Exporter (0) Imprimer
Développer tout

Services de certificats Active Directory (AD CS) : Inscription Web

Mis à jour: avril 2010

S'applique à: Windows Server 2008

Un certain nombre de modifications ont été apportées à la prise en charge de l’inscription de certificats via le Web dans le système d’exploitaiton Windows Server® 2008. Ces modifications découlent du remplacement de l’ancien contrôle d’inscription ActiveX® par un nouveau contrôle d’inscription dans Windows Vista® et Windows Server 2008. Les sections suivantes décrivent les modifications et leurs implications.

À quoi sert l’inscription de certificats via le Web ?

L’inscription de certificats via le Web est disponible depuis son introduction dans les systèmes d’exploitation Windows® 2000. Cette fonctionnalité est conçue pour servir de mécanisme d’inscription aux organisations qui ont besoin d’émettre et de renouveler des certificats pour des utilisateurs et ordinateurs qui ne sont pas joints au domaine ou qui ne sont pas connectés directement au réseau, et pour des utilisateurs de systèmes d’exploitation non-Microsoft. Au lieu de s’en remettre au mécanisme d’inscription automatique d’une autorité de certification ou d’utiliser l’Assistant Demande de certificat, la prise en charge de l’inscription Web fournie par une autorité de certification Windows permet à ces utilisateurs de demander et d’obtenir de nouveaux certificats et des certificats renouvelés par le biais d’une connexion Internet ou intranet.

Qui cette fonctionnalité peut-elle intéresser ?

Cette fonctionnalité s’applique aux organisations qui possèdent des infrastructures à clé publique (PKI) dotées d’une ou plusieurs autorités de certification exécutant Windows Server 2008 et de clients exécutant Windows Vista, et qui veulent offrir aux utilisateurs la possibilité d’obtenir de nouveaux certificats ou de renouveler des certificats existants à l’aide de pages Web.

L’ajout d’une prise en charge des pages d’inscription Web peut considérablement améliorer la souplesse et l’évolutivité de l’infrastructure à clé publique d’une organisation ; par conséquent, cette fonctionnalité est susceptible d’intéresser les architectes, les planificateurs et les administrateurs d’infrastructures à clé publique.

Quelle fonctionnalité existante a été modifiée ?

L’ancien contrôle d’inscription, XEnroll.dll, a été remplacé dans Windows Vista et Windows Server 2008 par un nouveau contrôle d’inscription, CertEnroll.dll. Bien que le processus d’inscription Web se déroule pour l’essentiel comme dans Windows 2000, Windows XP et Windows Server 2003, ce changement de contrôle d’inscription peut affecter la compatibilité lorsque des utilisateurs ou des ordinateurs exécutant Windows Vista ou Windows Server 2008 tentent de demander un certificat à l’aide de pages d’inscription Web installées sur ces versions antérieures de Windows.

Pourquoi le remplacement de XEnroll par CertEnroll est-il important ?

XEnroll.dll est mis au rebut pour les raisons suivantes :

  • XEnroll.dll est un contrôle hérité qui a été écrit il y a plusieurs années et qui n’est pas considéré être aussi sécurisé que les contrôles écrits plus récemment.

  • XEnroll.dll possède une interface monolithique qui présente plusieurs ensembles de fonctionnalités. Elle contient plus de 100 méthodes et propriétés. Ces méthodes et propriétés ont été ajoutées au fil des ans et l’appel d’une fonction peut modifier le comportement d’une autre fonction, ce qui rend cette interface très difficile à tester et à gérer.

En revanche, CertEnroll.dll a été créé pour être plus sécurisé, plus facile à intégrer dans des scripts et plus facile à mettre à jour que XEnroll.dll.

noteRemarque
XEnroll.dll peut continuer à être utilisé pour l’inscription Web sur les ordinateurs exécutant Windows 2000, Windows XP et Windows Server 2003.

Qu’est-ce qui fonctionne différemment ?

