Configurer l’infrastructure de certificats

S’applique à : Gestionnaire de Configuration (branche actuelle)

Importante

À compter de la version 2203, cette fonctionnalité d’accès aux ressources d’entreprise n’est plus prise en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.

Découvrez comment configurer l’infrastructure de certificats dans Configuration Manager. Avant de commencer, recherchez les prérequis répertoriés dans Prérequis pour les profils de certificat.

Procédez comme suit pour configurer votre infrastructure pour les certificats SCEP ou PFX.

Étape 1 : Installer et configurer le service d’inscription de périphérique réseau et les dépendances (pour les certificats SCEP uniquement)

Vous devez installer et configurer le service de rôle Service d’inscription de périphérique réseau pour les services de certificats Active Directory (AD CS), modifier les autorisations de sécurité sur les modèles de certificat, déployer un certificat d’authentification client d’infrastructure à clé publique (PKI) et modifier le Registre pour augmenter la limite de taille d’URL par défaut des services Internet (IIS). Si nécessaire, vous devez également configurer l’autorité de certification émettrice pour autoriser une période de validité personnalisée.

Importante

Avant de configurer Configuration Manager pour utiliser le service d’inscription de périphérique réseau, vérifiez l’installation et la configuration du service d’inscription des appareils réseau. Si ces dépendances ne fonctionnent pas correctement, vous aurez des difficultés à résoudre les problèmes d’inscription de certificat à l’aide de Configuration Manager.

Pour installer et configurer le service d’inscription de périphérique réseau et les dépendances

  1. Sur un serveur qui exécute Windows Server 2012 R2, installez et configurez le service de rôle Service d’inscription de périphérique réseau pour le rôle serveur Services de certificats Active Directory. Pour plus d’informations, consultez Guide du service d’inscription de périphérique réseau.

  2. Vérifiez et, si nécessaire, modifiez les autorisations de sécurité pour les modèles de certificat que le service d’inscription de périphérique réseau utilise :

    • Pour le compte qui exécute la console Configuration Manager : Autorisation de lecture.

      Cette autorisation est requise pour que lorsque vous exécutez l’Assistant Création d’un profil de certificat, vous puissiez accéder à la sélection du modèle de certificat que vous souhaitez utiliser lorsque vous créez un profil de paramètres SCEP. La sélection d’un modèle de certificat signifie que certains paramètres de l’Assistant sont automatiquement renseignés. Vous avez donc moins de possibilités de configurer et vous risquez moins de sélectionner des paramètres qui ne sont pas compatibles avec les modèles de certificat que le service d’inscription de périphérique réseau utilise.

    • Pour le compte de service SCEP utilisé par le pool d’applications service d’inscription de périphériques réseau : Autorisations de lecture et d’inscription .

      Cette exigence n’est pas spécifique à Configuration Manager, mais fait partie de la configuration du service d’inscription de périphérique réseau. Pour plus d’informations, consultez Guide du service d’inscription de périphérique réseau.

    Conseil

    Pour identifier les modèles de certificat que le service d’inscription de périphérique réseau utilise, consultez la clé de Registre suivante sur le serveur qui exécute le service d’inscription de périphérique réseau : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.

    Remarque

    Il s’agit des autorisations de sécurité par défaut qui seront appropriées pour la plupart des environnements. Toutefois, vous pouvez utiliser une autre configuration de sécurité. Pour plus d’informations, consultez Planification des autorisations de modèle de certificat pour les profils de certificat.

  3. Déployez sur ce serveur un certificat PKI qui prend en charge l’authentification du client. Vous disposez peut-être déjà d’un certificat approprié installé sur l’ordinateur que vous pouvez utiliser, ou vous devrez peut-être (ou préférez) déployer un certificat spécifiquement à cet effet. Pour plus d’informations sur la configuration requise pour ce certificat, reportez-vous aux détails des serveurs exécutant le module de stratégie de Configuration Manager avec le service de rôle Service d’inscription de périphérique réseau dans la section Certificats PKI pour les serveurs de la rubrique Exigences de certificat PKI pour Configuration Manager rubrique.

    Conseil

    Si vous avez besoin d’aide pour déployer ce certificat, vous pouvez utiliser les instructions de Déploiement du certificat client pour les points de distribution, car les exigences de certificat sont les mêmes, à une exception près :

    • N’activez pas la case à cocher Autoriser l’exportation de la clé privée sous l’onglet Gestion des demandes des propriétés du modèle de certificat.

