Vous pouvez définir une autorité de certification Windows Server 2012 à l'aide de l'assistant Service Manager.

Pourquoi et quand exécuter cette tâche

Voici les étapes standard à suivre pour configurer une autorité de certification Microsoft. Elles sont détaillées ici dans un formulaire simple destiné à être utilisé dans un environnement de laboratoire, mais pour un système de production réel, il est recommandé de suivre les meilleures pratiques du secteur pour la configuration de l'autorité de certification.

Si vous avez besoin d'instructions supplémentaires pour configurer une autorité de certification, consultez les références techniques standard de Microsoft : Guide de configuration pas à pas des services de certificats Active Directory et Installer une autorité de certification racine.

Remarque :

La procédure décrite dans cette rubrique s'applique à Windows Server 2012 R2. Une procédure identique peut être suivie sur Windows Server 2008 R2.

Procédure

  1. Dans le tableau de bord Gestionnaire de serveur, cliquez sur Ajouter des rôles et fonctionnalités pour ouvrir l'assistant, puis cliquez sur Suivant.
  2. Sur la page Sélectionnez un type d'installation, sélectionnez une installation basée sur les rôles ou sur les fonctionnalités et cliquez sur Suivant.
  3. Sur la page Sélection du serveur, conservez les paramètres par défaut et cliquez sur Suivant.
  4. Sur la page Rôles de serveur :
    1. Sélectionnez Services de certificats Active Directory.
    2. Dans la boîte de dialogue, sélectionnez Inclure les outils de gestion (le cas échéant) et cliquez sur Ajouter des fonctionnalités.
    3. Cliquez sur Suivant.
  5. Sur la page Fonctionnalités, cliquez sur Suivant.
  6. Sur la page AD CS, cliquez sur Suivant.
  7. Sur la page Services de rôle, sélectionnez Autorité de Certification et cliquez sur Suivant.
  8. Sur la page Confirmation, sélectionnez Redémarrer le serveur de destination automatiquement et cliquez sur Installer.

    La progression de l'installation s'affiche. Lorsque l'installation est terminée, un lien URL s'affiche, et vous pouvez configurer l'autorité de certification récemment installée via l'option « Configurer les services de certificats Active Directory » sur le serveur de destination.

  9. Cliquez sur le lien de configuration pour lancer l'assistant de configuration.
  10. Sur la page Informations d'identification, entrez les informations d'identification utilisateur du groupe d'administrateur d'entreprise et cliquez sur Suivant.
  11. Sur la page Services de rôle, sélectionnez Autorité de certification et cliquez sur Suivant.
  12. Sur la page Type d'installation, sélectionnez Autorité de certification d'entreprise et cliquez sur Suivant.
  13. Sur la page Type d'autorité de certification, sélectionnez Autorité de certification racine ou subordonnée selon le cas (dans notre exemple, il s'agit d'une autorité de certification racine) et cliquez sur Suivant.
  14. Sur la page Clé privée, sélectionnez Créer une nouvelle clé privée et cliquez sur Suivant.
  15. Sur la page Chiffrement, entrez les informations comme suit.

    Champ

    Description

    Fournisseur de services de chiffrement

    Fournisseur de stockage de clés logicielles RSA#Microsoft

    Longueur de clé

    4096 (ou une autre longueur si vous préférez)

    Algorithme de hachage

    SHA256 (ou un autre algorithme SHA si vous préférez)

  16. Sur la page Nom de l'autorité de certification, effectuez la configuration de votre choix ou acceptez les valeurs par défaut et cliquez sur Suivant.
  17. Sur la page Période de validité, effectuez la configuration de votre choix et cliquez sur Suivant.
  18. Sur la page Base de données de certificats, cliquez sur Suivant.
  19. Sur la page Confirmation, passez en revue les informations fournies et cliquez sur Configurer.
  20. Terminez le processus de configuration en effectuant les tâches suivantes (exécutez toutes les commandes depuis l'invite de commande).
    1. Configurez l'autorité de certification pour le traitement non persistant des certificats
      certutil –setreg DBFlags 
      +DBFLAGS_ENABLEVOLATILEREQUESTS
    2. Configurez l'autorité de certification pour ignorer les erreurs de la liste de révocation de certificats hors ligne
      certutil –setreg ca\CRLFlags 
      +CRLF_REVCHECK_IGNORE_OFFLINE
    3. Redémarrez le service de l'autorité de certification
      net stop certsvc
      net start certsvc

Que faire ensuite

Configurer un modèle de certificat sur l'autorité de certification