Demande d'un certificat d'une autorité de certification locale

Publication: novembre 2009

Mis à jour: février 2010

S'applique à: Forefront Threat Management Gateway (TMG)

Lorsque les certificats de serveur sont destinés à une utilisation interne, vous pouvez créer une autorité de certification locale, ce qui rend inutile l'achat d'un certificat commercial.

Définition d'une autorité de certification locale

1. Ouvrez le Panneau de configuration.

2. Double-cliquez sur Ajouter ou supprimer des programmes.

3. Cliquez sur Ajouter/Supprimer des composants Windows.

4. Double-cliquez sur Serveur d'applications.

5. Double-cliquez sur Services Internet (IIS).

6. Double-cliquez sur Services World Wide Web.

7. Sélectionnez Pages ASP.

8. Cliquez sur OK pour fermer la boîte de dialogue Services World Wide Web, cliquez sur OK pour fermer la boîte de dialogue Services Internet (IIS), puis cliquez sur OK pour fermer la boîte de dialogue Serveur d'applications.

9. Sélectionnez Services de Certificats. Vérifiez l'avertissement concernant le nom de l'ordinateur et l'appartenance au domaine. Cliquez sur Oui dans la boîte de dialogue d'avertissement si vous voulez continuer, puis cliquez sur Suivant dans la page Composants Windows.

10. Dans la page Type d'autorité de certification, choisissez l'une des autorités de certification suivantes, puis cliquez sur Suivant :

    • Autorité racine d'entreprise. Une autorité de certification racine d'entreprise doit être installée sur un membre de domaine. Elle délivre automatiquement des certificats sur demande des utilisateurs autorisés (reconnus par le contrôleur de domaine).

    • Autorité racine autonome. Une autorité de certification racine autonome nécessite l'émission des certificats demandés par l'administrateur.

11. Dans la page Informations d'identification de l'Autorité de certification, entrez un nom commun pour l'autorité de certification, vérifiez le suffixe du nom unique, sélectionnez une période de validité et cliquez sur Suivant.

12. Dans la page Paramètres de la base de données de certificats, vérifiez les paramètres par défaut. Vous pouvez vérifier les emplacements de la base de données. Cliquez sur Suivant.

13. Dans la page Fin de l'Assistant Composants Windows, vérifiez le résumé, puis cliquez sur Terminer.

Remarque :

Cette procédure installe aussi les services qui permettront aux ordinateurs d'obtenir les certificats sur une page Web. Si vous préférez adopter une méthode différente d'obtention de certificats pour vos ordinateurs, vous n'avez pas besoin d'effectuer les installations Internet Information Services (IIS) et Active Server Pages décrites dans cette procédure. Pour permettre l'accès au site Web de l'autorité de certification, vous devez le publier. Au lieu de publier un serveur complet pour tous les utilisateurs, vous pouvez, afin de limiter l'accès au site Web, n'en publier pour un ensemble spécifique d'entre eux que les dossiers effectivement requis. Pour plus d'informations sur la publication Web, consultez Planification de la publication.

Installation d'un certificat de serveur

1. Ouvrez Microsoft Internet Explorer.

2. Dans le menu, sélectionnez Outils, puis Options Internet.

3. Sélectionnez l'onglet Sécurité, puis dans la zone Cliquez sur une zone pour afficher ou modifier les paramètres de sécurité, cliquez sur Sites approuvés.

4. Cliquez sur le bouton Sites pour ouvrir la boîte de dialogue Sites approuvés.

5. Dans Ajouter ce site Web à la zone, fournissez le nom du site Web du serveur de certificats (http://adresse IP du serveur de l'autorité de certification/NomServeurCert), puis cliquez sur Ajouter.

6. Cliquez sur Fermer pour fermer la boîte de dialogue Sites approuvés, puis cliquez sur OK pour fermer la boîte de dialogue Options Internet.