      Vous n’avez pas besoin d’exporter ce certificat avec la clé privée, car vous serez en mesure d’accéder au magasin d’ordinateurs local et de le sélectionner lorsque vous configurez le module de stratégie Configuration Manager.

  4. Recherchez le certificat racine auquel le certificat d’authentification client est lié. Ensuite, exportez ce certificat d’autorité de certification racine vers un fichier de certificat (.cer). Enregistrez ce fichier dans un emplacement sécurisé auquel vous pouvez accéder en toute sécurité lorsque vous installez et configurez ultérieurement le serveur de système de site pour le point d’enregistrement de certificat.

  5. Sur le même serveur, utilisez l’éditeur du Registre pour augmenter la limite de taille d’URL iis par défaut en définissant les valeurs DWORD de clé de Registre suivantes dans HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters :

  6. Sur le même serveur, dans le Gestionnaire des services Internet (IIS), modifiez les paramètres de filtrage des requêtes pour l’application /certsrv/mscep, puis redémarrez le serveur. Dans la boîte de dialogue Modifier les paramètres de filtrage des demandes, les paramètres Limites des demandes doivent être les suivants :

    • Longueur de contenu maximale autorisée (octets) : 30000000

    • Longueur maximale de l’URL (octets) : 65534

    • Chaîne de requête maximale (octets) : 65534

      Pour plus d’informations sur ces paramètres et sur la façon de les configurer, consultez Limites des demandes IIS.

  7. Si vous souhaitez pouvoir demander un certificat dont la période de validité est inférieure à celle du modèle de certificat que vous utilisez : Cette configuration est désactivée par défaut pour une autorité de certification d’entreprise. Pour activer cette option sur une autorité de certification d’entreprise, utilisez l’outil en ligne de commande Certutil, puis arrêtez et redémarrez le service de certificats à l’aide des commandes suivantes :

    1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    2. net stop certsvc

    3. net start certsvc

      Pour plus d’informations, consultez Outils et paramètres des services de certificats.

  8. Vérifiez que le service d’inscription de périphérique réseau fonctionne à l’aide du lien suivant à titre d’exemple : https://server.contoso.com/certsrv/mscep/mscep.dll. Vous devez voir la page web intégrée du service d’inscription de périphérique réseau. Cette page web explique ce qu’est le service et explique que les appareils réseau utilisent l’URL pour envoyer des demandes de certificat.

    Maintenant que le service d’inscription de périphérique réseau et les dépendances sont configurés, vous êtes prêt à installer et à configurer le point d’inscription de certificat.

Étape 2 : Installer et configurer le point d’enregistrement de certificat.

Vous devez installer et configurer au moins un point d’enregistrement de certificat dans la hiérarchie Configuration Manager, et vous pouvez installer ce rôle de système de site dans le site d’administration centrale ou dans un site principal.

Importante

Avant d’installer le point d’enregistrement de certificat, consultez la section Configuration requise du système de site dans la rubrique Configurations prises en charge pour Configuration Manager pour connaître la configuration requise et les dépendances du système d’exploitation pour le point d’enregistrement de certificat.

Pour installer et configurer le point d’inscription de certificat
  1. Dans la console Configuration Manager, cliquez sur Administration.

  2. Dans l’espace de travail Administration , développez Configuration du site, cliquez sur Serveurs et rôles de système de site, puis sélectionnez le serveur à utiliser pour le point d’inscription de certificat.

  3. Sous l’onglet Accueil , dans le groupe Serveur , cliquez sur Ajouter des rôles de système de site.

  4. Dans la page Général , spécifiez les paramètres généraux du système de site, puis cliquez sur Suivant.

  5. Dans la page Proxy , cliquez sur Suivant. Le point d’enregistrement de certificat n’utilise pas les paramètres de proxy Internet.

  6. Dans la page Sélection du rôle système , sélectionnez Point d’inscription de certificat dans la liste des rôles disponibles, puis cliquez sur Suivant.

