Configurer et valider l’infrastructure à clé publique dans un modèle d’approbation de certificat hybride
Cet article décrit les fonctionnalités ou scénarios windows Hello Entreprise qui s’appliquent à :
- Type de déploiement :
- Type d’approbation :
- Type de jointure :microsoft Entra join , , jointure hybride Microsoft Entra
Windows Hello Entreprise doit disposer d’une infrastructure à clé publique (PKI) lors de l’utilisation des modèles d’approbation de certificat . Les contrôleurs de domaine doivent disposer d’un certificat, qui sert de racine de confiance pour les clients. Le certificat garantit que les clients ne communiquent pas avec les contrôleurs de domaine non autorisés.
Les déploiements d’approbation de certificat hybride émettent aux utilisateurs un certificat de connexion, ce qui leur permet de s’authentifier auprès d’Active Directory à l’aide des informations d’identification Windows Hello Entreprise. En outre, les déploiements d’approbation de certificats hybrides émettent des certificats aux autorités d’inscription pour fournir une sécurité de défense en profondeur lors de l’émission de certificats d’authentification utilisateur.
Déployer une autorité de certification d’entreprise
Ce guide suppose que la plupart des entreprises disposent déjà d'une infrastructure à clé publique. Windows Hello Entreprise dépend d’une infrastructure à clé publique d’entreprise exécutant le rôle Services de certificats Windows Server Active Directory .
Si vous n’avez pas d’infrastructure à clé publique existante, consultez Guide de l’autorité de certification pour concevoir correctement votre infrastructure. Ensuite, consultez le Guide du laboratoire de test : déploiement d’une hiérarchie d’infrastructure à clé publique ad CS Two-Tier pour obtenir des instructions sur la configuration de votre infrastructure à clé publique à l’aide des informations de votre session de conception.
Infrastructure à clé publique basée sur un laboratoire
Les instructions suivantes peuvent être utilisées pour déployer une infrastructure à clé publique simple qui convient à un environnement lab.
Connectez-vous à l’aide d’informations d’identification équivalentes administrateur d’entreprise sur un serveur Windows Server sur lequel vous souhaitez que l’autorité de certification (CA) soit installée.
Remarque
N’installez jamais d’autorité de certification sur un contrôleur de domaine dans un environnement de production.
- Ouvrir une invite Windows PowerShell avec élévation de privilèges
- Utilisez la commande suivante pour installer le rôle Services de certificats Active Directory.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
- Utilisez la commande suivante pour configurer l’autorité de certification à l’aide d’une configuration d’autorité de certification de base
Install-AdcsCertificationAuthority
Configurer l’infrastructure à clé publique d’entreprise
Configurer des certificats de contrôleur de domaine
Les clients doivent approuver les contrôleurs de domaine, et la meilleure façon d’activer l’approbation consiste à s’assurer que chaque contrôleur de domaine dispose d’un certificat d’authentification Kerberos . L’installation d’un certificat sur les contrôleurs de domaine permet au centre de distribution de clés (KDC) de prouver son identité à d’autres membres du domaine. Les certificats fournissent aux clients une racine de confiance externe au domaine, à savoir l’autorité de certification d’entreprise.
Les contrôleurs de domaine demandent automatiquement un certificat de contrôleur de domaine (s’il est publié) lorsqu’ils découvrent qu’une autorité de certification d’entreprise est ajoutée à Active Directory. Les certificats basés sur les modèles de certificat d’authentification de contrôleur de domaine et de contrôleur de domaine n’incluent pas l’identificateur d’objet d’authentification KDC (OID), qui a été ajouté ultérieurement à la RFC Kerberos. Par conséquent, les contrôleurs de domaine doivent demander un certificat basé sur le modèle de certificat d’authentification Kerberos .
Par défaut, l’autorité de certification Active Directory fournit et publie le modèle de certificat d’authentification Kerberos . La configuration de chiffrement incluse dans le modèle est basée sur des API de chiffrement plus anciennes et moins performantes. Pour vous assurer que les contrôleurs de domaine demandent le certificat approprié avec le meilleur chiffrement disponible, utilisez le modèle de certificat d’authentification Kerberos comme base de référence pour créer un modèle de certificat de contrôleur de domaine mis à jour.
