Configurer des certificats pour l'interface interne

Dernière rubrique modifiée : 2009-01-23

Un certificat est requis pour la communication MTLS (Mutual TLS) entre les serveurs de périphérie et les serveurs internes, notamment le serveur de conférence A/V et le serveur de médiation.

Pour plus d'informations sur les certificats requis, consultez Certificats requis pour l’accès des utilisateurs externes.

Configuration des certificats sur l'interface interne

Pour configurer un certificat sur l'interface interne des serveurs de périphérie d'un site, procédez comme suit :

• Étape 1 : Télécharger le chemin d'accès de certification de l'autorité de certification pour l'interface interne sur chaque serveur de périphérie. Pour plus d'informations, consultez Préparer les certificats internes d'un serveur de périphérie.
• Étape 2 : Importer le chemin d'accès de certification de l'autorité de certification pour l'interface interne sur chaque serveur de périphérie.
• Étape 3 : Vérifier que l'autorité de certification figure dans la liste des autorités de certification racines de confiance sur chaque serveur de périphérie.
• Étape 4 : Créer la demande de certificat pour l'interface interne sur un serveur de périphérie appelé « premier serveur de périphérie ».
• Étape 5 : Importer le certificat pour l'interface interne sur le premier serveur de périphérie.
• Étape 6 : Exporter le certificat à l'aide du premier serveur de périphérie.
• Étape 7 : Importer le certificat sur les autres serveurs de périphérie du site (ou déployés derrière ce programme d'équilibrage de charge).
• Étape 8 : Assigner le certificat pour l'interface interne de chaque serveur de périphérie.

Les instructions des étapes 2 à 8 sont décrites ultérieurement dans cette rubrique.

Si vous avez plusieurs sites dotés de serveurs de périphérie (autrement dit, une topologie du périmètre consolidée sur plusieurs sites) ou des ensembles distincts de serveurs de périphérie déployés derrière différents programmes d'équilibrage de charge, vous devez exécuter les étapes 1 à 8 séparément pour chaque site disposant de serveurs de périphérie et pour chaque ensemble de serveurs de périphérie déployé derrière un programme d'équilibrage de charge différent.

Remarque :

Les étapes des procédures présentées dans cette section sont basées sur l'utilisation d'une autorité de certification d'entreprise Windows Server 2003 ou d'une autorité de certification Windows Server 2003 R2. Pour obtenir des instructions pas à pas concernant les autres autorités de certification, consultez la documentation de l'autorité de certification concernée. Par défaut, tous les utilisateurs authentifiés disposent des droits nécessaires pour demander des certificats.

Pour importer le chemin d'accès de certification de l'autorité de certification pour l'interface interne

1. Sur chacun des serveurs de périphérie de votre déploiement, dans l'Assistant Déploiement, dans la page Déployer un serveur de périphérie, en regard de l'Étape 4 : Configurer les certificats du serveur de périphérie, cliquez sur Exécuter.

2. Dans la page Bienvenue de l'Assistant Certificat Communications, cliquez sur Suivant.

3. Dans la page Tâches se rapportant aux certificats disponibles, sélectionnez Importer une chaîne de certificats à partir d'un fichier .p7b, puis cliquez sur Suivant.

4. Dans la page Importer une chaîne de certificats, tapez le chemin d'accès complet et le nom du fichier .p7b, puis cliquez sur Suivant.

5. Cliquez sur Terminer.

6. Répétez cette procédure sur chaque serveur de périphérie.

Pour vérifier que votre autorité de certification figure dans la liste des autorités de certification racines de confiance

1. Sur chaque serveur de périphérie, ouvrez la console MMC (Microsoft Management Console) en cliquant sur Démarrer, puis sur Exécuter, en tapant mmc dans la zone Ouvrir, puis en cliquant sur OK.

2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.

3. Dans la zone Ajout d'un composant logiciel enfichable autonome, cliquez sur Certificats, puis sur Ajouter.

4. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Compte d'ordinateur, puis sur Suivant.

5. Dans la boîte de dialogue Sélectionner un ordinateur, assurez-vous que la case à cocher Ordinateur local : (l'ordinateur sur lequel cette console s'exécute) est activée, puis cliquez sur Terminer.

6. Cliquez sur Fermer, puis sur OK.

7. Dans l'arborescence de la console, développez Certificats (ordinateur local), développez Autorités de certification racines de confiance, puis cliquez sur Certificats.

8. Dans le volet d'informations, vérifiez que votre autorité de certification figure sur la liste des autorités de certification de confiance.

