Exemple pas à pas de déploiement des certificats pKI pour Configuration Manager : Windows de certification Server 2008

Mises à jour vers Configuration Manager (Current Branch)

Cet exemple de déploiement pas à pas, qui utilise une autorité de certification Windows Server 2008, dispose de procédures qui vous montrent comment créer et déployer les certificats d’infrastructure à clé publique (PKI) que Configuration Manager utilise. Ces procédures utilisent une autorité de certification d’entreprise et des modèles de certificats. Les étapes sont appropriées pour un réseau de test uniquement, comme preuve de concept.

Étant donné qu’il n’existe pas de méthode de déploiement unique pour les certificats requis, consultez la documentation de déploiement de votre PKI particulière pour obtenir les procédures requises et les meilleures pratiques pour déployer les certificats requis pour un environnement de production. Pour plus d’informations sur les certificats requis, consultez la configuration requise pour les certificats pKI pour Configuration Manager.

Conseil

Vous pouvez adapter les instructions de cette rubrique pour les systèmes d’exploitation qui ne sont pas documentés dans la section Test Network Requirements. Toutefois, si vous exécutez l’ac émettrice sur Windows Server 2012, vous n’êtes pas invité à utiliser la version du modèle de certificat. Au lieu de cela, spécifiez-le sous l’onglet Compatibilité des propriétés du modèle :

  • Autorité de certification: Windows Server 2003
    • Destinataire du certificat : Windows XP / Server 2003

Tester la qualité du réseau

Les instructions pas à pas ont les conditions suivantes :

  • Le réseau de test exécute les services de domaine Active Directory avec Windows Server 2008 et il est installé en tant que domaine unique, forêt unique.

  • Vous disposez d’un serveur membre exécutant Windows Server 2008 Êdition Entreprise, sur lequel le rôle Services de certificats Active Directory est installé, et il est installé en tant qu’autorité de certification racine d’entreprise.

  • Vous disposez d’un ordinateur sur Windows Server 2008 (Édition Standard ou Êdition Entreprise, R2 ou ultérieur), cet ordinateur est désigné comme serveur membre et Internet Information Services (IIS) y est installé. Cet ordinateur sera le serveur système de site Configuration Manager que vous configurerez avec un nom de domaine complet (FQDN) intranet pour prendre en charge les connexions client sur l’intranet et un nom de domaine complet Internet si vous devez prendre en charge les appareils mobiles inscrits par Configuration Manager et les clients sur Internet.

  • Vous disposez d’un client Windows Vista sur le dernier Service Pack installé, et cet ordinateur est installé avec un nom d’ordinateur qui comprend des caractères ASCII et qui est joint au domaine. Cet ordinateur sera un ordinateur client Configuration Manager.

  • Vous pouvez vous connectez avec un compte d’administrateur de domaine racine ou un compte d’administrateur de domaine d’entreprise et utiliser ce compte pour toutes les procédures de cet exemple de déploiement.

Vue d’ensemble des certificats

Le tableau suivant répertorie les types de certificats pKI qui peuvent être requis pour Configuration Manager et décrit leur utilisation.

Certificat requis Description du certificat
Certificat de serveur Web pour les systèmes de site qui exécutent IIS Ce certificat est utilisé pour chiffrer les données et authentifier le serveur pour les clients. Il doit être installé en externe à partir de Configuration Manager sur des serveurs de systèmes de site qui exécutent Internet Information Services (IIS) et qui sont installés dans Configuration Manager pour utiliser le protocole HTTPS.

Pour obtenir la procédure de mise en place et d’installation de ce certificat, voir Déployer le certificat de serveur web pour les systèmes de site qui exécutent IIS dans cette rubrique.
Certificat de service pour que les clients se connectent aux points de distribution basés sur le cloud Pour les étapes de configuration et d’installation de ce certificat, voir Déployer le certificat de service pour les points de distribution basés sur le cloud dans cette rubrique.

Important : Ce certificat est utilisé conjointement avec le certificat Windows de gestion Azure. Pour plus d’informations sur le certificat de gestion, voir How to Create a Management Certificate and How to Add a Management Certificate to a Windows Azure Subscription.
Certificat client pour Windows ordinateurs Ce certificat est utilisé pour authentifier les ordinateurs clients Configuration Manager sur les systèmes de site qui sont mis en place pour utiliser le protocole HTTPS. Il peut également être utilisé pour les points de gestion et les points de migration d’état pour surveiller leur état opérationnel lorsqu’ils sont mis en place pour utiliser le protocole HTTPS. Il doit être installé en externe à partir de Configuration Manager sur les ordinateurs.

Pour obtenir la procédure de mise en place et d’installation de ce certificat, voir Déployer le certificat client pour Windows ordinateurs dans cette rubrique.
Certificat client pour les points de distribution Ce certificat a deux objectifs :

Le certificat est utilisé pour authentifier le point de distribution à un point de gestion httpS avant que le point de distribution n’envoie des messages d’état.

Lorsque l’option Activer le point de distribution PXE pour les clients est sélectionnée, le certificat est envoyé aux ordinateurs démarrés par PXE afin qu’ils se connectent à un point de gestion httpS pendant le déploiement du système d’exploitation.

