Partager via


Comment créer des profils de certificat dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notes

Les informations de cette rubrique s'appliquent seulement aux versions System Center 2012 R2 Configuration Manager.

Les profils de certificat dans System Center 2012 Configuration Manager s'intègrent aux services de certificats Active Directory et au rôle du service d'inscription d'appareils réseau afin de provisionner des appareils gérés avec des certificats d'authentification pour que les utilisateurs puissent accéder aux ressources de l'entreprise. Les informations de cette rubrique peuvent vous aider à créer des profils de certificat dans Configuration Manager.

Important

Vous devez effectuer la configuration avant de créer des profils de certificat. Pour plus d'informations, voir Configuration des profils de certificat dans Configuration Manager.

Étapes de création d'un profil de certificat

Les étapes suivantes permettent de créer un profil de certificat à l'aide de l'Assistant Création d'un profil de certificat.

Étape

Détails

Plus d'informations

Étape 1 : Démarrer l'Assistant Création d'un profil de certificat

Démarrez l'Assistant dans l'espace de travail Ressources et Conformité dans le nœud Paramètres de compatibilité.

Consultez la section Étape 1 : Démarrer l'Assistant Création d'un profil de certificat dans cette rubrique.

Étape 2 : Fournir des informations générales sur le profil de certificat

Ajoutez des informations générales, comme le nom et la description du profil de certificat et le type de profil de certificat que vous souhaitez créer.

Consultez la section Étape 2 : Fournir des informations générales sur le profil de certificat dans cette rubrique.

Étape 3 : Fournir des informations sur le profil de certificat

Ajoutez des informations de configuration pour le profil de certificat.

Consultez la section Étape 3 : Fournir des informations sur le profil de certificat dans cette rubrique.

Étape 4 : Configurer des plateformes prises en charge pour le profil de certificat

Spécifier les systèmes d'exploitation où vous voulez installer le profil de certificat.

Consultez la section Étape 4 : Configurer des plate-formes prises en charge pour le profil de certificat dans cette rubrique.

Étape 5 : Effectuer toutes les étapes de l'Assistant

Terminez l'Assistant pour créer le profil de certificat.

Consultez la section Étape 5 : Terminer l'Assistant dans cette rubrique.

System_CAPS_cautionAttention

Si vous avez déjà déployé un certificat à l'aide d'un profil de certificat SCEP (Simple Certificate Enrollment Protocol), la modification des options de configuration entraîne la demande d'un nouveau certificat avec de nouvelles valeurs. Si le nombre de renouvellements de demande de certificat est élevé en raison de ces modifications, la charge de traitement par le processeur risque d'augmenter sur le serveur exécutant le service d'inscription d'appareils réseau.

Lorsque la demande de certificat est effectuée pour un client sur l'intranet (par exemple, Windows 8.1), le certificat d'origine est supprimé lorsqu'un nouveau certificat avec les nouvelles valeurs est demandé. Cependant, lorsque la demande de certificat est effectuée pour un client qui est géré à l'aide du connecteur Microsoft Intune, le certificat d'origine n'est pas supprimé du périphérique et reste installé.

Les sections suivantes indiquent les paramètres qui entraîneront une demande de renouvellement de certificat.

Procédures supplémentaires pour créer un nouveau profil de certificat

Utilisez les informations suivantes lorsque les étapes décrites dans le tableau précédent nécessitent des procédures supplémentaires.

Étape 1 : Démarrer l'Assistant Création d'un profil de certificat

Utilisez cette procédure pour démarrer l'Assistant Création d'un profil de certificat.

Pour démarrer l'Assistant Création d'un profil de certificat

  1. Dans la console Configuration Manager, cliquez sur Ressources et Conformité.

  2. Dans l'espace de travail Ressources et Conformité, développez Paramètres de compatibilité, puis Accès aux ressources de l'entreprise, et cliquez sur Profils de certificat.

  3. Dans l'onglet Accueil, dans le groupe Créer, cliquez sur Créer un profil de certificat.

Étape 2 : Fournir des informations générales sur le profil de certificat

Cette procédure permet de fournir des informations générales sur le profil de certificat.

