Vous pouvez configurer le modèle de certificat sur l'autorité de certification. Le modèle de certificat est la base pour les certificats que génère l'autorité de certification.
Procédure
- Créez un groupe de sécurité universel.
Cela vous permet de disposer d'un groupe de sécurité unique auquel vous pouvez attribuer les autorisations requises pour émettre des certificats pour le compte d'utilisateurs. Tous les ordinateurs sur lesquels sont installés les serveurs d'inscription VMware peuvent hériter de ces autorisations en devenant un membre de ce groupe.
- Cliquez sur Démarrer et entrez dsa.msc.
La boîte de dialogue Utilisateurs et ordinateurs Active Directory s'affiche.
- Dans l'arborescence, cliquez avec le bouton droit de la souris sur le dossier Utilisateurs pour le contrôleur de domaine et sélectionnez Nouveau > Groupe.
La boîte de dialogue Nouvel objet - Groupe s'affiche.
- Dans le champ Nom de groupe, entrez un nom pour le nouveau groupe. Par exemple, Serveurs d'inscription TrueSSO.
- Effectuez les paramétrages décrits ci-dessous.
Paramètre
Valeur
Portée du groupe
Universel
Type de groupe
Sécurité
- Cliquez sur OK.
Le nouveau groupe apparaît dans l'arborescence dans la boîte de dialogue Utilisateurs et ordinateurs Active Directory.
- Cliquez avec le bouton droit de la souris sur le groupe et sélectionnez Propriétés.
- Dans l'onglet Membre de, ajoutez l'ordinateur sur lequel le serveur d'inscription sera installé, puis cliquez sur OK.
- Redémarrez les ordinateurs sur lesquels seront installés les serveurs d'inscription.
- Cliquez sur Démarrer et entrez dsa.msc.
- Configurez le modèle de certificat.
- Sélectionnez Panneau de contrôle > Outils d'administration > Autorité de certification.
- Dans l'arborescence, développez le nom de l'autorité de certification locale.
- Cliquez avec le bouton droit sur le dossier Modèles de certificat, puis sélectionnez Gérer.
La console des modèles de certificat s'affiche.
- Cliquez avec le bouton droit sur le modèle Ouverture de session par carte à puce et sélectionnez Dupliquer le modèle.
La boîte de dialogue Propriétés du nouveau modèle s'affiche.
- Entrez les informations dans les onglets de la boîte de dialogue comme décrit ci-dessous.
Onglet
Paramètres
Compatibilité
Cochez la case Afficher les modifications résultantes
Autorité de certification : Windows Server 2008 R2
Destinataire du certificat : Windows 7/Server 2008 R2
Général
Nom d'affichage du modèle : nom de votre choix. Par exemple, modèle d'authentification unique réelle.
Nom du modèle : nom de votre choix. Par exemple, modèle d'authentification unique réelle.
Période de validité : 1 heure
Période de renouvellement : 0 semaine
Traitement de la demande
Objectif : ouverture de session par signature et carte à puce
Cochez la case Pour le renouvellement automatique des certificats par carte à puce case à cocher
Sélectionnez le bouton radio Inviter l'utilisateur lors de l'inscription
Chiffrement
Catégorie de fournisseurs : fournisseur de stockage de clés
Nom d'algorithme : RSA
Taille de clé minimale : 2048
Sélectionnez le bouton radio Les demandes peuvent utiliser n'importe quel fournisseur disponible bouton radio
Demande de hachage : SHA256
Nom du sujet
Sélectionnez le bouton radio Créer à partir de ces informations Active Directory
Format du nom du sujet : nom unique
Cochez la case Nom principal d'utilisateur
Serveur
Cochez la case Ne pas stocker les certificats et les demandes dans la base de données de l'autorité de certification
Conditions d'émission
Nécessite les informations suivantes pour l'inscription : sélectionnez Ce nombre de signatures autorisées, et entrez 1
Type de stratégie requis dans la signature : stratégie d'application
Politique d'application : agent de demande de certificat
Nécessite les informations suivantes pour l'inscription : certificat existant valide
Sécurité
Sélectionnez le groupe que vous avez créé dans la partie supérieure de l'onglet. Puis, dans la partie inférieure de l'onglet, sélectionnez Autoriser pour les autorisations de lecture et d'inscription.
- Cliquez sur OK.
- Émettez un modèle pour l'authentification unique réelle.
- Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.
La boîte de dialogue Activer les modèles de certificat s'affiche.
- Sélectionnez TrueSsoTemplate et cliquez sur OK.
- Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.
- Émettez le modèle Agent d'inscription.
- Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.
La boîte de dialogue Activer les modèles de certificat s'affiche.
- Sélectionnez l'ordinateur Agent d'inscription et cliquez sur OK.
Remarque :
Ce modèle doit disposer des mêmes paramètres de sécurité que le modèle émis à l'étape précédente.
- Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.
Résultats
L'autorité de certification est maintenant installée et configurée avec un modèle de certificat pouvant être utilisé avec l'authentification unique réelle.
