Planification du déploiement de certificats de serveur

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Avant de déployer des certificats de serveur, vous devez planifier les éléments suivants :

Planifier la configuration du serveur de base

Après avoir installé Windows Server 2016 sur les ordinateurs que vous envisagez d’utiliser comme autorité de certification et serveur Web, vous devez renommer l’ordinateur et attribuer et configurer une adresse IP statique pour l’ordinateur local.

Pour plus d’informations, consultez le Guide du réseau de base Windows Server 2016.

Planifier l’accès au domaine

Pour ouvrir une session sur un domaine, l’ordinateur doit être membre du domaine et le compte d’utilisateur doit être créé dans les services de domaine Active Directory avant la tentative d’ouverture de session. En outre, la plupart des procédures décrites dans ce guide exigent que le compte d’utilisateur soit membre des groupes Administrateurs d’entreprise ou Administrateurs de domaine dans Utilisateurs et ordinateurs Active Directory. Vous devez donc vous connecter à l’autorité de certification avec un compte disposant de l’appartenance au groupe appropriée.

Pour plus d’informations, consultez le Guide du réseau de base Windows Server 2016.

Planifier l’emplacement et le nom du répertoire virtuel sur votre serveur Web

Pour fournir l’accès à la liste de révocation de certificats et au certificat d’autorité de certification à d’autres ordinateurs, vous devez stocker ces éléments dans un répertoire virtuel sur votre serveur Web. Dans ce guide, le répertoire virtuel se trouve sur le serveur Web WEB1. Ce dossier se trouve sur le lecteur « C: » et est nommé « pki ». Vous pouvez localiser votre répertoire virtuel sur votre serveur Web à n’importe quel emplacement de dossier approprié pour votre déploiement.

Planifier un enregistrement d’alias DNS (CNAME) pour votre serveur Web

Les enregistrements de ressources d’alias (CNAME) sont également parfois appelés enregistrements de ressources de noms canoniques. Avec ces enregistrements, vous pouvez utiliser plusieurs noms pour pointer vers un seul hôte, ce qui facilite l’hébergement d’un serveur FTP (File Transfer Protocol) et d’un serveur Web sur le même ordinateur. Par exemple, les noms de serveur connus (ftp, www) sont enregistrés à l’aide d’enregistrements de ressources d’alias (CNAME) mappés au nom d’hôte DNS (Domain Name System), tel que WEB1, pour l’ordinateur serveur qui héberge ces services.

Ce guide fournit des instructions pour la configuration de votre serveur Web afin d’héberger la liste de révocation de certificats (CRL) pour votre autorité de certification. Étant donné que vous souhaiterez peut-être également utiliser votre serveur Web à d’autres fins, par exemple pour héberger un FTP ou un site Web, il est judicieux de créer un enregistrement de ressource d’alias dans DNS pour votre serveur Web. Dans ce guide, l’enregistrement CNAME est nommé « pki », mais vous pouvez choisir un nom approprié pour votre déploiement.

Planifier la configuration de CAPolicy.inf

Avant d’installer AD CS, vous devez configurer CAPolicy.inf sur l’autorité de certification avec des informations appropriées pour votre déploiement. Un fichier CAPolicy.inf contient les informations suivantes :

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

Vous devez planifier les éléments suivants pour ce fichier :

  • URL. L’exemple de fichier CAPolicy.inf a une valeur d’URL de https://pki.corp.contoso.com/pki/cps.txt. Cela est dû au fait que le serveur Web de ce guide est nommé WEB1 et a un enregistrement de ressource CNAME DNS de pki. Le serveur Web est également joint au domaine corp.contoso.com. En outre, il existe un répertoire virtuel sur le serveur Web nommé « pki » où la liste de révocation des certificats est stockée. Assurez-vous que la valeur que vous fournissez pour l’URL dans votre fichier CAPolicy.inf pointe vers un répertoire virtuel sur votre serveur Web dans votre domaine.

  • RenewalKeyLength. La longueur de la clé de renouvellement par défaut pour AD CS dans Windows Server 2012 est 2048. La longueur de clé que vous sélectionnez doit être aussi longue que possible tout en assurant la compatibilité avec les applications que vous envisagez d’utiliser.

