Posted inWindows Server

Créer une autorité de certification d’entreprise et générer un certificat SSL

No CommentsPosted inWindows Server

Dans un environnement informatique professionnel, la sécurité des communications est essentielle. Les certificats SSL permettent de chiffrer les échanges entre les utilisateurs et les services (sites web, applications internes, serveurs), garantissant ainsi confidentialité et authenticité. Pour éviter de dépendre d’une autorité externe et maîtriser entièrement la gestion des certificats, il est possible de créer sa propre autorité de certification (CA) en interne.

Dans ce tutoriel, vous apprendrez à installer le rôle ADCS (Active Directory Certificate Services) sur un serveur Windows, à créer et configurer une autorité de certification d’entreprise, puis à générer un certificat SSL. Une solution idéale pour les infrastructures internes, les environnements de test ou les organisations souhaitant renforcer leur sécurité sans frais supplémentaires.

Prérequis

  • Configurer les paramètres réseau du serveur windows (pour notre exemple IP: 192.168.20.2, masque: 255.255.255.0)
  • Installer le rôle AD DS (Active Directory Domain Services)

Installation et configuration du rôle ADCS

Pour commencer, connectez-vous avec un compte disposant des droits administrateur > Ouvrez le Gestionnaire de serveur > Cliquez sur Gérer > Sélectionnez Ajouter des rôles et fonctionnalités.

Lorsque l’assistant Ajout de rôles et fonctionnalités s’ouvre, cliquez sur Suivant jusqu’à l’étape Type d’installation > Sélectionnez Installation basée sur un rôle ou une fonctionnalité > Choisissez Sélectionner un serveur dans le pool de serveurs > Dans la liste affichée en bas de la fenêtre, sélectionnez le serveur sur lequel vous souhaitez installer le rôle (si un seul serveur est disponible, il sera sélectionné par défaut) > Cochez Services de certificats Active Directory > Cliquez sur Ajouter des fonctionnalités lorsque la fenêtre contextuelle s’affiche.

Poursuivez la configuration sans modifier les paramètres par défaut en cliquant sur Suivant à chaque étape. Une fois arrivé à la sélection des services de rôle, cochez uniquement Autorité de certification, puis cliquez sur Suivant pour continuer l’installation.

Cochez Redémarrer automatiquement le serveur, si nécessairepuis sur Installer.

Une fois l’installation terminée, poursuivez avec la configuration du rôle ADCS.Pour cela, cliquez sur l’icône d’alerte (triangle jaune) en haut à droite du Gestionnaire de serveur > Sélectionnez Configurer le service de certificats Active Directory.

Ensuite, cliquez sur Modifier afin de saisir les informations d’identification (compte Administrateur) > Cochez Autorité de certification > Cochez Autorité de certification d’entreprise > Cochez Autorité de certification racine > Sélectionnez Créer une clé privée > Spécifiez les options de chiffrement suivantes : Fournisseur : RSA > Algorithme de hachage : SHA512 > Longueur de la clé : 4096 bits.

Spécifiez ensuite le nom unique de l’autorité de certification. Ce nom est composé d’un nom commun (CN) et d’un suffixe de domaine. Par défaut, ces éléments sont automatiquement générés à partir du nom de votre domaine. Dans notre cas, le domaine étant adminsysnetlab.lan, le nom commun sera : CN=Adminsysnetlab-CA, et le suffixe : DC=adminsysnetlab, DC=lan.

Spécifiez la durée de validité de votre autorité de certification. Cette période détermine combien de temps le certificat racine restera valide. Dans notre cas, nous conservons la valeur par défaut, soit 5 ans.

Spécifiez les emplacements de la base de données des certificats ainsi que ceux des fichiers journaux. Sauf besoin spécifique, vous pouvez conserver les emplacements par défaut, comme c’est le cas dans notre configuration.

Une fois tous les paramètres correctement renseignés, cliquez sur Configurer afin d’appliquer la configuration de l’autorité de certification.

Lorsque la configuration est terminée avec succès, l’abréviation ADCS apparaîtra dans le volet de navigation à gauche du Gestionnaire de serveur.

Création d’un modèle de certificat web

Nous continuons ce tutoriel avec la création d’un modèle de certificat web. Pour cela, ouvrez le Gestionnaire de serveur > Cliquez sur Outils > Sélectionnez Autorité de certification.

Ensuite, dans le volet de gauche, faites un clic droit sur Modèles de certificat > sélectionnez Gérer. Dans la liste qui s’ouvre, recherchez le modèle Serveur Web (situé vers le bas), faites un clic droit dessus, puis choisissez Dupliquer le modèle.

Dans l’onglet Général, saisissez le nom de votre modèle de certificat. Pour cet exemple, nous utilisons CertSSL_Web. Passez ensuite à l’onglet Sécurité, puis cochez l’option Contrôle total pour le groupe Utilisateurs authentifiés > Cliquez sur Appliquer, puis OK, et fermez la console des modèles de certificat.

Activation du modèle de certificat web

Le modèle de certificat étant créé, nous allons maintenant l’activer pour pouvoir l’utiliser. Pour cela, effectuez un clic droit sur Modèles de certificat > sélectionnez Nouveau > cliquez sur Modèle de certificat à délivrer.

Sélectionnez le modèle de certificat que vous avez précédemment créé, puis cliquez sur OK pour l’ajouter à la liste des modèles à délivrer.

Demande d’un nouveau certificat et exportation

Cette étape consiste à générer un certificat SSL. Pour commencer, appuyez sur les touches Windows + R, saisissez mmc, puis cliquez sur OK.

Lorsque la console MMC s’affiche, aller sur Fichier > Ajouter/Supprimer un composant logiciel enfichable > Cliquez sur Certificats dans l’onglet de gauche > Cliquez Ajouter > Cochez l’option Un compte d’ordinateur > Cochez l’option Ordinateur local > Terminer > Ok.

Dans le volet de gauche, ouvrez le dossier Personnel > faites un clic droit sur Certificats > sélectionnez Toutes les tâches > cliquez sur Demander un nouveau certificat.

Suivez les étapes de la demande de certificat en cliquant sur Suivant à chaque écran. Lorsque vous arrivez à la liste des modèles, cochez celui que vous avez créé précédemment, CertSSL_Web > cliquez sur S’inscrire > puis sur Ce certificat nécessite des informations supplémentaires.
Remplissez les champs suivants :

  • Nom commun (CN) : DC0.adminsysnetlab.lan
  • Organisation : ADMINSYSNETLAB
  • Unité d’organisation : IT
  • DNS : DC0.adminsysnetlab.lan

Validez en cliquant sur Appliquer > OK > S’inscrire.

NB: DC0.adminsysnetlab.lan correspond au nom de mon contrôleur de domaine, qui héberge également le service DNS. C’est pourquoi la valeur du champ DNS est identique à celle du nom du contrôleur de domaine.

Lorsque l’opération réussie, cliquez sur Terminer.

Nous pouvons maintenant procéder à l’exportation de notre certificat. Pour cela, ouvrez le gestionnaire de certificats en lançant certmgr.msc via la barre de recherche Windows.

Dans le volet de gauche, ouvrez le dossier Personnel > Certificats > faites un clic droit sur le certificat que vous avez créé précédemment > sélectionnez Toutes les tâches > Exporter.

Choisissez l’emplacement où vous souhaitez enregistrer le certificat exporté, puis cliquez sur Terminer pour finaliser l’opération.

Test de fonctionnement

L’étape suivante consiste à installer sur votre serveur le certificat précédemment exporté. Ensuite, vous devrez installer le rôle IIS (Internet Information Services), le serveur web de Microsoft, puis configurer le protocole HTTPS afin qu’il utilise ce certificat.

Pour installer le certificat, rendez-vous dans le dossier où vous l’avez enregistré > Effectuez un double-clic sur le fichier du certificat > cliquez sur Installer > choisissez Ordinateur local comme emplacement d’installation, puis cliquez sur Parcourir > sélectionnez le dossier Autorités de certification racines de confiance > validez en cliquant sur Terminer.

Pour installer le rôle IIS (Serveur Web), ouvrez le Gestionnaire de serveur > cliquez sur Gérer > puis sur Ajouter des rôles et fonctionnalités > sélectionnez un serveur dans le pool de serveurs ; si un seul serveur est disponible, il sera sélectionné par défaut > dans la liste des rôles, cochez Serveur Web (IIS), puis cliquez sur Ajouter des fonctionnalités lorsque la fenêtre contextuelle apparaît > poursuivez ensuite les étapes en conservant les paramètres par défaut, puis cliquez sur Installer.

Toujours dans le Gestionnaire de serveur, cliquez sur Outils > sélectionnez Gestionnaire des services Internet (IIS).

Ensuite, dans l’onglet Connexions à gauche, sélectionnez Default Web Site > dans l’onglet Actions à droite > cliquez sur Liaisons > cliquez sur Ajouter.
Renseignez les informations suivantes :

  • Type : https
  • Adresse IP : Toutes non attribuées
  • Port : 443
  • Nom de l’hôte : DC0.adminsysnetlab.lan (le nom de votre serveur)
  • Certificat SSL : DC0.adminsysnetlab.lan (le certificat que vous avez créé)

Cliquez enfin sur OK pour valider.

Pour que les modifications prennent effet, cliquez sur Redémarrer dans l’onglet Gérer le site Web situé à gauche.

Ouvrez un navigateur web et saisissez dans la barre d’adresse https://DC0.adminsysnetlab.lan (le serveur où est installé IIS). Vous pourrez ainsi vérifier que le site est bien sécurisé grâce au certificat SSL configuré.

La sécurité des échanges sur un réseau est essentielle, et les certificats SSL permettent de protéger ces communications. En créant votre propre autorité de certification interne, vous gardez le contrôle total sur la gestion des certificats sans dépendre d’une autorité externe.

Ce tutoriel vous a montré comment installer ADCS, configurer une autorité de certification d’entreprise et générer un certificat SSL. C’est une solution idéale pour sécuriser vos serveurs internes, vos environnements de test, ou simplement renforcer la sécurité de votre réseau sans frais supplémentaires.

N’hésitez pas à laisser un commentaire et à revenir pour découvrir nos prochains tutoriels !

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *