Implémenter une PKI dans Windows server 2008

Avant d¶implémenter une PKI sous Windows server 2008, certains éléments sont à prendre en compte. Et le plus majeur est la préparation d¶un environnement AD DS (en anglais Active Directory Domain Services). Tout d¶abord lorsqu¶un administrateur système doit envisager le déploiement d¶une PKI Windows server 2008, il doit se poser plusieurs questions : Est-ce que je dois mettre à jour tous les contrôleurs de domaines dela forêt vers Windows server 2008 ? La réponse est non. Une PKI Windows server 2008 ne repose pas sur un contrôleur de domaine en version 2008. Il est possible d¶installer une PKI Windows server 2008 dans un environnementAD (Active Directory) sous Windows server 2000 ou 2003. Est-ce que je dois augmenter le niveau fonctionnel de mon domaine ou de ma forêt vers un niveau fonctionnel de Windows server 2008 ? Une fois encore la réponse est non, une PKI Windows server 2008 n¶a pas d¶exigence pour le niveau fonctionnel de domaine ou de la forêt. On peut mixer différents environnements Active Directory. Quelles sont les actions à entreprendre pour préparer mon environnement Active Directory au déploiement de ma PKI sous Windows server 2008 ?

I-

Analyse de l¶environnement Active Directory

Plusieurs préparations devraient être entreprises avant l¶installation d¶une ACE (autorité de certification d¶entreprise) Windows server 2008 dans un environnement Active Directory Windows 2000 ou Windows 2003 : Déterminer le nombre de forêts dans l¶environnement Le nombre de forêts va influencer le nombre d¶ACE nécessaires dans notre

environnement AD CS (Active Directory Certificate Services). Une ACE peut délivrer des certificats seulement aux utilisateurs etordinateurs ayant un compte de la même forêt. S¶il y

a plusieurs forêts qui doivent utiliser les certificats de la PKI, vous devez déployer au moins une AC par forêt. Déterminer le nombre de domaines par forêt Si plusieurs domaines sont présents à l'intérieur d'une forêt, il faut choisir le domaine qui hébergera l¶ACE. Le choix du domaine qui hébergera le compte d'ordinateur de l'autorité de certification va dépendre du mode de management de notre organisation, centralisée ou décentralisée? Dans le cas d'une administration centralisée, l'autorité de certification doit être placée dans le domaine qui stocke le compte d'ordinateur de l¶AC. Dans le cas d'une administration décentralisée, il est possible de placer l¶AC dans différents domaines. Déterminer la composition des groupes administrateurs locaux pour un serveur membre Si l'on utilise un outil de cryptage pour protéger la clé privée de l'autorité de certification, tous les membres du groupe local Administrateurs du compte d'ordinateur de l'autorité de certification ont la capacité d'exporter la clé privée. Il est important de commencer par identifier quel domaine ou quelle unité d'organisation (OU) permettrait de limiter le nombre d'administrateur local. Par exemple, une organisation qui décide de déployer une forêt racine, peut choisir d'installer toutes les autorités de certification entreprise dans le domaine de cette forêt racine pour limiter le nombre des administrateurs locaux sur l¶AC. Déterminer la version du schéma du domaine Pour implémenter une AC Windows 2008 et bénéficier de toutes les nouveautés introduites par Active Directory Certificate Services(ADCS), il est nécessaire d'installer la dernière version du schéma AD CS. Le schéma Windows 2008 peut être déployé dans des forêts contenant un contrôleur de domaine sous Windows 2000, Windows 2003, Windows 2008. NB :Pour mettre à jour le schéma sur un contrôleur de domaine sous Windows 2000, ce dernier doit être doté avec le Service Pack 4 au minimum. Pour un DC Windows Server 2003 aucun Service Pack n'est requis pour procéder à la mise à jour du schéma.

Ce service permet de mettre à jour la validation des demandes de certificat plutôt que d'utiliser une liste de révocation de certificat (LCRs) Service de déploiement de certificat pour les périphériques réseaux (NDES) : Windows Server 2008 supporte nativement l'émission automatique de certificat pour les périphériques Cisco en utilisant le Simple Certificate Enrollment Protocol (SCEP). La procédure est la suivante : Ouvrir l¶invite de commande . 2. SCEP permet l'émission automatique de certificat pour les périphériques réseaux sans que ces derniers n'aient un compte ordinateur pour les périphériques dans Active Directory.1.Identification du maitre de schéma Si la forêt est dans une version Windows 2000 ou Windows 2003. décrit dans la RFC 3739 "Internet X. Cette version 3 permet l'implémentation d'algorithmes de cryptographie de nouvelle génération dans la publication des certificats. Ajout d'un répondeur en ligne : Windows Server 2008 introduit un service de répondeur sur le statut des certificats en ligne (OCSP).509 Public Key Infrastructure Qualified Certificates Profile". autorise l'émission de certificat pour une sécurité accrue dans les signatures électroniques.Mise à jour du schéma active directory Les forêts Windows 2000 ou 2003 doivent être mises à jour pour bénéficier des nouvelles fonctionnalités apportées par le schéma Windows 2008 comme par exemple : Support de la version 3 du Template de certificat : Le schéma de Windows Server 2008 comprend la définition de la version 3 du Template de certificat. Un certificat qualifié peut également comprendre des informationsbiométriques sur le demandeur du certificat. il faut identifier le maître de schéma. Support natif des certificats qualifiés : Les certificats qualifiés.

vous obtenez le message suivant : « les informations au niveau des forêts ont été mises à jour avec succès » . administrateurs de l'entreprise dans la forêt racine du domaine et membre du groupe administrateur du domaine du serveur qui héberge le maitre de schéma. sélectionner « Ajouter/ Supprimer des composants logiciels enfichables » Dans la boite de dialogue qui s¶ouvre. cliquer sur le bouton « OK » Taper sur le prompt la commande « mmc » Dans le menu fichier.Taper sur cette invite de commande la commande suivante « regsvr32 schmmgmt. Rassurez-vous qu¶à la fin. appuyer la touche « C » pour continuer.Mise à jour du schéma Une fois que le maitre de schéma est identifié. sélectionner « schéma Active Directory ». 3. Insérer dans le lecteur DVD. il faut se connecter au contrôleur de domaine en tant que membre des groupes administrateurs du schéma. et appuyer sur la touche « Entrée » Sur l¶invite de commande taper « adpred/ forestprep». le DVD d¶installation de Windows server 2008 Ouvrir l¶invite de commande Sur cette invite de commande taper X :(ou X est la lettre qui représente votre lecteur DVD) et appuyer sur la touche « Entrée » sur votre clavier. faire un clic droit dessus et choisir « maitre d¶opération ». cliquer sur le bouton « fermer » Fermer la console « mmc » sans sauvegarder. Dans la boite changer le contrôleur de domaine qui s¶ouvre. sélectionner « schéma Active Directory » et appuyer sur le bouton « Ajouter » et cliquer sur le bouton « OK » Dans l¶arborescence.dll » Dans la boite de message RegSvr32. Sur l¶invite de commande taper « cd\sources (support)\adpred ». et appuyer sur la touche « Entrée » Au message d¶avertissement dans l¶invite de commande.