Pour obtenir la procédure de mise en place et d’installation de ce certificat, voir Déployer le certificat client pour les points de distribution dans cette rubrique.
Certificat d’inscription pour les appareils mobiles Ce certificat est utilisé pour authentifier les clients d’appareils mobiles Configuration Manager sur les systèmes de site qui sont mis en place pour utiliser le protocole HTTPS. Il doit être installé dans le cadre de l’inscription des appareils mobiles dans Configuration Manager, et vous choisissez le modèle de certificat configuré comme paramètre client d’appareil mobile.

Pour les étapes de la procédure de mise en place de ce certificat, voir Déployer le certificat d’inscription pour les appareils mobiles dans cette rubrique.
Certificat client pour ordinateurs Mac Vous pouvez demander et installer ce certificat à partir d’un ordinateur Mac lorsque vous utilisez l’inscription Configuration Manager et choisissez le modèle de certificat configuré comme paramètre client d’appareil mobile.

Pour les étapes de la procédure de mise en place de ce certificat, voir Déployer le certificat client pour les ordinateurs Mac dans cette rubrique.

Déployer le certificat de serveur web pour les systèmes de site qui exécutent IIS

Ce déploiement de certificat présente les procédures suivantes :

  • Créer et émettre le modèle de certificat de serveur web sur l’autorité de certification

  • Demander le certificat de serveur web

  • Configurer IIS pour utiliser le certificat de serveur web

Créer et émettre le modèle de certificat de serveur web sur l’autorité de certification

Cette procédure crée un modèle de certificat pour les systèmes de site Configuration Manager et l’ajoute à l’autorité de certification.

Pour créer et émettre le modèle de certificat de serveur web sur l’autorité de certification
  1. Créez un groupe de sécurité nommé Serveurs IIS ConfigMgr qui dispose des serveurs membres pour installer les systèmes de site Configuration Manager qui exécuteront IIS.

  2. Sur le serveur membre où les services de certificat sont installés, dans la console de l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console Modèles de certificats.

  3. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée dont la colonne Nom complet du modèle insérez le serveur Web, puis choisissez Modèle en double.

  4. Dans la boîte de dialogue Modèle en double, assurez-vous Windows server 2003, Êdition Entreprise est sélectionné, puis choisissez OK.

    Important

    Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.

  5. Dans la boîte de dialogue Propriétés d’un nouveau modèle, sous l’onglet Général, entrez un nom de modèle, tel que certificat de serveur Web ConfigMgr, pour générer les certificats web qui seront utilisés sur les systèmes de site Configuration Manager.

  6. Sélectionnez l’onglet Nom de l’objet et assurez-vous que l’onglet Fournir dans la demande est sélectionné.

  7. Sélectionnez l’onglet Sécurité, puis supprimez l’autorisation d’inscription des groupes de sécurité Administrateurs du domaine Enterprise Administrateurs du domaine.

  8. Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  9. Choisissez l’autorisation Inscrire pour ce groupe et ne l’effacerez pas.

  10. Choisissez OK, puis fermez la console modèles de certificats.

  11. Dans la console de l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis choisissez Modèle de certificat à émettre.

  12. Dans la boîte de dialogue Activer les modèles de certificats, choisissez le nouveau modèle que vous avez créé, Certificat de serveur web ConfigMgr, puis choisissez OK.

  13. Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.

Demander le certificat de serveur web

Cette procédure vous permet de spécifier les valeurs intranet et de nom deqdn Internet qui seront définies dans les propriétés du serveur système de site, puis d’installer le certificat de serveur web sur le serveur membre qui exécute IIS.

Pour demander le certificat de serveur web
  1. Redémarrez le serveur membre qui exécute IIS pour vous assurer que l’ordinateur peut accéder au modèle de certificat que vous avez créé à l’aide des autorisations de lecture et d’inscription que vous avez configurées.

  2. Choisissez Démarrer, Exécuter, puis tapez mmc.exe. Dans la console vide, choisissez Fichier, puis ajoutez/supprimez un logiciel en snap-in.

  3. Dans la boîte de dialogue Ajouter ou supprimer des snap-ins, choisissez Certificats dans la liste des logiciels en snap-in disponibles, puis sélectionnez Ajouter.

  4. Dans la boîte de dialogue Certificat en ligne, sélectionnez Compte d’ordinateur, puis suivant .

  5. Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que l’ordinateur local : (l’ordinateur sur qui cette console s’exécute) est sélectionné, puis choisissez Terminer.

  6. Dans la boîte de dialogue Ajouter ou supprimer des logiciels en un clin d’œil, choisissez OK.

  7. Dans la console, développez Certificats (ordinateur local), puis choisissez Personnel.

  8. Cliquez avec le bouton droit sur Certificats, choisissez Toutes les tâches, puis demandez un nouveau certificat.

  9. On the Before You Begin page, choose Next.

  10. Si vous voyez la page Sélectionner une stratégie d’inscription de certificat, choisissez Suivant.

  11. Dans la page Demander des certificats, identifiez le certificat de serveur Web ConfigMgr dans la liste des certificats disponibles, puis choisissez Plus d’informations nécessaires pour vous inscrire à ce certificat. Cliquez ici pour configurer les paramètres.

  12. Dans la boîte de dialogue Propriétés du certificat, dans l’onglet Objet, ne modifiez pas le nom de l’objet. Cela signifie que la zone Valeur de la section Nom de l’objet reste vide. À la place, dans la section Autre nom, sélectionnez la liste de listes listes types, puis choisissez DNS.

