Exemple détaillé de déploiement des certificats PKI pour Configuration Manager : Autorité de certification Windows Server 2008Step-by-step example deployment of the PKI certificates for Configuration Manager: Windows Server 2008 certification authority

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Cet exemple de déploiement pas à pas utilise une autorité de certification Windows Server 2008. Il contient des procédures qui vous montrent comment créer et déployer les certificats d’infrastructure à clé publique (PKI) utilisés par Configuration Manager.This step-by-step example deployment, which uses a Windows Server 2008 certification authority (CA), has procedures that show you how to create and deploy the public key infrastructure (PKI) certificates that Configuration Manager uses. Ces procédures utilisent une autorité de certification d'entreprise (CA) et des modèles de certificats.These procedures use an enterprise certification authority (CA) and certificate templates. Les étapes conviennent uniquement à un réseau de test utilisé à des fins de démonstration du concept.The steps are appropriate for a test network only, as a proof of concept.

Étant donné qu’il n’existe aucune méthode unique de déploiement des certificats requis, consultez la documentation de votre déploiement d’infrastructure à clé publique (PKI) pour prendre connaissance des procédures et des bonnes pratiques liées au déploiement des certificats requis pour un environnement de production.Because there's no single method of deployment for the required certificates, consult your particular PKI deployment documentation for the required procedures and best practices to deploy the required certificates for a production environment. Pour plus d'informations sur les certificats requis, consultez Exigences de certificat PKI pour Configuration Manager.For more about the certificate requirements, see PKI certificate requirements for Configuration Manager.

Conseil

Vous pouvez adapter les instructions de cette rubrique aux systèmes d’exploitation autres que ceux décrits dans la section Configuration requise du réseau de test.You can adapt the instructions in this topic for operating systems that aren't documented in the Test Network Requirements section. Toutefois, si vous exécutez l'autorité de certification émettrice sur Windows Server 2012, vous n'êtes pas invité à indiquer la version du modèle de certificat.However, if you are running the issuing CA on Windows Server 2012, you're not prompted for the certificate template version. Spécifiez-la plutôt sous l’onglet Compatibilité des propriétés du modèle :Instead, specify this on the Compatibility tab of the template properties:

  • Autorité de certification : Windows Server 2003Certification Authority: Windows Server 2003
    • Destinataire du certificat : Windows XP/Server 2003Certificate recipient: Windows XP / Server 2003

Configuration requise du réseau de testTest network requirements

Dans ces instructions étape par étape, les impératifs de configuration sont les suivants :The step-by-step instructions have the following requirements:

  • Le réseau de test exécute les services de domaine Active Directory avec Windows Server 2008, et il est installé en tant que domaine unique au sein d'une même forêt.The test network is running Active Directory Domain Services with Windows Server 2008, and it is installed as a single domain, single forest.

  • Vous disposez d’un serveur membre exécutant Windows Server 2008 Enterprise Edition sur lequel est installé le rôle Services de certificats Active Directory, et il est configuré comme autorité de certification racine d’entreprise.You have a member server running Windows Server 2008 Enterprise Edition, which has the Active Directory Certificate Services role installed on it, and it is set up as an enterprise root certification authority (CA).

  • Un ordinateur équipé de Windows Server 2008 (Standard Edition ou Enterprise Edition, R2 ou version ultérieure) doit être désigné comme serveur membre, et les services Internet (IIS) doivent être installés sur cet ordinateur.You have one computer that has Windows Server 2008 (Standard Edition or Enterprise Edition, R2 or later) installed on it, that computer is designated as a member server, and Internet Information Services (IIS) is installed on it. Cet ordinateur est le serveur de système de site Configuration Manager que vous configurez avec un nom de domaine complet intranet (pour la prise en charge des connexions clientes sur l’intranet) et un nom de domaine complet Internet si vous devez prendre en charge des appareils mobiles inscrits auprès de Configuration Manager et de clients sur Internet.This computer will be the Configuration Manager site system server that you will configure with an intranet fully qualified domain name (FQDN) to support client connections on the intranet and an internet FQDN if you must support mobile devices that are enrolled by Configuration Manager and clients on the internet.

  • Vous disposez d’un client Windows Vista équipé du dernier Service Pack, et cet ordinateur configuré avec un nom d’ordinateur incluant des caractères ASCII est lié au domaine.You have one Windows Vista client that has the latest service pack installed, and this computer is set up with a computer name that comprises ASCII characters and is joined to the domain. Cet ordinateur est un ordinateur client Configuration Manager.This computer will be a Configuration Manager client computer.

  • Vous pouvez vous connecter sous un compte d’administrateur de domaine racine ou d’entreprise et utiliser ce compte pour effectuer toutes les procédures présentées dans cet exemple de déploiement.You can sign in with a root domain administrator account or an enterprise domain administrator account and use this account for all procedures in this example deployment.

Présentation des certificatsOverview of the certificates

Le tableau suivant présente les types de certificats PKI pouvant être nécessaires pour Configuration Manager et décrit leur utilisation.The following table lists the types of PKI certificates that might be required for Configuration Manager and describes how they are used.

Certificat requisCertificate Requirement Description du certificatCertificate Description
Certificat de serveur Web pour les systèmes de site qui exécutent IISWeb server certificate for site systems that run IIS Ce certificat permet de chiffrer les données et d'authentifier le serveur auprès des clients.This certificate is used to encrypt data and authenticate the server to clients. Il doit être installé indépendamment de Configuration Manager sur des serveurs de systèmes de site qui exécutent IIS (Internet Information Services) et qui sont configurés dans Configuration Manager pour utiliser HTTPS.It must be installed externally from Configuration Manager on site systems servers that run Internet Information Services (IIS) and that are set up in Configuration Manager to use HTTPS.

Pour plus d’informations sur les étapes permettant de configurer et d’installer ce certificat, consultez Déployer le certificat de serveur web pour les systèmes de site qui exécutent IIS dans cette rubrique.For the steps to set up and install this certificate, see Deploy the web server certificate for site systems that run IIS in this topic.
Certificat de service pour la connexion des clients aux points de distribution cloudService certificate for clients to connect to cloud-based distribution points Pour plus d’informations sur les étapes permettant de configurer et d’installer ce certificat, consultez Déployer le certificat de service pour les points de distribution cloud dans cette rubrique.For the steps to configure and install this certificate, see Deploy the service certificate for cloud-based distribution points in this topic.

Important : Ce certificat est utilisé conjointement au certificat de gestion de Microsoft Azure.Important: This certificate is used in conjunction with the Windows Azure management certificate. Pour plus d’informations sur le certificat de gestion, consultez Guide pratique pour créer un certificat de gestion et Guide pratique pour ajouter un certificat de gestion à un abonnement Windows Azure.For more about the management certificate, see How to Create a Management Certificate and How to Add a Management Certificate to a Windows Azure Subscription.
Certificat client pour les ordinateurs WindowsClient certificate for Windows computers Ce certificat est utilisé pour authentifier les ordinateurs clients Configuration Manager auprès des systèmes de site qui sont configurés pour utiliser HTTPS.This certificate is used to authenticate Configuration Manager client computers to site systems that are set up to use HTTPS. Sur les points de gestion et les points de migration d’état, il permet de surveiller leur état de fonctionnement quand ils sont configurés pour utiliser HTTPS.It can also be used for management points and state migration points to monitor their operational status when they are set up to use HTTPS. Il doit être installé indépendamment de Configuration Manager sur les ordinateurs.It must be installed externally from Configuration Manager on computers.

Pour plus d’informations sur les étapes permettant de configurer et d’installer ce certificat, consultez Déployer le certificat client pour les ordinateurs Windows dans cette rubrique.For the steps to set up and install this certificate, see Deploy the client certificate for Windows computers in this topic.
Certificat client pour les points de distributionClient certificate for distribution points Ce certificat a deux objectifs :This certificate has two purposes:

Ce certificat est utilisé pour authentifier le point de distribution auprès d'un point de gestion HTTPS avant que le point de distribution n'envoie des messages d'état.The certificate is used to authenticate the distribution point to an HTTPS-enabled management point before the distribution point sends status messages.

Lorsque l'option du point de distribution Activer la prise en charge PXE pour les clients est sélectionnée, le certificat est envoyé aux ordinateurs qui effectuent un démarrage PXE afin qu'ils puissent se connecter à un point de gestion HTTPS pendant le déploiement du système d'exploitation.When the Enable PXE support for clients distribution point option is selected, the certificate is sent to computers that PXE boot so that they can connect to a HTTPS-enabled management point during the deployment of the operating system.

Pour plus d’informations sur les étapes permettant de configurer et d’installer ce certificat, consultez Déployer le certificat client pour les points de distribution dans cette rubrique.For the steps to set up and install this certificate, see Deploy the client certificate for distribution points in this topic.
Certificat d'inscription pour les appareils mobilesEnrollment certificate for mobile devices Ce certificat est utilisé pour authentifier les clients d’appareils mobiles Configuration Manager auprès des systèmes de site qui sont configurés pour utiliser HTTPS.This certificate is used to authenticate Configuration Manager mobile device clients to site systems that are set up to use HTTPS. Il doit être installé dans le cadre de l’inscription d’appareil mobile dans Configuration Manager. Ensuite, vous choisissez le modèle de certificat configuré comme paramètre de client d’appareil mobile.It must be installed as part of mobile device enrollment in Configuration Manager, and you choose the configured certificate template as a mobile device client setting.

Pour plus d’informations sur les étapes permettant de configurer ce certificat, consultez Déployer le certificat d’inscription pour les appareils mobiles dans cette rubrique.For the steps to set up this certificate, see Deploy the enrollment certificate for mobile devices in this topic.
Certificat client pour les ordinateurs MacClient certificate for Mac computers Vous pouvez obtenir et installer ce certificat à partir d’un ordinateur Mac quand vous utilisez l’inscription Configuration Manager. Ensuite, vous choisissez le modèle de certificat configuré comme paramètre de client d’appareil mobile.You can request and install this certificate from a Mac computer when you use Configuration Manager enrollment and choose the configured certificate template as a mobile device client setting.

Pour plus d’informations sur les étapes permettant de configurer ce certificat, consultez Déployer le certificat client pour les ordinateurs Mac dans cette rubrique.For the steps to set up this certificate, see Deploy the client certificate for Mac computers in this topic.

Déployer le certificat de serveur web pour les systèmes de site qui exécutent IISDeploy the web server certificate for site systems that run IIS

Les procédures de ce déploiement de certificat sont les suivantes :This certificate deployment has the following procedures:

  • Créer et émettre le modèle de certificat de serveur web sur l’autorité de certificationCreate and issue the web server certificate template on the certification authority

  • Demander le certificat de serveur webRequest the web server certificate

  • Configurer IIS en vue d’utiliser le certificat de serveur webConfigure IIS to use the web server certificate

Créer et émettre le modèle de certificat de serveur web sur l’autorité de certificationCreate and issue the web server certificate template on the certification authority

Cette procédure crée un modèle de certificat pour les systèmes de site Configuration Manager et l’ajoute à l’autorité de certification.This procedure creates a certificate template for Configuration Manager site systems and adds it to the certification authority.

Pour créer et émettre le modèle de certificat de serveur Web sur l'autorité de certificationTo create and issue the web server certificate template on the certification authority
  1. Créez un groupe de sécurité nommé Serveurs ConfigMgr IIS qui contient les serveurs membres où installer les systèmes de site Configuration Manager qui vont exécuter IIS.Create a security group named ConfigMgr IIS Servers that has the member servers to install Configuration Manager site systems that will run IIS.

  2. Sur le serveur membre sur lequel les services de certificats sont installés, dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console Modèles de certificats.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates and then choose Manage to load the Certificate Templates console.

  3. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée qui affiche Serveur Web dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Dans la boîte de dialogue Dupliquer le modèle, vérifiez que l’option Windows Server 2003, Enterprise Edition est sélectionnée, puis choisissez OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Important

    Ne sélectionnez pas Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle (par exemple, Certificat de serveur web ConfigMgr) pour générer les certificats web à utiliser sur les systèmes de site Configuration Manager.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Web Server Certificate, to generate the web certificates that will be used on Configuration Manager site systems.

  6. Choisissez l’onglet Nom de l’objet et vérifiez que l’option Fournir dans la demande est sélectionnée.Choose the Subject Name tab, and make sure that Supply in the request is selected.

  7. Sous l’onglet Sécurité, supprimez l’autorisation Inscription des groupes de sécurité Administrateurs du domaine et Administrateurs de l’entreprise.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Choisissez Ajouter, entrez Serveurs ConfigMgr IIS dans la zone de texte, puis choisissez OK.Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  9. Choisissez l’autorisation Inscription pour ce groupe et ne désactivez pas l’autorisation Lecture.Choose the Enroll permission for this group, and do not clear the Read permission.

  10. Choisissez OK, puis fermez la console Modèles de certificats.Choose OK, and then close the Certificate Templates Console.

  11. Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à délivrer.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. Dans la boîte de dialogue Activer les modèles de certificat, choisissez le nouveau modèle que vous venez de créer, Certificat de serveur web ConfigMgr, puis choisissez OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Web Server Certificate, and then choose OK.

  13. Si vous n’avez pas besoin de créer ni d’émettre d’autres certificats, fermez Autorité de certification.If you do not need to create and issue more certificates, close Certification Authority.

Demander le certificat de serveur webRequest the web server certificate

Cette procédure vous permet de spécifier les valeurs de nom de domaine complet intranet et Internet qui seront configurées dans les propriétés de serveur de système de site, puis installe le certificat de serveur web sur le serveur membre qui exécute IIS.This procedure lets you specify the intranet and internet FQDN values that will be set up in the site system server properties and then installs the web server certificate on to the member server that runs IIS.

Pour demander le certificat de serveur WebTo request the web server certificate
  1. Redémarrez le serveur membre qui exécute IIS pour vérifier que l’ordinateur peut accéder au modèle de certificat créé via les autorisations Lecture et Inscription configurées.Restart the member server that runs IIS to ensure that the computer can access the certificate template that you created by using the Read and Enroll permissions that you configured.

  2. Choisissez Démarrer, Exécuter, puis tapez mmc.exe.Choose Start, choose Run, and then type mmc.exe. Dans la console vide, choisissez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, choisissez Certificats dans la liste Composants logiciels enfichables disponibles, puis Ajouter.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. Dans la boîte de dialogue Composant logiciel enfichable des certificats, choisissez Compte d’ordinateur, puis Suivant.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. Dans la boîte de dialogue Sélectionner un ordinateur, vérifiez que l’option L’ordinateur local (l’ordinateur sur lequel cette console s’exécute) est sélectionnée, puis choisissez Terminer.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, choisissez OK.In the Add or Remove Snap-ins dialog box, choose OK.

  7. Dans la console, développez Certificats (ordinateur local) , puis choisissez Personnel.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Cliquez avec le bouton droit sur Certificats, choisissez Toutes les tâches, puis Demander un nouveau certificat.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. Dans la page Avant de commencer, choisissez Suivant.On the Before You Begin page, choose Next.

  10. Si vous voyez la page Sélectionner la stratégie d’inscription de certificat, choisissez Suivant.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. Dans la page Demander des certificats, identifiez le Certificat de serveur web ConfigMgr dans la liste des certificats disponibles, puis choisissez L’inscription pour obtenir ce certificat nécessite des informations supplémentaires. Cliquez ici pour configurer les paramètres.On the Request Certificates page, identify the ConfigMgr Web Server Certificate from the list of available certificates, and then choose More information is required to enroll for this certificate. Click here to configure settings.

  12. Dans la boîte de dialogue Propriétés du certificat, dans l’onglet Objet, n’apportez pas de modifications à Nom de l’objet.In the Certificate Properties dialog box, in the Subject tab, do not make any changes to Subject name. Cela signifie que la zone Valeur de la section Nom d'objet reste vierge.This means that the Value box for the Subject name section remains blank. Au lieu de cela, dans la section Autre nom, choisissez la liste déroulante Type, puis DNS.Instead, from the Alternative name section, choose the Type drop-down list, and then choose DNS.

