comptes de service case activée Sélectionnez OK. Tapez adfssvc dans la zone de texte Entrez les noms d’objets à sélectionner, puis sélectionnez OK. Sélectionnez adfssvc dans la liste Noms de groupes ou d’utilisateurs . Dans la section Autorisations pour adfssvc : Dans la section Autorisations pour adfssvc, sélectionnez la zone Autoriser case activée pour l’autorisation Inscrire À l’exception de l’utilisateur adfssvc, désactivez la zone Autoriser case activée pour les autorisations d’inscription et d’inscription automatique pour tous les autres éléments de la liste Noms de groupe ou d’utilisateurs Sélectionnez OK.

5. Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle

6. Fermer la console

Configurer un modèle de certificat d’authentification Windows Hello Entreprise

Pendant Windows Hello Entreprise provisionnement, les clients Windows demandent un certificat d’authentification auprès d’AD FS, qui demande le certificat d’authentification au nom de l’utilisateur. Cette tâche configure le modèle de certificat d’authentification Windows Hello Entreprise.

Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. Ouvrez le console de gestion autorité de certification

2. Cliquez avec le bouton droit sur Modèles de certificats , puis sélectionnez Gérer

3. Dans la console modèle de certificat, cliquez avec le bouton droit sur le modèle d’ouverture de session par carte à puce , puis sélectionnez Dupliquer le modèle

4. Utilisez le tableau suivant pour configurer le modèle :

   Nom de l’onglet	Configurations
   Compatibilité	Décochez la case Afficher les modifications résultantes case activée Sélectionnez Windows Server 2016 dans la liste Autorité de certification Sélectionnez Windows 10/ Windows Server 2016 dans la liste Destinataire de la certification
   Général	Spécifier un nom d’affichage de modèle, par exemple l’authentification WHFB Définir la période de validité sur la valeur souhaitée Notez le nom du modèle pour plus tard, qui doit être le même que le nom d’affichage du modèle moins les espaces
   Nom de l’objet	Sélectionnez Générer à partir de ces informations Active Directory. Sélectionnez Nom unique complet dans la liste Format du nom de l’objet Sélectionnez la zone nom d’utilisateur principal (UPN) case activée sous Inclure ces informations dans un autre nom d’objet
   Chiffrement	Définir la catégorie de fournisseur sur Fournisseur de stockage de clés Définir le nom de l’algorithme sur RSA Définissez la taille de clé minimale sur 2048 Définir le hachage de la demande sur SHA256
   Extensions	Vérifiez que l’extension Stratégies d’application inclut l’ouverture de session par carte à puce
   Conditions d’émission	Sélectionnez la zone Ce nombre de signatures autorisées case activée. Tapez 1 dans la zone de texte Sélectionnez Stratégie d’application dans le type de stratégie requis dans signature Sélectionnez Certificate Request Agent (Agent de demande de certificat) dans la liste Stratégie d’application Sélectionnez l’option Certificat existant valide
   Gestion des demandes	Sélectionnez la zone Renouveler avec la même clé case activée
   Sécurité	Sélectionnez Ajouter. Ciblez un groupe de sécurité Active Directory qui contient les utilisateurs que vous souhaitez inscrire dans Windows Hello Entreprise. Par exemple, si vous avez un groupe appelé Window Hello Entreprise Users, tapez-le dans la zone de texte Entrez les noms d’objets à sélectionner , puis sélectionnez OK Sélectionnez le Windows Hello Entreprise Utilisateurs dans la liste Noms des groupes ou des utilisateurs. Dans la section Autorisations pour les utilisateurs Windows Hello Entreprise : Cochez la case Autoriser case activée pour l’autorisation Inscrire En excluant le groupe ci-dessus (par exemple, Fenêtre Hello Entreprise Utilisateurs), désactivez la zone Autoriser case activée pour les autorisations Inscrire et inscrire automatiquement pour toutes les autres entrées de la section Noms de groupe ou d’utilisateurs si les zones case activée ne sont pas déjà effacées Sélectionnez OK.

5. Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle

6. Fermer la console

Marquer le modèle en tant que modèle Connexion Windows Hello

Se connecter à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise

Ouvrir une invite de commandes avec élévation de privilèges, exécutez la commande suivante

certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY

Si le modèle a été modifié avec succès, la sortie de la commande contient les anciennes et nouvelles valeurs des paramètres du modèle. La nouvelle valeur doit contenir le CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY paramètre . Exemple :

CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication

Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)

New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."

Remarque

Si vous avez donné un nom différent à votre modèle de certificat d’authentification Windows Hello Entreprise, remplacez WHFBAuthentication dans la commande ci-dessus par le nom de votre modèle de certificat. Il est important que vous utilisiez le nom du modèle plutôt que le nom d'affichage du modèle. Vous pouvez afficher le nom du modèle dans l'onglet Général du modèle de certificat à l’aide de la console de gestion Modèle de certificat (certtmpl.msc). Vous pouvez également afficher le nom du modèle à l’aide de l’applet Get-CATemplate de commande Administration ADCS Windows PowerShell sur votre autorité de certification.

Annuler la publication de modèles de certificats remplacés

L’autorité de certification émet uniquement des certificats basés sur des modèles de certificat publiés. Pour des questions de sécurité, il est recommandé d’annuler la publication des modèles de certificat que l’autorité de certification n’est pas configurée pour émettre, y compris les modèles prépubliés de l’installation du rôle et tous les modèles remplacés.

Le modèle de certificat d’authentification du contrôleur de domaine nouvellement créé remplace les modèles de certificat de contrôleur de domaine précédents. Par conséquent, vous devez annuler la publication de ces modèles de certificat à partir de toutes les autorités de certification émettrices.

Connectez-vous à l’autorité de certification ou à la station de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .

1. Ouvrez le console de gestion autorité de certification
2. Développez le nœud parent à partir du volet >de navigation Modèles de certificats
3. Cliquez avec le bouton droit sur le modèle de certificat contrôleur de domaine , puis sélectionnez Supprimer. Sélectionnez Oui dans la fenêtre Désactiver les modèles de certificat .
4. Répétez l’étape 3 pour les modèles de certificat Authentification du contrôleur de domaine et Authentification Kerberos

Publier des modèles de certificat sur l’autorité de certification

Une autorité de certification peut uniquement émettre des certificats pour les modèles de certificats qui y sont publiés. Si vous disposez de plusieurs autorités de certification et que vous souhaitez que d’autres autorités de certification émettent des certificats basés sur le modèle de certificat, vous devez publier le modèle de certificat sur celles-ci.

Connectez-vous à l’autorité de certification ou aux stations de travail de gestion avec Enterprise Administration informations d’identification équivalentes.

1. Ouvrez le console de gestion autorité de certification
2. Développez le nœud parent à partir du volet de navigation
3. Sélectionnez Modèles de certificats dans le volet de navigation
4. Cliquez sur le nœud Modèles de certificats. Sélectionnez Nouveau > modèle de certificat à émettre
5. Dans la fenêtre Activer les modèles de certificats , sélectionnez les modèles Authentification du contrôleur de domaine (Kerberos),Serveur web interne, Agent d’inscription WHFB et Authentification WHFB que vous avez créés aux étapes précédentes. Sélectionnez OK pour publier les modèles de certificat sélectionnés sur l’autorité de certification
6. Si vous avez publié le modèle de certificat d’authentification du contrôleur de domaine (Kerberos), annulez la publication des modèles de certificat que vous avez inclus dans la liste des modèles remplacés
   • Pour annuler la publication d’un modèle de certificat, cliquez avec le bouton droit sur le modèle de certificat que vous souhaitez annuler la publication, puis sélectionnez Supprimer. Sélectionnez Oui pour confirmer l’opération.
7. Fermer la console

Configurer et déployer des certificats sur des contrôleurs de domaine

Configurer l’inscription automatique des certificats pour les contrôleurs de domaine

Les contrôleurs de domaine demandent automatiquement un certificat à partir du modèle de certificat de contrôleur de domaine . Toutefois, les contrôleurs de domaine ne connaissent pas les modèles de certificat plus récents ou les configurations remplacées sur les modèles de certificat. Pour que les contrôleurs de domaine inscrivent et renouvellent automatiquement les certificats, configurez un objet de stratégie de groupe pour l’inscription automatique des certificats et liez-le à l’unité d’organisation contrôleurs de domaine .

1. Ouvrez la console de gestion stratégie de groupe (gpmc.msc)
2. Développez le domaine et sélectionnez le nœud Objet stratégie de groupe dans le volet de navigation
3. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis sélectionnez Nouveau
4. Tapez Inscription automatique du certificat de contrôleur de domaine dans la zone nom, puis sélectionnez OK.
5. Cliquez avec le bouton droit sur l’objet Inscription automatique du certificat de contrôleur de domaine stratégie de groupe, puis sélectionnez Modifier
6. Dans le volet de navigation, développez Stratégies sous Configuration de l’ordinateur
7. Développez Paramètres Windows Paramètres > De sécurité Stratégies > de clé publique
8. Dans le volet d’informations, cliquez avec le bouton droit sur Client Des services de certificats - Inscription automatique, puis sélectionnez Propriétés.
9. Sélectionnez Activé dans la liste Modèle de configuration .
10. Sélectionnez la zone Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués case activée
11. Sélectionnez la zone Mettre à jour les certificats qui utilisent des modèles de certificats case activée
12. Sélectionnez OK.
13. Fermez le Rédacteur de gestion des stratégie de groupe

