• Le sous-composant Service Web Inscription de certificats du rôle Service de certificats Active Directory doit avoir été installé.

* créer le compte **svc_ces**
* le mettre membre du groupe local **IIS_IUSRS** du serveur CES 
* Lui donner les droits sur la CA dans certsrv.msc → Propriétés → Sécurité :
  * Lire
  * Demander des certificats
  * Emettre et gérer des certificats

Le configurer comme Identité du pool d’applications CES dans IIS.

• Installation en Renouvellement seul :
  • ⇒ les clients peuvent demander uniquement de renouveler des certificats existants.
• Authentification est Authentification du certificat client :

➜ Obtenir un certificat initial (bootstrap) ➜ L’utiliser pour s’authentifier auprès du CES ➜ Automatiser le renouvellement du certificat via CES ➜ Installer automatiquement le nouveau certificat dans le système