Les certificats publiés avec ces attributs sont typiquement des certificats cryptés qui autorise une personne à obtenir la clé publique du certificat crypté par une requête à Active Directory. Si l'environnement AD est sous Windows 2003 ou Windows 2008.Une fois les modifications du schéma répliquées sur tous les contrôleurs de domaine de la forêt. Cela signifie que seuls les comptes d'ordinateur provenant du même domaine peuvent devenir membre du groupe.exe (Réplication Monitor) ou avec l'utilitaire en ligne de commande repadmin. il faut s'assurer que ces modifications soient entièrement répliquées sur tous les autres contrôleurs de domaine de la forêt. On peut observer les réplications grâce à l'utilitaire graphique replmon. et appuyer sur la touche « Entrée » Sur l¶invite de commande taper « adpred/ domainprep /gpprep». et appuyer sur la touche « Entrée » 4.Modification de la portée du groupe d éditeur de certificats Le groupe Editeurs de certificats est un groupe par défaut présent dans chaque domaine d'une forêt Active Directory. Insérer dans le lecteur DVD. Cela signifie que les comptes d'ordinateur de n'importe quel domaine peuvent devenir membre de ce groupe. le groupe Editeurs de certificats est un groupe de domaine local. on peut préparer chaque domaine à bénéficier des extensions du schéma Windows Server 2008. Ce groupe dispose des permissions lire et écrire sur les informations de certificat de l'attribut userCertificate des objets utilisateur de ce domaine. La difficulté est que la portée du groupe Editeurs de certificats est définie par le premier contrôleur de domaine du domaine. le groupe Editeurs de certificats est un groupe global. . Si l'environnement Active directory est sous Windows 2000. Sur l¶invite de commande taper « cd\sources (support)\adpred ». le DVD d¶installation de Windows server 2008 Ouvrir l¶invite de commande Sur cette invite de commande taper X :(ou X est la lettre qui représente votre lecteur DVD) et appuyer sur la touche « Entrée » sur votre clavier.Quand la mise à jour du schéma est terminée.exe disponible dans les Windows Support Tools.

DC=local.dupont. le message suivant apparait dans le journal des évènements partie application : EVENT ID: 80 Description: Certificate Services could not publish a certificate for request # (where # is the request ID of the certificate request) to the following location on server dc. NB :Si l'autorité de certification n'a pas les permissions suffisantes pour écrire dans l'attribut userCertificate.example. DC=monlab.0x80072098 (WIN32:8344) .com: CN=pierre. la modification échouera si l'autorité de certification n'est pas membre du groupe Editeurs de certificats. L'exemple ci-après repose sur le schéma suivant à savoir deux autorités de certification. situées dans l'OU Computers la forêt D00. OU=users.local. Insufficient access rights to perform the operation. . SVR001 et SVR002.Si une autorité de certification publie un certificat pour un utilisateur et qu'il est nécessaire d'éditer l'attribut userCertificate. OU=Accounts.

local. Dans ce cas de figure.local et D100.D00. Il n'est pas nécessaire de réaliser cette opération pour le domaine D00.D00.D00.local et D100.Membres Editeurs de certificats quand le groupe est un groupe de domaine local (Windows 2003 ou Windows 2008) : Dans cet exemple les domaines D00.D00.local.local aux groupes Editeurs de certificats des domaines D10. D10. Stratégies du groupe Editeurs de certificats si le groupe est un groupe global (Windows 2000): . il faut ajouter le compte ordinateur du domaine D00.L'ajout du compte d'ordinateur aux groupes Editeurs de certificats des domaines D10 et D100 peut être fait à l'aide d'un script VBS ou Powershell.local sont créés dans des environnements Windows Server 2003 ou Windows Server 2008.local car l'ajout du compte ordinateur de l'autorité de certification est automatiquement réalisé lors de l'installation d¶Active Directory Certificate Services.

3-Autoriser au groupe Editeurs de certificats du domaine D00.local à lire l'attribut userCertificate dans tous les autres domaines de la forêt.local à écrire dans l'attribut userCertificate dans tous les autres domaines de la forêt. propose un guide sur comment définir les permissions pour autoriser le groupe Editeurs de certificats d'un domaine à éditer l'attribut userCertificate d'un certificat utilisateur quand le compte de l'utilisateur appartient à un domaine différent.DomainName dans tous les autres domaines de la forêt. deux stratégies sont possibles : y Modifier les permissions pour permettre au groupe Editeurs de certificat de chaque autorité de certification dans chaque domaine de lire et écrire dans l'attribut userCertificatepour tous les autres domaines de la forêt. y Modifier la portée du groupe Editeurs de certificats de groupe local à groupe de domaine local et ajouter le compte de l'autorité de certification au groupe Editeurs de certificats dans chaque domaine. . 4.CN=system. 2.Autoriser au groupe Editeurs de certificats du domaine D00.Autoriser le groupe Editeurs de certificats à écrire dans l'attribut userCertificate du container CN=adminsholder.CN=system.local à lire l'attribut userCertificate pour le container CN=adminsholder.DomainName dans tous les autres domaines de la forêt. Voici un résumé des actions à entreprendre : 1.Autoriser au groupe Editeurs de certificats du domaine D00. Modifier les autorisations dans Active Directory : L'article 300532 de la base de connaissance Windows s'intitulant "Windows 2000 Enterprise CAs Not Added to Certificate Publishers Group in Windows Server 2003 Domain".Si le domaine est créé à partir d'un environnement Windows Server 2000.