  13. Dans la boîte Valeur, spécifiez les valeurs de nom de domaine complet que vous allez indiquer dans les propriétés de système de site Configuration Manager, puis choisissez OK pour fermer la boîte de dialogue Propriétés du certificat.In the Value box, specify the FQDN values that you will specify in the Configuration Manager site system properties, and then choose OK to close the Certificate Properties dialog box.

    Exemples :Examples:

    • Si le système de site accepte uniquement les connexions clientes à partir de l’intranet et que le nom de domaine complet intranet du serveur de système de site est server1.internal.contoso.com, entrez server1.internal.contoso.com, puis choisissez Ajouter.If the site system will only accept client connections from the intranet, and the intranet FQDN of the site system server is server1.internal.contoso.com, enter server1.internal.contoso.com, and then choose Add.

    • Si le système de site accepte uniquement les connexions client à partir de l'Intranet et d'Internet, et le nom de domaine complet Intranet du serveur de système de site est server1.internal.contoso.com, et le nom de domaine complet Internet du serveur de système de site est server.contoso.com :If the site system will accept client connections from the intranet and the internet, and the intranet FQDN of the site system server is server1.internal.contoso.com and the internet FQDN of the site system server is server.contoso.com:

      1. Entrez server1.internal.contoso.com, puis choisissez Ajouter.Enter server1.internal.contoso.com, and then choose Add.

      2. Entrez server.contoso.com, puis choisissez Ajouter.Enter server.contoso.com, and then choose Add.

      Notes

      Vous pouvez spécifier les noms de domaine complets pour Configuration Manager dans n’importe quel ordre.You can specify the FQDNs for Configuration Manager in any order. Cependant, vérifiez que tous les appareils qui utiliseront le certificat, tels que les appareils mobiles et les serveurs web proxy, peuvent utiliser un autre nom de l’objet (SAN) du certificat et plusieurs valeurs dans cet autre nom.However, check that all devices that will use the certificate, such as mobile devices and proxy web servers, can use a certificate subject alternative name (SAN) and multiple values in the SAN. Si la prise en charge par les appareils des valeurs SAN dans les certificats est limitée, envisagez de modifier l'ordre des noms de domaine complets ou utilisez la valeur Objet à la place.If devices have limited support for SAN values in certificates, you might have to change the order of the FQDNs or use the Subject value instead.

  14. Dans la page Demander des certificats, choisissez Certificat de serveur web ConfigMgr dans la liste des certificats disponibles, puis choisissez Inscrire.On the Request Certificates page, choose ConfigMgr Web Server Certificate from the list of available certificates, and then choose Enroll.

  15. Dans la page Résultats de l’installation des certificats, attendez que le certificat soit installé, puis choisissez Terminer.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  16. Fermez la fenêtre Certificats (ordinateur local) .Close Certificates (Local Computer).

Configurer IIS en vue d’utiliser le certificat de serveur webConfigure IIS to use the web server certificate

Cette procédure lie le certificat installé au Site Web par défautIIS.This procedure binds the installed certificate to the IIS Default Web Site.

Pour configurer IIS en vue d’utiliser le certificat de serveur webTo set up IIS to use the web server certificate
  1. Sur le serveur membre sur lequel IIS est installé, choisissez Démarrer, Programmes, Outils d’administration, puis Gestionnaire des services Internet (IIS) .On the member server that has IIS installed, choose Start, choose Programs, choose Administrative Tools, and then choose Internet Information Services (IIS) Manager.

  2. Développez Sites, cliquez avec le bouton droit sur Site Web par défaut, puis choisissez Modifier les liaisons.Expand Sites, right-click Default Web Site, and then choose Edit Bindings.

  3. Choisissez l’entrée https, puis Modifier.Choose the https entry, and then choose Edit.

  4. Dans la boîte de dialogue Modifier la liaison de site, sélectionnez le certificat que vous avez demandé à l’aide du modèle Certificat de serveur web ConfigMgr, puis choisissez OK.In the Edit Site Binding dialog box, select the certificate that you requested by using the ConfigMgr Web Server Certificates template, and then choose OK.

    Notes

    Si vous ne savez pas quel est le certificat correct, choisissez-en un, puis choisissez Afficher.If you are not sure which is the correct certificate, choose one, and then choose View. Cela vous permet de comparer les détails du certificat sélectionné aux certificats affichés dans le composant logiciel enfichable Certificats.This lets you compare the selected certificate details to the certificates in the Certificates snap-in. Par exemple, le composant logiciel enfichable Certificats affiche le modèle de certificat qui a été utilisé pour demander le certificat.For example, the Certificates snap-in shows the certificate template that was used to request the certificate. Vous pouvez ensuite comparer l’empreinte numérique du certificat qui a été demandé en utilisant le modèle Certificat de serveur web ConfigMgr à l’empreinte numérique du certificat actuellement sélectionné dans la boîte de dialogue Modifier la liaison de site.You can then compare the certificate thumbprint of the certificate that was requested by using the ConfigMgr Web Server Certificates template to the certificate thumbprint of the certificate currently selected in the Edit Site Binding dialog box.

  5. Choisissez OK dans la boîte de dialogue Modifier la liaison de site, puis Fermer.Choose OK in the Edit Site Binding dialog box, and then choose Close.

  6. Fermez le Gestionnaire des services Internet (IIS) .Close Internet Information Services (IIS) Manager.

    Le serveur membre est désormais configuré avec un certificat de serveur web Configuration Manager.The member server is now set up with a Configuration Manager web server certificate.

Important

Quand vous installez le serveur de système de site Configuration Manager sur cet ordinateur, assurez-vous de spécifier le même nom de domaine complet dans les propriétés de système de site que vous avez spécifié lors de la demande du certificat.When you install the Configuration Manager site system server on this computer, make sure that you specify the same FQDNs in the site system properties as you specified when you requested the certificate.

Déployer le certificat de service pour les points de distribution cloudDeploy the service certificate for cloud-based distribution points

Les procédures de ce déploiement de certificat sont les suivantes :This certificate deployment has the following procedures:

Créer et émettre un modèle de certificat de serveur web personnalisé sur l’autorité de certificationCreate and issue a custom web server certificate template on the certification authority

Cette procédure permet de créer un modèle de certificat personnalisé basé sur le modèle de certificat de serveur web.This procedure creates a custom certificate template that is based on the web server certificate template. Le certificat est destiné aux points de distribution cloud Configuration Manager, et la clé privée doit être exportable.The certificate is for Configuration Manager cloud-based distribution points and the private key must be exportable. Vous devez ajouter le modèle de certificat à l'autorité de certification après sa création.After the certificate template is created, it is added to the certification authority.

Notes

Cette procédure utilise un modèle de certificat différent du modèle de certificat de serveur web créé pour les systèmes de site qui exécutent IIS.This procedure uses a different certificate template from the web server certificate template that you created for site systems that run IIS. Même si les deux certificats nécessitent une fonctionnalité d’authentification du serveur, le certificat pour les points de distribution cloud vous demande d’entrer une valeur définie personnalisée dans le champ Nom de l’objet et la clé privée doit être exportée.Although both certificates require server authentication capability, the certificate for cloud-based distribution points requires you to enter a custom-defined value for the Subject Name and the private key must be exported. Comme bonne pratique de sécurité, ne configurez pas les modèles de certificats pour autoriser l’exportation de la clé privée, sauf si cette configuration est requise.As a security best practice, do not set up certificate templates so that the private key can be exported unless this configuration is required. Le point de distribution cloud nécessite cette configuration, car vous devez importer le certificat en tant que fichier, au lieu de le choisir dans le magasin de certificats.The cloud-based distribution point requires this configuration because you must import the certificate as a file, rather than choose it from the certificate store.