  7. Dans la page Mode d’inscription de certificat, indiquez si vous souhaitez que ce point d’inscription de certificat soit Traiter les demandes de certificat SCEP, soit Traiter les demandes de certificat PFX. Un point d’enregistrement de certificat ne peut pas traiter les deux types de demandes, mais vous pouvez créer plusieurs points d’enregistrement de certificat si vous utilisez les deux types de certificats.

    Si vous traitez des certificats PFX, vous devez choisir une autorité de certification, Microsoft ou Entrust.

  8. La page Paramètres du point d’inscription de certificat varie en fonction du type de certificat :

    • Si vous avez sélectionné Traiter les demandes de certificat SCEP, configurez les éléments suivants :

      • Nom du site web, numéro de port HTTPS et nom de l’application virtuelle pour le point d’enregistrement de certificat. Ces champs sont renseignés automatiquement avec les valeurs par défaut.
      • URL du service d’inscription de périphérique réseau et du certificat d’autorité de certification racine - Cliquez sur Ajouter, puis dans la boîte de dialogue Ajouter une URL et un certificat d’autorité de certification racine, spécifiez les éléments suivants :
        • URL du service d’inscription de périphérique réseau : spécifiez l’URL au format suivant : https:// <server_FQDN>/certsrv/mscep/mscep.dll. Par exemple, si le nom de domaine complet de votre serveur qui exécute le service d’inscription de périphérique réseau est server1.contoso.com, tapez https://server1.contoso.com/certsrv/mscep/mscep.dll.
        • Certificat d’autorité de certification racine : recherchez et sélectionnez le fichier de certificat (.cer) que vous avez créé et enregistré à l’étape 1 : Installer et configurer le service d’inscription de périphérique réseau et les dépendances. Ce certificat d’autorité de certification racine permet au point d’inscription de certificat de valider le certificat d’authentification client que le module de stratégie Configuration Manager utilisera.
    • Si vous avez sélectionné Traiter les demandes de certificat PFX, vous configurez les détails de connexion et les informations d’identification pour l’autorité de certification sélectionnée.

      • Pour utiliser Microsoft comme autorité de certification, cliquez sur Ajouter, puis dans la boîte de dialogue Ajouter une autorité de certification et un compte, spécifiez les éléments suivants :

        • Nom du serveur de l’autorité de certification : entrez le nom de votre serveur d’autorité de certification.

        • Compte d’autorité de certification : cliquez sur Définir pour sélectionner ou créez le compte qui dispose des autorisations nécessaires pour s’inscrire dans des modèles sur l’autorité de certification.

        • Compte de connexion du point d’enregistrement de certificat : sélectionnez ou créez le compte qui connecte le point d’enregistrement de certificat à la base de données Configuration Manager. Vous pouvez également utiliser le compte d’ordinateur local de l’ordinateur hébergeant le point d’enregistrement de certificat.

        • Compte de publication de certificats Active Directory : sélectionnez un compte ou créez un compte qui sera utilisé pour publier des certificats sur des objets utilisateur dans Active Directory.

        • Dans la boîte de dialogue URL de la boîte de dialogue Inscription de périphérique réseau et certificat d’autorité de certification racine, spécifiez les éléments suivants, puis cliquez sur OK :

      • Pour utiliser Entrust comme autorité de certification, spécifiez :

        • URL du service web MDM

        • Informations d’identification de nom d’utilisateur et de mot de passe pour l’URL.

          Lorsque vous utilisez l’API MDM pour définir l’URL du service web Entrust, veillez à utiliser au moins la version 9 de l’API, comme indiqué dans l’exemple suivant :

          https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

          Les versions antérieures de l’API ne prennent pas en charge Entrust.

  9. Cliquez sur Suivant et terminez l’Assistant.

  10. Attendez quelques minutes pour que l’installation se termine, puis vérifiez que le point d’enregistrement de certificat a été correctement installé à l’aide de l’une des méthodes suivantes :

    • Dans l’espace de travail Surveillance , développez État du système, cliquez sur État du composant et recherchez les messages d’état du composant SMS_CERTIFICATE_REGISTRATION_POINT .

    • Sur le serveur de système de site, utilisez le <fichier Chemin> d’installation configMgr\Logs\crpsetup.log et <le fichier Chemin> d’installation configMgr\Logs\crpmsi.log. Une installation réussie retourne un code de sortie 0.