7. Naviguez vers :

   http://adresse IP du serveur de l'autorité de certification/ServeurCert

8. Demandez un certificat.

9. Sélectionnez Demande de certificat avancée.

10. Cliquez sur Créer et soumettre une demande de requête auprès de cette Autorité de certification.

11. Remplissez le formulaire puis choisissez l'option Certificat d'authentification serveur dans la liste déroulante Type. Pour éviter qu'un client n'obtienne un message d'erreur lors d'une tentative de connexion, il est essentiel que le nom usuel que vous fournissez pour le certificat corresponde au nom du serveur publié, comme cela est décrit ci-dessous :

    • Dans le cas de la publication de serveur, dans le champ Nom usuel, tapez le nom de domaine complet du serveur que vous publiez.

      Remarque :
      Pour plus d'explications sur les options disponibles dans la page Demande de certificat avancée, consultez l'article « Utilisation des pages Web des services de certificats Windows Server 2003 » (https://www.microsoft.com).

    • Dans le cas de la publication Web et pour un certificat installé sur l'ordinateur Forefront TMG, tapez le nom complet de l'hôte que les clients externes devront taper dans leur navigateur Web pour accéder au site Web (par exemple, news.adatum.com).

    • Toujours dans le cas de la publication Web, si vous installez également un certificat de serveur sur le serveur Web en plus du certificat requis sur l'ordinateur Forefront TMG, le nom commun doit être le nom d'hôte que l'ordinateur Forefront TMG utilise pour envoyer des messages de requête HTTP au serveur Web via la règle de publication Web. Ce nom doit pouvoir être résolu en l'adresse IP du serveur Web et peut correspondre au FQDN du serveur Web (webserver1.adatum.com, par exemple).

12. Sélectionnez Installer le certificat dans le magasin de certificats de l'ordinateur local et soumettez la requête en cliquant sur Envoyer. Prenez connaissance de la boîte de dialogue d'avertissement qui s'affiche, puis cliquez sur Oui.

13. Si vous avez installé une autorité racine autonome, effectuez les opérations suivantes sur l'ordinateur de l'autorité de certification. Dans le cadre d'une autorité de certification racine d'entreprise, cette étape est exécutée automatiquement.

    1. Cliquez sur Démarrer, pointez sur Tous les programmes, puis sur Outils d'administration, puis cliquez sur Autorité de certification pour ouvrir le composant logiciel enfichable MMC Autorité de certification.

    2. Développez le nœud NomAC, où NomAC est le nom de votre autorité de certification.

    3. Cliquez sur le nœud Demandes en attente, cliquez avec le bouton droit sur votre demande, sélectionnez Toutes les tâches, puis Délivrer.

14. Sur l'ordinateur Forefront TMG, revenez à la page Web http://adresse IP du serveur de l'autorité de certification/ServeurCert, puis cliquez sur Afficher le statut d'une demande en attente.

15. Cliquez sur votre requête et choisissez Installer ce certificat.

16. Vérifiez que le certificat de serveur a été correctement installé en procédant comme suit.

    1. Cliquez sur Démarrer, sur Exécuter, tapez mmc dans la zone de texte Ouvrir, puis cliquez sur OK.

    2. Dans la fenêtre Console1, cliquez sur le menu Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.

    3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis cliquez sur Ajouter.

    4. Dans la page Composant logiciel enfichable Certificats, sélectionnez Compte d'ordinateur, puis cliquez sur Suivant.

    5. Dans la page Sélectionner un ordinateur, sélectionnez Ordinateur local, puis cliquez sur Terminer.

    6. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK.

    7. Dans l'arborescence de la console, développez le nœud Certificats (ordinateur local), puis Personnel, cliquez sur Certificats, puis double-cliquez sur le nouveau certificat de serveur. Sous l'onglet Général, la mention Vous avez une clé privée qui correspond à ce certificat doit apparaître. Sous l'onglet Chemin d'accès de certification, une relation hiérarchique entre le certificat et l'autorité de certification doit apparaître ainsi qu'une note indiquant Ce certificat est valide.

