• Le sous-composant Service Web Inscription de certificats du rôle Service de certificats Active Directory doit avoir été installé.

• créer le compte svc_ces
• le mettre membre du groupe local IIS_IUSRS du serveur CES

  • Lui donner les droits sur la CA dans certsrv.msc → Propriétés → Sécurité :
    • ajouter le compte svc_ces
    • lui donner les droits :
      • Lire
      • Demander des certificats

  

Le configurer comme Identité du pool d’applications CES dans IIS.

• Redémarrer IIS en ligne de commande en tant qu'administrateur

iisreset

• Installation en Renouvellement seul :
  • ⇒ les clients peuvent demander uniquement de renouveler des certificats existants.
• Authentification est Authentification du certificat client :

• En CLI

openssl genrsa -out /etc/ssl/private/server.key 2048
chmod 600 /etc/ssl/private/server.key

Crée un fichier san.cnf pour ajouter un SAN (recommandé) pur un serveur exemple appelé guac.lab.local avec ce contenu :

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
CN = guac.lab.local

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = guac.lab.local

• générer le CSR

openssl req -new -key guac.lab.local.key \
  -out guac.lab.local.csr \
  -config san.cnf

• Depuis un PC Windows membre du domaine, accédez à http:<ADCS_SERVER>/certsrv * Cliquez sur Demander un certificat * Cliquez sur demande de certificat avancée : Request a certificate ⇒ advanced certificate request submit a certificate request by using a base‑64 encoded file Colle le contenu de guac.lab.local.csr Sélectionne un template adapté, par exemple : Web Server Computer ou un template personnalisé activé pour SAN ⚠ Important : dans la console CA, le template doit autoriser : “Allow private key to be exported” → pas nécessaire “Supply in the request” → obligatoire pour les SAN Télécharge ensuite : le certificat au format Base64 la chaîne “CA certificate” (Root CA + éventuellement la subCA) Tu obtiendras un fichier .cer. 🧱 Étape 3 — Convertir le certificat Microsoft en PEM Dans le LXC : Copie le certificat : scp user@windows:/path/to/guac.lab.local.cer /root/ Convertis-le si nécessaire : Shellopenssl x509 -in guac.lab.local.cer -out guac.lab.local.crtAfficher plus de lignes Copie également le certificat de l'autorité racine (Root CA), depuis Windows : certutil -ca.cert rootCA.cer Puis convertis/le mets en .crt : Shellopenssl x509 -in rootCA.cer -out rootCA.crtAfficher plus de lignes (si tu as une CA intermédiaire : fais pareil) 📦 Étape 4 — Construire le fichier .pem pour HAProxy HAProxy doit avoir un seul fichier .pem contenant : la clé privée le certificat serveur la chaîne CA (intermédiaires + racine) Exemple : Shellcat guac.lab.local.crt guac.lab.local.key rootCA.crt > \ /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes Donne des permissions sécurisées : Shellchmod 600 /etc/haproxy/certs/guac.lab.local.pemAfficher plus de lignes 🔄 Étape 5 — Recharger HAProxy haproxy -c -f /etc/haproxy/haproxy.cfg systemctl reload haproxy Navigue ensuite vers : https://guac.lab.local ➜ ➜ L’utiliser pour s’authentifier auprès du CES ➜ Automatiser le renouvellement du certificat via CES ➜ Installer automatiquement le nouveau certificat dans le système