Important
Les certificats émis aux contrôleurs de domaine doivent répondre aux exigences suivantes :
- L’extension de point de distribution de liste de révocation de certificats (CRL) doit pointer vers une liste de révocation de certificats valide ou une extension AIA (Authority Information Access) qui pointe vers un répondeur OCSP (Online Certificate Status Protocol)
- Si vous le souhaitez, la section Objet du certificat peut contenir le chemin d’accès au répertoire de l’objet serveur (nom unique)
- La section Utilisation de la clé de certificat doit contenir signature numérique et chiffrement de clé
- Si vous le souhaitez, la section Contraintes de base du certificat doit contenir :
[Subject Type=End Entity, Path Length Constraint=None]
- La section Utilisation étendue de la clé du certificat doit contenir l’authentification du client (
1.3.6.1.5.5.7.3.2
), l’authentification du serveur (1.3.6.1.5.5.7.3.1
) et l’authentification KDC (1.3.6.1.5.2.3.5
) - La section Autre nom de l’objet du certificat doit contenir le nom DNS (Domain Name System)
- Le modèle de certificat doit avoir une extension qui a la valeur
DomainController
, encodée en tant que BMPstring. Si vous utilisez l’autorité de certification Windows Server Enterprise, cette extension est déjà incluse dans le modèle de certificat de contrôleur de domaine - Le certificat du contrôleur de domaine doit être installé dans le magasin de certificats de l’ordinateur local
Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .
Ouvrir la console de gestion de l’autorité de certification
Cliquez avec le bouton droit sur Gérer les modèles de > certificats
Dans la console de modèle de certificat, cliquez avec le bouton droit sur le modèle d’authentification Kerberos dans le volet d’informations, puis sélectionnez Dupliquer le modèle
Utilisez le tableau suivant pour configurer le modèle :
Nom de l’onglet Configurations Compatibilité - Décochez la case Afficher les modifications résultantes
- Sélectionnez Windows Server 2016 dans la liste Autorité de certification
- Sélectionnez Windows 10 / Windows Server 2016 dans la liste Destinataire de certification
Général - Spécifier un nom d’affichage de modèle, par exemple Authentification du contrôleur de domaine (Kerberos)
- Définir la période de validité sur la valeur souhaitée
- Notez le nom du modèle pour plus tard, qui doit être le même que le nom d’affichage du modèle moins les espaces
Nom de l’objet - Sélectionnez Générer à partir de ces informations Active Directory.
- Sélectionnez Aucun dans la liste Format du nom de l’objet
- Sélectionnez le nom DNS dans la liste Inclure ces informations dans un autre objet
- Effacer tous les autres éléments
Chiffrement - Définir la catégorie de fournisseur sur Fournisseur de stockage de clés
- Définir le nom de l’algorithme sur RSA
- Définissez la taille de clé minimale sur 2048
- Définir le hachage de la demande sur SHA256
Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle
Fermer la console
Remarque
L’inclusion de l’OID d’authentification KDC dans le certificat de contrôleur de domaine n’est pas requise pour les appareils joints hybrides Microsoft Entra. L’OID est nécessaire pour activer l’authentification auprès de Windows Hello Entreprise auprès des ressources locales par les appareils joints à Microsoft Entra.
Important
Pour que les appareils joints à Microsoft Entra s’authentifient auprès des ressources locales, veillez à :
- Installez le certificat d’autorité de certification racine dans le magasin de certificats racine approuvé de l’appareil. Découvrez comment déployer un profil de certificat approuvé via Intune
- Publier votre liste de révocation de certificats à un emplacement disponible pour les appareils joints à Microsoft Entra, tel qu’une URL web
Remplacer les certificats de contrôleur de domaine existants
Les contrôleurs de domaine peuvent avoir un certificat de contrôleur de domaine existant. Les services de certificats Active Directory fournissent un modèle de certificat par défaut pour les contrôleurs de domaine appelé certificat de contrôleur de domaine. Les versions ultérieures de Windows Server ont fourni un nouveau modèle de certificat appelé certificat d’authentification du contrôleur de domaine. Ces modèles de certificat ont été fournis avant la mise à jour de la spécification Kerberos qui indiquait que les centres de distribution de clés (KDC) effectuant l’authentification par certificat étaient nécessaires pour inclure l’extension KDC Authentication .
Le modèle de certificat d’authentification Kerberos est le modèle de certificat le plus actuel désigné pour les contrôleurs de domaine et doit être celui que vous déployez sur tous vos contrôleurs de domaine.