Quand vous créez un modèle de certificat pour ce certificat, vous pouvez limiter les ordinateurs qui peuvent demander un certificat dont la clé privée peut être exportée.When you create a new certificate template for this certificate, you can restrict the computers that can request a certificate whose private key can be exported. Sur un réseau de production, vous pouvez également envisager d’apporter les modifications suivantes à ce certificat :On a production network, you might also consider adding the following changes for this certificate:

  • Demander l’approbation d’installer le certificat, pour plus de sécurité.Require approval to install the certificate for additional security.
    • Augmenter la période de validité du certificat.Increase the certificate validity period. Étant donné que vous devez exporter, puis importer le certificat chaque fois avant son expiration, une augmentation de la période de validité permet de réduire la fréquence de cette procédure.Because you must export and import the certificate each time before it expires, an increase of the validity period reduces how often you must repeat this procedure. Cependant, une augmentation de la période de validité diminue également la sécurité du certificat, car une personne malveillante a plus de temps pour déchiffrer la clé privée et voler le certificat.However, an increase of the validity period also decreases the security of the certificate because it provides more time for an attacker to decrypt the private key and steal the certificate.
    • Utilisez une valeur personnalisée dans le champ Autre nom de l'objet pour aider à identifier ce certificat parmi les certificats de serveur Web standard que vous utilisez avec IIS.Use a custom value in the certificate Subject Alternative Name (SAN) to help identify this certificate from standard web server certificates that you use with IIS.
Pour créer et émettre le modèle de certificat de serveur web personnalisé sur l’autorité de certificationTo create and issue the custom web server certificate template on the certification authority
  1. Créez un groupe de sécurité nommé Serveurs de site ConfigMgr qui contient les serveurs membres où installer les serveurs de site principal Configuration Manager qui vont gérer les points de distribution cloud.Create a security group named ConfigMgr Site Servers that has the member servers to install Configuration Manager primary site servers that will manage cloud-based distribution points.

  2. Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée qui affiche Serveur Web dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.In the results pane, right-click the entry that has Web Server in the Template Display Name column, and then choose Duplicate Template.

  4. Dans la boîte de dialogue Dupliquer le modèle, vérifiez que l’option Windows Server 2003, Enterprise Edition est sélectionnée, puis choisissez OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Important

    Ne sélectionnez pas Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle (par exemple, Certificat de point de distribution cloud ConfigMgr) pour générer le certificat de serveur web pour les points de distribution cloud.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Cloud-Based Distribution Point Certificate, to generate the web server certificate for cloud-based distribution points.

  6. Choisissez l’onglet Traitement de la demande, puis Autoriser l’exportation de la clé privée.Choose the Request Handling tab, and then choose Allow private key to be exported.

  7. Choisissez l’onglet Sécurité et supprimez l’autorisation Inscription du groupe de sécurité Administrateurs de l’entreprise.Choose the Security tab, and then remove the Enroll permission from the Enterprise Admins security group.

  8. Choisissez Ajouter, entrez Serveurs de site ConfigMgr dans la zone de texte, puis choisissez OK.Choose Add, enter ConfigMgr Site Servers in the text box, and then choose OK.

  9. Sélectionnez l'autorisation Inscription pour ce groupe et ne désactivez pas l'autorisation Lecture .Select the Enroll permission for this group, and do not clear the Read permission.

  10. Choisissez l’onglet Chiffrement et vérifiez que Taille de clé minimale a la valeur 2048.Choose the Cryptography tab and ensure that Minimum key size has been set to 2048.

  11. Choisissez OK, puis fermez la console Modèles de certificats.Choose OK, and then close Certificate Templates Console.

  12. Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à délivrer.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  13. Dans la boîte de dialogue Activer les modèles de certificat, choisissez le nouveau modèle que vous venez de créer, Certificat de point de distribution cloud ConfigMgr, puis choisissez OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Cloud-Based Distribution Point Certificate, and then choose OK.

  14. Si vous n’avez pas besoin de créer ni d’émettre d’autres certificats, fermez Autorité de certification.If you do not have to create and issue more certificates, close Certification Authority.

Demander le certificat de serveur web personnaliséRequest the custom web server certificate

Cette procédure permet de demander, puis d’installer le certificat de serveur web personnalisé sur le serveur membre qui exécutera le serveur de site.This procedure requests and then installs the custom web server certificate on the member server that will run the site server.

Pour demander le certificat de serveur Web personnaliséTo request the custom web server certificate
  1. Redémarrez le serveur membre après avoir créé et configuré le groupe de sécurité Serveurs de site ConfigMgr pour vérifier que l’ordinateur peut accéder au modèle de certificat créé via les autorisations Lecture et Inscription configurées.Restart the member server after you create and configure the ConfigMgr Site Servers security group to ensure that the computer can access the certificate template that you created by using the Read and Enroll permissions that you configured.

  2. Choisissez Démarrer, Exécuter, puis entrez mmc.exe.Choose Start, choose Run, and then enter mmc.exe. Dans la console vide, choisissez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable.In the empty console, choose File, and then choose Add/Remove Snap-in.

  3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, choisissez Certificats dans la liste Composants logiciels enfichables disponibles, puis Ajouter.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  4. Dans la boîte de dialogue Composant logiciel enfichable des certificats, choisissez Compte d’ordinateur, puis Suivant.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  5. Dans la boîte de dialogue Sélectionner un ordinateur, vérifiez que l’option L’ordinateur local (l’ordinateur sur lequel cette console s’exécute) est sélectionnée, puis choisissez Terminer.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, choisissez OK.In the Add or Remove Snap-ins dialog box, choose OK.

  7. Dans la console, développez Certificats (ordinateur local) , puis choisissez Personnel.In the console, expand Certificates (Local Computer), and then choose Personal.

  8. Cliquez avec le bouton droit sur Certificats, choisissez Toutes les tâches, puis Demander un nouveau certificat.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  9. Dans la page Avant de commencer, choisissez Suivant.On the Before You Begin page, choose Next.

  10. Si vous voyez la page Sélectionner la stratégie d’inscription de certificat, choisissez Suivant.If you see the Select Certificate Enrollment Policy page, choose Next.

  11. Dans la page Demander des certificats, identifiez le Certificat de point de distribution cloud ConfigMgr dans la liste des certificats disponibles, puis choisissez L’inscription pour obtenir ce certificat nécessite des informations supplémentaires. Cliquez ici pour configurer les paramètres.On the Request Certificates page, identify the ConfigMgr Cloud-Based Distribution Point Certificate from the list of available certificates, and then choose More information is required to enroll for this certificate. choose here to configure settings.

  12. Dans la boîte de dialogue Propriétés du certificat, dans l’onglet Objet, choisissez Nom commun pour le champ Nom de l’objet comme Type.In the Certificate Properties dialog box, in the Subject tab, for the Subject name, choose Common name as the Type.

  13. Dans le champ Valeur , spécifiez un nom de service et votre nom de domaine à l'aide d'un format de nom de domaine complet.In the Value box, specify your choice of service name and your domain name by using an FQDN format. Par exemple : clouddp1.contoso.com.For example: clouddp1.contoso.com.

    Notes

    Le nom de service doit être unique dans votre espace de noms.Make the service name unique in your namespace. Utilisez le système de noms de domaine pour créer un alias (enregistrement CNAME) pour mapper le nom de ce service à un identificateur (GUID) généré automatiquement et une adresse IP à partir de Windows Azure.You will use DNS to create an alias (CNAME record) to map this service name to an automatically generated identifier (GUID) and an IP address from Windows Azure.

  14. Choisissez Ajouter, puis OK pour fermer la boîte de dialogue Propriétés du certificat.Choose Add, and then choose OK to close the Certificate Properties dialog box.

  15. Dans la page Demander des certificats, choisissez Certificat de point de distribution cloud ConfigMgr dans la liste des certificats disponibles, puis choisissez Inscrire.On the Request Certificates page, choose ConfigMgr Cloud-Based Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  16. Dans la page Résultats de l’installation des certificats, attendez que le certificat soit installé, puis choisissez Terminer.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  17. Fermez la fenêtre Certificats (ordinateur local) .Close Certificates (Local Computer).

Exporter le certificat de serveur web personnalisé pour les points de distribution cloudExport the custom web server certificate for cloud-based distribution points

Cette procédure permet d'exporter le certificat de serveur Web personnalisé dans un fichier, afin qu'il puisse être importé lorsque vous créez le point de distribution cloud.This procedure exports the custom web server certificate to a file, so that it can be imported when you create the cloud-based distribution point.

Pour exporter le certificat de serveur Web personnalisé pour les points de distribution cloudTo export the custom web server certificate for cloud-based distribution points
  1. Dans la console Certificats (ordinateur local) , cliquez avec le bouton droit sur le certificat que vous venez d’installer, choisissez Toutes les tâches, puis Exporter.In the Certificates (Local Computer) console, right-click the certificate that you just installed, choose All Tasks, and then choose Export.

  2. Dans l’Assistant Exportation de certificats, choisissez Suivant.In the Certificates Export Wizard, choose Next.

  3. Dans la page Exporter la clé privée, choisissez Oui, exporter la clé privée, puis Suivant.On the Export Private Key page, choose Yes, export the private key, and then choose Next.

    Notes

    Si cette option n'est pas disponible, cela signifie que le certificat a été créé sans l'option permettant d'exporter la clé privée.If this option is not available, the certificate has been created without the option to export the private key. Dans ce scénario, vous ne pouvez pas exporter le certificat dans le format requis.In this scenario, you cannot export the certificate in the required format. Vous devez configurer le modèle de certificat pour autoriser l’exportation de la clé privée, puis redemander le certificat.You must set up the certificate template so that the private key can be exported, and then request the certificate again.

  4. Dans la page Format de fichier d’exportation, vérifiez que l’option Échange d’informations personnelles - PKCS #12 (.PFX) est sélectionnée.On the Export File Format page, ensure that the Personal Information Exchange - PKCS #12 (.PFX) option is selected.

  5. Dans la page Mot de passe, spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis choisissez Suivant.On the Password page, specify a strong password to protect the exported certificate with its private key, and then choose Next.

  6. Dans la page Fichier à exporter, spécifiez le nom du fichier que vous voulez exporter, puis choisissez Suivant.On the File to Export page, specify the name of the file that you want to export, and then choose Next.

  7. Pour fermer l’Assistant, choisissez Terminer dans la page Assistant Exportation de certificat, puis OK dans la boîte de dialogue de confirmation.To close the wizard, choose Finish in the Certificate Export Wizard page, and then choose OK in the confirmation dialog box.

  8. Fermez la fenêtre Certificats (ordinateur local) .Close Certificates (Local Computer).

  9. Stockez le fichier de façon sécurisée et vérifiez que vous pouvez y accéder à partir de la console Configuration Manager.Store the file securely and ensure that you can access it from the Configuration Manager console.

    Le certificat est prêt à l'importation dès que vous créez un point de distribution cloud.The certificate is now ready to be imported when you create a cloud-based distribution point.

Déployer le certificat client pour les ordinateurs WindowsDeploy the client certificate for Windows computers

Les procédures de ce déploiement de certificat sont les suivantes :This certificate deployment has the following procedures:

  • Créer et émettre le modèle de certificat Authentification de station de travail sur l’autorité de certificationCreate and issue the Workstation Authentication certificate template on the certification authority

  • Configurer l’inscription automatique du modèle Authentification de station de travail à l’aide d’une stratégie de groupeConfigure autoenrollment of the Workstation Authentication template by using Group Policy

  • Inscrire automatiquement le certificat Authentification de station de travail et vérifier son installation sur les ordinateursAutomatically enroll the Workstation Authentication certificate and verify its installation on computers

Créer et émettre le modèle de certificat Authentification de station de travail sur l’autorité de certificationCreate and issue the Workstation Authentication certificate template on the certification authority

Cette procédure crée un modèle de certificat pour les ordinateurs clients Gestionnaire de configuration et l’ajoute à l’autorité de certification.This procedure creates a certificate template for Configuration Manager client computers and adds it to the certification authority.

Pour créer et émettre le modèle de certificat d’authentification de station de travail sur l’autorité de certificationTo create and issue the Workstation Authentication certificate template on the certification authority
  1. Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  2. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée qui affiche Authentification de station de travail dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

  3. Dans la boîte de dialogue Dupliquer le modèle, vérifiez que l’option Windows Server 2003, Enterprise Edition est sélectionnée, puis choisissez OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Important

    Ne sélectionnez pas Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  4. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle (par exemple, Certificat client ConfigMgr) pour générer les certificats clients à utiliser sur les ordinateurs clients Configuration Manager.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Client Certificate, to generate the client certificates that will be used on Configuration Manager client computers.

  5. Choisissez l’onglet Sécurité, sélectionnez le groupe Ordinateurs du domaine, puis les autorisations supplémentaires Lecture et Inscription automatique.Choose the Security tab, select the Domain Computers group, and then select the additional permissions of Read and Autoenroll. Ne désactivez pas l'option Inscrire.Do not clear Enroll.

  6. Choisissez OK, puis fermez la console Modèles de certificats.Choose OK, and then close Certificate Templates Console.

  7. Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à délivrer.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  8. Dans la boîte de dialogue Activer les modèles de certificat, choisissez le nouveau modèle que vous venez de créer, Certificat client ConfigMgr, puis choisissez OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Client Certificate, and then choose OK.

  9. Si vous n’avez pas besoin de créer ni d’émettre d’autres certificats, fermez Autorité de certification.If you do not need to create and issue more certificates, close Certification Authority.

Configurer l’inscription automatique du modèle Authentification de station de travail à l’aide d’une stratégie de groupeConfigure autoenrollment of the Workstation Authentication template by using Group Policy

Cette procédure permet de configurer la stratégie de groupe pour inscrire automatiquement le certificat client sur les ordinateurs.This procedure sets up Group Policy to autoenroll the client certificate on computers.

Pour configurer l’inscription automatique du modèle Authentification de station de travail à l’aide d’une stratégie de groupeTo set up autoenrollment of the Workstation Authentication template by using Group Policy
  1. Sur le contrôleur de domaine, choisissez Démarrer, Outils d’administration, puis Gestion des stratégies de groupe.On the domain controller, choose Start, choose Administrative Tools, and then choose Group Policy Management.

  2. Accédez à votre domaine, cliquez dessus avec le bouton droit, puis choisissez Créer un objet GPO dans ce domaine, et le lier ici.Go to your domain, right-click the domain, and then choose Create a GPO in this domain, and Link it here.

    Notes

    Cette étape utilise la bonne pratique permettant de créer une stratégie de groupe pour des paramètres personnalisés ; elle ne modifie pas la stratégie de domaine par défaut qui est installée avec les services de domaine Active Directory.This step uses the best practice of creating a new Group Policy for custom settings rather than editing the Default Domain Policy that is installed with Active Directory Domain Services. Quand vous affectez cette stratégie de groupe au niveau du domaine, vous l’appliquez à tous les ordinateurs de ce domaine.When you assign this Group Policy at the domain level, you will apply it to all computers in the domain. Dans un environnement de production, vous pouvez limiter l’inscription automatique aux ordinateurs sélectionnés.In a production environment, you can restrict the autoenrollment so that it enrolls on only selected computers. Vous pouvez affecter la stratégie de groupe au niveau d’une unité d’organisation, ou vous pouvez filtrer la stratégie de groupe du domaine avec un groupe de sécurité pour qu’elle s’applique uniquement aux ordinateurs du groupe.You can assign the Group Policy at an organizational unit level, or you can filter the domain Group Policy with a security group so that it applies only to the computers in the group. Si vous limitez l’inscription automatique, veillez à inclure le serveur configuré comme point de gestion.If you restrict autoenrollment, remember to include the server that is set up as the management point.

  3. Dans la boîte de dialogue Nouvel objet GPO, entrez un nom pour la nouvelle stratégie de groupe, par exemple Certificats - Inscription automatique, puis choisissez OK.In the New GPO dialog box, enter a name, like Autoenroll Certificates, for the new Group Policy, and then choose OK.

  4. Dans le volet des résultats, sous l’onglet Objets de stratégie de groupe liés, cliquez avec le bouton droit sur la nouvelle stratégie de groupe, puis choisissez Modifier.In the results pane, on the Linked Group Policy Objects tab, right-click the new Group Policy, and then choose Edit.

  5. Dans l’Éditeur de gestion des stratégies de groupe, développez Stratégies sous Configuration ordinateur, puis accédez à Paramètres Windows / Paramètres de sécurité / Stratégies de clé publique.In the Group Policy Management Editor, expand Policies under Computer Configuration, and then go to Windows Settings / Security Settings / Public Key Policies.