  13. Dans la zone Valeur, spécifiez les valeurs de FQDN que vous spécifierez dans les propriétés système du site Configuration Manager, puis choisissez OK pour fermer la boîte de dialogue Propriétés du certificat.

    Exemples :

    • Si le système de site n’accepte que les connexions client à partir de l’intranet et que le nom de nom de service (FQDN) intranet du serveur système de site est server1.internal.contoso.com, entrez server1.internal.contoso.com, puis choisissez Ajouter .

    • Si le système de site accepte les connexions clientes à partir de l’intranet et d’Internet, et que le nom de nom de groupe (FQDN) intranet du serveur système de site est server1.internal.contoso.com et que le nom deqdn Internet du serveur système de site est server.contoso.com:

      1. Entrez server1.internal.contoso.com, puis choisissez Ajouter.

      2. Entrez server.contoso.com, puis choisissez Ajouter.

      Notes

      Vous pouvez spécifier les FQDN pour Configuration Manager dans n’importe quel ordre. Toutefois, vérifiez que tous les appareils qui utiliseront le certificat, tels que les périphériques mobiles et les serveurs web proxy, peuvent utiliser un autre nom d’objet de certificat (SAN) et plusieurs valeurs dans le SAN. Si les appareils ont une prise en charge limitée des valeurs SAN dans les certificats, vous de devez peut-être modifier l’ordre des FQDN ou utiliser la valeur Objet à la place.

  14. On the Request Certificates page, choose ConfigMgr Web Server Certificate from the list of available certificates, and then choose Enroll.

  15. Dans la page Résultats de l’installation des certificats, patientez jusqu’à ce que le certificat soit installé, puis choisissez Terminer.

  16. Fermer les certificats (ordinateur local).

Configurer IIS pour utiliser le certificat de serveur web

Cette procédure lie le certificat installé au site Web IIS par défaut.

Pour configurer IIS afin d’utiliser le certificat de serveur web
  1. Sur le serveur membre où IIS est installé, choisissez Démarrer, Choisir Programmes, Outils d’administration, puis Internet Information Services (IIS).

  2. Développez Sites, cliquez avec le bouton droit sur Site Web par défaut, puis choisissez Modifier les liaisons.

  3. Choose the https entry, and then choose Edit.

  4. Dans la boîte de dialogue Modifier la liaison de site, sélectionnez le certificat que vous avez demandé à l’aide du modèle certificats de serveur web ConfigMgr, puis choisissez OK.

    Notes

    Si vous ne savez pas quel est le certificat correct, choisissez-en un, puis choisissez Afficher. Cela vous permet de comparer les détails du certificat sélectionné aux certificats dans le logiciel en snap-in Certificats. Par exemple, le logiciel en snap-in Certificats affiche le modèle de certificat qui a été utilisé pour demander le certificat. Vous pouvez ensuite comparer l’empreinte du certificat demandé à l’aide du modèle Certificats de serveur web ConfigMgr à l’empreinte du certificat actuellement sélectionné dans la boîte de dialogue Modifier la liaison de site.

  5. Choisissez OK dans la boîte de dialogue Modifier la liaison de site, puis fermez.

  6. Fermez Internet Information Services (IIS) Manager.

    Le serveur membre est maintenant installé avec un certificat de serveur web Configuration Manager.

Important

Lorsque vous installez le serveur système de site Configuration Manager sur cet ordinateur, veillez à spécifier les mêmes FQDN dans les propriétés du système de site que vous avez spécifiés lorsque vous avez demandé le certificat.

Déployer le certificat de service pour les points de distribution basés sur le cloud

Ce déploiement de certificat présente les procédures suivantes :

Créer et émettre un modèle de certificat de serveur web personnalisé sur l’autorité de certification

Cette procédure crée un modèle de certificat personnalisé basé sur le modèle de certificat de serveur web. Le certificat est pour les points de distribution basés sur le cloud Configuration Manager et la clé privée doit être exportable. Une fois le modèle de certificat créé, il est ajouté à l’autorité de certification.

Notes

Cette procédure utilise un modèle de certificat différent du modèle de certificat de serveur web que vous avez créé pour les systèmes de site qui exécutent IIS. Bien que les deux certificats nécessitent une fonctionnalité d’authentification serveur, le certificat pour les points de distribution basés sur le cloud nécessite que vous entiez une valeur personnalisée pour le nom de l’objet et que la clé privée soit exportée. En tant que meilleure pratique de sécurité, ne définissez pas de modèles de certificat afin que la clé privée puisse être exportée, sauf si cette configuration est requise. Le point de distribution basé sur le cloud nécessite cette configuration, car vous devez importer le certificat en tant que fichier, plutôt que de le choisir dans le magasin de certificats.

Lorsque vous créez un modèle de certificat pour ce certificat, vous pouvez limiter les ordinateurs qui peuvent demander un certificat dont la clé privée peut être exportée. Sur un réseau de production, vous pouvez également envisager d’ajouter les modifications suivantes pour ce certificat :

  • Exiger l’approbation de l’installation du certificat pour une sécurité supplémentaire.
    • Augmentez la période de validité du certificat. Étant donné que vous devez exporter et importer le certificat à chaque fois avant son expiration, une augmentation de la période de validité réduit la fréquence de répétition de cette procédure. Toutefois, une augmentation de la période de validité réduit également la sécurité du certificat, car elle donne plus de temps à un attaquant pour déchiffrer la clé privée et voler le certificat.
    • Utilisez une valeur personnalisée dans l’autre nom d’objet (SAN) du certificat pour vous aider à identifier ce certificat à partir des certificats de serveur web standard que vous utilisez avec IIS.
Pour créer et émettre le modèle de certificat de serveur web personnalisé sur l’autorité de certification
  1. Créez un groupe de sécurité nommé ConfigMgr Site Servers qui dispose des serveurs membres pour installer les serveurs de site principaux Configuration Manager qui gérera les points de distribution basés sur le cloud.

