Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : camicrosoft
reseau:certificat:camicrosoft:accueil

**Ceci est une ancienne révision du document !**

Table des matières

Gérer des certificats pour serveurs Debian avec la CA de Microsoft

  • Le sous-composant Service Web Inscription de certificats du rôle Service de certificats Active Directory doit avoir été installé.

Le Service Web Inscription de certificats (CES) permet à des machines et utilisateurs d’obtenir ou renouveler des certificats via HTTPS, même s’ils ne sont pas connectés au domaine (ex : ordinateurs en DMZ, machines distantes, BYOD…).

Création d'un compte dédié appelé svc_ces dans le domaine

  • créer le compte svc_ces
  • le mettre membre du groupe local IIS_IUSRS du serveur CES
    • Lui donner les droits sur la CA dans certsrv.msc → Propriétés → Sécurité :
      • ajouter le compte svc_ces
      • lui donner les droits :
        • Lire
        • Demander des certificats

Le configurer comme Identité du pool d’applications CES dans IIS.

  • Redémarrer IIS en ligne de commande en tant qu'administrateur
iisreset

Configuration du service Web d'inscription des certificats

  • Installation en Renouvellement seul :
    • ⇒ les clients peuvent demander uniquement de renouveler des certificats existants.
  • Authentification est Authentification du certificat client :

Principes de fonctionnement quand CES est configuré en renouvellement seulement :

  • Le client envoie une requête de renouvellement (CSR)
  • Il signe la requête avec la clé privée de son ancien certificat
  • Le serveur CES valide que :
    • le certificat à renouveler est légitime
    • la signature correspond à la clé privée
    • la CA accepte les renouvellements

La CA délivre un nouveau certificat basé sur l’ancien.

Aucune demande de nouveau certificat n'est acceptée.

Cela permet :

  • d'exposer CES via Internet,
  • de permettre uniquement la continuité, pas de nouvelles inscriptions
  • pour des appareils non joints au domaine mais déjà équipés d’un certificat initial
  • en réduisant l’exposition du service d’inscription

Configurer un serveur Debian

Obtenir un certificat initial (bootstrap)

Générer une clé privée et un CSR

  • En CLI
openssl genrsa -out /etc/ssl/private/server.key 2048
chmod 600 /etc/ssl/private/server.key

➜ ➜ L’utiliser pour s’authentifier auprès du CES ➜ Automatiser le renouvellement du certificat via CES ➜ Installer automatiquement le nouveau certificat dans le système

reseau/certificat/camicrosoft/accueil.1768832019.txt.gz · Dernière modification : 2026/01/19 15:13 de techer.charles_educ-valadon-limoges.fr