  6. Cliquez avec le bouton droit sur le type d’objet nommé Client des services de certificats - Inscription automatique, puis choisissez Propriétés.Right-click the object type named Certificate Services Client - Auto-enrollment, and then choose Properties.

  7. Dans la liste déroulante Modèle de configuration, choisissez Activé, Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués, Mettre à jour les certificats qui utilisent les modèles de certificats, puis OK.From the Configuration Model drop-down list, choose Enabled, choose Renew expired certificates, update pending certificates, remove revoked certificates, choose Update certificates that use certificate templates, and then choose OK.

  8. Fermez la fenêtre Gestion des stratégies de groupe.Close Group Policy Management.

Inscrire automatiquement le certificat Authentification de station de travail et vérifier son installation sur les ordinateursAutomatically enroll the Workstation Authentication certificate and verify its installation on computers

Cette procédure permet d'installer le certificat client sur les ordinateurs et de vérifier l'installation.This procedure installs the client certificate on computers and verifies the installation.

Pour inscrire automatiquement le certificat Authentification de station de travail et vérifier son installation sur l’ordinateur clientTo automatically enroll the Workstation Authentication certificate and verify its installation on the client computer
  1. Redémarrez la station de travail et attendez quelques minutes avant de vous connecter.Restart the workstation computer, and wait a few minutes before you sign in.

    Notes

    Le redémarrage de l'ordinateur constitue la méthode la plus fiable pour l'inscription automatique des certificats.Restarting a computer is the most reliable method of ensuring success with certificate autoenrollment.

  2. Connectez-vous avec un compte disposant de privilèges d’administrateur.Sign in with an account that has administrative privileges.

  3. Dans la zone de recherche, entrez mmc.exe. et appuyez sur Entrée.In the search box, enter mmc.exe., and then press Enter.

  4. Dans la console de gestion vide, choisissez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable.In the empty management console, choose File, and then choose Add/Remove Snap-in.

  5. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, choisissez Certificats dans la liste Composants logiciels enfichables disponibles, puis Ajouter.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  6. Dans la boîte de dialogue Composant logiciel enfichable des certificats, choisissez Compte d’ordinateur, puis Suivant.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  7. Dans la boîte de dialogue Sélectionner un ordinateur, vérifiez que l’option L’ordinateur local (l’ordinateur sur lequel cette console s’exécute) est sélectionnée, puis choisissez Terminer.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  8. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, choisissez OK.In the Add or Remove Snap-ins dialog box, choose OK.

  9. Dans la console, développez Certificats (ordinateur local) , Personnel, puis choisissez Certificats.In the console, expand Certificates (Local Computer), expand Personal, and then choose Certificates.

  10. Dans le volet des résultats, vérifiez qu’un certificat indique Authentification du client dans la colonne Rôle prévu et que Certificat client ConfigMgr figure dans la colonne Modèle de certificat.In the results pane, confirm that a certificate has Client Authentication in the Intended Purpose column, and that ConfigMgr Client Certificate is in the Certificate Template column.

  11. Fermez la fenêtre Certificats (ordinateur local) .Close Certificates (Local Computer).

  12. Répétez les étapes 1 à 11 pour le serveur membre afin de vérifier que le serveur qui sera configuré comme point de gestion dispose également d’un certificat client.Repeat steps 1 through 11 for the member server to verify that the server that will be set up as the management point also has a client certificate.

    L’ordinateur est maintenant configuré avec un certificat client Gestionnaire de configuration.The computer is now set up with a Configuration Manager client certificate.

Déployer le certificat client pour les points de distributionDeploy the client certificate for distribution points

Notes

Ce certificat peut également être utilisé pour les images de média qui n'utilisent pas le démarrage PXE, car la configuration requise pour le certificat est la même.This certificate can also be used for media images that do not use PXE boot, because the certificate requirements are the same.

Les procédures de ce déploiement de certificat sont les suivantes :This certificate deployment has the following procedures:

  • Créer et émettre un modèle de certificat Authentification de station de travail personnalisé sur l’autorité de certificationCreate and issue a custom Workstation Authentication certificate template on the certification authority

  • Demander le certificat Authentification de station de travail personnaliséRequest the custom Workstation Authentication certificate

  • Exporter le certificat client pour les points de distributionExport the client certificate for distribution points

Créer et émettre un modèle de certificat Authentification de station de travail personnalisé sur l’autorité de certificationCreate and issue a custom Workstation Authentication certificate template on the certification authority

Cette procédure crée un modèle de certificat personnalisé pour des points de distribution Configuration Manager de sorte que la clé privée puisse être exportée et ajoute le modèle de certificat à l’autorité de certification.This procedure creates a custom certificate template for Configuration Manager distribution points so that the private key can be exported and adds the certificate template to the certification authority.

Notes

Cette procédure utilise un modèle de certificat différent du modèle de certificat créé pour les ordinateurs clients.This procedure uses a different certificate template from the certificate template that you created for client computers. Même si les deux certificats nécessitent une fonctionnalité d’authentification du client, le certificat pour les points de distribution requiert l’exportation de la clé privée.Although both certificates require client authentication capability, the certificate for distribution points requires that the private key is exported. Comme bonne pratique de sécurité, ne configurez pas les modèles de certificats pour autoriser l’exportation de la clé privée, sauf si cette configuration est requise.As a security best practice, do not set up certificate templates so the private key can be exported unless this configuration is required. Le point de distribution nécessite cette configuration, car vous devez importer le certificat en tant que fichier, au lieu de le choisir dans le magasin de certificats.The distribution point requires this configuration because you must import the certificate as a file rather than choose it from the certificate store.

Quand vous créez un modèle de certificat pour ce certificat, vous pouvez limiter les ordinateurs qui peuvent demander un certificat dont la clé privée peut être exportée.When you create a new certificate template for this certificate, you can restrict the computers that can request a certificate whose private key can be exported. Dans notre exemple de déploiement, il s’agit du groupe de sécurité que vous avez créé précédemment pour les serveurs de système de site Configuration Manager qui exécutent IIS.In our example deployment, this will be the security group that you previously created for Configuration Manager site system servers that run IIS. Sur un réseau de production qui distribue les rôles de système de site IIS, envisagez de créer un groupe de sécurité pour les serveurs exécutant des points de distribution, afin de limiter le certificat à ces serveurs de système de site uniquement.On a production network that distributes the IIS site system roles, consider creating a new security group for the servers that run distribution points so that you can restrict the certificate to just these site system servers. Vous pouvez également considérer d'apporter les modifications suivantes à ce certificat :You might also consider adding the following modifications for this certificate:

  • Demander l’approbation d’installer le certificat, pour plus de sécurité.Require approval to install the certificate for additional security.
    • Augmenter la période de validité du certificat.Increase the certificate validity period. Étant donné que vous devez exporter, puis importer le certificat chaque fois avant son expiration, une augmentation de la période de validité permet de réduire la fréquence de cette procédure.Because you must export and import the certificate each time before it expires, an increase of the validity period reduces how often you must repeat this procedure. Cependant, une augmentation de la période de validité diminue également la sécurité du certificat, car une personne malveillante a plus de temps pour déchiffrer la clé privée et voler le certificat.However, an increase of the validity period also decreases the security of the certificate because it provides more time for an attacker to decrypt the private key and steal the certificate.
    • Utiliser une valeur personnalisée dans le champ Objet du certificat ou Autre nom de l'objet pour aider à identifier ce certificat parmi les certificats de client standard.Use a custom value in the certificate Subject field or Subject Alternative Name (SAN) to help identify this certificate from standard client certificates. Cela peut s'avérer particulièrement utile si vous utilisez le même certificat pour plusieurs points de distribution.This can be particularly helpful if you will use the same certificate for multiple distribution points.
Pour créer et émettre le modèle de certificat Authentification de station de travail personnalisé sur l'autorité de certificationTo create and issue the custom Workstation Authentication certificate template on the certification authority
  1. Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  2. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée qui affiche Authentification de station de travail dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.In the results pane, right-click the entry that has Workstation Authentication in the Template Display Name column, and then choose Duplicate Template.