    8. Fermez la fenêtre Console1.

Remarque :

Vous devez effectuer cette procédure sur l'ordinateur sur lequel le certificat numérique est requis. Dans le cas de la publication Web, il s'agit de l'ordinateur Forefront TMG, au minimum, et éventuellement du serveur Web. Dans le cas de la publication de serveur, il ne s'agit que du serveur que vous publiez. Si vous avez installé une autorité de certification racine autonome plutôt qu'une autorité de certification racine d'entreprise, il existe également des actions exécutées sur l'autorité de certification. Sur un ordinateur Forefront TMG, le certificat de serveur obtenu auprès d'une autorité de certification doit être stocké dans le magasin de certificats personnels de l'ordinateur Forefront TMG. Le certificat racine de l'autorité de certification doit être stocké dans le magasin Autorités de certification racine approuvées de l'ordinateur Forefront TMG.

Un ordinateur client ne peut approuver les certificats de serveur que vous avez installés à partir d'une autorité de certification locale que s'il a installé le certificat racine à partir de celle-ci. Suivez la procédure ci-dessous pour installer le certificat racine sur l'ordinateur client. Vous pouvez également transférer le certificat racine sur un support, un CD par exemple, pour l'installer ensuite sur l'ordinateur client.

Installation d'un certificat racine

1. Ouvrez Microsoft Internet Explorer.

2. Dans le menu, sélectionnez Outils, puis Options Internet.

3. Sélectionnez l'onglet Sécurité, puis cliquez sur Personnaliser le niveau pour ouvrir la boîte de dialogue Paramètres de sécurité. Dans le menu déroulant Rétablir les paramètres personnalisés, choisissez l'option Moyen, cliquez sur OK pour fermer la boîte de dialogue Paramètres de sécurité, puis cliquez sur OK pour fermer la boîte de dialogue Options Internet.

   Remarque :
   L'installation du certificat est impossible si le paramètre de sécurité a pour valeur Élevé.

4. Naviguez vers :

   http://adresse IP du serveur de l'autorité de certification/ServeurCert

5. Cliquez sur Télécharger un certificat d'autorité de certification, une chaîne de certificatsou la liste de révocation de certificats. Dans la page suivante, cliquez sur Télécharger un certificat de l'Autorité de certification. Il s'agit du certificat de l'autorité de certification racine qui doit être installé sur l'ordinateur Forefront TMG. Dans la boîte de dialogue Téléchargement de fichiers, cliquez sur Ouvrir.

6. Dans la boîte de dialogue Certificat, cliquez sur Installer un certificat pour démarrer l'Assistant Importation de certificat.

7. Dans la page Assistant Importation de certificat, cliquez sur Suivant. Dans la page Magasin de certificats, sélectionnez Placer tous les certificats dans le magasin suivant et cliquez sur Parcourir. Dans la boîte de dialogue Sélectionner un magasin de certificats, sélectionnez Afficher les magasins physiques. Développez Autorités de certification racine approuvées, sélectionnez Ordinateur local, puis cliquez sur OK. Dans la page Magasin de certificats, cliquez sur Suivant.

8. Dans la page Fin de l'Assistant Importation de certificat, vérifiez les informations, puis cliquez sur Terminer.

9. Vérifiez que le certificat racine a été correctement installé en procédant comme suit.

   1. Ouvrez le composant logiciel enfichable MMC (Microsoft Management Console) Certificats (ordinateur local).

   2. Développez le nœud Autorités de certification racine approuvées, cliquez sur Certificats, puis vérifiez que le certificat racine est en place.

   Remarque :
   Vous pouvez également installer des certificats sur un ordinateur à partir du composant logiciel enfichable MMC Certificats (ordinateur local). Toutefois, cette méthode permet d'accéder uniquement aux autorités de certification du même domaine.