  2. Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.

  3. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée dont la colonne Nom complet du modèle insérez le serveur Web, puis choisissez Modèle en double.

  4. Dans la boîte de dialogue Modèle en double, assurez-vous Windows server 2003, Êdition Entreprise est sélectionné, puis choisissez OK.

    Important

    Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.

  5. Dans la boîte de dialogue Propriétés d’un nouveau modèle, sous l’onglet Général, entrez un nom de modèle, tel que ConfigMgr Cloud-Based Distribution Point Certificate, pour générer le certificat de serveur web pour les points de distribution basés sur le cloud.

  6. Choisissez l’onglet Traitement des demandes, puis choisissez Autoriser l’exportation de la clé privée.

  7. Sélectionnez l’onglet Sécurité, puis supprimez l’autorisation d’inscription du groupe Enterprise Administrateurs.

  8. Choose Add, enter ConfigMgr Site Servers in the text box, and then choose OK.

  9. Sélectionnez l’autorisation Inscrire pour ce groupe et ne l’effacerez pas.

  10. Choisissez l’onglet Chiffrement et assurez-vous que la taille de clé minimale a été définie sur 2048.

  11. Choisissez OK, puis fermez la console Modèles de certificats.

  12. Dans la console de l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis choisissez Modèle de certificat à émettre.

  13. Dans la boîte de dialogue Activer les modèles de certificats, choisissez le nouveau modèle que vous avez créé, ConfigMgr Cloud-Based certificat de point de distribution, puis choisissez OK.

  14. Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.

Demander le certificat de serveur web personnalisé

Cette procédure demande, puis installe le certificat de serveur web personnalisé sur le serveur membre qui exécutera le serveur de site.

Pour demander le certificat de serveur web personnalisé
  1. Redémarrez le serveur membre après avoir créé et configuré le groupe de sécurité ConfigMgr Site Servers pour vous assurer que l’ordinateur peut accéder au modèle de certificat que vous avez créé à l’aide des autorisations de lecture et d’inscription que vous avez configurées.

  2. Choose Start, choose Run, and then enter mmc.exe. Dans la console vide, choisissez Fichier, puis ajoutez/supprimez un logiciel en snap-in.

  3. Dans la boîte de dialogue Ajouter ou supprimer des snap-ins, choisissez Certificats dans la liste des logiciels en snap-in disponibles, puis sélectionnez Ajouter.

  4. Dans la boîte de dialogue Certificat en ligne, sélectionnez Compte d’ordinateur, puis suivant .

  5. Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que l’ordinateur local : (l’ordinateur sur qui cette console s’exécute) est sélectionné, puis choisissez Terminer.

  6. Dans la boîte de dialogue Ajouter ou supprimer des logiciels en un clin d’œil, choisissez OK.

  7. Dans la console, développez Certificats (ordinateur local), puis choisissez Personnel.

  8. Cliquez avec le bouton droit sur Certificats, choisissez Toutes les tâches, puis demandez un nouveau certificat.

  9. On the Before You Begin page, choose Next.

  10. Si vous voyez la page Sélectionner une stratégie d’inscription de certificat, choisissez Suivant.

  11. Dans la page Demander des certificats, identifiez le certificat de point de distribution ConfigMgr Cloud-Based dans la liste des certificats disponibles, puis choisissez Plus d’informations nécessaires pour vous inscrire à ce certificat. Choisissez ici pour configurer les paramètres.

  12. Dans la boîte de dialogue Propriétés du certificat, dans l’onglet Objet, pour le nom du sujet, choisissez Nom commun en tant que type.

  13. Dans la zone Valeur, spécifiez le nom de service de votre choix et votre nom de domaine à l’aide d’un format de nom de domaine complet. Par exemple : clouddp1.contoso.com.

    Notes

    Rendez le nom du service unique dans votre espace de noms. Vous allez utiliser DNS pour créer un alias (enregistrement CNAME) afin de ma cartographier ce nom de service sur un identificateur généré automatiquement (GUID) et une adresse IP à partir de Windows Azure.

  14. Choisissez Ajouter, puis choisissez OK pour fermer la boîte de dialogue Propriétés du certificat.

  15. On the Request Certificates page, choose ConfigMgr Cloud-Based Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  16. Dans la page Résultats de l’installation des certificats, patientez jusqu’à ce que le certificat soit installé, puis choisissez Terminer.

  17. Fermer les certificats (ordinateur local).

Exporter le certificat de serveur web personnalisé pour les points de distribution basés sur le cloud

Cette procédure exporte le certificat de serveur web personnalisé dans un fichier, afin qu’il puisse être importé lorsque vous créez le point de distribution en nuage.

Pour exporter le certificat de serveur web personnalisé pour les points de distribution basés sur le cloud
  1. Dans la console Certificats (ordinateur local), cliquez avec le bouton droit sur le certificat que vous avez installé, choisissez Toutes les tâches, puis sélectionnez Exporter.

  2. Dans l’Assistant Exportation des certificats, choisissez Suivant.

  3. Dans la page Exporter la clé privée, choisissez Oui, exporter la clé privée, puis choisissez Suivant.

    Notes

    Si cette option n’est pas disponible, le certificat a été créé sans possibilité d’exporter la clé privée. Dans ce scénario, vous ne pouvez pas exporter le certificat au format requis. Vous devez configurer le modèle de certificat afin que la clé privée puisse être exportée, puis demander à nouveau le certificat.

  4. Dans la page Exporter le format de fichier, assurez-vous que les informations personnelles Exchange - PKCS #12 (. L’option PFX) est sélectionnée.

  5. Dans la page Mot de passe, spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis choisissez Suivant.

  6. Dans la page Fichier à exporter, spécifiez le nom du fichier que vous souhaitez exporter, puis choisissez Suivant.

  7. Pour fermer l’Assistant, sélectionnez Terminer dans la page Assistant Exportation de certificat, puis ok dans la boîte de dialogue de confirmation.

  8. Fermer les certificats (ordinateur local).

  9. Stockez le fichier en toute sécurité et assurez-vous que vous pouvez y accéder à partir de la console Configuration Manager.

    Le certificat est maintenant prêt à être importé lorsque vous créez un point de distribution basé sur le cloud.

Déployer le certificat client pour Windows ordinateurs

Ce déploiement de certificat présente les procédures suivantes :

  • Créer et émettre le modèle de certificat d’authentification de station de travail sur l’autorité de certification

  • Configurer l’inscription automatique du modèle d’authentification de station de travail à l’aide de la stratégie de groupe

  • Inscrire automatiquement le certificat d’authentification de station de travail et vérifier son installation sur les ordinateurs

Créer et émettre le modèle de certificat d’authentification de station de travail sur l’autorité de certification

Cette procédure crée un modèle de certificat pour les ordinateurs clients Configuration Manager et l’ajoute à l’autorité de certification.

Pour créer et émettre le modèle de certificat d’authentification de station de travail sur l’autorité de certification
  1. Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.

  2. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée authentification de station de travail dans la colonne Nom d’affichage du modèle, puis choisissez Modèle en double.

  3. Dans la boîte de dialogue Modèle en double, assurez-vous Windows server 2003, Êdition Entreprise est sélectionné, puis choisissez OK.

    Important

    Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.

  4. Dans la boîte de dialogue Propriétés d’un nouveau modèle, sous l’onglet Général, entrez un nom de modèle, tel que certificat client ConfigMgr, pour générer les certificats clients qui seront utilisés sur les ordinateurs clients Configuration Manager.

  5. Choisissez l’onglet Sécurité, sélectionnez le groupe Ordinateurs du domaine, puis sélectionnez les autorisations supplémentaires de lecture et d’inscription automatique. Ne pas effacer l’inscription.

  6. Choisissez OK, puis fermez la console Modèles de certificats.

  7. Dans la console de l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis choisissez Modèle de certificat à émettre.

  8. Dans la boîte de dialogue Activer les modèles de certificats, choisissez le nouveau modèle que vous avez créé, Certificat client ConfigMgr, puis choisissez OK.

  9. Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.

Configurer l’inscription automatique du modèle d’authentification de station de travail à l’aide de la stratégie de groupe

Cette procédure permet de mettre en place une stratégie de groupe pour inscrire automatiquement le certificat client sur les ordinateurs.

Pour configurer l’inscription automatique du modèle d’authentification de station de travail à l’aide de la stratégie de groupe
  1. Sur le contrôleur de domaine, choisissez Démarrer, Outils d’administration, puis Gestion des stratégies de groupe.

  2. Go to your domain, right-click the domain, and then choose Create a GPO in this domain, and Link it here.

    Notes

    Cette étape utilise la meilleure pratique de création d’une stratégie de groupe pour les paramètres personnalisés plutôt que de modifier la stratégie de domaine par défaut installée avec les services de domaine Active Directory. Lorsque vous affectez cette stratégie de groupe au niveau du domaine, vous l’appliquez à tous les ordinateurs du domaine. Dans un environnement de production, vous pouvez restreindre l’inscription automatique afin qu’elle s’inscrive uniquement sur les ordinateurs sélectionnés. Vous pouvez affecter la stratégie de groupe au niveau d’une unité d’organisation ou filtrer la stratégie de groupe de domaine avec un groupe de sécurité afin qu’elle s’applique uniquement aux ordinateurs du groupe. Si vous limitez l’inscription automatique, n’oubliez pas d’inclure le serveur qui est installé comme point de gestion.

  3. Dans la boîte de dialogue Nouvel GPO, entrez un nom, tel que Certificats d’inscription automatique, pour la nouvelle stratégie de groupe, puis choisissez OK.

  4. Dans le volet résultats, sous l’onglet Objets de stratégie de groupe liés, cliquez avec le bouton droit sur la nouvelle stratégie de groupe, puis choisissez Modifier.

  5. Dans l’Éditeur de gestion des stratégies de groupe, développez stratégies sous Configuration ordinateur, puis Windows Paramètres sécurité Paramètres / / stratégies à clé publique .

  6. Cliquez avec le bouton droit sur le type d’objet nommé Client des services de certificats - Inscription automatique, puis choisissez Propriétés.

  7. Dans la liste bas du modèle de configuration, choisissez Activé, choisissez Renouveler les certificats expirés, mettre à jour les certificats en attente, supprimer les certificats révoqués, choisir Mettre à jour les certificats qui utilisent des modèles de certificats, puis choisissez OK.

  8. Fermez la gestion des stratégies de groupe.

Inscrire automatiquement le certificat d’authentification de station de travail et vérifier son installation sur les ordinateurs

Cette procédure installe le certificat client sur les ordinateurs et vérifie l’installation.

Pour inscrire automatiquement le certificat d’authentification de station de travail et vérifier son installation sur l’ordinateur client
  1. Redémarrez l’ordinateur de la station de travail et patientez quelques minutes avant de vous inscrire.

    Notes

    Le redémarrage d’un ordinateur est la méthode la plus fiable pour garantir la réussite de l’inscription automatique des certificats.

  2. Connectez-vous avec un compte qui dispose de privilèges d’administration.

  3. Dans la zone de recherche, entrezmmc.exe., puis appuyez sur Entrée.

  4. Dans la console de gestion vide, choisissez Fichier, puis ajoutez/supprimez un logiciel en snap-in.

  5. Dans la boîte de dialogue Ajouter ou supprimer des snap-ins, choisissez Certificats dans la liste des logiciels en snap-in disponibles, puis sélectionnez Ajouter.

  6. Dans la boîte de dialogue Certificat en ligne, sélectionnez Compte d’ordinateur, puis suivant .

  7. Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que l’ordinateur local : (l’ordinateur sur qui cette console s’exécute) est sélectionné, puis choisissez Terminer.

  8. Dans la boîte de dialogue Ajouter ou supprimer des logiciels en un clin d’œil, choisissez OK.

  9. Dans la console, développez Certificats (ordinateur local), développez Personnel, puis choisissez Certificats.

  10. Dans le volet des résultats, confirmez qu’un certificat dispose de l’authentification client dans la colonne à usage prévu et que le certificat client ConfigMgr se trouve dans la colonne Modèle de certificat.

  11. Fermer les certificats (ordinateur local).

  12. Répétez les étapes 1 à 11 pour le serveur membre afin de vérifier que le serveur qui sera installé comme point de gestion possède également un certificat client.

    L’ordinateur est maintenant installé avec un certificat client Configuration Manager.

Déployer le certificat client pour les points de distribution

Notes

Ce certificat peut également être utilisé pour les images multimédias qui n’utilisent pas le démarrage PXE, car les exigences de certificat sont les mêmes.

Ce déploiement de certificat présente les procédures suivantes :

  • Créer et émettre un modèle de certificat d’authentification de station de travail personnalisé sur l’autorité de certification

  • Demander le certificat d’authentification de station de travail personnalisé

  • Exporter le certificat client pour les points de distribution

Créer et émettre un modèle de certificat d’authentification de station de travail personnalisé sur l’autorité de certification

Cette procédure crée un modèle de certificat personnalisé pour les points de distribution Configuration Manager afin que la clé privée puisse être exportée et ajoute le modèle de certificat à l’autorité de certification.

Notes

Cette procédure utilise un modèle de certificat différent du modèle de certificat que vous avez créé pour les ordinateurs clients. Bien que les deux certificats nécessitent une fonctionnalité d’authentification client, le certificat pour les points de distribution requiert l’exportation de la clé privée. En tant que meilleure pratique de sécurité, ne définissez pas de modèles de certificat afin que la clé privée puisse être exportée, sauf si cette configuration est requise. Le point de distribution nécessite cette configuration, car vous devez importer le certificat en tant que fichier au lieu de le choisir dans le magasin de certificats.

Lorsque vous créez un modèle de certificat pour ce certificat, vous pouvez limiter les ordinateurs qui peuvent demander un certificat dont la clé privée peut être exportée. Dans notre exemple de déploiement, il s’ra du groupe de sécurité que vous avez précédemment créé pour les serveurs système de site Configuration Manager qui exécutent IIS. Sur un réseau de production qui distribue les rôles du système de site IIS, envisagez de créer un groupe de sécurité pour les serveurs qui exécutent des points de distribution afin de limiter le certificat à ces serveurs système de site uniquement. Vous pouvez également envisager d’ajouter les modifications suivantes pour ce certificat :

  • Exiger l’approbation de l’installation du certificat pour une sécurité supplémentaire.
    • Augmentez la période de validité du certificat. Étant donné que vous devez exporter et importer le certificat à chaque fois avant son expiration, une augmentation de la période de validité réduit la fréquence de répétition de cette procédure. Toutefois, une augmentation de la période de validité réduit également la sécurité du certificat, car elle donne plus de temps à un attaquant pour déchiffrer la clé privée et voler le certificat.
    • Utilisez une valeur personnalisée dans le champ Objet du certificat ou l’autre nom de l’objet (SAN) pour vous aider à identifier ce certificat à partir de certificats clients standard. Cela peut être particulièrement utile si vous utilisez le même certificat pour plusieurs points de distribution.
Pour créer et émettre le modèle de certificat d’authentification de station de travail personnalisé sur l’autorité de certification
  1. Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.

  2. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée authentification de station de travail dans la colonne Nom d’affichage du modèle, puis choisissez Modèle en double.

