{"id":351959,"date":"2024-09-16T11:27:33","date_gmt":"2024-09-16T11:27:33","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/active-directory-certificate-services-definition-et-configuration\/"},"modified":"2024-10-13T00:40:34","modified_gmt":"2024-10-13T00:40:34","slug":"active-directory-certificate-services-definition-et-configuration","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/fr\/blog\/active-directory-certificate-services-definition-et-configuration\/","title":{"rendered":"Active Directory Certificate Services : explication et configuration de AD CS"},"content":{"rendered":"<p><span style=\"font-weight: 400;\">De nombreuses entreprises s&rsquo;appuient sur Windows Server comme pilier de leur infrastructure informatique. Beaucoup utilisent \u00e9galement des certificats d&rsquo;infrastructure \u00e0 cl\u00e9 publique (PKI) pour r\u00e9pondre \u00e0 diverses exigences de s\u00e9curit\u00e9, notamment la s\u00e9curit\u00e9 des serveurs web (SSL), l&rsquo;authentification bas\u00e9e sur des certificats, les signatures num\u00e9riques de documents et le chiffrement du courrier \u00e9lectronique (<a href=\"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/qu-est-ce-que-s-mime\/\">S\/MIME<\/a>). <strong>Active Directory Certificate Services (AD CS)<\/strong> est un r\u00f4le de Windows Server qui relie ces deux \u00e9l\u00e9ments. Dans cet article, nous verrons ce qu&rsquo;est ADCS, les bonnes pratiques pour l&rsquo;utiliser et les d\u00e9tails de sa configuration.<\/span><\/p>\n<h2>Qu&rsquo;est-ce que Active Directory Certificate Services (AD CS) ?<\/h2>\n<p><span style=\"font-weight: 400;\">Active Directory Services est une fonctionnalit\u00e9 des environnements Windows Server qui fournit une <a href=\"https:\/\/www.okta.com\/identity-101\/public-key-infrastructure\/\" target=\"_blank\" rel=\"noopener\">infrastructure \u00e0 cl\u00e9 publique (PKI)<\/a> pour l&rsquo;\u00e9mission et la gestion de certificats num\u00e9riques. Les certificats sont utilis\u00e9s pour s\u00e9curiser les communications, v\u00e9rifier l&rsquo;identit\u00e9 des utilisateurs et des appareils, et faciliter l&rsquo;\u00e9change s\u00e9curis\u00e9 de donn\u00e9es dans un r\u00e9seau. AD CS permet aux entreprises d&rsquo;\u00e9mettre, de renouveler, de r\u00e9voquer et de distribuer des certificats aux utilisateurs, aux ordinateurs et aux services au sein du r\u00e9seau.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Comme son nom l&rsquo;indique, Active Directory est un service d&rsquo;annuaire con\u00e7u pour les r\u00e9seaux de domaines Windows. <a href=\"https:\/\/www.techtarget.com\/searchwindowsserver\/definition\/Microsoft-Active-Directory-Domain-Services-AD-DS\/\" target=\"_blank\" rel=\"noopener\">Active Directory Domain Services (AD DS)<\/a> constitue la base de toute impl\u00e9mentation d&rsquo;Active Directory. ADDS stocke des informations sur les utilisateurs, les ordinateurs et les groupes au sein d&rsquo;un domaine, v\u00e9rifie leurs informations d&rsquo;identification et d\u00e9finit les droits d&rsquo;acc\u00e8s. AD CS a \u00e9t\u00e9 introduit dans Windows Server 2008 pour d\u00e9livrer des certificats num\u00e9riques aux comptes d&rsquo;ordinateur, d&rsquo;utilisateur et de p\u00e9riph\u00e9rique du domaine afin de renforcer la s\u00e9curit\u00e9 et de fournir des m\u00e9thodes d&rsquo;authentification suppl\u00e9mentaires.