====== Gérer des certificats pour serveurs Debian avec la CA de Microsoft ======

  * Le sous-composant **Service Web Inscription de certificats** du rôle **Service de certificats Active Directory** doit avoir été installé. 

===== Création d'un compte dédié appelé svc_ces dans le domaine =====

   * créer le compte **svc\_ces**
   * le mettre membre du groupe local **IIS_IUSRS** du serveur CES 
   * Lui donner les droits sur la CA dans certsrv.msc → Propriétés → Sécurité :
     * ajouter le compte **svc\_ces**
     * lui donner les droits :
       * Lire
       * Demander des certificats

{{ :reseau:certificat:camicrosoft:ca_04.png |}}

Le configurer comme Identité du pool d’applications CES dans IIS.
  * Redémarrer IIS en ligne de commande en tant qu'administrateur

<code>
iisreset
</code>




===== Configuration du service Web d'inscription des certificats =====

  * Installation en **Renouvellement seul** :
    *  => les clients peuvent demander uniquement de renouveler des certificats existants.
{{ :reseau:cloud:ca_01.png |}}

  * Authentification est **Authentification du certificat client** :

{{ :reseau:cloud:ca_02.png |}}

{{ :reseau:certificat:camicrosoft:ca_03.png |}}

{{ :reseau:certificat:camicrosoft:ca_05.png |}}

{{ :reseau:certificat:camicrosoft:ca_06.png |}}

{{ :reseau:certificat:camicrosoft:ca_07.png |}}

{{ :reseau:certificat:camicrosoft:ca_08.png |}}
===== Configurer un serveur Debian =====
 
==== Générer une clé privée et un CSR ====

➜ Obtenir un certificat initial (bootstrap)
➜ L’utiliser pour s’authentifier auprès du CES
➜ Automatiser le renouvellement du certificat via CES
➜ Installer automatiquement le nouveau certificat dans le système