Cet article vise à vous accompagner dans le déploiement de certificats permettant la mise en place d'une authentification forte
Installation du rôle AD Certificate Services
- Installer le rôle "Service de certificats Active Directory" sur un de vos serveurs. Il est important de noter qu'un serveur disposant de ce rôle doit être considéré comme particulièrement sensible et doit disposer d'un niveau de protection et surveillance similaire à celui d'un contrôleur de domaine.
Création d'un nouveau modèle de certificats
- Ouvrir le gestionnaire de Certificats (certsrv) et le dossier "Modèles de certificats"
- Faire un clic droit sur le dossier "Modèles de certificats", "Gérer" puis un clic droit sur "Utilisateur" et sélectionner finalement "Dupliquer le modèle".
- Changer le nom du nouveau modèle ainsi créé par "Utilisateur v2"
- Dans l'onglet "Securité" activer les droits "Lecture", "Inscrire" et "Inscription automatique" pour les utilisateurs du domaine.
- Si nécessaire, la stratégie d'application de ce nouveau modèle peut être modifiée. Dans la plupart des cas ces certificats permettront l'authentification des utilisateurs, vérifiez donc que la stratégie d'application contient "Authentificaton du client". Vous pouvez supprimer les autres stratégies d'application si vous le souhaitez.
- Dans l'onglet "Traitement de la demande", décochez l'option "Autoriser l'exportation de la clé privée"
- Valider la création de ce nouveau modèle
- Retourner sur la fenêtre de l'autorité de certification (certsrv) et faire un clic droit sur "Modèle de certificats" puis "Nouveau" et enfin "Modèle de certificat à délivrer"
- Sélectionnez le modèle nouvellement créé et cliquez sur Ok
- Le nouveau modèle doit désormais apparaitre dans la fenêtre courante
Activer l'inscription automatique des utilisateurs du domaine à ce certificat
- Connectez-vous sur un contrôleur de domaine et ouvrez l'outil de Gestion de stratégie de groupe. Ouvrez le domaine pour lequel vous souhaitez activer l'inscription automatique puis le dossier "Objets de stratégie de groupe". Faites un clic droit sur "Default Domain Policy" puis cliquez sur "Modifier'.
- Allez dans "Configuration utilisateur" -> "Strategie" -> "Paramètres Windows" -> "Paramètre de sécurité" -> "Stratégies de clé publique" puis cliquez sur "Client des services de certificats - Inscription automatique"
- Sélectionnez "Activé" pour l'option "Modèle de configuration" et cochez les deux premières cases "Renouveler les certificats expirés [...]" et "Mettre à jour les certificats [...]" puis cliquez sur "Ok"
- Il vous suffit alors de cliquer sur "Ok" et de fermer la GPO en question.
- Depuis une session d'un utilisateur du domaine, tapez "gpudate /force" et attendez l'application de votre GPO. Un certificat devrait alors apparaitre dans votre magasin de certificat. Le cas contraire utilisez la commande "gpresult /r" pour vous assurez que la GPO est bien appliquée. Dans l'image ci-dessous c'est le certificat de l'utilisateur "Administrateur" qui est visible.