Installer le service de certificats sur un serveur de la forêt, soit en autorité autonome soit en autorité d'entreprise.
| Cela se fait dans "Ajout/Suppressionde programmes", "Ajouter/Supprimer des composants Windows". | |
| Cocher la case "Services de certificats". | |
| Validez l'alerte suivante après l'avoir bien lue et bien comprise, surtout si vous installez cela ailleurs que sur DC (ces derniers sont en général stables en terme de domaine). | |
| Cela ajoute un composant mmc dans les outils d'administration... | |
| ... et un service sur le serveur web de la machine sur laquelle c'est installé, dans le site par défaut. Personnellement, j'installe cela sur une machine qui ne porte pas de web public et le service web par défaut n'est démarré que lorsque j'ai besoin d'un certificat. Je l'arrête aussitôt après l'opération. Ceci dit, il y a d'autres moyens d'émettre et de recevoir des certificats mais celui-là est vraiment le plus simple pour le profane (voir plus bas). | |
La méthode la plus simple est par le biais du serveur http de l'autorité de certification, si celui-ci est activé.
Pour voir différents types de méthodes pour requérir ce type de certificat allez voir ici.
Comme vous avez bâti votre propre autorité de certification, les navigateurs clients ne reconnaissent pas spontanément vos certificats de serveurs web. Il faut donc les installer dans les navigateurs clients. Voire télécharger et installer le certificat racine de l'autorité dans le magasin des certificats racines de confiance pour éviter des questions désagréables à chaque fois que vous lancez une requête https sur votre serveur web.
Evidemment cela ne convient que pour des applications non publiques car c'est un peu "galère".
Ici se trouvent quelques éléments de procédure.
Par ailleurs, dernier piège, au bout de quelques jours vous avez de nouveau un message d'alerte des navigateurs qui vous disent que la liste de révocation des certificats fournis par le serveur web n'est pas accessible. Ceci fait l'objet d'un autre document. En effet, si votre serveur de certificats est le serveur web lui-même (moins facile si le site par défaut doit être sur la même IP que le reste) ce sera plus simple à résoudre. Par contre, s'il est ailleurs, il faudra changer la configuration de l'autorité de certification pour que le chemin d'accès à la liste pointe sur un espace web accessible.
Ici une prise de note sommaire avec quelques copies d'écran.
|
Dernière mise à jour : 10.02.2003 |
 
|
|---|