Les autorités de certification Windows Server 2008 continueront à prendre en charge les demandes d’inscription de certificats via le Web émanant d’utilisateurs d’ordinateurs clients Windows XP et Windows Server 2003. Si vous inscrivez des certificats par le biais des pages d’inscription Web de Windows Server 2008 à partir d’un ordinateur exécutant Windows XP, Windows Server 2003 ou Windows 2000, les pages d’inscription Web détectent votre système d’exploitation et utilisent le contrôle Xenroll.dll installé localement sur l’ordinateur client. Toutefois, les comportements client suivants seront différents de ceux des versions antérieures de Windows :

  • La fonctionnalité d’agent d’inscription (également appelée station d’inscription de carte à puce) a été supprimée de l’inscription Web dans Windows Server 2008 car Windows Vista fournit sa propre fonctionnalité d’agent d’inscription. Si vous devez effectuer l’inscription pour le compte d’un autre client avec la fonction d’inscription Web de Windows Server 2008, vous devez utiliser des ordinateurs exécutant Windows Vista comme stations d’inscription. Vous pouvez également utiliser un serveur Windows Server 2003 sur lequel la fonction d’inscription Web est installée et vous servir de ce serveur comme agent d’inscription pour inscrire des certificats par le biais d’une autorité de certification Windows Server 2008.

  • Seuls les utilisateurs des navigateurs Internet Explorer version 6.x ou Netscape 8.1 peuvent envoyer directement des demandes de certificats par le biais des pages d’inscription Web. Les utilisateurs d’autres navigateurs Web peuvent quand même envoyer des demandes d’inscription à l’aide des pages d’inscription Web, mais ils doivent tout d’abord créer une demande PKCS #10 avant de l’envoyer par le biais des pages d’inscription Web.

  • L’inscription de certificats via le Web ne peut pas être utilisée pour les modèles de certificats version 3 (qui ont fait leur apparition dans Windows Server 2008 pour prendre en charge l’émission de certificats conformes à Suite B).

  • Internet Explorer ne peut pas s’exécuter dans le contexte de sécurité de l’ordinateur local ; par conséquent, les utilisateurs ne peuvent plus demander de certificats d’ordinateur à l’aide de l’inscription Web.

Comment préparer le déploiement de l’inscription de certificats via le Web ?

Pour configurer un serveur pour la prise en charge de l’inscription de certificats via le Web, le service de rôle Inscription de l’autorité de certification via le Web doit être ajouté au rôle serveur. Si la prise en charge de l’inscription Web est installée sur le même ordinateur que l’autorité de certification, aucune autre étape de configuration n’est requise. Si le service de rôle d’inscription Web et l’autorité de certification sont installés sur des ordinateurs différents, l’autorité de certification doit être identifiée dans le cadre de l’installation de la prise en charge de l’inscription Web. Une fois le service de rôle d’inscription Web installé, un nouveau site Web nommé « CertSrv » est disponible par le biais des services Internet (IIS).

Les pages d’inscription Web non-Microsoft vont être lourdement affectées car XEnroll.dll n’est pas disponible dans Windows Server 2008 et Windows Vista. Les administrateurs de ces autorités de certification doivent créer des solutions alternatives pour prendre en charge l’émission et le renouvellement de certificats pour les ordinateurs clients exécutant Windows Server 2008 et Windows Vista, tout en continuant à utiliser Xenroll.dll pour les versions antérieures de Windows.

Les administrateurs doivent également prévoir la configuration appropriée pour les serveurs exécutant les services IIS. Les services IIS peuvent s’exécuter soit en mode 64 bits, soit en mode 32 bits. Si vous installez les services IIS sur un serveur exécutant la version 64 bits de Windows Server 2008, vous ne devez pas installer d’applications Web 32 bits, telles que les services WSUS (Windows Server Update Services), sur cet ordinateur. Dans le cas contraire, l’installation du service de rôle d’inscription Web échoue.

Références supplémentaires

Pour plus d’informations sur d’autres fonctionnalités des services de certificats Active Directory, voir Rôle Services de certificats Active Directory.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft