DEPLOIEMENT DE CERTIFICATS

    Maintenant que vous avez créé votre modèle, les utilisateurs peuvent faire la demande de certificats et en obtenir.
Il existe plusieurs méthodes pour demander un certificat :
    -Via le Web
    -Via une console MMC
    -Via un GPO

Pour accéder à l’interface Web de demande de certificats, il faut se connecter à la machine à l’adresse : http://WinServer2008/certsrv/
Dans ce cas, mon serveur 2008 s’appelle WinServer2008.
Une fois connecté cette adresse tapée dans le navigateur, on accède à l’interface suivante :

Cliquez sur « Demander un certificat »

Puis cliquez sur « Certificat Utilisateur ».

Cliquez sur « Envoyer » pour soumettre votre requête de certificat.

Si le serveur accepte la demande de certificat, vous pouvez alors l’installer en cliquant sur « Installer ce certificat ».

Une confirmation vous indique que votre certificat a bien été installé. On peut aussi demander un certificat via une MMC. Pour cela, tapez mmc dans Démarrer/ Exécuter. Allez dans Fichier puis Ajoutez un composant logiciel enfichable. Ajoutez Certificats, puis validez. Développer « Certificats - Utilisateur Actuel » puis Personnel. Faites un clic droit sur Certificat puis « Demander un nouveau certificat ».

Suivez l’assistant et choisissez le modèle que l’on vient de créer « Utilisateur EFS et Carte à puce ».

Vérifier les paramètres de votre demande de certificat à la fin de l’assistant puis terminez. Un message devrait confirmer l’installation du nouveau certificat. 

Nous allons désormais vérifier si l’installation s’est bien déroulée et si nous possédons les certificats sur notre ordinateur. Pour cela, allez dans la MMC, déroulez « Certificats - Utilisateur Actuel » puis Personnel. Vous pouvez désormais apercevoir un certificat.

    Il est aussi possible d’automatiser la génération de certificat. On peut par exemple définir que lorsqu’un utilisateur va s’identifier sur le contrôleur de domaine, il va automatiquement s’inscrire dans l’autorité de certification et recevoir un certificat en fonction de ses attributs (réglé dans l’onglet « Sécurité » lorsque l’on a définit un nouveau modèle de certificat). L’automatisation de la demande de certificat peut se faire avec ou sans l’interaction de l’utilisateur. Pour le choisir, allez dans le modèle de votre certificat, Propriétés puis dans l’onglet « Traitement de la demande ». Si vous voulez que l’utilisateur n’interagisse pas, cochez « Inscrire le sujet sans exiger une entrée de la part de l’utilisateur ». Pour créer un GPO (Group Policy Object), allez dans Démarrer / Outil d’administration / Gestion des stratégies de groupe. Créez une nouvelle stratégie et modifiez-la. Aller dans Configuration Utilisateur / Stratégies / Paramètres Windows / Paramètre de sécurité / Stratégie de clé publique. Maintenant, activer “Client des services de certificats - Inscription automatique” et cochez les cases “Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués” et “Mettre à jour les certificats qui utilisent les modèles de certificats”. Ceci va mettre à jour automatiquement les certificats si vous en possédiez et va en créer de nouveaux dans le cas échéant.

Il faut maintenant lier notre GPO à l’unité d’organisation qui contient nos utilisateurs que l’on veut attribuer des certificats.

On peut vérifier, grâce à une MMC, que lorsqu’on se connecte avec un utilisateur situé dans l’unité d’organisation sur laquelle on a appliqué la GPO, l’utilisateur possède un certificat.