Vous pouvez configurer le modèle de certificat sur l'autorité de certification. Le modèle de certificat est la base pour les certificats que génère l'autorité de certification.

Préambules

Installer et configurer une autorité de certification Windows Server 2012 R2

Procédure

  1. Créez un groupe de sécurité universel.

    Cela vous permet de disposer d'un groupe de sécurité unique auquel vous pouvez attribuer les autorisations requises pour émettre des certificats pour le compte d'utilisateurs. Tous les ordinateurs sur lesquels sont installés les serveurs d'inscription VMware peuvent hériter de ces autorisations en devenant un membre de ce groupe.

    1. Cliquez sur Démarrer et entrez dsa.msc.

      La boîte de dialogue Utilisateurs et ordinateurs Active Directory s'affiche.

    2. Dans l'arborescence, cliquez avec le bouton droit de la souris sur le dossier Utilisateurs pour le contrôleur de domaine et sélectionnez Nouveau > Groupe.

      La boîte de dialogue Nouvel objet - Groupe s'affiche.

    3. Dans le champ Nom de groupe, entrez un nom pour le nouveau groupe. Par exemple, Serveurs d'inscription TrueSSO.
    4. Effectuez les paramétrages décrits ci-dessous.

      Paramètre

      Valeur

      Portée du groupe

      Universel

      Type de groupe

      Sécurité

    5. Cliquez sur OK.

      Le nouveau groupe apparaît dans l'arborescence dans la boîte de dialogue Utilisateurs et ordinateurs Active Directory.

    6. Cliquez avec le bouton droit de la souris sur le groupe et sélectionnez Propriétés.
    7. Dans l'onglet Membre de, ajoutez l'ordinateur sur lequel le serveur d'inscription sera installé, puis cliquez sur OK.
    8. Redémarrez les ordinateurs sur lesquels seront installés les serveurs d'inscription.
  2. Configurez le modèle de certificat.
    1. Sélectionnez Panneau de contrôle > Outils d'administration > Autorité de certification.
    2. Dans l'arborescence, développez le nom de l'autorité de certification locale.
    3. Cliquez avec le bouton droit sur le dossier Modèles de certificat, puis sélectionnez Gérer.

      La console des modèles de certificat s'affiche.

    4. Cliquez avec le bouton droit sur le modèle Ouverture de session par carte à puce et sélectionnez Dupliquer le modèle.

      La boîte de dialogue Propriétés du nouveau modèle s'affiche.

    5. Entrez les informations dans les onglets de la boîte de dialogue comme décrit ci-dessous.

      Onglet

      Paramètres

      Compatibilité

      • Cochez la case Afficher les modifications résultantes

      • Autorité de certification : Windows Server 2008 R2

      • Destinataire du certificat : Windows 7/Server 2008 R2

      Général

      • Nom d'affichage du modèle : nom de votre choix. Par exemple, modèle d'authentification unique réelle.

      • Nom du modèle : nom de votre choix. Par exemple, modèle d'authentification unique réelle.

      • Période de validité : 1 heure

      • Période de renouvellement : 0 semaine

      Traitement de la demande

      • Objectif : ouverture de session par signature et carte à puce

      • Cochez la case Pour le renouvellement automatique des certificats par carte à puce case à cocher

      • Sélectionnez le bouton radio Inviter l'utilisateur lors de l'inscription

      Chiffrement

      • Catégorie de fournisseurs : fournisseur de stockage de clés

      • Nom d'algorithme : RSA

      • Taille de clé minimale : 2048

      • Sélectionnez le bouton radio Les demandes peuvent utiliser n'importe quel fournisseur disponible bouton radio

      • Demande de hachage : SHA256

      Nom du sujet

      • Sélectionnez le bouton radio Créer à partir de ces informations Active Directory

      • Format du nom du sujet : nom unique

      • Cochez la case Nom principal d'utilisateur

      Serveur

      Cochez la case Ne pas stocker les certificats et les demandes dans la base de données de l'autorité de certification

      Conditions d'émission

      • Nécessite les informations suivantes pour l'inscription : sélectionnez Ce nombre de signatures autorisées, et entrez 1

      • Type de stratégie requis dans la signature : stratégie d'application

      • Politique d'application : agent de demande de certificat

      • Nécessite les informations suivantes pour l'inscription : certificat existant valide

      Sécurité

      Sélectionnez le groupe que vous avez créé dans la partie supérieure de l'onglet. Puis, dans la partie inférieure de l'onglet, sélectionnez Autoriser pour les autorisations de lecture et d'inscription.

    6. Cliquez sur OK.
  3. Émettez un modèle pour l'authentification unique réelle.
    1. Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.

      La boîte de dialogue Activer les modèles de certificat s'affiche.

    2. Sélectionnez TrueSsoTemplate et cliquez sur OK.
  4. Émettez le modèle Agent d'inscription.
    1. Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.

      La boîte de dialogue Activer les modèles de certificat s'affiche.

    2. Sélectionnez l'ordinateur Agent d'inscription et cliquez sur OK.
      Remarque :

      Ce modèle doit disposer des mêmes paramètres de sécurité que le modèle émis à l'étape précédente.

Résultats

L'autorité de certification est maintenant installée et configurée avec un modèle de certificat pouvant être utilisé avec l'authentification unique réelle.

Que faire ensuite

Configurer le serveur d’inscription