Installer Certificate Services

CA racine autosuffisante, soit comme sous-CA. Cette façon de faire est intéressante quand il faut créer une CA pour une application ou un groupe particulier, particulièrement si l’on veut aussi déléguer l’administration. Si vous envisagez d’installer une CA racine autonome offline, vous devez configurer un fichier CA Policy.inf pour vous assurer que les CRL et les points de distribution AIA (Authority Information Access) nommés dans le certificat autosigné de la CA racine, pointent vers les emplacements online accessibles aux utilisateurs. Pour plus d’informations sur la planification d’un déploiement PKI, voir le white paper “Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure”

Pour commencer l’installation de Certificate Services, connectez-vous au serveur qui sera une CA. Pour une CA d’entreprise ou une CA autonome, le serveur que vous choisissez peut être un serveur membre (recommandé) ou un contrôleur de domaine (DC, domain controller — non recommandé). Pour une CA autonome, le serveur peut aussi être un serveur groupe de travail non joint à un domaine. Vous devez vous connecter comme membre du groupe Enterprise Admins pour installer un CA d’entreprise et comme membre du groupe Domain Admins pour installer un CA autonome qui stockera des certificats dans l’AD. Pour installer un CA autonome qui ne stockera pas ses certificats dans l’AD, il faut être membre du groupe Administrators local.

Pour installer Certificate Services avec le Windows Component Wizard, commencez par les étapes suivantes :

1. Démarrez Add/Remove Programs et cliquez sur Add/Remove Windows Components pour lancer le Windows Components Wizard.

2. Sélectionnez l’option Certificate Services pour commencer l’installation et cliquez sur Next. Par défaut, ce choix installe le service CA et la base de données, et le service d’enrôlement basé sur le Web. Si vous n’avez pas besoin de ce dernier (ou si vous préférez l’installer plus tard), vous pouvez cliquer sur Details pour choisir les composantes de la CA à installer. Un message apparaîtra avec un avertissement au sujet du déplacement ou du renommage du système une fois la composante installée. Faites très attention à ce message. Cliquez sur Yes pour poursuivre l’installation.

3. Sélectionnez le type de CA que vous voulez créer, entre les quatre choix suivants : Enterprise Root CA, Enterprise subordinate CA, Stand-alone Root CA et Stand-alone subordinate CA. A ce stade, vous pouvez aussi choisir de configurer le Cryptographic Service Provider, la longueur de clé, et l’algorithme de hashing en sélectionnant l’option qui permet d’utiliser des paramètres personnalisés. Vous devez choisir Custom Settings si vous utilisez les HSM (Hardware Security Modules) — comme ceux qu’offre nCipher — pour protéger la clé privée de votre CA.

La suite du wizard vous demandera des informations de configuration (comme le nom de la CA que vous installez, l’emplacement de la base de données de certificats et des fichiers log). Après quoi, le wizard génèrera une paire de clés public/privé à l’usage de la CA. Si Microsoft IIS est actif et si vous installez le service d’enrôlement basé sur le Web, le wizard vous demandera s’il peut stopper temporairement IIS afin de pouvoir ajouter le service Web.