Pour fournir des informations générales sur le profil de certificat

  1. Sur la page Général de l'Assistant Création d'un profil de certificat, spécifiez les informations suivantes :

    - **Nom** : entrez un nom unique pour le profil de certificat. Vous pouvez utiliser jusqu'à 256 caractères.
    
    - **Description** : entrez une description qui donne un aperçu du profil de certificat et d'autres informations pertinentes qui permettent de l'identifier dans la console Configuration Manager. Vous pouvez utiliser jusqu'à 256 caractères.
    
    - **Spécifiez le type de profil de certificat que vous voulez créer** : Choisissez un des types de profil de certificat suivants :
    
        - **Certificat d'Autorité de certification approuvé** : sélectionnez ce type de profil de certificat si vous souhaitez déployer un certificat d'autorité de certification racine ou intermédiaire approuvé pour former une chaîne d'approbation des certificats lorsque l'utilisateur ou l'appareil doit authentifier un serveur. Par exemple, l'appareil peut être un serveur RADIUS (Remote Authentication Dial-In User Service) ou un serveur VPN (réseau privé virtuel). Vous devez également configurer un profil de certificat d'Autorité de certification approuvé pour pouvoir créer un profil de certificat SCEP. Dans ce cas, le certificat d'Autorité de certification approuvé doit être le certificat racine approuvé pour l'Autorité de certification qui émet le certificat à l'utilisateur ou à l'appareil.
    
        - **Paramètres du protocole SCEP (Simple Certificate Enrollment Protocol)** : sélectionnez ce profil de certificat pour demander un certificat pour un appareil ou un utilisateur à l'aide du protocole SCEP et du service de rôle du service d'inscription d'appareils réseau.
    

Étape 3 : Fournir des informations sur le profil de certificat

Utilisez l'une des procédures suivantes pour configurer les informations de profil de certificat pour les certificats d'Autorité de certification approuvés et les certificats SCEP dans le profil de certificat.

Important

Vous devez configurer au moins un profil de certificat d'Autorité de certification approuvé pour pouvoir créer un profil de certificat SCEP.

Pour configurer un certificat d'Autorité de certification approuvé

  1. Sur la page Certificat d'Autorité de certification approuvé de l'Assistant Création d'un profil de certificat, spécifiez les informations suivantes :

    - **Fichier de certificat** : cliquez sur **Importer**, puis recherchez le fichier de certificat que vous souhaitez utiliser.
    
    - **Banque d'informations de destination** : Pour les appareils qui ont plus d'un magasin de certificats, sélectionnez l'emplacement où stocker le certificat. Pour les appareils avec un seul magasin, ce paramètre est ignoré.
    
  2. Utilisez la valeur Empreinte numérique de certificat pour vérifier que vous avez importé le certificat correct.

Continuez avec l'Étape 4 : Configurer des plate-formes prises en charge pour le profil de certificat.

Pour configurer les informations de certificat SCEP

  1. Sur la page Inscription SCEP de l'Assistant Création d'un profil de certificat, spécifiez les informations suivantes :

    - **Tentatives** : spécifiez le nombre de tentatives automatiques de renvoi la demande de certificat par l'appareil vers le serveur exécutant le service d'inscription d'appareils réseau. Ce paramètre prend en charge le scénario où un gestionnaire de l'autorité de certification doit approuver une demande de certificat avant d'être accepté. Ce paramètre est généralement utilisé pour des environnements haute sécurité ou si vous avez une autorité de certification émettrice autonome plutôt qu'une autorité de certification d'entreprise. Vous pouvez également utiliser ce paramètre à des fins de test pour vérifier les options de demande de certificat avant que l'Autorité de certification émettrice traite la demande de certificat. Utilisez ce paramètre conjointement avec le paramètre **Délai de nouvelle tentative (en minutes)**.
    
    - **Délai de nouvelle tentative (en minutes)** : spécifiez l'intervalle en minutes entre chaque tentative d'inscription lorsque vous utilisez l'approbation du gestionnaire de l'Autorité de certification avant que l'Autorité de certification émettrice traite la demande de certificat. Si vous utilisez l'approbation du gestionnaire à des fins de test, la spécification d'une valeur faible évitera d'attendre trop longtemps une nouvelle tentative de demande de certificat par l'appareil après l'approbation de la demande. Toutefois, si vous utilisez l'approbation du gestionnaire sur un réseau de production, vous voudrez spécifier une valeur élevée pour donner suffisamment de temps à l'administrateur de l'Autorité de certification pour vérifier et approuver ou refuser les approbations en attente.
    
