Construire un laboratoire CM - Autorité de certification [3]

Series Post 3, ajoutant une autorité de certification dans votre laboratoire (nécessite d'abord la configuration d'un contrôleur de domaine), complètement facultatif pour votre environnement.

C'est un bonus, vous pouvez faire tout ce que vous voulez dans votre laboratoire sans cette fonctionnalité, mais devinez quoi, si vous allez faire quelque chose qui a besoin de HTTPS, avoir votre propre autorité de certification (CA) rend cela tellement plus fluide.

La création d'une autorité de certification est simple, vous choisissez le rôle et cliquez sur Suivant plusieurs fois. Je l'ajoute à mon DC, car c'est un endroit facile à mettre.

Ajouter des rôles et des rôles de serveur de fonctionnalités
Vous cocherez la case « Services de certificats Active Directory, qui affichera ensuite cette boîte de dialogue, cliquez sur « Ajouter des fonctionnalités »
Assistant d'ajout de rôles et de fonctionnalités
C'est par défaut
Assistant d'ajout de rôles et de fonctionnalités
Assistant d'ajout de rôles et de fonctionnalités
À ce stade, cliquez sur « Configurer AD CS sur le serveur de destination.
Configuration AD CS
Valeurs par défaut
Configuration AD CS
Configuration AD CS
Configuration AD CS
Clé privée de configuration AD CS
Cryptographie de configuration AD CS
J'ai laissé les valeurs par défaut ici
Nom de l'autorité de certification de configuration AD CS
Période de validité de la configuration AD CS
Base de données de certificat de configuration AD CA
Confirmation de configuration AD CS
Configuration AD CS

Ok, maintenant nous avons configuré notre CA et l'avons configuré. Rien de bien spécial, créons maintenant un modèle de certificat. Dans cet exemple, je vais créer un modèle de certificat à utiliser avec notre serveur Web Recast Management Server, qui sera fondamentalement le même pour n'importe quel serveur Web.

Autorité de certification de lancement
Lancer l'autorité de certification à partir du menu Outils
Modèle d'autorité de certification
Cliquez avec le bouton droit sur Modèles de certificats et choisissez Gérer
Console de modèle de certificat
Nous allons faire un duplicata du modèle de serveur Web à utiliser
Propriétés du nouveau modèle
Je vais l'appeler Recast Web Server
Propriétés du serveur Web Recast
Sous Sécurité, j'ai ajouté un groupe AD " Web Server Cert Enrollment " et coché les cases " Enroll & Autoenroll "
Propriétés d'inscription du certificat du serveur Web
Dans AD, il s'agit du groupe et des membres. J'ai ajouté plusieurs serveurs qui pourraient avoir besoin du cert et un que je connais avec certitude. Finalement, tous ces serveurs obtiendront automatiquement le certificat car ils sont configurés pour s'inscrire automatiquement.
Propriétés du serveur Web Recast
J'ai également ajouté des administrateurs de certificat et coché la case pour s'inscrire.
Propriétés des administrateurs de certificat
Le groupe d'administrateurs de certificat, toute personne de ce groupe a la possibilité d'inscrire ce nouveau certificat.
REdiffuser les propriétés du serveur Web

Maintenant que cela est fait, vous devrez ajouter ces certificats aux « modèles de certificats » - Sinon, vous pourriez obtenir cette erreur :
"Le modèle de certificat demandé n'est pas pris en charge par cette autorité de certification. Une autorité de certification (CA) valide configurée pour émettre des certificats basés sur ce modèle est introuvable, ou l'autorité de certification ne prend pas en charge cette opération, ou l'autorité de certification n'est pas approuvée.

Cela m'a rendu fou pendant un moment, puis j'ai réalisé que j'avais oublié une étape. Tous les modèles que vous avez dupliqués et créés et que vous souhaitez que cette autorité de certification puisse distribuer, vous devrez les ajouter ici : [Plus d'informations]
??

Désolé, les noms ont changé, j'ai remarqué cela après le message d'origine et je l'ajoute à partir de mon laboratoire personnel.

??

Maintenant, sur le serveur, vous pouvez vous inscrire et ajouter le certificat.

Dans cet exemple, le certificat sera inscrit sur le serveur de gestion Recast qui héberge notre service Web Recast Enterprise Server.

Actuellement, il utilise son certificat auto-émis qui oblige les clients à recevoir un avertissement lorsque vous essayez de vous connecter.

HTTPS Non sécurisé Avertissement
Vous pouvez voir ici que même s'il s'agit de HTTPS, cela donne un avertissement « Non sécurisé »
Gérer les certificats d'ordinateur
Allez dans "Gérer les certificats d'ordinateur". Sur Personnel, faites un clic droit et choisissez "Toutes les tâches", puis "Demander un nouveau certificat"
Inscription au certificat
Inscription au certificat
Inscription au certificat
À ce stade, vous devriez voir le certificat « Recast Web Server » disponible.
Inscription au certificat
Il s'est inscrit avec succès
Inscription au certificat
Maintenant, dans les certificats, vous verrez le certificat émis par notre autorité de certification
Gestionnaire des services d'information Internet IIS
Maintenant que nous avons le certificat disponible, disons au site de notre serveur Recast d'utiliser notre nouveau certificat
Ouvrez IIS, choisissez le serveur de gestion Recast, cliquez sur Liaisons, puis sur « Modifier » et choisissez le certificat qui a été émis.
Serveur Recast
Et maintenant, depuis le client, vous pouvez voir que l'erreur a disparu et qu'il n'y a plus d'invites.

??
Nous avons donc maintenant une configuration CA et l'avons utilisée pour améliorer l'expérience sur notre serveur de gestion Recast. Le plan à long terme consiste à l'utiliser pour activer HTTPS uniquement sur notre serveur CM. Nous y reviendrons dans un prochain billet.

??

Liste des articles de blog

Présentation de la série – Construire un CM Lab à partir de zéro

  1. Contrôleur de domaine – Configuration de votre contrôleur de domaine
  2. Machine virtuelle de passerelle – Création d'un routeur pour votre laboratoire à l'aide de Windows Server
  3. Autorité de certification - Sur le contrôleur de domaine [Optionnel]
  4. Pré-requis du serveur ConfigMgr (fonctionnalités Windows)
  5. Paramètres de configuration (AD et GPO)
  6. Serveur source (partage de fichiers)
  7. Installation SQL ConfigMgr
  8. ConfigMgr Installer
  9. ConfigMgr Paramètres de base
  10. ConfigMgr Collections et déploiement d'applications
  11. ConfigMgr OSD
  12. ConfigMgr Services de rapports

??

Découvrez comment Right Click Tools change la façon dont les systèmes sont gérés.

Augmentez immédiatement votre productivité grâce à notre version Community Edition limitée et gratuite.

Commencez dès aujourd'hui avec Right Click Tools :

Assistance

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Contact

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

En soumettant ce formulaire, vous comprenez que Recast Software peut traiter vos données comme décrit dans le Recast Software Politique de confidentialité.

fr_FRFrench