La fonctionnalité d’inscription automatique vous permet de remplacer les certificats de contrôleur de domaine. Utilisez la configuration suivante pour remplacer les anciens certificats de contrôleur de domaine par de nouveaux certificats, à l’aide du modèle de certificat d’authentification Kerberos .
Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .
- Ouvrir la console de gestion de l’autorité de certification
- Cliquez avec le bouton droit sur Gérer les modèles de > certificats
- Dans la console modèle de certificat, cliquez avec le bouton droit sur le modèle Authentification du contrôleur de domaine (Kerberos) (ou le nom du modèle de certificat que vous avez créé dans la section précédente) dans le volet d’informations, puis sélectionnez Propriétés.
- Sélectionnez l’onglet Modèles remplacés . Sélectionnez Ajouter.
- Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat contrôleur de domaine , puis sélectionnez OK > Ajouter
- Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat d’authentification du contrôleur de domaine , puis sélectionnez OK
- Dans la boîte de dialogue Ajouter un modèle remplacé , sélectionnez le modèle de certificat d’authentification Kerberos , puis sélectionnez OK
- Ajoutez tous les autres modèles de certificat d’entreprise précédemment configurés pour les contrôleurs de domaine à l’onglet Modèles remplacés
- Sélectionnez OK et fermez la console Modèles de certificats.
Le modèle de certificat est configuré pour remplacer tous les modèles de certificat fournis dans la liste des modèles remplacés .
Toutefois, le modèle de certificat et le remplacement des modèles de certificat ne sont pas actifs tant que le modèle n’est pas publié sur une ou plusieurs autorités de certification.
Remarque
Le certificat du contrôleur de domaine doit être chaîné à une racine dans le magasin NTAuth. Par défaut, le certificat racine de l’autorité de certification Active Directory est ajouté au magasin NTAuth. Si vous utilisez une autorité de certification non-Microsoft, cette opération peut ne pas être effectuée par défaut. Si le certificat du contrôleur de domaine n’est pas chaîné à une racine dans le magasin NTAuth, l’authentification utilisateur échoue. Pour afficher tous les certificats dans le magasin NTAuth, utilisez la commande suivante :
Certutil -viewstore -enterprise NTAuth
Configurer un modèle de certificat d’agent d’inscription
Une autorité d’inscription de certificat (CRA) est une autorité approuvée qui valide la demande de certificat. Une fois la demande validée, elle présente la demande à l’autorité de certification pour émission. L’autorité de certification émet le certificat et le retourne à l’ARC, qui retourne le certificat à l’utilisateur demandeur. Les déploiements d’approbation de certificat Windows Hello Entreprise utilisent AD FS comme CRA.
L’ARC s’inscrit pour obtenir un certificat d’agent d’inscription. Une fois que l’ARC a vérifié la demande de certificat, elle la signe à l’aide de son certificat d’agent d’inscription et l’envoie à l’autorité de certification. Le modèle de certificat d'authentification de Windows Hello Entreprise est configuré pour émettre uniquement les certificats suite aux demandes de certificats qui ont été signés avec un certificat d’agent d’inscription. L’autorité de certification émet un certificat pour ce modèle uniquement si l’autorité d’inscription signe la demande de certificat.
Important
Suivez les procédures ci-dessous en fonction du compte de service AD FS utilisé dans votre environnement.
Créer un certificat d’agent d’inscription pour les comptes de service administrés de groupe (GMSA)
Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .
Ouvrir la console de gestion de l’autorité de certification
Cliquez avec le bouton droit sur Modèles de certificats , puis sélectionnez Gérer
Dans la console modèle de certificat, cliquez avec le bouton droit sur le volet des détails du modèle Agent d’inscription Exchange (demande hors connexion) et sélectionnez Dupliquer le modèle
Utilisez le tableau suivant pour configurer le modèle :
Nom de l’onglet Configurations Compatibilité - Décochez la case Afficher les modifications résultantes
- Sélectionnez Windows Server 2016 dans la liste Autorité de certification
- Sélectionnez Windows 10 / Windows Server 2016 dans la liste Destinataire de certification
Général - Spécifier un nom complet de modèle, par exemple l’agent d’inscription WHFB
- Définir la période de validité sur la valeur souhaitée
Nom de l’objet Sélectionnez Fournir dans la demande.