    • À l’aide d’un navigateur, vérifiez que vous pouvez vous connecter à l’URL du point d’enregistrement de certificat. Par exemple : https://server1.contoso.com/CMCertificateRegistration. Vous devez voir une page Erreur du serveur pour le nom de l’application, avec une description HTTP 404.

  11. Recherchez le fichier de certificat exporté pour l’autorité de certification racine que le point d’enregistrement de certificat a créé automatiquement dans le dossier suivant sur l’ordinateur serveur de site principal : <Chemin> d’installation de ConfigMgr\boîtes de réception\certmgr.box. Enregistrez ce fichier dans un emplacement sécurisé auquel vous pouvez accéder en toute sécurité lorsque vous installerez ultérieurement le module de stratégie de Configuration Manager sur le serveur qui exécute le service d’inscription de périphérique réseau.

    Conseil

    Ce certificat n’est pas immédiatement disponible dans ce dossier. Vous devrez peut-être attendre un certain temps (par exemple, une demi-heure) avant que Configuration Manager copie le fichier à cet emplacement.

Étape 3 : Installer le module de stratégie Configuration Manager (pour les certificats SCEP uniquement).

Vous devez installer et configurer le module de stratégie Configuration Manager sur chaque serveur que vous avez spécifié à l’étape 2 : Installer et configurer le point d’inscription de certificat en tant qu’URL pour le service d’inscription de périphérique réseau dans les propriétés du point d’enregistrement de certificat.

Pour installer le module de stratégie
  1. Sur le serveur qui exécute le service d’inscription de périphérique réseau, connectez-vous en tant qu’administrateur de domaine et copiez les fichiers suivants du <dossier ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 sur le support d’installation Configuration Manager dans un dossier temporaire :

    • PolicyModule.msi

    • PolicyModuleSetup.exe

    De plus, si vous avez un dossier LanguagePack sur le support d’installation, copiez ce dossier et son contenu.

  2. À partir du dossier temporaire, exécutez PolicyModuleSetup.exe pour démarrer l’Assistant Installation du module de stratégie Configuration Manager.

  3. Dans la page initiale de l’Assistant, cliquez sur Suivant, acceptez les termes du contrat de licence, puis cliquez sur Suivant.

  4. Dans la page Dossier d’installation , acceptez le dossier d’installation par défaut pour le module de stratégie ou spécifiez un autre dossier, puis cliquez sur Suivant.

  5. Dans la page Point d’enregistrement de certificat, spécifiez l’URL du point d’enregistrement de certificat à l’aide du nom de domaine complet du serveur de système de site et du nom de l’application virtuelle spécifié dans les propriétés du point d’enregistrement de certificat. Le nom de l’application virtuelle par défaut est CMCertificateRegistration. Par exemple, si le serveur de système de site a un nom de domaine complet de server1.contoso.com et que vous avez utilisé le nom d’application virtuelle par défaut, spécifiez https://server1.contoso.com/CMCertificateRegistration.

  6. Acceptez le port par défaut 443 ou spécifiez le numéro de port de remplacement utilisé par le point d’enregistrement de certificat, puis cliquez sur Suivant.

  7. Dans la page Certificat client du module destratégie, accédez à et spécifiez le certificat d’authentification client que vous avez déployé à l’étape 1 : Installer et configurer le service d’inscription de périphérique réseau et les dépendances, puis cliquez sur Suivant.

  8. Dans la page Certificat du point d’enregistrement de certificat , cliquez sur Parcourir pour sélectionner le fichier de certificat exporté pour l’autorité de certification racine que vous avez localisée et enregistrée à la fin de l’étape 2 : Installer et configurer le point d’enregistrement de certificat.

    Remarque

    Si vous n’avez pas enregistré précédemment ce fichier de certificat, il se trouve dans le <chemin> d’installation de ConfigMgr\boîtes de réception\certmgr.box sur l’ordinateur serveur de site.

  9. Cliquez sur Suivant et terminez l’Assistant.

    Si vous souhaitez désinstaller le module de stratégie Configuration Manager, utilisez Programmes et fonctionnalités dans Panneau de configuration.

Maintenant que vous avez terminé les étapes de configuration, vous êtes prêt à déployer des certificats sur des utilisateurs et des appareils en créant et en déployant des profils de certificat. Pour plus d’informations sur la création de profils de certificat, consultez Comment créer des profils de certificat.