<\/span><\/p>\n<div class=\"in-context-cta\"><p>L&rsquo;automatisation n&rsquo;est pas l&rsquo;avenir, c&rsquo;est maintenant. Pour en savoir plus, consultez notre guide de l&rsquo;automatisation destin\u00e9 aux responsables informatiques. <a href=\"https:\/\/www.ninjaone.com\/it-managers-guide-to-automation\/\">T\u00e9l\u00e9charger<\/a><\/p>\n<\/div>\n<h2>Configuration de AC DS et gestion des certificats<\/h2>\n<p><span style=\"font-weight: 400;\">Une gestion et une configuration correctes des certificats sont importantes pour maintenir des PKI s\u00fbrs et efficaces au sein d&rsquo;une entreprise. Voici quelques \u00e9l\u00e9ments cl\u00e9s de la gestion et de la configuration des services de certification des services Active Directory (AD CS).<\/span><\/p>\n<h3>Gestion des mod\u00e8les de certificats et des politiques d&rsquo;inscription<\/h3>\n<p><span style=\"font-weight: 400;\">Les mod\u00e8les de certificats d\u00e9finissent les propri\u00e9t\u00e9s et l&rsquo;utilisation des certificats \u00e9mis par AD CS. Les administrateurs peuvent cr\u00e9er des mod\u00e8les de certificats personnalis\u00e9s pour r\u00e9pondre \u00e0 des exigences de s\u00e9curit\u00e9 sp\u00e9cifiques et contr\u00f4ler les attributs des certificats \u00e9mis. Un mod\u00e8le peut \u00eatre cr\u00e9\u00e9 pour l&rsquo;authentification du serveur web tandis qu&rsquo;un autre est con\u00e7u pour l&rsquo;authentification de l&rsquo;utilisateur.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les politiques d&rsquo;inscription d\u00e9terminent la mani\u00e8re dont les certificats sont trait\u00e9s et autoris\u00e9s au sein des PKI (certificats d&rsquo;infrastructure \u00e0 cl\u00e9 publique). Ces politiques peuvent \u00eatre bas\u00e9es sur des crit\u00e8res tels que l&rsquo;appartenance \u00e0 un utilisateur ou \u00e0 un groupe, le type d&rsquo;appareil ou l&#8217;emplacement du r\u00e9seau, afin de garantir que seules les entit\u00e9s autoris\u00e9es peuvent demander et obtenir des certificats sp\u00e9cifiques.<\/span><\/p>\n<h3>Configuration de la r\u00e9vocation et du renouvellement des certificats<\/h3>\n<p><span style=\"font-weight: 400;\">Les administrateurs doivent configurer et maintenir la <a href=\"https:\/\/www.ibm.com\/docs\/en\/sva\/7.0.0?topic=SSPREK_7.0.0\/com.ibm.isam.doc_80\/ameb_appl_guide\/concept\/con_cert_revoc_lists.htm\" target=\"_blank\" rel=\"noopener\">liste des certificats r\u00e9voqu\u00e9s (CRL)<\/a> et\/ou le <a href=\"https:\/\/www.fortinet.com\/resources\/cyberglossary\/ocsp#:~:text=What%20is%20OCSP%3F,if%20it%20has%20been%20revoked.\" target=\"_blank\" rel=\"noopener\">protocole OCSP (Online Certificate Status Protocol)<\/a> afin de fournir des informations en temps r\u00e9el sur l&rsquo;\u00e9tat des certificats r\u00e9voqu\u00e9s et de garantir que ces derniers ne peuvent pas \u00eatre utilis\u00e9s pour l&rsquo;authentification ou le cryptage.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les bonnes pratiques pour configurer le renouvellement et la r\u00e9vocation sont les suivantes :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Mettez r\u00e9guli\u00e8rement \u00e0 jour les CRL ou les r\u00e9pondeurs OCSP afin de vous assurer que les clients re\u00e7oivent le dernier \u00e9tat.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Pr\u00e9voir des p\u00e9riodes de chevauchement pour \u00e9viter toute interruption de service.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Mettre en \u0153uvre le renouvellement bien avant la date d&rsquo;expiration afin d&rsquo;\u00e9viter les lacunes.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Contr\u00f4ler les performances de CRA et de OCSP pour s&rsquo;assurer qu&rsquo;ils r\u00e9agissent rapidement.<\/span><\/li>\n<\/ul>\n<h3>Mise en \u0153uvre de la confiance et de la validation des certificats<\/h3>\n<p><span style=\"font-weight: 400;\">Dans AD CS, un certificat permet de v\u00e9rifier que les entit\u00e9s sont bien celles qu&rsquo;elles pr\u00e9tendent \u00eatre. Il est d\u00e9livr\u00e9 \u00e0 une entit\u00e9 (une autorit\u00e9 de certification app\u00e9l\u00e9e AC) par un tiers auquel les autres parties font confiance. Les entreprises doivent configurer les relations de confiance entre les autorit\u00e9s de certification afin que les certificats \u00e9mis par les autorit\u00e9s de certification de confiance soient reconnus et accept\u00e9s sur le r\u00e9seau.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Une liste de confiance des certificats (CTL) est un m\u00e9canisme utilis\u00e9 par AD CS pour sp\u00e9cifier les autorit\u00e9s de certification (AC) auxquelles une entreprise fait confiance. Il contient une liste de certificats AC de confiance que les clients utilisent pour valider l&rsquo;authenticit\u00e9 des certificats qui leur sont pr\u00e9sent\u00e9s au cours du processus de validation.<\/span><\/p>\n<h3>Mise en place et configuration de NDES pour l&rsquo;enr\u00f4lement d&rsquo;appareils r\u00e9seau<\/h3>\n<p><span style=\"font-weight: 400;\">Network Device Enrollment Services (NDES) facilite l&rsquo;inscription de certificats pour les p\u00e9riph\u00e9riques de r\u00e9seau tels que les routeurs, les commutateurs et les points d&rsquo;acc\u00e8s sans fil. Une installation et une configuration correctes des NDES rationalisent ce processus et permettent \u00e0 ces appareils d&rsquo;obtenir et d&rsquo;utiliser des certificats pour une authentification et une communication s\u00e9curis\u00e9es.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Pour utiliser NDES, vous devez installer le r\u00f4le de service NDES sur votre serveur AD CS et configurer un compte de service pour NDES, soit en tant que compte d&rsquo;utilisateur sp\u00e9cifi\u00e9 comme compte de service, soit en tant qu&rsquo;identit\u00e9 de pool d&rsquo;applications int\u00e9gr\u00e9. Configurez ensuite le compte de service NDES avec une autorisation de demande sur l&rsquo;autorit\u00e9 de certification, configurez un certificat d&rsquo;agent d&rsquo;inscription et configurez le fournisseur de cl\u00e9 de signature et\/ou le fournisseur de cl\u00e9 de chiffrement.<\/span><\/p>\n<h2>Avantages de l&rsquo;utilisation d&rsquo;Active Directory Certificate Services (AD CS)<\/h2>\n<p><span style=\"font-weight: 400;\"><a href=\"https:\/\/www.ninjaone.com\/fr\/rmm\/gestion-dactive-directory\/\">Les services Active Directory<\/a> offrent de nombreux avantages qui renforcent consid\u00e9rablement la s\u00e9curit\u00e9 et l&rsquo;efficacit\u00e9 des r\u00e9seaux de domaines Windows.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Voici quelques-uns des principaux avantages :<\/span><b><\/b><\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><b>S\u00e9curit\u00e9 renforc\u00e9e gr\u00e2ce aux certificats num\u00e9riques et au chiffrement<\/b><\/h3>\n<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Les certificats fournis par AD CS jouent un r\u00f4le essentiel dans la v\u00e9rification des utilisateurs, des appareils et des services au sein d&rsquo;un r\u00e9seau. AD CS garantit que seuls les destinataires autoris\u00e9s peuvent acc\u00e9der aux donn\u00e9es crypt\u00e9es, ce qui r\u00e9duit les <a href=\"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/qu-est-ce-qu-une-fuite-de-donnees\/\" target=\"_blank\" rel=\"noopener\">risques d&rsquo;acc\u00e8s non autoris\u00e9 et de violation des donn\u00e9es<\/a>.