9. Répétez cette procédure sur chaque serveur de périphérie.

Pour créer la demande de certificat pour l'interface interne

1. Sur un serveur de périphérie, dans l'Assistant Déploiement, dans la page Déployer un serveur de périphérie, en regard de l'Étape 4 : Configurer les certificats du serveur de périphérie, cliquez sur Exécuter.

2. Dans la page Bienvenue de l'Assistant Certificat Communications, cliquez sur Suivant.

3. Dans la page Tâches se rapportant aux certificats disponibles, cliquez sur Créer un certificat, puis sur Suivant.

4. Dans la page Sélectionner le composant pour lequel le certificat est requis, sélectionnez Interface privée du serveur de périphérie, puis cliquez sur Suivant.

5. Dans la page Demande mise en attente ou immédiate, activez la case à cocher Préparer la demande maintenant, mais l'envoyer ultérieurement, puis cliquez sur Suivant.

   Remarque :

   Si l'autorité de certification d'entreprise est accessible à partir du serveur de périphérie, vous pouvez utiliser l'option Envoyer la demande immédiatement à une autorité de certification en ligne. Comme ce n'est généralement pas le cas, cette procédure et les autres procédures de demande de certificat de ce guide ne traitent pas de l'utilisation de cette option. En outre, sachez qu'une fois que vous avez créé une requête, elle reste en attente et l'Assistant Certificat ne vous permet pas de créer une autre requête tant que celle en attente n'est pas traitée.

6. Dans la page Nom et paramètres de sécurité, tapez un nom convivial pour le certificat, spécifiez la longueur en bits (la valeur par défaut est généralement 1 024), vérifiez que la case à cocher Rendre le certificat exportable est activée, puis cliquez sur Suivant.

7. Dans la page Informations relatives à l'organisation, tapez le nom de l'organisation et de l'unité d'organisation (par exemple, une division ou un service, le cas échéant), puis cliquez sur Suivant.

8. Dans la page Nom du sujet de votre serveur, tapez ou sélectionnez le nom du sujet et l'autre nom du sujet du serveur de périphérie.

   Le nom du sujet doit correspondre au nom de domaine complet (FQDN) du serveur de périphérie publié par le pare‑feu interne de l'interface interne sur laquelle vous configurez le certificat :

   • Concernant l'interface interne du serveur de périphérie, le nom du sujet doit correspondre au nom que vos serveurs internes utilisent pour se connecter au serveur de périphérie (en général, le nom de domaine complet de l'interface interne pour le serveur de périphérie).
   • Si vous utilisez un programme d'équilibrage de charge, le trafic du serveur de périphérie utilise le nom de domaine complet du périmètre interne du serveur (nom du serveur). Cependant, si vous utilisez une adresse IP virtuelle pour le serveur de périphérie, le certificat doit correspondre au nom de domaine complet de l'adresse IP virtuelle utilisée par ce rôle de serveur dans le programme d'équilibrage de la charge interne. Pour l'interface interne, c'est généralement le nom DNS (Domain Name System) publié pour le réseau de périmètre qui est mappé au serveur de périphérie.

9. Sélectionnez Ajouter automatiquement le nom de l'ordinateur local à l'autre nom du sujet si vous souhaitez ajouter le nom d'ordinateur du serveur de périphérie à la liste des autres noms du certificat.

10. Cliquez sur Suivant.

11. Dans la page Informations géographiques, tapez les informations sur l'emplacement, puis cliquez sur Suivant.

12. Dans la page Nom de fichier de la demande de certificat, dans la zone Nom du fichier, tapez le chemin d'accès complet et le nom du fichier dans lequel la demande doit être enregistrée (par exemple, C:\certrequest_AccessEdge.txt), puis cliquez sur Suivant.

13. Dans la page Résumé de la demande, cliquez sur Suivant.

14. Dans la page de fin de l'Assistant, vérifiez que tout s'est déroulé correctement, puis cliquez sur Terminer.

15. Envoyez ce fichier à votre autorité de certification (par messagerie électronique ou un autre procédé pris en charge par votre organisation pour votre autorité de certification d'entreprise). Lorsque vous recevez le fichier de réponse, copiez le nouveau certificat sur cet ordinateur de sorte qu'il soit disponible pour l'importation.

16. Répétez cette procédure sur chaque serveur de périphérie.

Pour importer le certificat pour l'interface interne

1. Sur le serveur de périphérie sur lequel vous avez créé la demande de certificat, dans l'Assistant Déploiement, dans la page Déployer un serveur de périphérie, en regard de l'Étape 4 : Configurer les certificats du serveur de périphérie, cliquez sur Exécuter.

2. Dans la page Bienvenue de l'Assistant Certificat Communications, cliquez sur Suivant.

3. Dans la page Demande de certificat en attente, cliquez sur Traiter la demande de certificat hors connexion et importer le certificat, puis sur Suivant.