  3. Dans la boîte de dialogue Dupliquer le modèle, vérifiez que l’option Windows Server 2003, Enterprise Edition est sélectionnée, puis choisissez OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Important

    Ne sélectionnez pas Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  4. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle (par exemple, Certificat de point de distribution client ConfigMgr) pour générer le certificat d’authentification client pour les points de distribution.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Client Distribution Point Certificate, to generate the client authentication certificate for distribution points.

  5. Choisissez l’onglet Traitement de la demande, puis Autoriser l’exportation de la clé privée.Choose the Request Handling tab, and then choose Allow private key to be exported.

  6. Choisissez l’onglet Sécurité et supprimez l’autorisation Inscription du groupe de sécurité Administrateurs de l’entreprise.Choose the Security tab, and then remove the Enroll permission from the Enterprise Admins security group.

  7. Choisissez Ajouter, entrez Serveurs ConfigMgr IIS dans la zone de texte, puis choisissez OK.Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  8. Sélectionnez l'autorisation Inscription pour ce groupe et ne désactivez pas l'autorisation Lecture .Select the Enroll permission for this group, and do not clear the Read permission.

  9. Choisissez OK, puis fermez la console Modèles de certificats.Choose OK, and then close Certificate Templates Console.

  10. Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à délivrer.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  11. Dans la boîte de dialogue Activer les modèles de certificat, choisissez le nouveau modèle que vous venez de créer, Certificat de point de distribution client ConfigMgr, puis choisissez OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Client Distribution Point Certificate, and then choose OK.

  12. Si vous n’avez pas besoin de créer ni d’émettre d’autres certificats, fermez Autorité de certification.If you do not have to create and issue more certificates, close Certification Authority.

Demander le certificat Authentification de station de travail personnaliséRequest the custom Workstation Authentication certificate

Cette procédure permet de demander, puis d’installer le certificat client personnalisé sur le serveur membre qui exécute IIS et qui sera configuré comme point de distribution.This procedure requests and then installs the custom client certificate on to the member server that runs IIS and that will be set up as a distribution point.

Pour demander le certificat d'authentification de station de travail personnaliséTo request the custom Workstation Authentication certificate
  1. Choisissez Démarrer, Exécuter, puis entrez mmc.exe.Choose Start, choose Run, and then enter mmc.exe. Dans la console vide, choisissez Fichier, puis Ajouter/Supprimer un composant logiciel enfichable.In the empty console, choose File, and then choose Add/Remove Snap-in.

  2. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, choisissez Certificats dans la liste Composants logiciels enfichables disponibles, puis Ajouter.In the Add or Remove Snap-ins dialog box, choose Certificates from the list of Available snap-ins, and then choose Add.

  3. Dans la boîte de dialogue Composant logiciel enfichable des certificats, choisissez Compte d’ordinateur, puis Suivant.In the Certificate snap-in dialog box, choose Computer account, and then choose Next.

  4. Dans la boîte de dialogue Sélectionner un ordinateur, vérifiez que l’option L’ordinateur local (l’ordinateur sur lequel cette console s’exécute) est sélectionnée, puis choisissez Terminer.In the Select Computer dialog box, ensure that Local computer: (the computer this console is running on) is selected, and then choose Finish.

  5. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, choisissez OK.In the Add or Remove Snap-ins dialog box, choose OK.

  6. Dans la console, développez Certificats (ordinateur local) , puis choisissez Personnel.In the console, expand Certificates (Local Computer), and then choose Personal.

  7. Cliquez avec le bouton droit sur Certificats, choisissez Toutes les tâches, puis Demander un nouveau certificat.Right-click Certificates, choose All Tasks, and then choose Request New Certificate.

  8. Dans la page Avant de commencer, choisissez Suivant.On the Before You Begin page, choose Next.

  9. Si vous voyez la page Sélectionner la stratégie d’inscription de certificat, choisissez Suivant.If you see the Select Certificate Enrollment Policy page, choose Next.

  10. Dans la page Demander des certificats, choisissez Certificat de point de distribution client ConfigMgr dans la liste des certificats disponibles, puis choisissez Inscrire.On the Request Certificates page, choose ConfigMgr Client Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  11. Dans la page Résultats de l’installation des certificats, attendez que le certificat soit installé, puis choisissez Terminer.On the Certificates Installation Results page, wait until the certificate is installed, and then choose Finish.

  12. Dans le volet des résultats, vérifiez qu’un certificat indique Authentification du client dans la colonne Rôle prévu et que Certificat de point de distribution client ConfigMgr figure dans la colonne Modèle de certificat.In the results pane, confirm that a certificate has Client Authentication in the Intended Purpose column and that ConfigMgr Client Distribution Point Certificate is in the Certificate Template column.

  13. Ne fermez pas la fenêtre Certificats (ordinateur local) .Do not close Certificates (Local Computer).

Exporter le certificat client pour les points de distributionExport the client certificate for distribution points

Cette procédure permet d’exporter le certificat Authentification de station de travail personnalisé vers un fichier afin qu’il puisse être importé dans les propriétés du point de distribution.This procedure exports the custom Workstation Authentication certificate to a file so that it can be imported in the distribution point properties.

Pour exporter le certificat du client pour les points de distributionTo export the client certificate for distribution points
  1. Dans la console Certificats (ordinateur local) , cliquez avec le bouton droit sur le certificat que vous venez d’installer, choisissez Toutes les tâches, puis Exporter.In the Certificates (Local Computer) console, right-click the certificate that you just installed, choose All Tasks, and then choose Export.

  2. Dans l’Assistant Exportation de certificats, choisissez Suivant.In the Certificates Export Wizard, choose Next.

  3. Dans la page Exporter la clé privée, choisissez Oui, exporter la clé privée, puis Suivant.On the Export Private Key page, choose Yes, export the private key, and then choose Next.

    Notes

    Si cette option n'est pas disponible, cela signifie que le certificat a été créé sans l'option permettant d'exporter la clé privée.If this option is not available, the certificate has been created without the option to export the private key. Dans ce scénario, vous ne pouvez pas exporter le certificat dans le format requis.In this scenario, you cannot export the certificate in the required format. Vous devez configurer le modèle de certificat pour autoriser l’exportation de la clé privée, puis redemander le certificat.You must set up the certificate template so that the private key can be exported and then request the certificate again.

  4. Dans la page Format de fichier d’exportation, vérifiez que l’option Échange d’informations personnelles - PKCS #12 (.PFX) est sélectionnée.On the Export File Format page, ensure that the Personal Information Exchange - PKCS #12 (.PFX) option is selected.

  5. Dans la page Mot de passe, spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis choisissez Suivant.On the Password page, specify a strong password to protect the exported certificate with its private key, and then choose Next.

  6. Dans la page Fichier à exporter, spécifiez le nom du fichier que vous voulez exporter, puis choisissez Suivant.On the File to Export page, specify the name of the file that you want to export, and then choose Next.

  7. Pour fermer l’Assistant, choisissez Terminer dans la page Assistant Exportation de certificat, puis OK dans la boîte de dialogue de confirmation.To close the wizard, choose Finish on the Certificate Export Wizard page, and choose OK in the confirmation dialog box.

  8. Fermez la fenêtre Certificats (ordinateur local) .Close Certificates (Local Computer).

  9. Stockez le fichier de façon sécurisée et vérifiez que vous pouvez y accéder à partir de la console Configuration Manager.Store the file securely and ensure that you can access it from the Configuration Manager console.

    Le certificat est maintenant prêt à être importé dès que vous configurez le point de distribution.The certificate is now ready to be imported when you set up the distribution point.

Conseil

Vous pouvez utiliser le même fichier de certificat lors de la configuration d’images de média pour un déploiement de système d’exploitation qui n’utilise pas le démarrage PXE, et la séquence de tâches d’installation de l’image doit contacter un point de gestion qui requiert des connexions clientes HTTPS.You can use the same certificate file when you set up media images for an operating system deployment that does not use PXE boot, and the task sequence to install the image must contact a management point that requires HTTPS client connections.