Note: Les comptes de service administrés de groupe (GMSA) ne prennent pas en charge l’option Générer à partir de cette information Active Directory et entraînent l’échec de l’inscription du certificat de l’agent d’inscription par le serveur AD FS. Vous devez configurer le modèle de certificat avec Fournir dans la demande pour vous assurer que les serveurs AD FS peuvent effectuer l’inscription automatique et le renouvellement du certificat de l’agent d’inscription.Chiffrement - Définir la catégorie de fournisseur sur Fournisseur de stockage de clés
- Définir le nom de l’algorithme sur RSA
- Définissez la taille de clé minimale sur 2048
- Définir le hachage de la demande sur SHA256
Sécurité - Sélectionnez Ajouter.
- Sélectionnez Types d’objets et cochez la case Comptes de service
- Sélectionnez OK.
- Tapez
adfssvc
dans la zone de texte Entrez les noms d’objets à sélectionner, puis sélectionnez OK. - Sélectionnez adfssvc dans la liste Noms de groupes ou d’utilisateurs . Dans la section Autorisations pour adfssvc :
- Dans la section Autorisations pour adfssvc, cochez la case Autoriser pour l’autorisation Inscrire
- En excluant l’utilisateur adfssvc, décochez la case Autoriser pour les autorisations Inscrire et inscrire automatiquement pour tous les autres éléments de la liste Noms de groupes ou d’utilisateurs
- Sélectionnez OK.
Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle
Fermer la console
Créer un certificat d’agent d’inscription pour un compte de service standard
Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .
Ouvrir la console de gestion de l’autorité de certification
Cliquez avec le bouton droit sur Modèles de certificats , puis sélectionnez Gérer
Dans la console modèle de certificat, cliquez avec le bouton droit sur le volet des détails du modèle Agent d’inscription Exchange (demande hors connexion) et sélectionnez Dupliquer le modèle
Utilisez le tableau suivant pour configurer le modèle :
Nom de l’onglet Configurations Compatibilité - Décochez la case Afficher les modifications résultantes
- Sélectionnez Windows Server 2016 dans la liste Autorité de certification
- Sélectionnez Windows 10 / Windows Server 2016 dans la liste Destinataire du certificat
Général - Spécifier un nom complet de modèle, par exemple l’agent d’inscription WHFB
- Définir la période de validité sur la valeur souhaitée
Nom de l’objet - Sélectionnez Générer à partir de ces informations Active Directory.
- Sélectionnez Nom unique complet dans la liste Format du nom de l’objet
- Cochez la case Nom d’utilisateur principal (UPN) sous Inclure ces informations dans un autre nom d’objet
Chiffrement - Définir la catégorie de fournisseur sur Fournisseur de stockage de clés
- Définir le nom de l’algorithme sur RSA
- Définissez la taille de clé minimale sur 2048
- Définir le hachage de la demande sur SHA256
Sécurité - Sélectionnez Ajouter.
- Sélectionnez Types d’objets et cochez la case Comptes de service
- Sélectionnez OK.
- Tapez
adfssvc
dans la zone de texte Entrez les noms d’objets à sélectionner, puis sélectionnez OK. - Sélectionnez adfssvc dans la liste Noms de groupes ou d’utilisateurs . Dans la section Autorisations pour adfssvc :
- Dans la section Autorisations pour adfssvc, cochez la case Autoriser pour l’autorisation Inscrire
- En excluant l’utilisateur adfssvc, décochez la case Autoriser pour les autorisations Inscrire et inscrire automatiquement pour tous les autres éléments de la liste Noms de groupes ou d’utilisateurs
- Sélectionnez OK.
Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle
Fermer la console
Configurer un modèle de certificat d’authentification Windows Hello Entreprise
Pendant l’approvisionnement de Windows Hello Entreprise, les clients Windows demandent un certificat d’authentification à AD FS, qui demande le certificat d’authentification au nom de l’utilisateur. Cette tâche configure le modèle de certificat d’authentification Windows Hello Entreprise.
Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .
Ouvrir la console de gestion de l’autorité de certification
Cliquez avec le bouton droit sur Modèles de certificats , puis sélectionnez Gérer
Dans la console modèle de certificat, cliquez avec le bouton droit sur le modèle d’ouverture de session par carte à puce , puis sélectionnez Dupliquer le modèle
Utilisez le tableau suivant pour configurer le modèle :
Nom de l’onglet Configurations Compatibilité - Décochez la case Afficher les modifications résultantes
- Sélectionnez Windows Server 2016 dans la liste Autorité de certification
- Sélectionnez Windows 10 / Windows Server 2016 dans la liste Destinataire de certification
Général - Spécifier un nom d’affichage de modèle, par exemple l’authentification WHFB
- Définir la période de validité sur la valeur souhaitée
- Notez le nom du modèle pour plus tard, qui doit être le même que le nom d’affichage du modèle moins les espaces
Nom de l’objet - Sélectionnez Générer à partir de ces informations Active Directory.