Déployer l’objet de stratégie de groupe d’inscription de certificat automatique du contrôleur de domaine

Connectez-vous aux stations de travail de contrôleur de domaine ou de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. Démarrez la Console de gestion des stratégies de groupe (gpmc.msc).
2. Dans le volet de navigation, développez le domaine et développez le nœud avec le nom de domaine Active Directory. Cliquez avec le bouton droit sur l’unité d’organisation Contrôleurs de domaine et sélectionnez Lier un objet de stratégie de groupe existant...
3. Dans la boîte de dialogue Sélectionner un objet de stratégie de groupe, sélectionnez Inscription automatique du certificat de contrôleur de domaine ou le nom de l’objet d’inscription de certificat de contrôleur de domaine stratégie de groupe que vous avez créé précédemment
4. Sélectionnez OK.

Valider la configuration

Windows Hello Entreprise est un système distribué qui, au premier abord, semble complexe et difficile. La clé d’un déploiement réussi consiste à valider les phases de travail avant de passer à la phase suivante.

Vérifiez que vos contrôleurs de domaine inscrivent les certificats corrects et aucun modèle de certificat remplacé. Vérifiez que chaque contrôleur de domaine a terminé l’inscription automatique du certificat.

Utiliser les journaux des événements

Connectez-vous aux stations de travail de contrôleur de domaine ou de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

1. À l’aide du observateur d'événements, accédez au journal des événements Application et services>Microsoft>Windows>CertificateServices-Lifecycles-System
2. Recherchez un événement indiquant une nouvelle inscription de certificat (inscription automatique) :
   • Les détails de l’événement incluent le modèle de certificat sur lequel le certificat a été émis
   • Le nom du modèle de certificat utilisé pour émettre le certificat doit correspondre au nom du modèle de certificat inclus dans l’événement
   • L’empreinte numérique du certificat et les EKUs pour le certificat sont également incluses dans l’événement
   • La référence EKU nécessaire pour une authentification Windows Hello Entreprise appropriée est l’authentification Kerberos, en plus des autres EKUs fournis par le modèle de certificat

Les certificats remplacés par votre nouveau certificat de contrôleur de domaine génèrent un événement d’archivage dans le journal des événements. L'événement d'archive contient le nom de modèle du certificat et l'empreinte numérique du certificat qui a été remplacé par le nouveau certificat.

Gestionnaire de certificats

Vous pouvez utiliser la console du Gestionnaire de certificats pour valider le contrôleur de domaine. Le certificat dûment inscrit est basé sur le modèle de certificat correct avec les EKU appropriées. Utilisez certlm.msc pour afficher le certificat dans les magasins de certificats d'ordinateurs locaux. Développez le magasin Personnel et afficher les certificats inscrits pour l'ordinateur. Les certificats archivés n’apparaissent pas dans le Gestionnaire de certificats.

Certutil.exe

Vous pouvez utiliser la certutil.exe commande pour afficher les certificats inscrits sur l’ordinateur local. Certutil affiche les certificats inscrits et archivés de l'ordinateur local. À partir d’une invite de commandes avec élévation de privilèges, exécutez la commande suivante :

certutil.exe -q -store my

Pour afficher des informations détaillées sur chaque certificat dans le magasin et valider l’inscription automatique des certificats inscrits avec les certificats appropriés, utilisez la commande suivante :

certutil.exe -q -v -store my

Résolution des problèmes

Windows déclenche l'inscription automatique des certificats pour l'ordinateur pendant le démarrage et la mise à jour de la stratégie de groupe. Vous pouvez actualiser la stratégie de groupe à partir d'une invite de commandes avec élévation de privilèges à l'aide gpupdate.exe /force.

Sinon, vous pouvez déclencher de force l'inscription automatique des certificats en utilisant certreq.exe -autoenroll -q à partir d'une invite de commandes avec élévation de privilèges.

Utilisez les journaux d'événements pour surveiller l'inscription et l'archivage de certificats. Passez en revue la configuration, par exemple la publication de modèles de certificat sur l’autorité de certification émettrice et l’autorisation d’inscription automatique.

Révision de la section et étapes suivantes

Avant de passer à la section suivante, vérifiez que les étapes suivantes sont effectuées :

• Configurer des modèles de certificat de contrôleur de domaine et de serveur web
• Remplacer les certificats de contrôleur de domaine existants
• Annuler la publication de modèles de certificats remplacés
• Configurer un modèle de certificat d’agent d’inscription
• Publier les modèles de certificat sur l’autorité de certification
• Déployer des certificats sur les contrôleurs de domaine
• Valider la configuration des contrôleurs de domaine

Suivant : préparer et déployer AD FS >