  3. Dans la boîte de dialogue Modèle en double, assurez-vous Windows server 2003, Êdition Entreprise est sélectionné, puis choisissez OK.

    Important

    Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.

  4. Dans la boîte de dialogue Propriétés d’un nouveau modèle, sous l’onglet Général, entrez un nom de modèle, tel que le certificat de point de distribution du client ConfigMgr, pour générer le certificat d’authentification client pour les points de distribution.

  5. Choisissez l’onglet Traitement des demandes, puis choisissez Autoriser l’exportation de la clé privée.

  6. Sélectionnez l’onglet Sécurité, puis supprimez l’autorisation d’inscription du groupe Enterprise Administrateurs.

  7. Choose Add, enter ConfigMgr IIS Servers in the text box, and then choose OK.

  8. Sélectionnez l’autorisation Inscrire pour ce groupe et ne l’effacerez pas.

  9. Choisissez OK, puis fermez la console Modèles de certificats.

  10. Dans la console de l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis choisissez Modèle de certificat à émettre.

  11. Dans la boîte de dialogue Activer les modèles de certificats, choisissez le nouveau modèle que vous avez créé, Certificat de point de distribution client ConfigMgr, puis choisissez OK.

  12. Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.

Demander le certificat d’authentification de station de travail personnalisé

Cette procédure demande, puis installe le certificat client personnalisé sur le serveur membre qui exécute IIS et qui sera installé comme point de distribution.

Pour demander le certificat d’authentification de station de travail personnalisé
  1. Choose Start, choose Run, and then enter mmc.exe. Dans la console vide, choisissez Fichier, puis ajoutez/supprimez un logiciel en snap-in.

  2. Dans la boîte de dialogue Ajouter ou supprimer des snap-ins, choisissez Certificats dans la liste des logiciels en snap-in disponibles, puis sélectionnez Ajouter.

  3. Dans la boîte de dialogue Certificat en ligne, sélectionnez Compte d’ordinateur, puis suivant .

  4. Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que l’ordinateur local : (l’ordinateur sur qui cette console s’exécute) est sélectionné, puis choisissez Terminer.

  5. Dans la boîte de dialogue Ajouter ou supprimer des logiciels en un clin d’œil, choisissez OK.

  6. Dans la console, développez Certificats (ordinateur local), puis choisissez Personnel.

  7. Cliquez avec le bouton droit sur Certificats, choisissez Toutes les tâches, puis demandez un nouveau certificat.

  8. On the Before You Begin page, choose Next.

  9. Si vous voyez la page Sélectionner une stratégie d’inscription de certificat, choisissez Suivant.

  10. On the Request Certificates page, choose ConfigMgr Client Distribution Point Certificate from the list of available certificates, and then choose Enroll.

  11. Dans la page Résultats de l’installation des certificats, patientez jusqu’à ce que le certificat soit installé, puis choisissez Terminer.

  12. Dans le volet des résultats, confirmez qu’un certificat dispose de l’authentification client dans la colonne Objectif prévu et que le certificat de point de distribution du client ConfigMgr se trouve dans la colonne Modèle de certificat.

  13. Ne fermez pas les certificats (ordinateur local).

Exporter le certificat client pour les points de distribution

Cette procédure exporte le certificat d’authentification de station de travail personnalisé dans un fichier afin qu’il puisse être importé dans les propriétés du point de distribution.

Pour exporter le certificat client pour les points de distribution
  1. Dans la console Certificats (ordinateur local), cliquez avec le bouton droit sur le certificat que vous avez installé, choisissez Toutes les tâches, puis sélectionnez Exporter.

  2. Dans l’Assistant Exportation des certificats, choisissez Suivant.

  3. Dans la page Exporter la clé privée, choisissez Oui, exporter la clé privée, puis choisissez Suivant.

    Notes

    Si cette option n’est pas disponible, le certificat a été créé sans possibilité d’exporter la clé privée. Dans ce scénario, vous ne pouvez pas exporter le certificat au format requis. Vous devez configurer le modèle de certificat afin que la clé privée puisse être exportée, puis demander à nouveau le certificat.

  4. Dans la page Exporter le format de fichier, assurez-vous que les informations personnelles Exchange - PKCS #12 (. L’option PFX) est sélectionnée.

  5. Dans la page Mot de passe, spécifiez un mot de passe fort pour protéger le certificat exporté avec sa clé privée, puis choisissez Suivant.

  6. Dans la page Fichier à exporter, spécifiez le nom du fichier que vous souhaitez exporter, puis choisissez Suivant.

  7. Pour fermer l’Assistant, sélectionnez Terminer dans la page Assistant Exportation de certificat et OK dans la boîte de dialogue de confirmation.

  8. Fermer les certificats (ordinateur local).

  9. Stockez le fichier en toute sécurité et assurez-vous que vous pouvez y accéder à partir de la console Configuration Manager.

    Le certificat est maintenant prêt à être importé lorsque vous définissez le point de distribution.

Conseil

Vous pouvez utiliser le même fichier de certificat lorsque vous définissez des images multimédias pour un déploiement de système d’exploitation qui n’utilise pas le démarrage PXE, et la séquence de tâches pour installer l’image doit contacter un point de gestion qui nécessite des connexions client HTTPS.

Déployer le certificat d’inscription pour les appareils mobiles

Ce déploiement de certificat dispose d’une seule procédure pour créer et émettre le modèle de certificat d’inscription sur l’autorité de certification.

