PASCAL MIETLICKI

INGÉNIEUR INSA – MASTER IAE/TSM – ADMINISTRATEUR SYSTÈMES ET RÉSEAUX – DÉVELOPPEUR PHP/LARAVEL/IONIC/FLUTTER – ADMINISTRATEUR BUSINESS OBJECTS – ADMINISTRATEUR RANCHER/KUBERNETES – DEVOPS

PASCAL MIETLICKI

🔐 Gérer une infrastructure de certificats avec Windows Server : CA, GPO et bonnes pratiques

10 mai 2025
Travaux / Expériences, Windows

Mettre en place une autorité de certification interne sous Windows est essentiel pour sécuriser les communications dans une entreprise. Grâce à Active Directory Certificate Services (AD CS), il est possible d’émettre, de renouveler et de déployer automatiquement des certificats via GPO. Dans cet article, nous détaillons l’installation, la configuration, le déploiement et les cas d’usage typiques, avec les commandes essentielles pour les administrateurs système.

Table of Contents

✅ Introduction à l’autorité de certification interne

Une autorité de certification (CA) interne permet :

D’émettre des certificats SSL/TLS pour des sites internes
D’activer l’authentification forte pour utilisateurs et machines
De sécuriser les connexions RDP ou VPN
De gérer le cycle de vie complet des certificats via Active Directory

🏗️ 1. Installer le rôle « Services de certificats AD »

🧰 Pré-requis :

Serveur Windows membre du domaine
Accès administrateur
DNS fonctionnel (important pour le nom de l’autorité)
Nom NetBIOS et FQDN correctement configurés

🛠️ Étapes d’installation via Server Manager :

Ouvre Server Manager
Clique sur Ajouter des rôles et fonctionnalités
Sélectionne Rôle basé sur les fonctionnalités
Sélectionne le rôle : Services de certificats Active Directory
Coche uniquement Autorité de certification
Poursuis l’installation

⚙️ Configuration de l’autorité :

Une fois le rôle installé :

Va dans Outils > Services de certificats AD
Choisis :
- CA d’entreprise
- Racine
- Utilise Cryptographie par défaut (RSA 2048 ou plus)
Donne un nom explicite (ex. : FACTORY-CERT-CA)
Spécifie une validité (ex. : 10 ans)

📝 Conseil : utilise un nom sans espaces, sans accents, et cohérent avec le domaine AD.

🧾 2. Création et gestion des certificats

📜 Créer une demande de certificat (CSR)

Depuis Linux :

Si la clé privée existe déjà (ex : générée sous Linux), génère une CSR :

openssl req -new -key monserveur.key -out monserveur.csr

Pour inclure le Subject Alternative Name (SAN), utilise un fichier .conf :

[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
CN = monserveur.local

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = monserveur.local
DNS.2 = www.monserveur.local

openssl req -new -key monserveur.key -out monserveur.csr -config san.conf

Depuis Windows avec fichier .inf :

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=server.local"
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = FALSE
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
RequestType = PKCS10
KeyUsage = 0xa0

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=server.local&"
_continue_ = "dns=www.server.local"

Puis :

certreq -new fichier.inf fichier.req

🌐 3. Signature du certificat par L’autorité

Via la console

Via la console certsrv.msc :

Menu contextuel > Toutes les tâches > Soumettre une nouvelle demande
Choisir le fichier .csr ou .req
Sélectionner le modèle de certificat
Une fois signée, exporter le fichier .cer ou .crt

Via l’interface Web `/certsrv`

Si votre CA dispose du service Web, accédez à l’URL : https://<nom_CA>/certsrv

📤 Soumettre une CSR :

Accédez à l’onglet Demande de certificat
Choisis Soumettre une demande de certificat avancée
Copie le contenu du fichier .csr dans le champ dédié
Sélectionne le modèle (ex : Serveur Web)
Soumets la requête

📥 Récupérer le certificat signé :

Tu peux télécharger le certificat au format .cer
Tu peux aussi télécharger le certificat de l’autorité racine et les chaînes (CA intermédiaire)

📥 4. Déploiement automatique du certificat racine via GPO

1. Ouvre gpmc.msc (console GPO)

2. Crée une GPO appliquée à « Ordinateurs du domaine »

3. Chemin de configuration :


Configuration ordinateur →
Paramètres Windows →
Paramètres de sécurité →
Stratégies de clé publique →
Autorités de certification racines de confiance

4. Clique droit → Importer → Sélectionne rootCA.cer

Pour appliquer immédiatement :

gpupdate /force

🔧 5. Commandes utiles avec `certreq` et `certutil`

📋 Voir les certificats installés :

certutil -store my
certutil -store root

📄 Créer une demande depuis un fichier INF :

certreq -new cert.inf demande.req

📤 Soumettre la demande :

certreq -submit -attrib "CertificateTemplate:WebServer" demande.req

📥 Installer un certificat signé :

certreq -accept certificat_recu.cer

📦 Ajouter manuellement une autorité :

certutil -addstore Root rootCA.crt

🔄 6. Cas d’usage typiques en entreprise

🔧 Cas d’usage	Description	Détails
🔐HTTPS interne	Sécurisation d’intranets, backends, APIs internes	Certificat serveur + SAN, valide pour les navigateurs internes
📡 RDP / RemoteApp	RemoteApp avec sécurité renforcée, Éviter les alertes de sécurité et activer SSO	Certificat signé avec CN = FQDN serveur
🖥️ Ordinateurs du parc	Automatisation via GPO + modèles	Utilise Computer ou Autoenroll Pas d’alerte certificat + SSO RDP possible
🔑Authentification client	Smartcard, VPN, WiFi 802.1x	Certificats utilisateurs ou appareils
🌐 VPN IPSec / SSL	IKE avec certificats client	Active Directory peut gérer le renouvellement
🔁 Renouvellement automatique	Via GPO + modèle de certificat avec autorenew	Configure `Autoenroll` via GPO
PKI tierce	Interconnexion avec des systèmes Linux ou pare-feu	Permet de signer des CSR externes