Convertir le groupe Editeurs de certificats de groupe global à groupe universel. Si le domaine a été implémenté dans un environnement Windows 2003 ou 2008. Pour réaliser un script permettant d'obtenir la conversion des groupes. il faut modifier l'affectation des permissions du groupe Editeurs de certificats d'une autorité de certification dans un des domaines de la forêt. La transition vers un groupe universel est toujours obligatoire. La portée est basée uniquement sur ce que le premier contrôleur de domaine de la forêt a implémenté. 3.Convertir le groupe Editeurs de certificats de groupe universel à groupe de domaine local. ce groupe sera un groupe de domaine local. S le i domaine a été contruit dans un environnement Windows 2000.Peupler le groupe Editeurs de certificats avec tous les comptes d'ordinateur des autorités de certification de la forêt. Dans l'ordre voici les actions à engager : 1. La difficulté ici. NB :Il n'est pas possible de convertir directement un groupe global en groupe de domaine local. le groupe Editeurs de certificats est un groupe global. Cette modification ne peut être réalisée qu'avec l'aide d'un script. il faut garder à l'esprit que l'attribut groupType d'un groupe universel est -2147483640 et celui d'un groupe de domaine local est -2147483644. 2. est qu'il n'est pas possible de changer le type de groupe du groupe Editeurs de certificats avec la console Utilisateurs et Ordinateurs Active Directory. Modification de la portée du groupe Editeurs de certificats: En pratique. il n'est pas évident de prévoir ce que la portée du groupe Editeurs de certificats peut être sans avoir inspecté chaque domaine de la forêt. Ce script pourrait ressembler à l'exemple suivant : .NB : Si le compte d'ordinateur de l'autorité de certification existe dans plusieurs domaines au sein de la forêt AD.

nous avons deux niveaux fonctionnels :  l¶autorité racine(AR) qui est la première autorité du réseau  l¶autorité intermédiaire(AI). délivrance).DC=local") ("LDAP://CN=SVR002.1 Setgrp 2 grp. Si vous décidez.add 16 grp.DC=D10.CN=Computers.CN=Users. Notons qu¶il existe deux types d¶autorités de certifications :  l¶autorité de certification autonome(ACA)  l¶autorité de certification entreprise(ACE) Le de l¶une des autorités de certification doit être réfléchi puisque vous n¶avez pas la possibilité de changer le type de votre autorité simplement. . vous devez supprimer votre autorité de certification pour la réinstaller.DC=local") "grouType".SetInfo 14 grp.add 8 grp.DC=D00.Put 11 grp. notamment au niveau de la conservation des clés.DC=D100.Put 5 grp.DC=D00.Put 3 grp.DC=local") II- Installation de l autorité de certification sous Windows server 2008 Après avoir préparé l¶environnement Active Directory.CN=Users.DC=local") ("LDAP://CN=SVR002.SetInfo 6 grp.Quel que soit le type d¶AC choisit.SetInfo = GetObject("LDAP://CN=CertPublishers."-2147483644" ("LDAP://CN=SVR001.DC=D00.SetInfo 12 grp.DC=local") = GetObject("LDAP://CN=CertPublishers.CN=Computers.DC=D00.DC=D00.SetInfo 4 grp.SetInfogrp.add 15 grp. elle dépend d¶une AR Voici un tableau résumant les recommandations de Microsoft quant aux types d¶autorités a utilisé selon le niveau fonctionnel (racine. Cela n¶est pas sans risque.CN=Computers.SetInfo 17 grp.Put 13 grp.DC=local") "groupType" "groupType".add 7 grp."-2147483640" "groupType".SetInfo 9 Setgrp 10 grp.SetInfogrp.CN=Computers.SetInfogrp. nous pouvons maintenant passer à l¶installation de notre autorité de certification(AC). . "-2147383640" "-2147383644" ("LDAP://CN=SVR001.SetInfogrp.DC=D00. intermédiaire.

Cette autorité doit être contrôleur de domaine. Attention cependant à l'évolutivité de votre réseau. car elle ne dépend pas de l¶environnement Active Directory utilisé. 1.Type de l¶autorité Racine offline Intermédiaire offline Délivrance online 3 niveaux Autonome Autonome Entreprise 2 niveaux Autonome 1 niveau Entreprise Entreprise Tableau 1: recommandation de Microsoft NB : après l¶installation des services de certificats. Par défaut les utilisateurs peuvent demander les certificats auprès d¶une ACA à partir de ses pages web uniquement.Autorité autonome Elle permet de délivrer les certificats dans réseau comme internet. que le demandeur de certificats produise des informations d¶indentification plus complètes.Autorité d entreprise Elle utilisée si l¶AC doit délivrer les certificats dans un domaine auquel appartient le serveur. utilisateurs. Son fonctionnement pour un utilisateur est moins automatique que celui d¶une ACE. l'autorité autonome sera sans doute le meilleur choix. Elle dépend de l¶environnement AD . Si à plus ou moins long terme vous souhaitez augmenter le nombre de clients (serveurs. Une ACA publie sa liste de révocation de certificats (LCRs) dans un dossier partagé ou dans le cas échéant dans AD. Les ACA qui n¶utilisent pas AD devront exiger. il n¶est plus possible de changer le nom ou le domaine du serveur. routeurs). 2. il sera sans doute plus intéressant de commencer dès maintenant avec une autorité entreprise. Les scénarios d¶utilisation d¶une ACA sont :  Utilisable pour une autorité éteinte racine ou intermédiaire  Pas besoin de personnaliser les modèles de certificats  Besoin d'une forte sécurité et politique d'approbation  Peu de certificats à approuver et le travail requis pour l'approbation est acceptable  Clients hétérogènes et ne pouvant pas bénéficier d'un accès à Active Directory  Certification à travers le protocole SCEP pour les routeurs Si votre PKI doit délivrer des certificats pour un nombre limité de clients (quel que soit leur type) et que vous souhaitez une approbation manuelle. en règle générale.