  • RenewalValidityPeriodUnits. L’exemple de fichier CAPolicy.inf a une valeur RenewalValidityPeriodUnits de 5 ans. Cela est dû au fait que la durée de vie attendue de l’autorité de certification est d’environ dix ans. La valeur de RenewalValidityPeriodUnits doit refléter la période de validité globale de l’autorité de certification ou le nombre le plus élevé d’années pour lesquelles vous souhaitez effectuer l’inscription.

  • CRLPeriodUnits. L’exemple de fichier CAPolicy.inf a une valeur CRLPeriodUnits de 1. Cela est dû au fait que l’exemple d’intervalle d’actualisation pour la liste de révocation de certificats dans ce guide est de 1 semaine. À la valeur d’intervalle que vous spécifiez avec ce paramètre, vous devez publier la liste de révocation de certificats sur l’autorité de certification dans le répertoire virtuel du serveur Web où vous stockez la liste de révocation de certificats et fournir l’accès à celle-ci pour les ordinateurs qui sont dans le processus d’authentification.

  • AlternateSignatureAlgorithm. Ce fichier CaPolicy.inf implémente un mécanisme de sécurité amélioré en implémentant d’autres formats de signature. Vous ne devez pas implémenter ce paramètre si vous avez toujours des clients Windows XP qui nécessitent des certificats de cette autorité de certification.

Si vous ne prévoyez pas d’ajouter ultérieurement d’autorités de certification secondaires à votre infrastructure à clé publique et si vous souhaitez empêcher l’ajout d’autorités de certification secondaires, vous pouvez ajouter la clé PathLength à votre fichier CAPolicy.inf avec la valeur 0. Pour ajouter cette clé, copiez et collez le code suivant dans votre fichier :

[BasicConstraintsExtension]
PathLength=0
Critical=Yes

Important

Il n’est pas recommandé de modifier d’autres paramètres dans le fichier CAPolicy.inf, sauf si vous avez une raison spécifique de le faire.

Planifier la configuration des extensions CDP et AIA sur CA1

Lorsque vous configurez le point de distribution de liste de révocation de certificats (CDP) et les paramètres d’accès aux informations de l’autorité (AIA) sur CA1, vous avez besoin du nom de votre serveur Web et de votre nom de domaine. Vous avez également besoin du nom du répertoire virtuel que vous créez sur votre serveur Web où sont stockés la liste de révocation de certificats (CRL) et le certificat d’autorité de certification.

L’emplacement CDP que vous devez entrer pendant cette étape de déploiement a le format suivant :

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.

Par exemple, si votre serveur Web est nommé WEB1 et que votre enregistrement CNAME d’alias DNS pour le serveur Web est « pki », votre domaine est corp.contoso.com et votre répertoire virtuel est nommé pki, l’emplacement CDP est :

http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

L’emplacement AIA que vous devez entrer a le format suivant :

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.

Par exemple, si votre serveur Web est nommé WEB1 et que l’enregistrement CNAME de votre alias DNS pour le serveur Web est « pki », votre domaine est corp.contoso.com et votre répertoire virtuel est nommé pki, l’emplacement AIA est :

http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt

Planifier l’opération de copie entre l’autorité de certification et le serveur Web

Pour publier la liste de révocation de certificats et le certificat d’autorité de certification de l’autorité de certification dans le répertoire virtuel du serveur Web, vous pouvez exécuter la commande certutil -crl après avoir configuré les emplacements CDP et AIA sur l’autorité de certification. Veillez à configurer les chemins d’accès corrects sous l’onglet Extensions des propriétés de l’autorité de certification avant d’exécuter cette commande en suivant les instructions de ce guide. En outre, pour copier le certificat d’autorité de certification d’entreprise sur le serveur Web, vous devez avoir déjà créé le répertoire virtuel sur le serveur Web et configuré le dossier en tant que dossier partagé.

Planifier la configuration du modèle de certificat de serveur sur l’autorité de certification

Pour déployer des certificats de serveur inscrits automatiquement, vous devez copier le modèle de certificat nommé Serveurs RAS et IAS. Par défaut, cette copie est nommée Copie des serveurs RAS et IAS. Si vous souhaitez renommer cette copie de modèle, planifiez le nom que vous souhaitez utiliser pendant cette étape de déploiement.

Remarque

Les trois dernières sections de déploiement de ce guide, qui vous permettent de configurer l’inscription automatique du certificat de serveur, d’actualiser la stratégie de groupe sur les serveurs et de vérifier que les serveurs ont reçu un certificat de serveur valide de l’autorité de certification, ne nécessitent pas d’étapes de planification supplémentaires.