Tutoriel informatique : Installer une Autorité de Certification sur Windows Server 2025
Réussir la mise en place d’une autorité de certification d’entreprise sous Windows Server 2025
Ce tutoriel vise à vous accompagner dans la création d’une autorité de certification d’entreprise sur Windows Server, applicable également sur Windows Server 2022 et versions antérieures. Avant de commencer, nous aborderons les principes d’une autorité de certification privée et les différentes architectures possibles.
Créer votre autorité de certification privée
Avec votre autorité de certification privée (ou “CA”), vous serez en mesure de gérer vos certificats numériques, du processus de délivrance à la révocation. Vous pourrez également personnaliser des modèles de certificats pour différentes utilisations :
Sécuriser les connexions à un site Intranet en HTTPS ou passer du LDAP au LDAPS pour les connexions Active Directory.
Réaliser l’authentification VPN, mettre en place un serveur NPS avec l’authentification par certificat 802.1X, sécuriser les flux pour WSUS, signer des scripts PowerShell, etc. Tout cela est rendu possible grâce aux certificats et aux clés, formant ainsi une PKI : Infrastructure à clés publiques.
Le rôle ADCS de Windows Server
Sous Windows Server, l’autorité de certification est mise en place via le rôle ADCS : Active Directory Certificate Services. Si des solutions open source existent pour une CA sous Unix/Linux, la CA est un sujet vaste et complexe. Nous allons déployer une autorité de certification d’entreprise à partir d’un seul serveur, intégré à l’AD.
Pour respecter les bonnes pratiques, il est recommandé d’avoir au moins deux serveurs : une autorité de certification racine autonome et une autorité de certification intermédiaire intégrée à l’AD pour la délivrance des certificats.
Installer le rôle ADCS
Dans ce tutoriel, nous allons créer l’autorité de certification racine sur Windows Server 2025, intégré à l’AD. Il suffit d’ajouter le rôle “Services de certificats Active Directory” via le Gestionnaire de serveur, et d’installer l’option “Autorité de certification”.
N’oubliez pas de configurer certains paramètres via le fichier “CAPolicy.inf” et de finaliser la configuration dans le Gestionnaire de serveur.
Créer l’autorité de certification racine
Après l’installation du rôle, vous pouvez créer l’autorité de certification racine en sélectionnant les options adéquates. Pensez à sécuriser la clé privée et à configurer la durée de validité du certificat. Une fois configurée, vous pourrez gérer votre autorité de certification via la console dédiée.
L’autorité de certification et l’Active Directory
Grâce à une autorité de certification d’entreprise, la CA est automatiquement inscrite dans l’AD. Vous pouvez vérifier cette inscription dans “Certification Authorities”. Le certificat de la CA est distribué aux postes de travail et serveurs membres du domaine AD, sans besoin d’exportation.
La publication de la liste de révocation
Outre la délivrance de certificats, l’autorité de certification doit mettre à disposition la liste de révocation. Cette liste est publiée dans l’AD et peut être consultée uniquement par les machines du domaine. La configuration se fait via les propriétés de la CA, notamment pour définir les emplacements de distribution de la CRL.
En conclusion
Félicitations ! Votre autorité de certification racine d’entreprise est opérationnelle. Restez attentif à la configuration et à la gestion des certificats à venir. Prochainement, d’autres contenus sur l’installation et la configuration d’ADCS vous seront proposés.
Source : www.it-connect.fr
