MODELES DE CERTIFICATS

   
Un modèle de certificat permet de créer des certificats en fonctions de leurs rôles. Par exemple, si un utilisateur veut pouvoir signer ces emails, on va créer un modèle de certificat pour signer des emails. La demande de certificats va se faire en fonction des autorisations que l’on attribue aux modèles de certificats (lecture, écriture, contrôle total, inscription, inscription automatique). On va prendre l’exemple d’un utilisateur qui se connecte avec une carte à puce et qui utilise EFS (Encrypting File System). EFS est utilisé pour crypter des données. Pour créer un certificat répondant à ces critères, il faut que vous allier dans le menu Démarrer/Outils d’administration/Autorité de certification. Développer le nom de votre autorité de certification puis faite un clic droit sur « Modèles de certificats » puis gérer.

    Ensuite, on va dupliquer le modèle « Utilisateur » qui est proche de celui que l’on veut réaliser. Pour cela, clic droit sur le modèle utilisateur et faites « Modèle dupliqué ». On va ensuite renseigner si le modèle que l’on crée va avoir les fonctionnalités de Windows Server 2003 ou de Windows Server 2008. Attention cependant, si on met Windows Server 2008, on pourra héberger les certificats que sur Windows Server 2008.

   

Ensuite, on nomme ce nouveau modèle. Dans notre exemple, nous allons choisir « Utilisateur EFS et Carte à puce ». J’ai également réduit la période de validité du certificat à 6 mois.

   


On va maintenant définir des modèles obsolètes. Définir des modèles obsolètes permet de privilégier notre nouveau modèle. En effet, les modèles « Utilisateurs », « Utilisateurs de carte à puce » et « EFS Basique » ne sont plus d’actualité car on crée un modèle qui remplace ces 3 modèles de certificats.

   


On va maintenant définir les conditions d’application de ce certificat. Puisque l’on a dupliqué le modèle « utilisateur », notre nouveau modèle « Utilisateur EFS et Carte à puce » bénéficie des mêmes stratégies d’applications. On va donc modifier les stratégies d’applications dans l’onglet « Extensions » de notre modèle. On rajoute la condition « Ouverture de session par carte à puce » puis on valide.    

   


Il ne nous reste plus qu’à attribuer les autorisations aux utilisateurs pouvant faire la demande de certificats. Je suis resté général, j’ai autorisé tous les « Utilisateurs authentifiés ». Pour cela, il faut leur rajouter les permissions Inscrire (ou « enroll » en anglais) et Inscription automatique.
Désormais, notre modèle de certificat est créé. Il ne nous manque plus qu’à l’activer. Pour cela, validez en cliquant sur « Ok » puis revenez à la fenêtre Démarrer/Outils d’administration/Autorité de certification. Déroulez l’autorité de certification, puis clic droit sur Modèles de certificats et faites Nouveau / Modèle de certificat à délivrer. Choisissez maintenant votre nouveau modèle de certificat.