TUTOS.EU

Mise à disposition d'un template pour une autorité de certification - à terminer

Vous avez une autorité de certification Windows et il vous faut maintenant délivrer des certificats.
On va prendre un exemple courant avec la délivrance d'un certificat pour un serveur web.

Pour cela il va vous falloir un template.

Par défaut, les droits sur les templates sont réservés aux enterprise admins.
Vous pouvez modifier cela sur un DC avec adsiedit.msc et modifier les droits sur Certificate Templates comme montré ici

Même chose sous OID

Pour contrôler ou créer un template, aller sur le serveur qui va délivrer les certificats et accéder à la console de gestion avec

certsrv.msc
Lien vers le fichier : cliquez ici

Aller sur Certificate Templates puis Manage

Si vous n'avez pas déjà créé un template pour votre besoin, il faut en créer un.
Pour cela on prend le modèle existant qui correspond le mieux et on le duplique

Sous général, lui donner un nom et une période de validité

Sous Compatibility, plus vous mettez une version récente de Windows, serveur ou poste client, et plus vous avez de possibilités.

Pour la partie "Certification Authority", il faut mettre la version de l'OS qui héberge votre autorité de certification.
Pour le "Certificate recipient", il faut mettre la version de Windows la plus ancienne qui utilisera le certificat.

Dans la partie Subject Name, il n'y a rien à modifier,
"Supply in the request" permet de renseigner plus tard les champs SAN  / Subject Alternative Name
ils sont très souvent nécessaires pour les serveurs Web

A ce sujet on peut même avec ce message qui alerte sur les possibilités que cela ouvre

Sous Request Handling, pour un serveur web, il sera compliqué de faire un certificat au format .pfx si l'export de la clé privée n'est pas permis

Sous Cryptography, éviter de prendre un provider legacy (ancien).
Préférer Key Storage Provider avec un algo RSA et un hash en SHA256

Dans l'onglet security, une façon de faire peut être de tout supprimer sauf "Authenticated Users"
Administrator et les groupes "Domain Admins" et "Enterprise Admins" peuvent éventuellement être remplacés par un groupe dédié aux admins PKI

Ajouter un groupe ou directement les comptes d'ordinateurs (pour un serveur Web Windows) qui doivent recevoir
un certificat.
Il faut donner au moins le droit "Enroll".
Le droit de lecture est normalement donné via Authenticated Users

Sur le serveur / l'autorité de certification Window qui doit émettre les certificats basés sur le template créé,
faire un clic droit sur Certificate Templates>New>Certificate Template to Issue

Sélectionner votre template et cliquer sur Ok