Créer et émettre le modèle de certificat d’inscription sur l’autorité de certification

Cette procédure crée un modèle de certificat d’inscription pour les appareils mobiles Configuration Manager et l’ajoute à l’autorité de certification.

Pour créer et émettre le modèle de certificat d’inscription sur l’autorité de certification
  1. Créez un groupe de sécurité qui inscrira des appareils mobiles dans Configuration Manager.

  2. Sur le serveur membre où les services de certificat sont installés, dans la console de l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.

  3. Dans le volet des résultats, cliquez avec le bouton droit sur l’entrée dont la colonne Nom complet du modèle possède session authentifiée, puis choisissez Modèle en double.

  4. Dans la boîte de dialogue Modèle en double, assurez-vous Windows server 2003, Êdition Entreprise est sélectionné, puis choisissez OK.

    Important

    Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.

  5. Dans la boîte de dialogue Propriétés d’un nouveau modèle, sous l’onglet Général, entrez un nom de modèle, tel que le certificat d’inscription d’appareil mobile ConfigMgr, pour générer les certificats d’inscription pour les appareils mobiles qui doivent être gérés par Configuration Manager.

  6. Choisissez l’onglet Nom de l’objet, assurez-vous que la création à partir de ces informations Active Directory est sélectionnée, sélectionnez Nom commun pour le format de nom d’objet : , puis effacer le nom d’utilisateur principal (UPN) dans Inclure ces informations dans un autre nom d’objet.

  7. Sélectionnez l’onglet Sécurité, choisissez le groupe de sécurité qui a des utilisateurs qui disposent d’appareils mobiles pour s’inscrire, puis choisissez l’autorisation supplémentaire d’inscription. Ne pas effacer la lecture.

  8. Choisissez OK, puis fermez la console Modèles de certificats.

  9. Dans la console de l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis choisissez Modèle de certificat à émettre.

  10. Dans la boîte de dialogue Activer les modèles de certificats, choisissez le nouveau modèle que vous avez créé, ConfigMgr Mobile Device Enrollment Certificate, puis choisissez OK.

  11. Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez la console de l’autorité de certification.

    Le modèle de certificat d’inscription d’appareil mobile est maintenant prêt à être sélectionné lorsque vous définissez un profil d’inscription d’appareil mobile dans les paramètres du client.

Déployer le certificat client pour les ordinateurs Mac

Ce déploiement de certificat dispose d’une seule procédure pour créer et émettre le modèle de certificat d’inscription sur l’autorité de certification.

Créer et émettre un modèle de certificat client Mac sur l’autorité de certification

Cette procédure crée un modèle de certificat personnalisé pour les ordinateurs Mac Configuration Manager et ajoute le modèle de certificat à l’autorité de certification.

Notes

Cette procédure utilise un modèle de certificat différent du modèle de certificat que vous avez peut-être créé pour Windows ordinateurs clients ou pour les points de distribution.

Lorsque vous créez un modèle de certificat pour ce certificat, vous pouvez limiter la demande de certificat aux utilisateurs autorisés.

Pour créer et émettre le modèle de certificat client Mac sur l’autorité de certification
  1. Créez un groupe de sécurité qui possède des comptes d’utilisateur pour les utilisateurs administratifs qui inscrivent le certificat sur l’ordinateur Mac à l’aide de Configuration Manager.

  2. Sur le serveur membre qui exécute la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis choisissez Gérer pour charger la console de gestion des modèles de certificats.

  3. Dans le volet résultats, cliquez avec le bouton droit sur l’entrée qui affiche session authentifiée dans la colonne Nom d’affichage du modèle, puis choisissez Modèle en double.

  4. Dans la boîte de dialogue Modèle en double, assurez-vous Windows server 2003, Êdition Entreprise est sélectionné, puis choisissez OK.

    Important

    Ne sélectionnez pas Windows 2008 Server, Êdition Entreprise.

  5. Dans la boîte de dialogue Propriétés du nouveau modèle, sous l’onglet Général, entrez un nom de modèle, tel que le certificat client Mac ConfigMgr, pour générer le certificat client Mac.

  6. Choisissez l’onglet Nom de l’objet, assurez-vous que la création à partir de ces informations Active Directory est sélectionnée, choisissez Nom commun pour le format de nom d’objet : , puis effacer le nom d’utilisateur principal (UPN) dans Inclure ces informations dans un autre nom d’objet.

  7. Sélectionnez l’onglet Sécurité, puis supprimez l’autorisation d’inscription des groupes de sécurité Administrateurs du domaine Enterprise Administrateurs du domaine.

  8. Choose Add, specify the security group that you created in step one, and then choose OK.

  9. Choisissez l’autorisation Inscrire pour ce groupe et ne l’effacerez pas.

  10. Choisissez OK, puis fermez la console Modèles de certificats.

  11. Dans la console de l’autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, choisissez Nouveau, puis choisissez Modèle de certificat à émettre.

  12. Dans la boîte de dialogue Activer les modèles de certificats, choisissez le nouveau modèle que vous avez créé, ConfigMgr Mac Client Certificate, puis choisissez OK.

  13. Si vous n’avez pas besoin de créer et d’émettre d’autres certificats, fermez l’autorité de certification.

    Le modèle de certificat client Mac est maintenant prêt à être sélectionné lorsque vous définissez les paramètres du client pour l’inscription.