Gérer des certificats pour serveurs Debian avec la CA de Microsoft

• Le sous-composant Service Web Inscription de certificats du rôle Service de certificats Active Directory doit avoir été installé.

• créer le compte svc_ces
• le mettre membre du groupe local IIS_IUSRS du serveur CES

  • Lui donner les droits sur la CA dans certsrv.msc → Propriétés → Sécurité :
    • ajouter le compte svc_ces
    • lui donner les droits :
      • Lire
      • Demander des certificats

  

Le configurer comme Identité du pool d’applications CES dans IIS.

• Redémarrer IIS en ligne de commande en tant qu'administrateur

iisreset

• Installation en Renouvellement seul :
  • ⇒ les clients peuvent demander uniquement de renouveler des certificats existants.
• Authentification est Authentification du certificat client :

➜ Obtenir un certificat initial (bootstrap) ➜ L’utiliser pour s’authentifier auprès du CES ➜ Automatiser le renouvellement du certificat via CES ➜ Installer automatiquement le nouveau certificat dans le système