    - **Seuil de renouvellement (%)** : spécifiez le pourcentage de durée de vie restante du certificat avant que l'appareil ne demande le renouvellement du certificat.
    
    - **Fournisseur de stockage de clés (KSP)** : Spécifiez l'emplacement de stockage de la clé du certificat. Choisissez l'une des valeurs suivantes :
    
        - **Installer dans le module de plateforme sécurisée (TPM) s'il existe** : Installe la clé dans le module TPM. Si le module de plateforme sécurisée n'est pas présent, la clé est installée dans le fournisseur de stockage de la clé du logiciel.
    
        - **Installer dans le module de plateforme sécurisée (TPM) sinon mettre en échec** : Installe la clé dans le module TPM. Si le module de plateforme sécurisée n'est pas présent, l'installation échoue.
    
        - **Installer dans le fournisseur de stockage de la clé du logiciel** : Installe la clé dans le fournisseur de stockage de la clé du logiciel.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    
    - **Appareils pour l'inscription de certificats** : si le profil de certificat est déployé sur un regroupement d'utilisateurs, choisissez d'autoriser l'inscription de certificats uniquement sur l'appareil principal des utilisateurs ou sur tous les appareils auxquels se connecte l'utilisateur. Si le profil de certificat est déployé sur un regroupement d'appareils, choisissez d'autoriser l'inscription de certificats uniquement pour l'utilisateur principal de l'appareil ou pour tous les utilisateurs qui se connectent à l'appareil.
    
  2. Sur la page Propriétés du certificat de l'Assistant Création d'un profil de certificat, spécifiez les informations suivantes :

    - **Nom du modèle de certificat** : cliquez sur **Parcourir** pour sélectionner le nom d'un modèle de certificat pour lequel le service d'inscription d'appareils réseau est configuré pour l'utilisation et qui a été ajouté à une Autorité de certification émettrice. Pour accéder correctement aux modèles de certificat, le compte utilisateur utilisé pour exécuter la console Configuration Manager doit disposer le l'autorisation Lecture sur le modèle de certificat. Vous pouvez également, si vous ne pouvez pas utiliser **Parcourir**, taper le nom du modèle de certificat.
    
      <div class="alert">
    
    
      > [!IMPORTANT]
      > <P>Si le nom de modèle de certificat contient des caractères non-ASCII (par exemple, les caractères de l'alphabet chinois), le certificat ne sera pas déployé. Pour vous assurer que le certificat est déployé, vous devez tout d'abord créer une copie du modèle de certificat sur l'autorité de certification et renommez la copie à l'aide de caractères ASCII.</P>
    
    
      </div>
    
      Notez les informations suivantes, selon que vous accédez au modèle de certificat ou tapez le nom du certificat :
    
        - Si vous naviguez pour sélectionner le nom du modèle de certificat, certains champs de la page sont automatiquement remplis à partir du modèle de certificat. Dans certains cas, vous ne pouvez pas modifier ces valeurs, sauf si vous choisissez un modèle de certificat différent.
    
        - Si vous tapez le nom du modèle de certificat, assurez-vous que le nom correspond exactement à l'un des modèles de certificat figurant dans le Registre du serveur exécutant le service d'inscription d'appareils réseau. Assurez-vous que vous spécifiez le nom du modèle de certificat et non le nom d'affichage du modèle de certificat.
    
          Pour rechercher le nom des modèles de certificat, accédez à la clé suivante : HKEY\_LOCAL\_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MSCEP. Les modèles de certificat s'affichent sous la forme des valeurs **EncryptionTemplate**, **GeneralPurposeTemplate** et **SignatureTemplate**. Par défaut, la valeur des trois modèles de certificat est **IPSECIntermediateOffline**, laquelle correspond au nom d'affichage du modèle **IPSec (requête hors connexion)**.
    
