Une autorité de certification Microsoft est requise pour l'utilisation de la fonctionnalité SSO réelle. Si une autorité de certification n'est pas déjà configurée, vous devez ajouter le rôle Services de certificats Active Directory (AD CS) à un serveur Microsoft Windows et configurer le serveur en tant qu'autorité de certification d'entreprise. Vous pouvez utiliser l'assistant Service Manager pour effectuer cette procédure.

Voici les étapes standard à suivre pour configurer une autorité de certification Microsoft. Dans cette rubrique, elles sont détaillées dans un formulaire simple destiné à être utilisé dans un environnement de laboratoire, mais pour un système de production réel, il est recommandé de suivre les meilleures pratiques du secteur pour la configuration de l'autorité de certification.

Si vous avez besoin d'instructions supplémentaires pour configurer une autorité de certification, consultez les références techniques standard de Microsoft : Guide de configuration pas à pas des services de certificats Active Directory et Installer une autorité de certification racine.

Note : Pour illustrer le processus, les étapes spécifiques de cette rubrique sont basées sur l'utilisation de Windows Server 2012 R2. Des étapes très similaires peuvent être suivies sur d'autres systèmes Windows Server. Si vous souhaitez installer le serveur d'inscription sur le système qui héberge cette autorité de certification, veillez à utiliser l'une des versions de Windows Server prises en charge pour le serveur d'inscription. Reportez-vous à la section Horizon Cloud - True SSO - Configurer le serveur d'inscription.

Procédure

  1. Dans le tableau de bord Gestionnaire de serveur, cliquez sur Ajouter des rôles et fonctionnalités pour ouvrir l'assistant, puis cliquez sur Suivant.
  2. Sur la page Sélectionnez un type d'installation, sélectionnez une installation basée sur les rôles ou sur les fonctionnalités et cliquez sur Suivant.
  3. Sur la page Sélection du serveur, conservez les paramètres par défaut et cliquez sur Suivant.
  4. Sur la page Rôles de serveur :
    1. Sélectionnez Services de certificats Active Directory.
    2. Dans la boîte de dialogue, sélectionnez Inclure les outils de gestion (le cas échéant) et cliquez sur Ajouter des fonctionnalités.
    3. Cliquez sur Suivant.
  5. Sur la page Fonctionnalités, cliquez sur Suivant.
  6. Sur la page AD CS, cliquez sur Suivant.
  7. Sur la page Services de rôle, sélectionnez Autorité de Certification et cliquez sur Suivant.
  8. Sur la page Confirmation, sélectionnez Redémarrer le serveur de destination automatiquement et cliquez sur Installer.
    La progression de l'installation s'affiche. Lorsque l'installation est terminée, un lien URL s'affiche, et vous pouvez configurer l'autorité de certification récemment installée via l'option « Configurer les services de certificats Active Directory » sur le serveur de destination.
  9. Cliquez sur le lien de configuration pour lancer l'assistant de configuration.
  10. Sur la page Informations d'identification, entrez les informations d'identification utilisateur du groupe d'administrateur d'entreprise et cliquez sur Suivant.
  11. Sur la page Services de rôle, sélectionnez Autorité de certification et cliquez sur Suivant.
  12. Sur la page Type d'installation, sélectionnez Autorité de certification d'entreprise et cliquez sur Suivant.
  13. Sur la page Type d'autorité de certification, sélectionnez Autorité de certification racine ou subordonnée selon le cas (dans notre exemple, il s'agit d'une autorité de certification racine) et cliquez sur Suivant.
  14. Sur la page Clé privée, sélectionnez Créer une nouvelle clé privée et cliquez sur Suivant.
  15. Sur la page Chiffrement, entrez les informations comme suit.
    Champ Description
    Fournisseur de services de chiffrement Fournisseur de stockage de clés logicielles RSA#Microsoft
    Longueur de clé 4096 (ou une autre longueur si vous préférez)
    Algorithme de hachage SHA256 (ou un autre algorithme SHA si vous préférez)
  16. Sur la page Nom de l'autorité de certification, effectuez la configuration de votre choix ou acceptez les valeurs par défaut et cliquez sur Suivant.
  17. Sur la page Période de validité, effectuez la configuration de votre choix et cliquez sur Suivant.
  18. Sur la page Base de données de certificats, cliquez sur Suivant.
  19. Sur la page Confirmation, passez en revue les informations fournies et cliquez sur Configurer.
  20. Terminez le processus de configuration en effectuant les tâches suivantes (exécutez toutes les commandes depuis l'invite de commande).
    1. Configurez l'autorité de certification pour le traitement non persistant des certificats
      certutil –setreg DBFlags 
      +DBFLAGS_ENABLEVOLATILEREQUESTS
    2. Configurez l'autorité de certification pour ignorer les erreurs de la liste de révocation de certificats hors ligne
      certutil –setreg ca\CRLFlags 
      +CRLF_REVCHECK_IGNORE_OFFLINE
    3. Redémarrez le service de l'autorité de certification
      net stop certsvc
      net start certsvc
  21. Configurez un modèle de certificat sur l’autorité de certification en effectuant la procédure décrite dans Horizon Cloud - True SSO - Configurer un modèle de certificat sur la CA.