Enrôlement pour les périphériques réseau à l’aide du protocole MSCEP
Les autorités de certification fonctionnant sous Windows Server 2008 supporte le protocole SCEP - Simple Certificate Enrollment Protocol, lequel est aujourd’hui référencé en tant que standard Internet (Draft). Ce RFC décrit le protocole de communication capable de
AD CS : Nouveautés apportées aux services de certificats de Windows Server 2008 (4)
permettre à divers types d’éléments réseau de communiquer avec une autorité d’enregistrement – RA, Registration Authority (RA), pour l’enrôlement des certificats. Le protocole SCEP pouvait déjà être implémenté sous Windows Server 2003 via IIS 6.0 et un filtre ISAPI installé directement sur l’autorité de certification, cette possibilité a été étendue et intégrée aux services AD CS.
Microsoft et SCEP: MSCEP!
Windows Server 2008 implémente des fonctionnalités plus avancées que la version publiée à l’IETF. Cette version est appelée MSCEP pour Microsoft SCEP. Au départ, le protocole SCEP a été développé par Cisco comme extension des méthodes d’enrôlement existantes. Il est lui-même basé sur le protocole développé par Verisign pour les matériels Cisco. Vous pouvez obtenir plus de détails en vous référant à ce lien. Le protocole SCEP n’est pas disponible dans les versions Standard et Web de Windows Server 2008, mais seulement dans les versions Entreprise et Datacenter.
L’implémentation de la DLL ISAPI responsable du protocole MSCEP prend en charge les fonctionnalités suivantes :
• La génération de mots de passe à usage unique (one-time passwords) pour les administrateurs.
• La prise en charge des demandes d’enrôlement transportées par le protocole SCEP issu des périphériques réseau tels que des switchs, des routeurs ou d’autres éléments actifs supportant le protocole SCEP.
• La récupération des demandes en attente stockées sur l’autorité de certification.
Services d’enrôlement de périphériques – Déploiement
Le déploiement des services d’inscription de périphériques réseaux nécessite un minimum de planification. Le premier concept consiste à installer le service adéquat, lequel ne peut être installé en même temps que l’autorité de certification elle-même.
Cette première étape est réalisée très simplement en utilisant l’option « Ajouter des services de rôle » dans la rubrique « Services de certificats Active Directory » du Gestionnaire de serveur.
Taille des clés et CSP utilisés par SCEP
L’assistant d’installation permet de renseigner le CSP – Cryptographic Service Provider, à utiliser pour générer les clés de cryptage qui seront utilisées pour crypter les trafics entre l’autorité de certification et l’autorité d’enregistrement. Il sera aussi nécessaire de faire le même type de choix concernant la sécurisation des flux entre l’autorité d’enregistrement et le ou les périphériques réseau. Dans les deux cas, il faudra aussi définir la taille des clés de cryptage, par défaut fixées à 2048 bits.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- On ne peut pas gouverner ce qu’on ne peut pas voir : pourquoi la visibilité doit-elle passer avant la gouvernance en matière de sécurité des identités ?
- L’IA amplifie les risques sur les API
- Fuites de données : la France, 2ème pays le plus touché au monde début 2026
- Nomios accélère sur la cybersécurité industrielle avec un SOC renforcé et une Factory OT immersive
Articles les + lus
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
À la une de la chaîne Tech
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
- Communes, entreprises ? Non, face au RGAA 5, l’IA seule ne rendra pas vos sites accessibles