🛡️ Bonnes pratiques de gestion PKI

🔐 Utilise RSA 2048 bits minimum, voire ECC si supporté
📆 Superviser les expirations (Zabbix, Nagios, etc.)
🧠 Documenter les modèles et politiques d’émission
📁 Sécuriser les clés privées de l’autorité
🔁 Tester les CSR avec openssl x509 ou nmap --script ssl-cert
💼 Nomme clairement les autorités : FACTORY-ROOT-CA, FACTORY-ISSUING-CA, etc.

📌 Conclusion

Grâce à l’installation d’une autorité de certification interne avec Windows Server et l’intégration dans Active Directory, vous pouvez gérer un écosystème complet de certificats de manière sécurisée, automatisée et centralisée. En couplant cette approche à une bonne gouvernance (GPO, supervision, renouvellement), vous renforcez considérablement la sécurité de votre infrastructure.

🔍 Mots-clés SEO

certificat windows server, autorité de certification windows, GPO certificat, AD CS, rootCA, HTTPS intranet, certreq, certutil, ouvrir certsrv, autorité racine entreprise, PKI windows server

Service	Avantages	Lien
Binance	Profitez de frais réduits à vie sur vos transactions.	Accéder
Boursorama	Recevez jusqu'à 150€ offerts à l'ouverture.	Accéder
Crypto.com	Obtenez 25$ de bonus après inscription. Code : 8qzruhg7uh	Accéder
DeBlock	Recevez une prime aléatoire de 10€ à 500€.	Accéder
FreeBitco.in	Gagnez des Bitcoins gratuits en jouant à des jeux et en participant à des tirages.	Accéder
Revolut	Obtenez une carte gratuite et 20€ après activation.	Accéder

Service	Avantages	Lien
Binance	Profitez de frais réduits à vie sur vos transactions.	Accéder
Boursorama	Recevez jusqu'à 150€ offerts à l'ouverture.	Accéder
Crypto.com	Obtenez 25$ de bonus après inscription. Code : 8qzruhg7uh	Accéder
DeBlock	Recevez une prime aléatoire de 10€ à 500€.	Accéder
FreeBitco.in	Gagnez des Bitcoins gratuits en jouant à des jeux et en participant à des tirages.	Accéder
Revolut	Obtenez une carte gratuite et 20€ après activation.	Accéder

🔐 Gérer une infrastructure de certificats avec Windows Server : CA, GPO et bonnes pratiques

✅ Introduction à l’autorité de certification interne

🏗️ 1. Installer le rôle « Services de certificats AD »

🧰 Pré-requis :

🛠️ Étapes d’installation via Server Manager :

⚙️ Configuration de l’autorité :

🧾 2. Création et gestion des certificats

🌐 3. Signature du certificat par L’autorité

Via la console

Via l’interface Web `/certsrv`

📤 Soumettre une CSR :

📥 Récupérer le certificat signé :

📥 4. Déploiement automatique du certificat racine via GPO

🔧 5. Commandes utiles avec `certreq` et `certutil`

📋 Voir les certificats installés :

📄 Créer une demande depuis un fichier INF :

📤 Soumettre la demande :

📥 Installer un certificat signé :

📦 Ajouter manuellement une autorité :

🔄 6. Cas d’usage typiques en entreprise

🛡️ Bonnes pratiques de gestion PKI

📌 Conclusion

🔍 Mots-clés SEO

J’aime ça :

Articles similaires

Faire un don ponctuel

Faire un don mensuel

💎 Boostez vos finances avec ces offres exclusives ! 🚀

✅ Introduction à l’autorité de certification interne

🏗️ 1. Installer le rôle « Services de certificats AD »

🧰 Pré-requis :

🛠️ Étapes d’installation via Server Manager :

⚙️ Configuration de l’autorité :

🧾 2. Création et gestion des certificats

🌐 3. Signature du certificat par L’autorité

Via la console

Via l’interface Web /certsrv

📤 Soumettre une CSR :

📥 Récupérer le certificat signé :

📥 4. Déploiement automatique du certificat racine via GPO

🔧 5. Commandes utiles avec certreq et certutil

📋 Voir les certificats installés :

📄 Créer une demande depuis un fichier INF :

📤 Soumettre la demande :

📥 Installer un certificat signé :

📦 Ajouter manuellement une autorité :

🔄 6. Cas d’usage typiques en entreprise

🛡️ Bonnes pratiques de gestion PKI

📌 Conclusion

🔍 Mots-clés SEO

Partager :

J’aime ça :

Articles similaires

Publications similaires

🔐 Générer un certificat SSL avec OpenSSL compatible Windows Server 2008 R2 (PFX inclus)

🔐 Renforcer la sécurité TLS de Windows Server avec IIS Crypto

🎯 Comment faire de la reconnaissance de texte sur une capture d’écran sous Windows 11

Via l’interface Web `/certsrv`

🔧 5. Commandes utiles avec `certreq` et `certutil`