Si une autorité de certification n'est pas déjà configurée, vous devez ajouter le rôle Services de certificats Active Directory (AD CS) à un serveur Windows et configurer le serveur pour qu'il soit une autorité de certification d'entreprise.

Si une autorité de certification d'entreprise est déjà configurée, vérifiez que vous utilisez les paramètres décrits dans cette procédure.

Vous devez disposer d'au moins une autorité de certification d'entreprise, et VMware vous recommande d'en avoir deux pour le basculement et l'équilibrage de charge. Le serveur d'inscription que vous créez pour l'authentification unique réelle communique avec l'autorité de certification d'entreprise. Si vous configurez le serveur d'inscription pour qu'il utilise plusieurs autorités de certification d'entreprise, il alternera entre les autorités de certification disponibles. Si vous installez le serveur d'inscription sur la même machine qui héberge l'autorité de certification d'entreprise, vous pouvez configurer le serveur d'inscription pour qu'il utilise l'autorité de certification locale. Cette configuration est recommandée pour de meilleures performances.

Une partie de cette procédure implique d'activer le traitement non persistant des certificats. Par défaut, le traitement des certificats inclut le stockage d'un enregistrement de chaque demande de certificat et de chaque certificat émis dans la base de données d'autorité de certification. Un volume élevé maintenu de demandes augmente le taux de croissance de la base de données d'autorité de certification et peut consommer tout l'espace disque disponible s'il n'est pas surveillé. L'activation du traitement non persistant des certificats peut réduire le taux de croissance de la base de données d'autorité de certification et la fréquence des tâches de gestion de la base de données.

Conditions préalables

  • Créez une machine virtuelle Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016 ou Windows Server 2019.
  • Vérifiez que la machine virtuelle fait partie du domaine Active Directory pour le déploiement d'Horizon 7.
  • Vérifiez que vous utilisez un environnement IPv4. Cette fonctionnalité n'est pas actuellement prise en charge dans un environnement IPv6.
  • Vérifiez que le système dispose d'une adresse IP statique.

Procédure

  1. Connectez-vous au système d'exploitation de la machine virtuelle en tant qu'administrateur et démarrez le gestionnaire de serveurs.
  2. Sélectionnez les paramètres pour ajouter des rôles.
    Système d'exploitation Sélections
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    1. Sélectionnez Ajouter des rôles et des fonctionnalités.
    2. Sur la page Sélectionner un type d'installation, sélectionnez Installation basée sur des rôles ou des fonctionnalités.
    3. Sur la page Sélectionner le serveur de destination, sélectionnez un serveur.
    Windows Server 2008 R2
    1. Sélectionnez Rôles dans l'arborescence de navigation.
    2. Cliquez sur Ajouter des rôles pour démarrer l'assistant Ajouter un rôle.
  3. Sur la page Sélectionner des rôles de serveurs, sélectionnez Services de certificats Active Directory.
  4. Dans l'assistant Ajouter des rôles et des fonctionnalités, cliquez sur Ajouter des fonctionnalités et laissez la case Inclure les outils de gestion cochée.
  5. Sur la page Sélectionner les fonctionnalités, acceptez les valeurs par défaut.
  6. Sur la page Sélectionner des services de rôle, sélectionnez Autorité de certification.
  7. Suivez les invites et terminez l'installation.
  8. Lorsque l'installation est terminée, sur la page Progression de l'installation, cliquez sur le lien Configurer les services de certificats Active Directory sur le serveur de destination pour ouvrir l'assistant Configuration des services de certificats Active Directory.
  9. Sur la page Informations d'identification, cliquez sur Suivant et remplissez les pages de l'assistant Configuration des services de certificats Active Directory, comme décrit dans le tableau suivant.
    Option Action
    Services de rôle Sélectionnez Autorité de certification et cliquez sur Suivant (plutôt que sur Configurer).
    Type d'installation Sélectionnez Autorité de certification d'entreprise.
    Type d'autorité de certification Sélectionnez Autorité de certification racine ou Autorité de certification secondaire. Certaines entreprises préfèrent le déploiement PKI à deux niveaux. Pour plus d'informations, consultez http://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx.
    Clé privée Sélectionnez Créer une nouvelle clé privée.
    Chiffrement pour l’autorité de certification Pour l'algorithme de hachage, vous pouvez sélectionner SHA1, SHA256, SHA384 ou SHA512. Pour la longueur de clé, vous pouvez sélectionner 1024, 2048, 3072 ou 4096.

    VMware recommande au minimum SHA256 et une clé 2048.

    Nom de l’autorité de certification Acceptez le nom par défaut ou modifiez le nom.
    Période de validité Acceptez la valeur par défaut de 5 ans.
    Base de données de certificats Acceptez les valeurs par défaut.
  10. Sur la page Confirmation, cliquez sur Configurer et, lorsque l'assistant indique que la configuration est réussie, fermez-le.
  11. Ouvrez une invite de commande et entrez la commande suivante afin de configurer l'autorité de certification pour le traitement non persistant des certificats :
    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS
  12. Entrez la commande suivante pour ignorer les erreurs de liste de révocation des certificats hors ligne sur l'autorité de certification :
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    Cet indicateur est requis, car le certificat racine que l'authentification unique réelle utilise sera en général hors ligne, donc la vérification de la révocation échouera, ce qui est attendu.
  13. Entrez les commandes suivantes pour redémarrer le service :
    sc stop certsvc
    sc start certsvc

Que faire ensuite

Créez un modèle de certificat. Reportez-vous à la section Créer des modèles de certificat utilisés avec l'authentification unique réelle.