Vous devez créer un modèle de certificat pouvant être utilisé pour l'émission de certificats de courte durée et vous devez spécifier quels ordinateurs dans le domaine peuvent demander ce type de certificat.

Vous pouvez créer plusieurs modèles de certificat. Vous ne pouvez configurer qu'un seul modèle par domaine, mais vous pouvez partager le modèle sur plusieurs domaines. Par exemple, si vous disposez d'une forêt Active Directory avec trois domaines et que vous voulez utiliser l'authentification unique réelle pour les trois domaines, vous pouvez choisir de configurer un, deux ou trois modèles. Tous les domaines peuvent partager le même modèle ou vous pouvez avoir des modèles différents pour chaque domaine.

Conditions préalables

  • Vérifiez que vous disposez d'une autorité de certification d'entreprise pour créer le modèle décrit dans cette procédure. Reportez-vous à la section Configurer une autorité de certification d'entreprise.
  • Vérifiez que vous avez préparé Active Directory pour l'authentification par carte à puce. Pour plus d'informations, reportez-vous au document Installation d'Horizon 7.
  • Créez un groupe de sécurité dans le domaine et la forêt pour les serveurs d'inscription et ajoutez les comptes d'ordinateur des serveurs d'inscription à ce groupe.

Procédure

  1. Pour configurer l'authentification unique réelle, sur la machine que vous utilisez pour l'autorité de certification, connectez-vous au système d'exploitation en tant qu'administrateur et accédez à Outils d'administration > Autorité de certification.
    1. Développez l'arborescence dans le volet de gauche, cliquez avec le bouton droit sur Modèles de certificat et sélectionnez Gérer.
    2. Cliquez avec le bouton droit sur le modèle Connexion de carte à puce et sélectionnez Dupliquer.
    3. Apportez les modifications suivantes dans les onglets suivants :
      Onglet Action
      Onglet Compatibilité
      • Pour Autorité de certification, sélectionnez Windows Server 2008 R2.
      • Pour Destinataire du certificat, sélectionnez Windows 7/Windows Server 2008 R2.
      Onglet Général
      • Remplacez le nom complet du modèle par celui de votre choix. Exemple : authentification unique réelle.
      • Modifiez la période de validité sur une période aussi longue qu'un jour de travail classique, c'est-à-dire aussi longtemps que l'utilisateur peut rester connecté au système.

        Pour que l'utilisateur ne perde pas son accès aux ressources du réseau lorsqu'il est connecté, la période de validité doit être plus longue que la durée de renouvellement Kerberos TGT dans le domaine de l'utilisateur.

        (La durée de vie maximale par défaut du ticket est de 10 heures. Pour trouver la stratégie de domaine par défaut, vous pouvez accéder à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie Kerberos : durée de vie maximale du ticket d'utilisateur.)

      • Modifiez la période de renouvellement sur 50 à 75 % de la période de validité.
      Onglet Traitement de la demande
      • Pour Objet, sélectionnez Signature et ouverture de session avec carte à puce.
      • Sélectionnez Pour le renouvellement automatique des cartes à puce, …
      Onglet Chiffrement
      • Pour Catégorie de fournisseur, sélectionnez Fournisseur de stockage de clés.
      • Pour Nom d'algorithme, sélectionnez RSA.
      Onglet Serveur Sélectionnez Ne pas stocker les certificats et les demandes dans la base de données d’autorité de certification.
      Important : Veillez à désélectionner Ne pas inclure d’informations de révocation dans les certificats émis. (Cette case est cochée lorsque vous cochez la première et vous devez la décocher.)
      Onglet Conditions d'émission
      • Sélectionnez Ce nombre de signatures autorisées et saisissez 1 dans la case.
      • Pour Type de stratégie, sélectionnez Stratégie d'application et définissez la stratégie sur Agent de demande de certificat.
      • Pour Exiger les éléments suivants pour la réinscription, sélectionnez Certificat existant valide.
      Onglet Sécurité Pour le groupe de sécurité que vous avez créé pour les comptes d'ordinateur du serveur d'inscription, comme décrit dans les conditions préalables, fournissez les autorisations suivantes : Lecture, Inscription
      1. Cliquez sur Ajouter.
      2. Spécifiez les ordinateurs qui pourront inscrire des certificats.
      3. Pour ces ordinateurs, cochez les cases appropriées pour leur accorder les autorisations suivantes : Lecture, Inscription.
    4. Cliquez sur OK dans la boîte de dialogue Propriétés du nouveau modèle.
    5. Fermez la fenêtre Console des modèles de certificat.
    6. Cliquez avec le bouton droit sur Modèles de certificat et sélectionnez Nouveau > Modèle de certificat à délivrer.
      Note : Cette étape est requise pour toutes les autorités de certification qui émettent des certificats en fonction de ce modèle.
    7. Dans la fenêtre Activer les modèles de certificat, sélectionnez le modèle que vous venez de créer (par exemple, Modèle d'authentification unique réelle) et cliquez sur OK.
  2. Pour configurer Ordinateur Agent d'inscription, sur la machine que vous utilisez pour l'autorité de certification, connectez-vous au système d'exploitation en tant qu'administrateur et accédez à Outils d'administration > Autorité de certification.
    1. Développez l'arborescence dans le volet de gauche, cliquez avec le bouton droit sur Modèles de certificat et sélectionnez Gérer.
    2. Localisez et ouvrez le modèle Ordinateur Agent d'inscription, puis apportez la modification suivante dans l'onglet Sécurité :
      Pour le groupe de sécurité que vous avez créé pour les comptes d'ordinateur du serveur d'inscription, comme décrit dans les conditions préalables, fournissez les autorisations suivantes : Lecture, Inscription
      1. Cliquez sur Ajouter.
      2. Spécifiez les ordinateurs qui pourront inscrire des certificats.
      3. Pour ces ordinateurs, cochez les cases appropriées pour leur accorder les autorisations suivantes : Lecture, Inscription.
    3. Cliquez avec le bouton droit sur Modèles de certificat et sélectionnez Nouveau > Modèle de certificat à délivrer.
      Note : Cette étape est requise pour toutes les autorités de certification qui émettent des certificats en fonction de ce modèle.
    4. Dans la fenêtre Activer les modèles de certificat, sélectionnez Ordinateur Agent d’inscription et cliquez sur OK.

Que faire ensuite

Créez un service d'inscription. Reportez-vous à la section Installer et configurer un serveur d'inscription.