          <div class="alert">
    
          <table>
          <colgroup>
          <col style="width: 100%" />
          </colgroup>
          <thead>
          <tr class="header">
          <th><img src="images/Gg712308.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-warning(TechNet.10).jpeg" title="System_CAPS_warning" alt="System_CAPS_warning" />Avertissement</th>
          </tr>
          </thead>
          <tbody>
          <tr class="odd">
          <td><p>Configuration Manager ne peut pas vérifier le contenu du modèle de certificat lorsque vous tapez le nom du modèle au lieu de le rechercher. De ce fait, il est possible de sélectionner des options qui ne sont pas prises en charge par le modèle de certificat et qui entraînent l'échec de la demande de certificat. Dans ce cas, un message d'erreur pour w3wp.exe s'affiche dans le fichier CPR.log, indiquant que le nom du modèle dans la demande de signature de certificat (DSC) et le nom dans la vérification ne correspondent pas.</p>
          <p>Lorsque vous tapez le nom du modèle de certificat spécifié pour la valeur de <strong>modèle à usage général</strong>, vous devez sélectionner les options <strong>Chiffrement de clé</strong> et <strong>Signature numérique</strong> pour ce profil de certificat. Toutefois, si vous voulez activer l'option <strong>Chiffrement de clé</strong> uniquement dans ce profil de certificat, spécifiez le nom du modèle de certificat pour la clé <strong>Modèle de chiffrement</strong>. De la même manière, si vous voulez activer l'option <strong>Signature numérique</strong> uniquement dans ce profil de certificat, spécifiez le nom du modèle de certificat pour la clé <strong>Modèle de signature</strong>.</p></td>
          </tr>
          </tbody>
          </table>
    
          </div>
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    
    - **Type de certificat** : sélectionnez si le certificat sera déployé sur un appareil ou un utilisateur.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    
    - **Format du nom de l'objet** : Dans la liste, sélectionnez la manière dont Configuration Manager crée automatiquement le nom de l'objet dans la demande de certificat. Si le certificat est pour un utilisateur, vous pouvez également inclure l'adresse de messagerie de cet utilisateur dans le nom de l'objet.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    
    - **Autre nom de l'objet** : spécifiez comment Configuration Manager crée automatiquement les valeurs pour l'autre nom de l'objet dans la demande de certificat. Par exemple, si vous avez sélectionné un type de certificat utilisateur, vous pouvez inclure le nom d'utilisateur principal (UPN) dans l'autre nom de l'objet.
    
      <div class="alert">
    
      <table>
      <colgroup>
      <col style="width: 100%" />
      </colgroup>
      <thead>
      <tr class="header">
      <th><img src="images/Hh427330.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-tip(TechNet.10).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Conseil</th>
      </tr>
      </thead>
      <tbody>
      <tr class="odd">
      <td><p>Si le certificat client est utilisé pour l'authentification sur un serveur de stratégie réseau, l'autre nom de l'objet doit être défini sur le nom d'utilisateur principal.</p></td>
      </tr>
      </tbody>
      </table>
    
      </div>
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    
      <div class="alert">
    
    
      > [!IMPORTANT]
      > <P>Les appareils iOS ne prennent pas en charge tous les formats pour le nom d'objet et autre nom d'objet dans les certificats SCEP. Si vous spécifiez un format non pris en charge, les certificats ne seront pas inscrits sur les appareils iOS. Lorsque vous configurez un profil de certificat SCEP pour le déploiement sur des appareils iOS, utilisez <STRONG>Nom commun</STRONG> pour <STRONG>Format du nom de l'objet</STRONG> et <STRONG>Nom DNS</STRONG>, <STRONG>Adresse de messagerie</STRONG> ou <STRONG>UPN</STRONG> pour <STRONG>Autre nom de l'objet</STRONG>.</P>
    
    
      </div>
    
    - **Période de validité du certificat** : si vous avez exécuté la commande certutil - setreg Policy\\EditFlags +EDITF\_ATTRIBUTEENDDATE sur l'Autorité de certification émettrice, qui autorise une période de validité personnalisée, vous pouvez spécifier le temps restant avant l'expiration du certificat. Pour plus d'informations sur cette commande, consultez [Étape 1 : Installer et configurer le service d'inscription d'appareils réseau et les dépendances](dn270539\(v=technet.10\).md) dans la rubrique [Configuration des profils de certificat dans Configuration Manager](dn270539\(v=technet.10\).md).
    
      Vous pouvez spécifier une valeur inférieure à la période de validité du modèle de certificat spécifié, mais pas une valeur supérieure. Par exemple, si la période de validité du certificat dans le modèle de certificat est de 2 ans, vous pouvez spécifier une valeur de 1 an mais pas une valeur de 5 ans. La valeur doit également être inférieure à la période de validité restante du certificat de l'autorité de certification émettrice.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    
    - **Utilisation de la clé** : Spécifiez les options d'utilisation de la clé pour le certificat. Vous pouvez choisir parmi les options suivantes :
    
        - **Chiffrage de clés** : autoriser l'échange de clés uniquement lorsque la clé est chiffrée.
    
        - **Signature numérique** : autoriser l'échange de clés uniquement lorsqu'une signature numérique contribue à la protection de la clé.
    
          Si vous avez sélectionné un modèle de certificat à l'aide de l'option **Parcourir**, vous risquez de ne pas pouvoir modifier ces paramètres si vous ne sélectionnez pas un autre modèle de certificat.
    
      Le modèle de certificat que vous avez sélectionné doit être configuré avec une ou les deux options d'utilisation de la clé ci-dessus. Sinon, le message **Key usage in CSR and challenge do not match** est présent dans le fichier journal de point d'enregistrement de certificat, **Crp.log**.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    
    - **Taille de clé (bits)** : Sélectionnez la taille de la clé en bits.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    
    - **Utilisation améliorée de la clé** : Cliquez sur **Sélectionner** pour ajouter des valeurs pour le rôle prévu du certificat. Dans la plupart des cas, le certificat demande une **Authentification client** afin que l'utilisateur ou l'appareil puisse être authentifié sur un serveur. Toutefois, vous pouvez ajouter d'autres utilisations de la clé en fonction de vos besoins.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    
    - **Algorithme de hachage** : Vous avez le choix entre les types d'algorithmes de hachage disponibles avec ce certificat. Permet de sélectionner le niveau le plus élevé de sécurité pris en charge par les appareils se connectant.
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P><STRONG>SHA-1</STRONG> prend uniquement en charge SHA-1.<STRONG>SHA-2</STRONG> prend en charge SHA-256, SHA-384 et SHA-512.<STRONG>SHA-3</STRONG> prend uniquement en charge SHA-3.</P>
    
    
      </div>
    
    - **Certificat d'autorité de certification racine** : cliquez sur **Sélectionner** pour choisir un profil de certificat d'autorité de certification racine que vous avez précédemment configuré et déployé sur l'utilisateur ou l'appareil. Ce certificat d'autorité de certification doit être le certificat racine de l'autorité de certification qui émet le certificat que vous configurez dans ce profil de certificat.
    
      <div class="alert">
    
    
      > [!IMPORTANT]
      > <P>Si vous spécifiez un certificat d'autorité de certification racine qui n'est pas déployé sur l'utilisateur ou l'appareil, Configuration Manager ne va pas lancer la demande de certificat que vous configurez dans ce profil de certificat.</P>
    
    
      </div>
    
      <div class="alert">
    
    
      > [!NOTE]
      > <P>Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.</P>
    
    
      </div>
    

Étape 4 : Configurer des plate-formes prises en charge pour le profil de certificat

La procédure suivante permet de spécifier les systèmes d'exploitation où vous installerez le profil de certificat.

Pour spécifier les plate-formes prises en charge pour le profil de certificat

  • Sur la page Plateformes prises en charge de l'Assistant Création d'un profil de certificat, sélectionnez les systèmes d'exploitation dans lesquels vous voulez installer le profil de certificat. Vous pouvez également cliquer sur Sélectionner tout pour installer le profil de certificat sur tous les systèmes d'exploitation disponibles.

Étape 5 : Terminer l'Assistant

Dans la page Résumé de l'Assistant, passez en revue les actions qui seront exécutées, puis terminez l'Assistant. Le nouveau profil de certificat s'affiche dans le nœud Profils de certificat de l'espace de travail Ressources et Conformité et il est prêt à être déployé sur les utilisateurs et les appareils. Pour plus d'informations, voir Comment déployer des profils de certificat dans Configuration Manager.