<\/span><\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><b>Gestion et cycle de vie des certificats simplifi\u00e9s<\/b><\/h3>\n<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">AD CS optimise la d\u00e9livrance, le renouvellement et la r\u00e9vocation des certificats. La centralisation de l&rsquo;administration, des mod\u00e8les et des politiques d&rsquo;inscription facilite le traitement efficace des demandes et de la distribution, r\u00e9duit la charge administrative et permet de gagner du temps.<\/span><\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><b>Int\u00e9gration avec Active Directory pour une administration centralis\u00e9e<\/b><\/h3>\n<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">L&rsquo;int\u00e9gration d&rsquo;AD CS avec AD DS permet une administration centralis\u00e9e des certificats, en s&rsquo;appuyant sur l&rsquo;infrastructure Active Directory existante. Les administrateurs peuvent g\u00e9rer efficacement les certificats en m\u00eame temps que les comptes d&rsquo;utilisateurs, ce qui garantit des politiques coh\u00e9rentes dans l&rsquo;ensemble du domaine.<\/span><\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><b>Prise en charge de diff\u00e9rents types de certificats et de sc\u00e9narios d&rsquo;utilisation<\/b><\/h3>\n<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Les entreprises peuvent \u00e9mettre des certificats pour les serveurs web (certificats SSL\/TLS) afin de s\u00e9curiser les communications en ligne, mettre en \u0153uvre l&rsquo;authentification par certificat pour am\u00e9liorer la v\u00e9rification de l&rsquo;identit\u00e9 des utilisateurs, utiliser des signatures num\u00e9riques pour assurer l&rsquo;int\u00e9grit\u00e9 des documents et la non-r\u00e9pudiation, et chiffrer les e-mails \u00e0 l&rsquo;aide de certificats S\/MIME.<\/span><\/p>\n<h2>Inconv\u00e9nients des Active Directory Certificate Services (AD CS)<\/h2>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Configuration complexe<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>La mise en place d&rsquo;AD CS peut \u00eatre complexe et n\u00e9cessite une expertise technique des autorit\u00e9s de certification et de l&rsquo;architecture PKI. Les entreprises doivent investir des ressources substantielles pour la mise en \u0153uvre, la formation, le temps et plus encore.<\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Utilisation difficile<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>La maintenance d&rsquo;AD CS n\u00e9cessite une \u00e9quipe disposant d&rsquo;une expertise technique en mati\u00e8re de gestion des PKI et cette \u00e9quipe aurait besoin d&rsquo;une formation et de ressources suppl\u00e9mentaires pour rester au courant des bonnes pratiques en mati\u00e8re de PKI.<\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Co\u00fbt d&rsquo;entretien \u00e9lev\u00e9<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>Bien que les AC Microsoft soient gratuites, les entreprises doivent investir dans la constitution et la formation d&rsquo;une \u00e9quipe charg\u00e9e de g\u00e9rer AD CS, en plus des exigences mat\u00e9rielles et logicielles.<\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Exploitation de scripts intersites<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>Le cross-site scripting (XSS) est une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 des applications web dans laquelle les attaquants injectent des scripts dans les pages web. Ce script permet aux pirates d&rsquo;acc\u00e9der \u00e0 des informations sensibles et m\u00eame d&rsquo;effectuer des actions telles que la modification du contenu des sites web ou la redirection des utilisateurs vers des sites web malveillants. L&rsquo;inscription Web d&rsquo;AD CS ne valide pas correctement les entr\u00e9es de l&rsquo;utilisateur, ce qui la rend vuln\u00e9rable aux attaques XSS.<\/p>\n<ul>\n<li aria-level=\"1\">\n<h3><strong>Probl\u00e8mes de compatibilit\u00e9<\/strong><\/h3>\n<\/li>\n<\/ul>\n<p>L&rsquo;int\u00e9gration d&rsquo;AD CS avec les appareils et applications existants peut parfois s&rsquo;av\u00e9rer difficile pour les infrastructures informatiques hybrides. Par exemple, les politiques de groupe (GPO) de Microsoft ne sont pas compatibles avec les appareils macOS ou Linux, de sorte que les utilisateurs doivent trouver des solutions de contournement telles que les logiciels RMM ou MDM.<\/p>\n<h2>Bonnes pratiques pour Active Directory Certificate Services (AD CS)<\/h2>\n<p><span style=\"font-weight: 400;\">Pour garantir le bon fonctionnement et la s\u00e9curit\u00e9 des services Active Directory, il est essentiel d&rsquo;adopter les bonnes pratiques suivantes :<\/span><\/p>\n<h3>S\u00e9curiser l&rsquo;infrastructure AD CS<\/h3>\n<p><span style=\"font-weight: 400;\">Pour s\u00e9curiser votre infrastructure AD CS, veillez \u00e0 :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Limiter l&rsquo;acc\u00e8s administratif :<\/b><span style=\"font-weight: 400;\"> Restreindre cet acc\u00e8s aux comptes d\u00e9di\u00e9s \u00e0 la gestion des PKI et imposer les membres du groupe des administrateurs locaux via une GPO.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Utiliser la liste blanche des applications<\/b><span style=\"font-weight: 400;\">: Utilisez AppLocker ou un outil tiers de liste blanche d&rsquo;applications pour configurer les services et les applications autoris\u00e9s \u00e0 fonctionner sur les AC. Cela ajoutera une couche suppl\u00e9mentaire de s\u00e9curit\u00e9 en emp\u00eachant l&rsquo;ex\u00e9cution d&rsquo;applications non autoris\u00e9es.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Mettre en place un acc\u00e8s \u00e0 distance s\u00e9curis\u00e9 :<\/b><span style=\"font-weight: 400;\"> C&rsquo;est essentiel dans un monde o\u00f9 les environnements de travail sont \u00e0 la fois distants et hybrides.<\/span><\/li>\n<\/ul>\n<h3>Mettre en \u0153uvre des proc\u00e9dures de sauvegarde et de r\u00e9cup\u00e9ration<\/h3>\n<p><span style=\"font-weight: 400;\">Une <a href=\"https:\/\/www.ninjaone.com\/fr\/sauvegarde-et-recuperation-des-donnees\/\">sauvegarde et une restauration<\/a> correctes d&rsquo;AD CS sont essentielles pour garantir la disponibilit\u00e9, l&rsquo;int\u00e9grit\u00e9 et la s\u00e9curit\u00e9 de votre infrastructure de certificats.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Parmi les bonnes pratiques, on peut citer les suivantes :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Sauvegarder r\u00e9guli\u00e8rement :<\/b><span style=\"font-weight: 400;\"> La sauvegarde fr\u00e9quente de la base de donn\u00e9es AD CS, des cl\u00e9s priv\u00e9es et des donn\u00e9es de configuration garantit la capacit\u00e9 de r\u00e9cup\u00e9ration en cas de d\u00e9faillance mat\u00e9rielle et d&rsquo;autres \u00e9v\u00e9nements catastrophiques.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Stocker les sauvegardes hors site :<\/b><span style=\"font-weight: 400;\"> Stocker les copies de sauvegarde en toute s\u00e9curit\u00e9 sur un site distant afin de se pr\u00e9munir contre les sinistres survenant sur place.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Tester la restauration :<\/b><span style=\"font-weight: 400;\"> Tester p\u00e9riodiquement le processus de restauration pour v\u00e9rifier l&rsquo;int\u00e9grit\u00e9 des sauvegardes et la capacit\u00e9 \u00e0 r\u00e9cup\u00e9rer efficacement les donn\u00e9es perdues.