vous choisirez une autorité entreprise. elle offre à un demandeur plusieurs type de certificats. il est fortement conseillé d'utiliser une infrastructure à plusieurs niveaux. 3. .utilisé. Elle utilise les informations disponibles dans AD pour faciliter la vérification de l¶identité du demandeur. Nous allons utiliser une hiérarchie à trois niveaux. Les scénarios d¶utilisation d¶une ACE sont :  Un grand nombre de certificats devra être approuvé automatiquement  La disponibilité et la redondance sont requises  Les clients utilisent Active Directory  L'approbation automatique doit être modifiée  Les modèles de certificats doivent être modifiés. Cette dernière s'intègre dans Active Directory ce qui permet de gérer des droits d'accès basés sur les objets Active Directory.Hiérarchie des ACs L'autorité de certification racine étant l'élément le plus critique d'une PKI en raison de la confidentialité de sa clé privée.Elle publie sa liste de révocation de certificats dans l¶AD ainsi que dans un répertoire partagé. selon les certificats qu¶elle habilitée à émettre et les autorisations de sécurités du demandeur. dupliqués ou créés  L'archivage et la restauration des clés dans un dépôt spécifique Si votre PKI doit délivrer un nombre important de certificats et que vous souhaitez avoir le choix entre une délivrance manuelle ou automatique des certificats.

elle peut être déconnectée du réseau ce qui garantit qu'aucun utilisateur malveillant ne pourra "voler" la clé privée de l'autorité de certification racine. mais aussi de limiter les risques d'attaque de cette PKI. l'autorité racine ne délivre que deux certificats (donc . La version   igure 1: hiérarchie à trois niveaux Dans l'exemple ci-dessus. il est aussi possible de déconnecter du réseau les autorités intermédiaires en laissant les autorités de certifications "émettrices" signer les certificats.seulement deux utilisations de sa clé privée) aux autorités de certifications intermédiaires. puisqu'en aucun cas il ne sera possible d'être en possession de la clé privée de l'autorité racine stockée dans un endroit sûr puisque hors du réseau (et dans un endroit physiquement protégé). NB :Il est toujours recommandé d'utiliser une Edition Enterprise de Windows Server 2008 quand il est question de déployer une autorité de certification d'entreprise. Cette hiérarchie permet non seulement de choisir quelle autorité va délivrer tel type de certificat. elles pourront à leur tour autoriser les autorités de certifications dites "émettrice". Une fois les autorités de certifications intermédiaires approuvées par l'autorité racine. De cette manière. Lorsque ces autorités de certifications intermédiaires auront reçues leur certificat leur permettant d'exercer leur fonction.

com/certdata/cps." URL = ³http://www.3.1.21.1.1 .crl Critical = true [EnhancedKeyUsageExtension] OID = 1.3.10.4.4.6.311.URL = http://%1/Public/My CA.Enterprise propose des fonctionnalités avancées qui ne sont pas disponibles dans la version Standard de Windows 2008.6.example.inf est la suivante : [Version] Signature= ³$Windows NT$" [PolicyStatementExtension] Policies = LegalPolicy Critical = 0 [LegalPolicy] OID = 1.crl .URL = http://%1/Public/My CA.URL = file://\\%1\Public\My CA.URL = ftp://ftp.3.crl .3.crt Critical = false [CRLDistributionPoint] Empty = true .6 .43 Notice = ³Legal policy statement text.crt .inf. szOID_ROOT_LIST_SIGNER OID = 1. il nous faut d¶abord éditer son fichier de configuration CAPolicy.6.crt . Avant de procéder à l¶installation de notre Autorité de Certification Racine Autonome (ACRA).example.311.1.URL = ftp://%1/Public/MyCA.1.311.311. szOID_KP_CTL_USAGE_SIGNING Critical = false [basicconstraintsextension] .3.10.URL = file://\\%1\Public\My CA.9 .21.1.com/Public/MyCA.Le modèle du fichier de configuration CAPolicy.6.1. szOID_KP_KEY_RECOVERY_AGENT OID = 1.3.1.asp" [AuthorityInformationAccess] Empty = true .1.4.4.

Par défaut. pour illustrer comment déployer une PKI Windows server 2008.pathlength = 4 critical=false [certsrv_server] renewalkeylength=4096 RenewalValidityPeriodUnits=20 RenewalValidityPeriod=years CRLPeriod = days CRLPeriodUnits = 2 CRLDeltaPeriod = hours CRLDeltaPeriodUnits = 4 Nous allons prendre l¶exemple d¶une hiérarchie à deux niveaux. Lorsqu'il va falloir renouveler la clé. il faut connaitre la longueur de cette clé ainsi que sa nouvelle durée de vie. Même si la tentation est forte. Elle est obligatoirement présente dans votre fichier. La première section du fichier de configuration est standard et ne doit pas être changée. 4. il faut créer un fichier de configuration nommé CAPolicy.inf. Il est très important que ce fichier soit correctement renseigné sinon votre PKI risque de ne pas fonctionner normalement. on créera une clé de 4096 bits et d'une durée de vie de 20 ans. Cette durée peut paraître énorme mais cette autorité est destinée à rester éteinte et stockée en lieu sûr. Vous devez créer ce fichier dans le répertoire %windir% (habituellement C:\Windows). Ce fichier va permettre de personnaliser le comportement de votre autorité.Installation de l autorité racine autonome a) Création du fichier de configuration CAPolicy. [version] Signature="$Windows NT$" On peut ensuite commencer à préciser la configuration de l'autorité. ne modifiez pas "Windows NT" en "Windows 2008" ou autre.inf Avant de lancer l'installation de l'autorité racine. Elle ne .

Nous devons maintenant contrôler la durée de vie des listes de révocation et des listes de révocation différentielles. [Certsrv_server] RenewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=20 NB: Les valeurs Period peuventêtre Days. [PolicyStatementExtension] Policies=AllIssuancePolicy Critical=FALSE [AllIssuancePolicy] . Vous ne pouvez pas mettre 0. Il faudra utiliser 6 Months. Notez que la valeur de Policiesest le nom de la section suivante. La liste de révocation différentielle a une durée de vie de 10 ans. Weeks. Je préfère limiter cette durée à 15 ans. Ici. Il faut également indiquer l'adresse où le texte correspondant à la politique de certification peut être trouvé. L'OID correspond au modèle de certificat délivré par l'autorité.va certifier que des autorités lors de la création de votre PKI donc cette durée de vie peut-être longue. Une liste de révocation a une durée de vie obligatoirement plus importante que celle d'une liste de révocation différentielle. Months ou Years. il s'agit de tous les modèles disponibles. CRLPeriod=Years CRLPeriodUnits=15 CRLDeltaPeriod=Years CRLDeltaPeriodUnits=10 Nous allons ensuite déclarer notre politique de certification. Vous pouvez donc donner n'importe quelle valeur à Policiestant que la section du même nom existe.5 Years pour dire 6 mois. Il est possible d'utiliser une durée de vie égale à celle de la clé de l'autorité. Les PeriodUnits sont obligatoirement des entiers.