- Sélectionnez Nom unique complet dans la liste Format du nom de l’objet
- Cochez la case Nom d’utilisateur principal (UPN) sous Inclure ces informations dans un autre nom d’objet
Chiffrement - Définir la catégorie de fournisseur sur Fournisseur de stockage de clés
- Définir le nom de l’algorithme sur RSA
- Définissez la taille de clé minimale sur 2048
- Définir le hachage de la demande sur SHA256
Extensions Vérifiez que l’extension Stratégies d’application inclut l’ouverture de session par carte à puce Conditions d’émission - Cochez la case Ce nombre de signatures autorisées . Tapez 1 dans la zone de texte
- Sélectionnez Stratégie d’application dans le type de stratégie requis dans signature
- Sélectionnez Certificate Request Agent (Agent de demande de certificat) dans la liste Stratégie d’application
- Sélectionnez l’option Certificat existant valide
Gestion des demandes Cochez la case Renouveler avec la même clé Sécurité - Sélectionnez Ajouter.
- Ciblez un groupe de sécurité Active Directory qui contient les utilisateurs que vous souhaitez inscrire dans Windows Hello Entreprise. Par exemple, si vous avez un groupe appelé Window Hello Entreprise Users, tapez-le dans la zone de texte Entrez les noms d’objets à sélectionner , puis sélectionnez OK
- Sélectionnez Windows Hello Entreprise Users (Utilisateurs Windows Hello Entreprise ) dans la liste Noms des groupes ou des utilisateurs . Dans la section Autorisations pour les utilisateurs Windows Hello Entreprise :
- Cochez la case Autoriser pour l’autorisation Inscrire
- En excluant le groupe ci-dessus (par exemple, Window Hello Entreprise Users), désactivez la case à cocher Autoriser pour les autorisations Inscrire et inscrire automatiquement pour toutes les autres entrées de la section Noms de groupe ou d’utilisateurs si les cases à cocher ne sont pas déjà désactivées
- Sélectionnez OK.
Sélectionnez OK pour finaliser vos modifications et créer le nouveau modèle
Fermer la console
Marquer le modèle en tant que modèle Connexion Windows Hello
Se connecter à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise
Ouvrir une invite de commandes avec élévation de privilèges, exécutez la commande suivante
certutil.exe -dsTemplate WHFBAuthentication msPKI-Private-Key-Flag +CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY
Si le modèle a été modifié avec succès, la sortie de la commande contient les anciennes et nouvelles valeurs des paramètres du modèle. La nouvelle valeur doit contenir le CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY
paramètre . Exemple :
CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=[yourdomain]:WHFBAuthentication
Old Value:
msPKI-Private-Key-Flag REG_DWORD = 5050080 (84213888)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
New Value:
msPKI-Private-Key-Flag REG_DWORD = 5250080 (86311040)
CTPRIVATEKEY_FLAG_REQUIRE_SAME_KEY_RENEWAL -- 80 (128)
CTPRIVATEKEY_FLAG_ATTEST_NONE -- 0
TEMPLATE_SERVER_VER_WINBLUE<<CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT -- 50000 (327680)
CTPRIVATEKEY_FLAG_HELLO_LOGON_KEY -- 200000 (2097152)
TEMPLATE_CLIENT_VER_WINBLUE<<CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT -- 5000000 (83886080)
CertUtil: -dsTemplate command completed successfully."
Remarque
Si vous avez donné un nom différent à votre modèle de certificat d’authentification Windows Hello Entreprise, remplacez WHFBAuthentication
dans la commande ci-dessus par le nom de votre modèle de certificat. Il est important que vous utilisiez le nom du modèle plutôt que le nom d'affichage du modèle. Vous pouvez afficher le nom du modèle dans l'onglet Général du modèle de certificat à l’aide de la console de gestion Modèle de certificat (certtmpl.msc).
Annuler la publication de modèles de certificats remplacés
L’autorité de certification émet uniquement des certificats basés sur des modèles de certificat publiés. Pour des questions de sécurité, il est recommandé d’annuler la publication des modèles de certificat que l’autorité de certification n’est pas configurée pour émettre, y compris les modèles prépubliés de l’installation du rôle et tous les modèles remplacés.
Le modèle de certificat d’authentification du contrôleur de domaine nouvellement créé remplace les modèles de certificat de contrôleur de domaine précédents. Par conséquent, vous devez annuler la publication de ces modèles de certificat à partir de toutes les autorités de certification émettrices.
Connectez-vous à l’autorité de certification ou à la station de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .
- Ouvrir la console de gestion de l’autorité de certification
- Développez le nœud parent à partir du volet >de navigation Modèles de certificats
- Cliquez avec le bouton droit sur le modèle de certificat contrôleur de domaine , puis sélectionnez Supprimer. Sélectionnez Oui dans la fenêtre Désactiver les modèles de certificat .
- Répétez l’étape 3 pour les modèles de certificat Authentification du contrôleur de domaine et Authentification Kerberos
Publier les modèles de certificat sur l’autorité de certification
Une autorité de certification peut uniquement émettre des certificats pour les modèles de certificats qui y sont publiés. Si vous disposez de plusieurs autorités de certification et que vous souhaitez que d’autres autorités de certification émettent des certificats basés sur le modèle de certificat, vous devez publier le modèle de certificat sur celles-ci.
Connectez-vous à l’autorité de certification ou aux stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .
- Ouvrir la console de gestion de l’autorité de certification
- Développez le nœud parent à partir du volet de navigation
- Sélectionnez Modèles de certificats dans le volet de navigation
- Cliquez sur le nœud Modèles de certificats. Sélectionnez Nouveau > modèle de certificat à émettre
- Dans la fenêtre Activer les modèles de certificats, sélectionnez les modèles Authentification du contrôleur de domaine (Kerberos),Agent d’inscription WHFB et Authentification WHFB que vous avez créés dans les étapes > précédentes, sélectionnez OK.
- Fermer la console
Important
Si vous envisagez de déployer des appareils joints à Microsoft Entra et que vous avez besoin de l’authentification unique (SSO) sur des ressources locales lors de la connexion avec Windows Hello Entreprise, suivez les procédures pour mettre à jour votre autorité de certification afin d’inclure un point de distribution de liste de révocation de certificats http.
Configurer et déployer des certificats sur des contrôleurs de domaine
Configurer l’inscription automatique des certificats pour les contrôleurs de domaine
Les contrôleurs de domaine demandent automatiquement un certificat à partir du modèle de certificat de contrôleur de domaine . Toutefois, les contrôleurs de domaine ne connaissent pas les modèles de certificat plus récents ou les configurations remplacées sur les modèles de certificat. Pour que les contrôleurs de domaine inscrivent et renouvellent automatiquement les certificats, configurez un objet de stratégie de groupe pour l’inscription automatique des certificats et liez-le à l’unité d’organisation contrôleurs de domaine .
- Ouvrez la console de gestion des stratégies de groupe (gpmc.msc)
- Développez le domaine et sélectionnez le nœud Objet de stratégie de groupe dans le volet de navigation
- Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis sélectionnez Nouveau
- Tapez Inscription automatique du certificat de contrôleur de domaine dans la zone nom, puis sélectionnez OK.
- Cliquez avec le bouton droit sur l’objet de stratégie de groupe Inscription automatique du certificat de contrôleur de domaine , puis sélectionnez Modifier
- Dans le volet de navigation, développez Stratégies sous Configuration de l’ordinateur
- Développez Paramètres Windows Paramètres > De sécurité Stratégies > de clé publique
- Dans le volet d’informations, cliquez avec le bouton droit sur Client Des services de certificats - Inscription automatique, puis sélectionnez Propriétés.
- Sélectionnez Activé dans la liste Modèle de configuration .
- Cochez la case Renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer les certificats révoqués
- Cochez la case Mettre à jour les certificats qui utilisent des modèles de certificat
- Sélectionnez OK.
- Fermer l’Éditeur de gestion des stratégies de groupe
Déployer l’objet de stratégie de groupe d’inscription de certificat automatique du contrôleur de domaine
Connectez-vous aux stations de travail de contrôleur de domaine ou de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .
- Démarrez la Console de gestion des stratégies de groupe (gpmc.msc).
- Dans le volet de navigation, développez le domaine et développez le nœud avec le nom de domaine Active Directory. Cliquez avec le bouton droit sur l’unité d’organisation Contrôleurs de domaine et sélectionnez Lier un objet de stratégie de groupe existant...
- Dans la boîte de dialogue Sélectionner un objet de stratégie de groupe, sélectionnez Inscription automatique du certificat de contrôleur de domaine ou le nom de l’objet de stratégie de groupe d’inscription de certificat de contrôleur de domaine que vous avez créé précédemment
- Sélectionnez OK.
Valider la configuration
Windows Hello Entreprise est un système distribué qui, au premier abord, semble complexe et difficile. La clé d’un déploiement réussi consiste à valider les phases de travail avant de passer à la phase suivante.
Vérifiez que vos contrôleurs de domaine inscrivent les certificats corrects et aucun modèle de certificat remplacé. Vérifiez que chaque contrôleur de domaine a terminé l’inscription automatique du certificat.
Utiliser les journaux des événements
Connectez-vous aux stations de travail de contrôleur de domaine ou de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .
- À l’aide de l’Observateur d’événements, accédez au journal des événements Application et services>Microsoft>Windows>CertificateServices-Lifecycles-System
- Recherchez un événement indiquant une nouvelle inscription de certificat (inscription automatique) :
- Les détails de l’événement incluent le modèle de certificat sur lequel le certificat a été émis
- Le nom du modèle de certificat utilisé pour émettre le certificat doit correspondre au nom du modèle de certificat inclus dans l’événement
- L’empreinte numérique du certificat et les EKUs pour le certificat sont également incluses dans l’événement
- La référence EKU nécessaire pour l’authentification Windows Hello Entreprise appropriée est l’authentification Kerberos, en plus des autres EKUs fournis par le modèle de certificat
Les certificats remplacés par votre nouveau certificat de contrôleur de domaine génèrent un événement d’archivage dans le journal des événements. L'événement d'archive contient le nom de modèle du certificat et l'empreinte numérique du certificat qui a été remplacé par le nouveau certificat.
Gestionnaire de certificats
Vous pouvez utiliser la console du Gestionnaire de certificats pour valider le contrôleur de domaine. Le certificat dûment inscrit est basé sur le modèle de certificat correct avec les EKU appropriées. Utilisez certlm.msc pour afficher le certificat dans les magasins de certificats d'ordinateurs locaux. Développez le magasin Personnel et afficher les certificats inscrits pour l'ordinateur. Les certificats archivés n’apparaissent pas dans le Gestionnaire de certificats.
Certutil.exe
Vous pouvez utiliser la certutil.exe
commande pour afficher les certificats inscrits sur l’ordinateur local. Certutil affiche les certificats inscrits et archivés de l'ordinateur local. À partir d’une invite de commandes avec élévation de privilèges, exécutez la commande suivante :
certutil.exe -q -store my
Pour afficher des informations détaillées sur chaque certificat dans le magasin et valider l’inscription automatique des certificats inscrits avec les certificats appropriés, utilisez la commande suivante :
certutil.exe -q -v -store my
Résolution des problèmes
Windows déclenche l'inscription automatique des certificats pour l'ordinateur pendant le démarrage et la mise à jour de la stratégie de groupe. Vous pouvez actualiser la stratégie de groupe à partir d'une invite de commandes avec élévation de privilèges à l'aide gpupdate.exe /force
.
Sinon, vous pouvez déclencher de force l'inscription automatique des certificats en utilisant certreq.exe -autoenroll -q
à partir d'une invite de commandes avec élévation de privilèges.
Utilisez les journaux d'événements pour surveiller l'inscription et l'archivage de certificats. Passez en revue la configuration, par exemple la publication de modèles de certificat sur l’autorité de certification émettrice et l’autorisation d’inscription automatique.
Révision de la section et étapes suivantes
Avant de passer à la section suivante, vérifiez que les étapes suivantes sont effectuées :
- Configurer des certificats de contrôleur de domaine
- Remplacer les certificats de contrôleur de domaine existants
- Annuler la publication de modèles de certificats remplacés
- Configurer un modèle de certificat d’agent d’inscription
- Configurer un modèle de certificat d’authentification
- Publier les modèles de certificat sur l’autorité de certification
- Déployer des certificats sur les contrôleurs de domaine
- Valider la configuration des contrôleurs de domaine