Vous pouvez configurer le modèle de certificat sur l'autorité de certification. Le modèle de certificat est la base pour les certificats que génère l'autorité de certification.
Conditions préalables
Effectuez la procédure décrite dans la section Installer et configurer une autorité de certification Windows Server 2012 R2.
Procédure
- Créez un groupe de sécurité universel.
Créer ce groupe vous permet de disposer d'un groupe de sécurité unique auquel vous pouvez attribuer les autorisations requises pour émettre des certificats pour le compte des utilisateurs. Tous les ordinateurs sur lesquels sont installés les serveurs d'inscription VMware peuvent hériter de ces autorisations en devenant un membre de ce groupe.
- Cliquez sur Démarrer, puis entrez dsa.msc.
La fenêtre Utilisateurs et ordinateurs Active Directory s'affiche.
- Dans l'arborescence, cliquez avec le bouton droit de la souris sur le dossier Utilisateurs pour le contrôleur de domaine et sélectionnez Nouveau > Groupe.
La fenêtre Nouvel objet - Groupe s'affiche.
- Dans le champ Nom du groupe, entrez un nom pour le nouveau groupe. Par exemple, Serveurs d'inscription TrueSSO.
- Définissez les valeurs suivantes.
Paramètre Valeur Portée du groupe Universel Type de groupe Sécurité - Cliquez sur OK.
Le nouveau groupe apparaît dans l'arborescence dans la fenêtre Utilisateurs et ordinateurs Active Directory.
- Cliquez avec le bouton droit de la souris sur le groupe et sélectionnez Propriétés.
- Sous l'onglet Membre de, ajoutez chaque ordinateur sur lequel vous allez installer un serveur d'inscription, puis cliquez sur OK.
- Redémarrez chaque ordinateur sur lequel vous allez installer un serveur d'inscription.
- Cliquez sur Démarrer, puis entrez dsa.msc.
- Configurez le modèle de certificat.
- Sélectionnez Panneau de contrôle > Outils d'administration > Autorité de certification.
- Dans l'arborescence, développez le nom de l'autorité de certification locale.
- Cliquez avec le bouton droit sur le dossier Modèles de certificat, puis sélectionnez Gérer.
La console des modèles de certificat s'affiche.
- Cliquez avec le bouton droit sur le modèle Ouverture de session par carte à puce et sélectionnez Dupliquer le modèle.
La fenêtre Propriétés du nouveau modèle s'affiche.
- Entrez les informations dans les onglets de la fenêtre comme décrit ci-dessous.
Onglet Paramètres Compatibilité - Cochez la case Afficher les modifications résultantes.
- Autorité de certification : Windows Server 2008 R2
- Destinataire du certificat : Windows 7/Server 2008 R2
Général - Nom d'affichage du modèle : nom de votre choix. Par exemple, modèle d'authentification unique réelle.
- Nom du modèle : nom de votre choix. Par exemple, modèle d'authentification unique réelle.
- Période de validité : 1 heure
- Période de renouvellement : 0 semaine
Traitement de la demande - Objectif : ouverture de session par signature et carte à puce
- Cochez la case Pour le renouvellement automatique des certificats par carte à puce.
- Sélectionnez le bouton radio Inviter l'utilisateur lors de l'inscription.
Chiffrement - Catégorie de fournisseurs : fournisseur de stockage de clés
- Nom d'algorithme : RSA
- Taille de clé minimale : 2048
- Sélectionnez le bouton radio Les demandes peuvent utiliser n'importe quel fournisseur disponible.
- Demande de hachage : SHA256
Nom du sujet - Sélectionnez le bouton radio Créer à partir de ces informations Active Directory.
- Format du nom du sujet : nom unique
- Cochez la case Nom principal de l'utilisateur (UPN).
Serveur Cochez la case Ne pas stocker les certificats et les demandes dans la base de données de l'autorité de certification. Conditions d'émission - Nécessite les informations suivantes pour l'inscription : sélectionnez Ce nombre de signatures autorisées, puis entrez 1.
- Type de stratégie requis dans la signature : stratégie d'application
- Politique d'application : agent de demande de certificat
- Nécessite les informations suivantes pour l'inscription : certificat existant valide
Sécurité Dans la partie supérieure de l'onglet, sélectionnez le groupe que vous avez créé. Puis, dans la partie inférieure de l'onglet, sélectionnez Autoriser pour les autorisations de lecture et d'inscription. - Cliquez sur OK.
- Émettez le modèle pour l'authentification unique réelle.
- Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.
La fenêtre Activer les modèles de certificat s'affiche.
- Sélectionnez TrueSsoTemplate et cliquez sur OK.
- Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.
- Émettez le modèle Agent d'inscription.
- Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.
La fenêtre Activer les modèles de certificat s'affiche.
- Sélectionnez l'ordinateur Agent d'inscription et cliquez sur OK.
Note : Ce modèle doit disposer des mêmes paramètres de sécurité que le modèle émis à l'étape précédente.
L'autorité de certification est maintenant installée et configurée avec un modèle de certificat pouvant être utilisé avec l'authentification unique réelle. - Cliquez de nouveau avec le bouton droit de la souris dans le dossier des modèles de certificat et sélectionnez Nouveau > Modèle de certificat à émettre.
- Téléchargez le bundle de couplage d'Horizon Cloud en effectuant la procédure décrite dans Télécharger le bundle de couplage d'Horizon Cloud.