4. Dans la page Traiter une demande en attente, dans la zone Chemin d'accès et nom du fichier, tapez le chemin d'accès complet et le nom de fichier du certificat demandé et reçu pour l'interface interne de ce serveur de périphérie, puis cliquez sur Suivant.

5. Dans la page de fin de l'Assistant, vérifiez que tout s'est déroulé correctement, puis cliquez sur Terminer.

Pour exporter le certificat (pour être utilisé par d'autres serveurs de périphérie)

1. Sur le serveur de périphérie sur lequel vous avez demandé et importé le certificat, dans l'Assistant Déploiement, dans la page Déployer un serveur de périphérie, en regard de l'Étape 4 : Configurer les certificats du serveur de périphérie, cliquez sur Exécuter.

2. Dans la page Bienvenue de l'Assistant Certificat Communications, cliquez sur Suivant.

3. Dans la page Tâches se rapportant aux certificats disponibles, cliquez sur Exporter un certificat vers un fichier .pfx, puis sur Suivant.

4. Dans la page Certificats disponibles, dans Sélectionner un certificat, cliquez sur le certificat que vous avez importé sur ce serveur de périphérie, puis cliquez sur Suivant.

5. Dans la page Exporter un certificat, dans la zone Chemin d'accès et nom du fichier, tapez le chemin d'accès complet et le nom du fichier vers lequel vous souhaitez exporter le certificat, puis cliquez sur Suivant.

   Incluez tous les certificats dans le chemin d'accès de certificat, si possible.

6. Dans la page Mot de passe d'exportation de certificat, dans la zone Mot de passe, tapez le mot de passe qui est utilisé pour importer le certificat sur les autres serveurs de périphérie, puis cliquez sur Suivant.

7. Dans la page de fin de l'Assistant, vérifiez que tout s'est déroulé correctement, puis cliquez sur Terminer.

8. Copiez le fichier exporté à un emplacement ou sur un support auquel les autres serveurs de périphérie ont accès.

Pour importer le certificat pour l'interface interne sur les autres serveurs de périphérie

1. Sur chacun des autres serveurs de périphérie de ce site, dans l'Assistant Déploiement, dans la page Déployer un serveur de périphérie, en regard de l'Étape 4 : Configurer les certificats du serveur de périphérie, cliquez sur Exécuter.

2. Dans la page Bienvenue de l'Assistant Certificat Communications, cliquez sur Suivant.

3. Dans la page Tâches se rapportant aux certificats disponibles, cliquez sur Importer un certificat à partir d'un fichier .pfx, puis sur Suivant.

4. Dans la page Importer un certificat, dans la zone Chemin d'accès et nom du fichier, tapez le chemin d'accès complet et le nom de fichier du certificat que vous avez exporté à partir du premier serveur de périphérie, désactivez la case à cocher Rendre le certificat exportable, puis cliquez sur Suivant.

5. Dans la page Mot de passe d'importation de certificat, dans la zone Mot de passe, tapez le mot de passe tapé lors de l'exportation du certificat à partir du premier serveur, puis cliquez sur Suivant.

6. Dans la page de fin de l'Assistant, vérifiez que tout s'est déroulé correctement, puis cliquez sur Terminer.

7. Renouvelez cette procédure pour chaque serveur de périphérie qui doit utiliser le même certificat.

Pour assigner le certificat à l'interface interne des serveurs de périphérie

1. Sur chacun des serveurs de périphérie, dans l'Assistant Déploiement, dans la page Déployer un serveur de périphérie, en regard de l'Étape 4 : Configurer les certificats du serveur de périphérie, cliquez sur Exécuter.

2. Dans la page Bienvenue de l'Assistant Certificat Communications, cliquez sur Suivant.

3. Dans la page Tâches se rapportant aux certificats disponibles, cliquez sur Assigner un certificat existant, puis sur Suivant.

4. Dans la page Certificats disponibles, sélectionnez le certificat que vous avez demandé pour l'interface interne de ce serveur de périphérie, puis cliquez sur Suivant.

5. Dans la page Assignations de certificat disponibles, activez la case à cocher Interface privée du serveur de périphérie (autrement dit, l'interface du serveur sur laquelle vous souhaitez installer le certificat), puis cliquez sur Suivant.

6. Dans la page Configurer les paramètres des certificats de votre serveur, passez en revue vos paramètres, puis cliquez sur Suivant pour assigner les certificats.

7. Dans la page de fin de l'Assistant, cliquez sur Terminer.

8. Renouvelez cette procédure pour chacun des serveurs de périphérie auxquels vous avez assigné ce certificat.