Déployer le certificat d’inscription pour les appareils mobilesDeploy the enrollment certificate for mobile devices

Ce déploiement de certificat a une procédure unique pour créer et émettre le modèle de certificat d'inscription sur l'autorité de certification.This certificate deployment has a single procedure to create and issue the enrollment certificate template on the certification authority.

Créer et émettre le modèle de certificat d’inscription sur l’autorité de certificationCreate and issue the enrollment certificate template on the certification authority

Cette procédure crée un modèle de certificat d’inscription pour des appareils mobiles Configuration Manager et l’ajoute à l’autorité de certification.This procedure creates an enrollment certificate template for Configuration Manager mobile devices and adds it to the certification authority.

Pour créer et émettre le modèle de certificat d'inscription sur l'autorité de certificationTo create and issue the enrollment certificate template on the certification authority
  1. Créez un groupe de sécurité avec des utilisateurs qui vont inscrire des appareils mobiles dans Configuration Manager.Create a security group that has users who will enroll mobile devices in Configuration Manager.

  2. Sur le serveur membre sur lequel les services de certificats sont installés, dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion Modèles de certificats.On the member server that has Certificate Services installed, in the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée qui affiche Session authentifiée dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.In the results pane, right-click the entry that has Authenticated Session in the Template Display Name column, and then choose Duplicate Template.

  4. Dans la boîte de dialogue Dupliquer le modèle, vérifiez que l’option Windows Server 2003, Enterprise Edition est sélectionnée, puis choisissez OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Important

    Ne sélectionnez pas Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle, par exemple, Certificat d’inscription d’appareil mobile ConfigMgr pour générer les certificats d’inscription pour les appareils mobiles devant être gérés par Configuration Manager.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Mobile Device Enrollment Certificate, to generate the enrollment certificates for the mobile devices to be managed by Configuration Manager.

  6. Choisissez l’onglet Nom de l’objet, vérifiez que l’option Construire à partir de ces informations Active Directory est sélectionnée, sélectionnez Nom commun pour Format du nom de l’objet : , puis effacez Nom d’utilisateur principal (UPN) dans Inclure cette information dans le nom de substitution du sujet.Choose the Subject Name tab, make sure that Build from this Active Directory information is selected, select Common name for the Subject name format:, and then clear User principal name (UPN) from Include this information in alternate subject name.

  7. Choisissez l’onglet Sécurité, le groupe de sécurité avec des utilisateurs qui ont des appareils mobiles à inscrire, puis l’autorisation supplémentaire Inscription.Choose the Security tab, choose the security group that has users who have mobile devices to enroll, and then choose the additional permission of Enroll. Ne désactivez pas l'option Lecture.Do not clear Read.

  8. Choisissez OK, puis fermez la console Modèles de certificats.Choose OK, and then close Certificate Templates Console.

  9. Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à délivrer.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  10. Dans la boîte de dialogue Activer les modèles de certificat, choisissez le nouveau modèle que vous venez de créer, Certificat d’inscription d’appareil mobile ConfigMgr, puis choisissez OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Mobile Device Enrollment Certificate, and then choose OK.

  11. Si vous n’avez pas besoin de créer ni d’émettre d’autres certificats, fermez la console Autorité de certification.If you do not need to create and issue more certificates, close the Certification Authority console.

    Le modèle de certificat d’inscription d’appareil mobile est maintenant prêt à être sélectionné dès que vous configurez un profil d’inscription d’appareil mobile dans les paramètres client.The mobile device enrollment certificate template is now ready to be selected when you set up a mobile device enrollment profile in the client settings.

Déployer le certificat client pour les ordinateurs MacDeploy the client certificate for Mac computers

Ce déploiement de certificat a une procédure unique pour créer et émettre le modèle de certificat d'inscription sur l'autorité de certification.This certificate deployment has a single procedure to create and issue the enrollment certificate template on the certification authority.

Créer et émettre un modèle de certificat client Mac sur l’autorité de certificationCreate and issue a Mac client certificate template on the certification authority

Cette procédure crée un modèle de certificat personnalisé pour les ordinateurs Mac Configuration Manager et l’ajoute à l’autorité de certification.This procedure creates a custom certificate template for Configuration Manager Mac computers and adds the certificate template to the certification authority.

Notes

Cette procédure utilise un modèle de certificat différent du modèle de certificat que vous avez peut-être créé pour des ordinateurs clients Windows ou pour des points de distribution.This procedure uses a different certificate template from the certificate template that you might have created for Windows client computers or for distribution points.

Quand vous créez un modèle de certificat pour ce certificat, vous pouvez limiter la demande de certificat aux utilisateurs autorisés.When you create a new certificate template for this certificate, you can restrict the certificate request to authorized users.

Pour créer et émettre le modèle de certificat client Mac sur l'autorité de certificationTo create and issue the Mac client certificate template on the certification authority
  1. Créez un groupe de sécurité qui contient les comptes des utilisateurs administratifs qui vont inscrire le certificat sur l’ordinateur Mac à l’aide de Configuration Manager.Create a security group that has user accounts for administrative users who will enroll the certificate on the Mac computer by using Configuration Manager.

  2. Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.On the member server that is running the Certification Authority console, right-click Certificate Templates, and then choose Manage to load the Certificate Templates management console.

  3. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée qui affiche Session authentifiée dans la colonne Nom complet du modèle, puis choisissez Dupliquer le modèle.In the results pane, right-click the entry that displays Authenticated Session in the Template Display Name column, and then choose Duplicate Template.

  4. Dans la boîte de dialogue Dupliquer le modèle, vérifiez que l’option Windows Server 2003, Enterprise Edition est sélectionnée, puis choisissez OK.In the Duplicate Template dialog box, ensure that Windows 2003 Server, Enterprise Edition is selected, and then choose OK.

    Important

    Ne sélectionnez pas Windows Server 2008, Enterprise Edition.Do not select Windows 2008 Server, Enterprise Edition.

  5. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle (par exemple, Certificat client Mac ConfigMgr) pour générer le certificat client Mac.In the Properties of New Template dialog box, on the General tab, enter a template name, like ConfigMgr Mac Client Certificate, to generate the Mac client certificate.

  6. Choisissez l’onglet Nom de l’objet, vérifiez que l’option Construire à partir de ces informations Active Directory est sélectionnée, choisissez Nom commun pour Format du nom de l’objet : , puis effacez Nom d’utilisateur principal (UPN) dans Inclure cette information dans le nom de substitution du sujet.Choose the Subject Name tab, make sure that Build from this Active Directory information is selected, choose Common name for the Subject name format:, and then clear User principal name (UPN) from Include this information in alternate subject name.

  7. Sous l’onglet Sécurité, supprimez l’autorisation Inscription des groupes de sécurité Administrateurs du domaine et Administrateurs de l’entreprise.Choose the Security tab, and then remove the Enroll permission from the Domain Admins and Enterprise Admins security groups.

  8. Choisissez Ajouter, spécifiez le groupe de sécurité que vous avez créé lors de la première étape, puis choisissez OK.Choose Add, specify the security group that you created in step one, and then choose OK.

  9. Choisissez l’autorisation Inscription pour ce groupe et ne désactivez pas l’autorisation Lecture.Choose the Enroll permission for this group, and do not clear the Read permission.

  10. Choisissez OK, puis fermez la console Modèles de certificats.Choose OK, and then close Certificate Templates Console.

  11. Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis Modèle de certificat à délivrer.In the Certification Authority console, right-click Certificate Templates, choose New, and then choose Certificate Template to Issue.

  12. Dans la boîte de dialogue Activer les modèles de certificat, choisissez le nouveau modèle que vous venez de créer, Certificat client Mac ConfigMgr, puis choisissez OK.In the Enable Certificate Templates dialog box, choose the new template that you just created, ConfigMgr Mac Client Certificate, and then choose OK.

  13. Si vous n’avez pas besoin de créer ni d’émettre d’autres certificats, fermez Autorité de certification.If you do not have to create and issue more certificates, close Certification Authority.

    Le modèle de certificat client Mac est maintenant prêt à être sélectionné dès que vous configurez les paramètres client pour l’inscription.The Mac client certificate template is now ready to be selected when you set up client settings for enrollment.