org/pkiw8 Une fois que le fichier de configuration a été créé.5. sélectionné « Outils d¶administration » et cliquer enfin sur « Gérer les serveurs ».0 URL=http://guichetunique.org/pkiw8 Au final. nous pouvons passer à l¶installation de l¶autorité de certification.OID=2.32.29.29. le fichier CAPolicy. . Vérifier que l¶heure et la date sur l¶ordinateur de l¶ACRA soit correcte Cliquer sur le menu « démarré ». b) Installation des services de certificats Active Directory (AD CS) L'installation des AD CS doit s'effectuer avec un compte membre à la fois du groupe administrateur de l'entreprise de la forêt et du groupe administrateur local de la machine recevant l'autorité de certification.0 URL=http://guichetunique.32.5.inf ressemble à ceci : [version] Signature="$Windows NT$" [Certsrv_server] RenewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=20 CRLPeriod=Years CRLPeriodUnits=15 CRLDeltaPeriod=Years CDLDeltaPeriodUnits=10 [PolicyStatementExtension] Policies=AllIssuancePolicy Critical=FALSE [AllIssuancePolicy] OID=2.

sélectionner « 4096 » . cocher « Autorité de certification Racine » et cliquer sur le bouton « suivant » Dans la page « configurer la clé privée ». cocher la case « ignorer cette page par défaut » et cliquer sur le bouton « suivant ». sélectionner « SHA256 ». cocher AD CS (Service de Certificat Active directory). dans sélectionner l¶algorithme de hachage pour la signature des certificats émis par cette AC. ensuite sur le lien « Ajouter des Rôles » à l¶extrême droite de la fenêtre. cliquer sur le bouton « suivant ». sélectionner 20 annéeset cliquer sur le bouton « suivant ». Dans la page « sélectionner les services de rôle ». Dans la page configurer les bases de données des certificats. Dans « rôle de serveur ». dans longueur de la clé en caractères.Dans la fenêtre qui s¶affiche. cocher « créer une nouvelle clé privée »et cliquer sur le bouton « suivant » Dans la page « configurer le chiffrement pour l¶AC ».DC=org Dans la page période de validité de certificat. cocher « Autonome » et cliquer sur le bouton « suivant ». Dans la fenêtre « Assistant Ajout de rôle ». cliquer sur « Rôles » dans l¶arborescence. donner les informations suivantes et cliquer sur le bouton « suivant » :  Nom commun de cette AC : GuceRootCA  Suffixe du nom unique : DC=guichetunique. . donner les informations suivantes et cliquer sur le bouton suivant :  Emplacement de la base de données des certificats : D\CertDB  Emplacement des journaux des certificats : D\CertLog NB : vous pouvez laisser les valeurs par défaut. cocher « Autorité de certification » et cliquer sur le bouton « suivant ». sélectionné « RSA #Microsoft Software Key Storage Provider » . Dans la page « Introduction aux services de certificats Active Directory ». Dans la page « spécifier le type d¶installation ». cliquer sur le bouton « suivant » Dans la page « configurer le nom de l¶autorité de certification ». dans sélectionnez un fournisseur de service de chiffrement. Dans la page « spécifier le type de l¶AC ». puis cliquer sur le bouton « suivant ».

il faut sélectionner Nouvelle liste de révocation des certificatset cliquer sur OK. il faut supprimer toutes les références à votre serveur. Cliquezensuite surInclure dans l'extension AIA des certificats émis. Rendez-vous sur votre autorité. La nouvelle . Pour finir la configuration.Dans la page confirmer les sélections pour l¶installation. Le certificat racine étant distribuable sur Internet pour que les clients de votre entreprise fassent confiance à vos serveurs. Allez dans le panneau des extensions. Sélectionnez l'extension Accès aux informations de l'autorité (AIA). faites un clic droit sur Certificats révoquéspuis Toutes les tâches. vérifier l¶installation a été réalisée avec succès et cliquer sur le bouton « fermer » NB : l¶algorithme de hachage SHA256 et SHA512 sont utilisés lorsque tous vos clients sont sous Windows vista. c) Configuration-post installation L'autorité est installée et partiellement configurée. il faut d 'autant plus supprimer l'entrée qui annonce la disponibilité du certificat racine dans l'annuaire.Ajouter ensuite une ligne pour déclarer un emplacement de téléchargement des listes de révocation. Nous allons d'abord personnaliser les entrées annonçant les points de distribution des listes de révocation. Il faut ensuite inclure cette extension dans les futurs certificats émis par cette autorité. Ajoutezl'emplacement du certificat racine : on le place généralement au même endroit que la liste de révocation. Il faut finaliser la configuration : ouvrez le gestionnaire de serveur et développez l'arborescence jusqu'à voir le nom de votre autorité racine. Supprimez tout sauf la première ligne commençant parC:\Windows\System32.Sur la fenêtre qui va s'ouvrir. ces clients ne devant pas accéder à votre annuaire (pour des raisons de sécurité évidentes). Cette URL doit être accessible depuis Internet si vous prévoyez de publier des services sécurisés sur Internet. Publier.Il faut ensuite faire de même pour l'emplacement du certificat racine. Windows server 2008 R2. Faites un clic droit pour accéder aux propriétés. Il est préférable d¶utiliser le SHA1 pour garder la compatibilité avec les clients sous Windows XP. Dans la page résultat de l¶installation. Supprimez toutes les lignes sauf celle commençant par C:\Windows\System32. Windows 7. De plus. Windows 2003. Cliquez sur Inclure dans l'extension CDP des certificats émis. cliquez sur OK pour appliquer les nouveaux paramètres et redémarrer les services de certificats. Windows server 2008. Nous allons maintenant générer une nouvelle liste de révocation qui prendra en compte les nouveaux paramètres. cliquer sur le bouton « installer ».

