Mise en place des composants nécessaires

services de certificat. Sous ce composant Windows, Microsoft regroupe en un même service une autorité de certification (CA), une autorité d’enregistrement, un outil de gestion de liste de révocation CRL et l’application web d’enrôlement des utilisateurs.

Pour installer les services de certificat, aller dans le « panneau de configuration » | « ajout suppression de programmes » | « ajout de composants Windows ». Cocher l’option d’installation des services de certificats. Voir Figure 4.

Une fois que ces composants sont installés, il n’est plus possible de renommer la machine. De la même façon, il n’est plus possible de promouvoir / dé-promouvoir un contrôleur de domaine sans désinstaller ces services.
Vous avez la possibilité d’installer une autorité de certification entreprise ou indépendante, racine ou subordonnée. Entreprise signifie que l’autorité de certification est intégrée à l’Active Directory. C’est l’option qui sera retenu dans notre exemple. Comme c’est également la première autorité installée, nous choisissons une autorité ‘entreprise’ et ‘racine’. Voir Figure 5.
La fenêtre suivante permet de nommer l’autorité de certification. Ce nom se retrouvera dans les outils d’administration et d’enrôlement. Un nom significatif est donc conseillé. Voir Figure 6. L’installation se finit classiquement en cliquant sur suivant, suivant, suivant…

Configuration des services de certificats
Il existe une console d’administration des services de certificats disponibles dans les outils d’administration du serveur.
Il faut également savoir qu’une grande partie des options de configuration de l’autorité de certification se trouve dans la base de registre et est directement modifiable avec l’outil « certutil ».
La première tâche de configuration à effectuer est la définition des modèles de certificats. Ces modèles définissent les types de certificats qui seront émis par l’autorité (certificat serveur, utilisateur, carte à puce, etc.).
Chaque modèle est lié à une liste de contrôle d’accès (ACL) qui définit qui peut lire, s’enrôler ou configurer ce modèle. Le modèle définit également l’usage des certificats comme leurs finalités, leur durée de validité, etc.
Dans la console d’administration allez dans le dossier « modèles de certificat », supprimez tous les modèles présents et ajoutez les modèles « Agent d’enrôlement » et « utilisateur de carte à puce » (Clique droit, nouveau, certificat à émettre). On ne conserve que les modèles spécifiés par mesure de sécurité.
La gestion des cartes à puce est en général confiée à un administrateur unique de la société. Cet administrateur est responsable de la génération/révocation des certificats attachés.

Pour générer un certificat pour une nouvelle carte à puce, l’administrateur doit posséder un certificat particulier : l’agent d’enrôlement. Par défaut seuls les administrateurs du domaine peuvent récupérer un tel certificat et donc générer des certificats de type carte à puce.