Certificats d'ordinateurs pour l'authentification par certificat

Avant d'utiliser EAP-TLS (Extensible Authentication Protocol-Transport Level Security), vous devez installer un certificat d'ordinateur sur l'ordinateur serveur IAS. Le certificat d'ordinateur installé doit être délivré par une Autorité de certification pouvant suivre une chaîne de certificats vers une Autorité de certification racine approuvée par les clients d'accès. De plus, pour que le serveur IAS puisse valider le certificat utilisateur ou d'ordinateur du client d'accès, le serveur IAS doit installer sur les clients d'accès le certificat de l'Autorité de certification racine ayant délivré le certificat utilisateur ou d'ordinateur.

Pour plus d'informations, voir Authentification et certificats d'accès au réseau.

Pour installer un certificat d'ordinateur, une Autorité de certification doit être disponible pour la délivrance de certificats. Une fois l'Autorité de certification configurée, vous pouvez installer un certificat d'ordinateur sur le serveur IAS :

• en configurant l'allocation automatique de certificats d'ordinateur aux ordinateurs d'un domaine Active Directory ;
  
  
• en utilisant le Gestionnaire de certificats pour obtenir un certificat d'ordinateur ;
  
  
• en utilisant Microsoft Internet Explorer et l'inscription par le Web.
  
  

Pour configurer une Autorité de certification et installer le certificat d'ordinateur, effectuez les étapes suivantes :

1. Installez le composant Services de certificats en tant qu'Autorité de certification racine d'entreprise. Pour plus d'informations, voir Installer une Autorité de certification racine d'entreprise. Cette étape n'est obligatoire que si vous n'avez pas encore d'Autorité de certification racine d'entreprise.
   
   Au besoin, configurez l'ordinateur qui fait office d'Autorité de certification en tant que contrôleur de domaine.
   
   
2. Pour installer les certificats d'ordinateur par le biais de l'inscription automatique, configurez la Stratégie de groupe sur le domaine Active Directory pour l'allocation automatique des certificats d'ordinateur. Pour plus d'informations, voir Configurer l'allocation automatique de certificats à partir d'une Autorité de certification d'entreprise.
   
   Pour créer un certificat d'ordinateur pour le serveur IAS qui est membre du domaine pour lequel l'inscription automatique est configurée (ainsi que d'autres ordinateurs membres du domaine), redémarrez l'ordinateur ou tapez gpupdate /target:computer à partir d'une invite de commandes.
   
   
3. Pour inscrire manuellement des certificats d'ordinateur, utilisez le Gestionnaire de certificats pour installer le certificat racine de l'Autorité de certification du client d'accès et le certificat d'ordinateur du serveur IAS. Pour plus d'informations, voir Gérer les certificats d'un ordinateur et Demander un certificat.
   
   
4. Pour inscrire manuellement des certificats d'ordinateur avec Internet Explorer, voir Soumettre une demande de certificat avancée via le Web.
   
   

Remarques

• Bien que Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition et Windows Server 2003, Datacenter Edition vous autorisent à installer plusieurs certificats d'ordinateur, un seul certificat d'ordinateur peut être sélectionné pour toutes les stratégies d'accès distant qui spécifient l'authentification à l'aide d'EAP-TLS.
  
  
• Un serveur IAS n'utilise pas de nouvelle liste de révocation de certificats (publiée par l'Autorité de certification) avant que l'ancienne liste ait expiré. Si un certificat a expiré et que le serveur IAS effectue une vérification par rapport à une liste de révocation de certificats ancienne mais non expirée, le serveur IAS autorisera les clients possédant des certificats révoqués à se connecter au réseau. Pour empêcher que cela se produise, vous pouvez publier des listes de révocation de certificats avec de courts délais d'expiration (une heure ou plus).
  
  
• Sous Windows Server 2003, Standard Edition, vous pouvez configurer IAS avec un nombre maximum de 50 clients RADIUS et un maximum de deux groupes de serveurs RADIUS distants. Vous pouvez définir un client RADIUS en utilisant un nom de domaine complet ou une adresse IP, mais vous ne pouvez pas définir des groupes de clients RADIUS en spécifiant une plage d’adresses IP. Si le nom de domaine complet d’un client RADIUS se résout en plusieurs adresses IP, le serveur IAS utilise la première adresse IP retournée dans la requête DNS. Le nombre de clients RADIUS et de groupes de serveurs RADIUS distants que vous pouvez configurer est illimité avec IAS sur Windows Server 2003 Enterprise Edition et Windows Server 2003 Datacenter Edition. De plus, vous pouvez configurer des clients RADIUS en spécifiant une plage d’adresses IP.