Votre autorité de certification racine est configurée. La liste de révocation devra être recréée toutes les années. Ne l'éteignez pas tout de suite : il va falloir certifier votre autorité de distribution (autorité secondaire autonome).crt et . Si vous délivrez un grand nombre de certificats.crl situés dans C:\Windows\System32\Certsrv\CertEnrollsur une clé USB ou autre afin de les transférer vers le serveur web qui hébergera le site guichetunique. Afin de tenir les listes de révocations des postes clients à jour. 5.inf Comme pour l'autorité racine. Cela permettra aux clients de . il faut créer le fichier de configuration dans %windir%\CAPolicy. seules les valeurs changent. il est probable que vous deviez enrévoquer un certain nombre. il est souhaitable depublier des listes fréquemment. Le début du fichier comporte les mêmes instructions que pourl'autorité racine. Il est structuré dela même façon mais possède un contenu différent.Installation de l autorité de certification secondaire d entreprise a) Création du fichier de configuration CAPolicy.org.liste de révocation sera créée dans C:\Windows\System32\Certsrv\CertEnroll. Les listesde révocation delta (ou différentielles) seront publiées tous les trois mois. Ajustez ces valeurs selon le nombre decertificats qui seront délivrés. [version] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=10 CRLPeriod=Years CRLPeriodUnits=1 CRLDeltaPeriod=Months CRLDeltaPeriodUnits=3 Nous allons maintenant ajouter les informations pour permettre aux clients de trouver le certificat de l'autorité racine ainsi que sa liste de révocation.inf. Copiez les fichiers .

inf suivant : [version] Signature="$Windows NT$" [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=10 CRLPeriod=Years CRLPeriodUnits=1 CRLDeltaPeriod=Months CRLDeltaPeriodUnits=3 [CRLDistributionPoint] URL=http://guichetunique.crl [AuthorityInformationAccess] URL=http://guichetunique. Ces informations sont les emplacements depuis lesquels le certificat racine et la liste de révocation sont téléchargeables. nous obtenons donc le fichier CAPolicy.crt Cette configuration va nous imposer de mettre au moins un serveur web dans notre réseau. [CRLDistributionPoint] URL=http://guichetunique. On pourrait tout àfait utiliser un serveur LDAP (Active Directory) mais cela risquerait d'éliminer tous les clients non Windows.org/pki/rootca. il faudra mettre un serveur web sur Internet.org/pki/rootca. Attention à la sécurité de votre serveur ! Les adresses indiquées ont été rentrées précédemment dans la conf iguration de l'autorité racine. Pour être le plus interopérable possible. il faut utiliser un emplacement sur un serveur web.crl [AuthorityInformationAccess] . Il faudra que vous preniez des dispositions (reverse-proxy par exemple) pour assurer la publication du serveur web. Si des clients externes utilisent des services sécurisés par des certificats issus de votre PKI.org/pki/rootca. Au final. Les serveurs web public et interne peuvent être en fait le même serveur.valider les certificats qui leur sont présentés.

cocher « Autorité de certification » et cliquer sur le bouton « suivant ». Dans la page « sélectionner les services de rôle ». puis cliquer sur le bouton « suivant ». Dans la page « spécifier le type de l¶AC ». sélectionner « 2048 » . cocher la case « ignorer cette page par défaut » et cliquer sur le bouton « suivant ». dans longueur de la clé en caractères. ensuite sur le lien « Ajouter des Rôles » à l¶extrême droite de la fenêtre. Dans « rôle de serveur ». cocher « Entreprise » et cliquer sur le bouton « suivant ». Dans la page « Introduction aux services de certificats Active Directory ».crt b) Installation de l autorité L'installation de cette autorité ressemble beaucoup à celle de l'autorité racine. Il faut ajouter le rôle Services decertificats Active Directory. cliquer sur le bouton « suivant ». Dans ce cas une boite de dialogue s¶affiche et vous appuyez sur le bouton « Ajouter les services de rôle requis ».si vous souhaitez. sélectionné « Outils d¶administration » et cliquer enfin sur « Gérer les serveurs ».URL=http://guichetunique. Dans la fenêtre « Assistant Ajout de rôle ». Dans la page « spécifier le type d¶installation ».org/pki/rootca. vous pouvez cocher la case « inscription de l¶autorité de certification via le web » afin de permettre aux clients de créer des certificats via une interface web. Vérifier que l¶heure et la date sur l¶ordinateur de l¶ACEE soit correcte Cliquer sur le menu « démarré ». dans sélectionnez un fournisseur de service de chiffrement. . cocher « créer une nouvelle clé privée »et cliquer sur le bouton « suivant » Dans la page « configurer le chiffrement pour l¶AC ». cocher AD CS (Service de Certificat Active directory). cocher « Autorité de certification Secondaire » et cliquer sur le bouton « suivant » Dans la page « configurer la clé privée ». Dans la fenêtre qui s¶affiche. cliquer sur « Rôles » dans l¶arborescence. sélectionné « RSA #Microsoft Software Key Storage Provider » .

donner les informations suivantes et cliquer sur le bouton « suivant » :  Nom commun de cette AC : GuceAuthoritySecondaire  Suffixe du nom unique : DC=guichetunique. il s'agitde l'autorité racine.guichetunique. Dans la page « Demandé un certificat à une autorité de certification parent ». L'assistant vapouvoir générer une requête de certificat avec les informations recueillies. L'autorité de distribution ne pourra donc pas soumettre sarequête. donner les informations suivantes et cliquer sur le bouton suivant :  Emplacement de la base de données des certificats : D\CertDB  Emplacement des journaux des certificats : D\CertLog Dans la page confirmer les sélections pour l¶installation.org_certificat authority. sélectionner « SHA1 ». il faut que l'autorité soumette une requête à l'autorité racine. vérifier l¶installation a été réalisée avec succès et cliquer sur le bouton « fermer » c) Certification de l autorité secondaire par l autorité racine Supposons que notre requête de certificat a été enregistrée dans l¶emplacement : C:\ca. Dans notre cas. Nous allons copier ce fichier sur .req. Il va falloir enregistrer la requête dans un fichier. sélectionner 10 annéeset cliquer sur le bouton « suivant ». transférer ce fichier via clé USB (par exemple) sur l'autoritéracine pour le soumettre. Dans la page configurer les bases de données des certificats. Monautorité racine n'a aucune interface réseau configurée. cliquer sur le bouton « suivant » Dans la page « configurer le nom de l¶autorité de certification ». Afin d'être certifiée.dans sélectionner l¶algorithme de hachage pour la signature des certificats émis par cette AC.Le principe même d'une autorité racine offline est d'être éteinte et donc de ne pas être disponible sur le réseau. coché « Enregistrer une demande de certificat dans un fichier et envoyer ultérieurement à une autorité de certification parente ».DC=org Dans la page période de validité de certificat. Dans la page résultat de l¶installation. ensuite appuyer sur le bouton « suivant ». cliquer sur le bouton « installer ». L'autorité que nous sommes en train d'installer doit être certifiée par une autorité parente.

Délivrer. Actuellement.p7b) » et « inclure tous les certificats dans le chemin d¶accès de certification si possible » et cliquer sur le bouton suivant. Double-cliquez sur le certificat afin de l'ouvrir. Vous devrez copier ce fichier sur votre autorité secondaire (par clé USB par exemple). cette autorité n'a que sa clé privée. Conservez là dans un endroit sécurisé et n'oubliez pas le mot de passe pour vous connecter sur le serveur. Vous allez pouvoir l'activer puis la configurer. vous devrez recréer intégralement toute votre PKI.Normalement. Vous pouvez ensuite délivrer le certificat en allant dansDemandes en attente. Vous devrez recréer cette liste de révocation et la remplacer sur votre serveur web afin que votre PKI continue de fonctionner sans interruption. Soumettre une nouvelle demande. sélectionner la requête fraichement transférée. Vous pouvez donc retrouver votre certificat dans les certificats délivrés.l¶autorité racine. Toutes les tâches. Vous pouvez contrôler que le certificat est délivré à votre autoritésecondaire par votre autorité racine. Vous pouvez maintenant éteindre votre autorité racine. d) Activation de l autorité secondaire Nous allons maintenant activer notre autorité secondaire. Faites un clic droit sur la demande.crt pour ajouter le certificat dans le .Vous pouvez également contrôler l'emplacement du certificat racine en regardant le champ d 'accès aux informations de l'autorité. Une fois ces contrôles effectués. L'importation du fichier P7B créé sur l'autorité racine permet d'associer la clé privée à laclé publique de l'autorité secondaire. Toutes les tâches. Ne la supprimez sous aucun prétexte ! Elle vous sera utile pour générer une nouvelle liste de révocation quand la première sera arrivée en fin de vie. Indiquez l'emplacement d'exportation du fichier. Si vous perdez votre autorité racine. Taper la commande suivante :certutil -addstoreroot rootca.Allez dans l'onglet Détails. L'exportation ne doit pas présenter de problème particulier. coché respectivement les cases « Standard de syntaxe de message de chiffrement ±certificat PKCS #7(. Ouvrez la console des services de certificats Active Directory puis faites un clic droit sur votre autorité racine. Dans la page « Assistant d¶exportation de certificat ». Vous pouvez contrôler que l'emplacement de la liste de révocation racine est correct en regardant le champ Point de distribution de la liste de révocation des certificats. vous pouvez copier le certificat dans un fichier. Il luimanque sa clé publique. il ne doit pas y avoir de problèmes particuliers dans le traitement de la requête. Il faut commencer par ajouter le certificat racine dans le magasin Autorités decertification racines de confiance afin que le serveur puisse faire confiance au fichier P7B que l'on va importer. Revenons maintenant sur l'autoritésecondaire.

faites un clic droit sur votre autorité de certification.  S'il parle d'un problème de confiance dans la chaine de certification. La commande précédente ajoute le certificat racine dans les deux comptes. il reste encore la configuration de l'autorité à finaliser. Si vous n'avez pas eu de message d'erreur et que votre console est de nouveau réactive. contrôlez que le fichierrootca. Nous pouvons maintenant installer le certificat délivré par l'autorité racine. Si vous n'avez pas eu de problèmes lors de l'importation du certificat. En revanche. Pour cela. importez-le manuellement. Contrôlez l'heure et la date de votre serveur. cela vous permettra de réessayer l'importation du certificat. NB :Le fichier rootca. ne cliquez pas sur OK. vous pouvez vous réjouir ! Cela veut dire que votre autorité peut démarrer.La console semble alors se figer. NB :Si vous avez un message d'erreur.  S'il parle d'un problème de liste de révocation. Dans la console Autorité de certification.Un petit cercle vert atteste du bon démarrage et de la bonne santé de votre autorité secondaire. Un ordinateur a cependant deux magasins d'autorités racines. regardez la date d'expiration de la liste de révocation. Si elle n'est pas dépassée. Si elle est dépassée.Sélectionnez le fichier P7B exporté depuis votre autorité de certification racine. Il existe en effet un magasin par compte (utilisateur et ordinateur). ajoutez le composant enfichable Certificats en sélectionnant le compte ordinateur. ouvrez une mmc. vous devez régler ce problème avant de continuer. Installer un certificat d'autorité de certification. Cliquez toujours sur Annuler. Le seul moyen que j'ai trouvé pour le moment pour vider ce cache est de redémarrer le serveur. lisez bien ce dernier.crl est téléchargeable. . Si cela fonctionne. S'il n'est pas présent. Toutes les tâches.Le travail n'est pas encore fini. recréez-la sur votre autorité de certification racine : cela n'est pas normal et ne devrait pas se produire. redémarrez simplement votre serveur : il s'agit du cache CRL. Si ce n'est pas le cas.crl est téléchargeable depuis votre autorité secondaire. contrôlez que votre certificat racine est bien dans le magasin Autorités de certification racines de confiance du compte ordinateur.magasin voulu.crt est normalement téléchargeable sur votre serveur web. Vérifiez également que le fichier rootca. vous pouvez démarrer votre autorité en cliquant sur Démarrer (flèche verte en dessous du menu Affichage sur la barre d¶outil). si vous avez un message d'erreur.

Nous avons configuré tout à l'heure les listes de révocations différentielles dans le fichier CAPolicy. faites un clic droit sur Certificats révoqués. De manière logique. passons maintenant à l'emplacement du certificat de votre autoritésecondaire. Toutes les tâches. Vous devrez redémarrer l'autorité quand cela vous sera proposé (appuyer sur « OK »). Comme pour les listes de révocation.Pour finir.crl) et ensuite appuyer sur le bouton « OK » Vous devrez ensuite inclure cet emplacement dans les listes de révocation afin de pouvoir rechercher les listes de révocation des certificats delta. Le certificat de votre autorité ainsi que la liste doivent être .Sélectionnez ensuite l'onglet Extensions.org/pki/ca-delta. Pour cela. Sélectionnez l'extension Accès aux informations de l'autorité (AIA).Cliquez ensuite sur « OK » pour fermer les propriétés de l'autorité. Nous devons maintenant indiquer l'emplacement de ces listes de révocation différentielles (par exemplehttp://guichetunique.Vous allez pouvoir retrouver les listes de révocation et le certificat d'autorité dans %windir%\System32\Certsrv\CertEnroll\. Par défaut.e) Configuration après le premier démarrage Dans la console de l'autorité de certification. ouvrez l'arborescence de votre autorité. Copiez les fichiers sur votre serveur web.crl).Ajoutez ensuite l'adresse à laquelle les clients pourront trouver la liste de révocation de votre autorité secondaire. l'extension sélectionnée devrait être Points de distribution deliste de révocation des certificats (CDP). Nous allons maintenant pouvoir générer les listes de révocation de votre autorité secondaire.Commencez par publier unenouvelle liste de révocation des certificats.Supprimez toutes les lignes sauf celle commençant par C:\Windows\System32 puis cliquez sur Ajouter.inf. elle devrait être placée au même endroit que la liste de révocation de votre autorité racine (par exemple http://guichetunique.Entrez l'adresse à laquelle les clients pourront trouver le certificat. supprimez tout sauf la ligne commençant par C:\Windows\System32 et ajoutez un nouvel emplacement (appuyer sur le bouton « Ajouter »).Nous en avons fini avec les listes de révocation.crt)serveur que le certificat racine et appuyer sur le bouton « OK ». faites un clic droit sur votre autorité afin de modifier ses propriétés. Cela permettra aux clients de connaitre l'emplacement des listes de révocationdifférentielles.org/pki/ca. Publier.Vous devrez ensuite sélectionner d'inclure ce nouvel emplacement dans l'extension CDP des certificats émis. Répétez l'opération en publiant uneliste de révocation des certificats delta uniquement (cliquer sur le bouton « OK »). et appuyer en suite sur le bouton « OK ». Il est également logique de le mettre sur le même (par exemplehttp://guichetunique. il faut inclure le nouvel emplacement dans l'extension AIA des certificats émis.org/pki/ca.

L'attribut SAN(SubjectAlternate Name) permet de gérer plusieurs noms par certificat. Renouveler le certificat d'autorité decertification. Il faut renommer ce fichier en ca-delta. votre autorité sera inopérante. Si la clé privée de l'autoritéa été compromise ou que vous avez de nouveaux niveaux de sécurité à respecter (clé plus longue par exemple).Afin de permettre à votre autorité secondaire de délivrer des certificats avec cet attribut. Dans notre cas. celle-ci ne fonctionnera plus : elle ne pourra plus délivrer de certificatspuisque le sien sera périmé. il faut exécuter la commandesuivante : certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 Il faut redémarrer votre autorité pour prendre en compte les changements. Redémarrez le service Autorité decertification ou exécutez les commandes suivantes : net stop certsvc net start certsvc Votre infrastructure à clés publiques est maintenant achevée. votre PKI est capable de délivrer des certificats uniquement pour un seul nom. Doit-on renouveler le certificat ou alors générer un nouveau certificat ? Lorsque le certificat est en fin de vie ou périmé. Le fichier se terminant par +. Si vous ne renouvelez pas le certificat de votre autorité à temps.renommés respectivement en ca..Vous devez maintenant répondre à une question importante.crt etca. Réalisons ici le renouvellement sur mon autorité intermédiaire. 6. En effet.crl est la liste de révocation delta. on ne souhaite pas créer une nouvelle paire de clés mais seulement les renouveler. le principe est identique : seule lapartie de signature de certificat par l'autorité parente n'aura pas lieu. On répondra donc non..Renouvellement des Autorités de certification Il s'agit d'une étape qui se planifie. ouvrez la console de gestion de votre autorité puis faites un clic-droit sur votre autorité. . La mmc vous préviendra que votre autorité doit être arrêtée : acceptez. f) Activation des attributs SAN (SubjectAlternate Name) Lorsque vous faites plusieurs sites web sécurisés sur un même serveur ou que vous travaillez avec Exchange ouOffice Communications Server.. il va falloir redémarrer votre autorité une à deux fois. utilisateurs et ordinateurs. Pour commencer.crl. Vous pouvez commencer à générer des certificats pourvos serveurs. Sur une autorité racine. il faudra créer une nouvelle paire de clés. il est nécessaire d'avoir une PKI capable de délivrer des certificats avec plusieursnoms.crl. Actuellement. on devra le renouveler. Le renouvellement de certificat prend environ cinq minutes : pendant ce temps. Toutes les tâches.

pensez à remplacer le certificat de votre autorité intermédiaire afin de conserver une chaine de certification valide. V- . l'étape suivante (signature du certificat) doit être ignorée.. Je vais donc choisir de transférer manuellement la requête. Vous pourrez décider de l'envoyer directement à votre autoritéracine ou alors de le transférer manuellement. NB :Pensez à supprimer les fichiers qui ont été créés (requête..Il faudra ensuite exporter le certificat de votre autorité de certification seul (au formatcrt). Vous devrez remplacer le fichier ca. Mon autorité racine est totalement indépendante et ne possède pasde connexion réseau pour éviter tout problème.NB :Si vous renouvelez votre autorité racine.Vous devrez ensuite soumettre le fichier de requête à l'autorité racine comme pour l'installation de l'autoritéintermédiaire.msc vous indiquera que tout fonctionne correctement. Pour cela. la vue imbriquée de pkiview. Toutes les tâches. Le fichier de requête de renouvellement sera alors créé. reprenez la console de l'autorité de certification puis faites un clic-droit sur votre autorité. Sélectionnez le fichier contenant le certificat de l'autorité puis redémarrez votre autorité. Si vous ouvrez le gestionnaire de serveur sur le rôle autorité de certification.crt présent dans le site IIS créé pour gérer la révocation. Une fois que le fichier du nouveau certificat est sur votre autorité intermédiaire. Exportez ensuite le certificat comme lors de l'installation. Installer un certificat d'autorité de certification.. Si vous utilisez la distribution de certificats par GPO (Group Policy Object). Le fichier est stocké à l'endroit spécifié sur la fenêtre. il faut cliquer sur Annuler. fichier du nouveau certificat).

Sign up to vote on this title
UsefulNot useful