<\/span><\/li>\n<\/ul>\n<h3>Effectuer un suivi et une maintenance r\u00e9guliers<\/h3>\n<p><span style=\"font-weight: 400;\">Des processus de maintenance et de contr\u00f4le appropri\u00e9s garantiront le fonctionnement optimal des composants d&rsquo;AD CS et permettront de r\u00e9soudre rapidement les probl\u00e8mes potentiels. Voici quelques conseils pour vous aider \u00e0 y parvenir :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Impl\u00e9menter l&rsquo;enregistrement des \u00e9v\u00e9nements :<\/b><span style=\"font-weight: 400;\"> L&rsquo;examen r\u00e9gulier des journaux d&rsquo;\u00e9v\u00e9nements vous aidera \u00e0 identifier les probl\u00e8mes potentiels ou les failles de s\u00e9curit\u00e9 et \u00e0 y r\u00e9pondre rapidement.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Surveiller l&rsquo;expiration des certificats :<\/b><span style=\"font-weight: 400;\"> La mise en place d&rsquo;alertes permet de s&rsquo;assurer que les renouvellements de certificats sont effectu\u00e9s \u00e0 temps.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Impl\u00e9menter la v\u00e9rification de la r\u00e9vocation :<\/b><span style=\"font-weight: 400;\"> Veillez \u00e0 ce que les clients v\u00e9rifient la r\u00e9vocation des certificats au moyen de CRL ou OCSP, afin d&rsquo;\u00e9viter d&rsquo;utiliser des certificats compromis.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Effectuer une surveillance de l&rsquo;int\u00e9grit\u00e9 :<\/b><span style=\"font-weight: 400;\"> Surveiller l&rsquo;\u00e9tat des composants d&rsquo;AD CS, tels que l&rsquo;autorit\u00e9 de certification et les services web, afin de d\u00e9tecter et de r\u00e9soudre les \u00e9ventuels probl\u00e8mes de performance ou de fiabilit\u00e9.<\/span><\/li>\n<\/ul>\n<h3>Assurer la conformit\u00e9 avec les normes du secteur<\/h3>\n<p><span style=\"font-weight: 400;\">Pour vous assurer que vous respectez les normes et les bonnes pratiques du secteur, suivez les lignes directrices suivantes :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>\u00c9laborer une politique en mati\u00e8re de PKI :<\/b><span style=\"font-weight: 400;\"> Cr\u00e9er et appliquer une politique de PKI claire qui d\u00e9finit l&rsquo;objectif et l&rsquo;utilisation des certificats au sein de l&rsquo;entreprise.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Utiliser des mod\u00e8les de certificats :<\/b><span style=\"font-weight: 400;\"> Les mod\u00e8les garantissent une utilisation coh\u00e9rente et appropri\u00e9e des certificats dans l&rsquo;ensemble de l&rsquo;entreprise.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Effectuer des audits de conformit\u00e9 :<\/b><span style=\"font-weight: 400;\"> Des audits r\u00e9guliers devraient permettre d&rsquo;\u00e9valuer la conformit\u00e9 d&rsquo;AD CS avec les normes du secteur et les pratiques de s\u00e9curit\u00e9 internes.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Former les employ\u00e9s :<\/b><span style=\"font-weight: 400;\"> Former les administrateurs et les autres employ\u00e9s aux bonnes pratiques, aux risques de s\u00e9curit\u00e9 et \u00e0 leur r\u00f4le dans le maintien d&rsquo;un environnement de PKI s\u00e9curis\u00e9.<\/span><\/li>\n<\/ul>\n<h2>Comment configurer Active Directory Certificate Services (AD CS) ?<\/h2>\n<p><span style=\"font-weight: 400;\">La premi\u00e8re \u00e9tape de la cr\u00e9ation d&rsquo;une infrastructure de cl\u00e9s publiques s\u00e9curis\u00e9e et efficace avec AD CS consiste \u00e0 l&rsquo;installer et \u00e0 la configurer. Voici un aper\u00e7u du processus, des conditions pr\u00e9alables \u00e0 l&rsquo;installation \u00e9tape par \u00e9tape, ainsi que des consid\u00e9rations importantes en mati\u00e8re de configuration.<\/span><\/p>\n<h3>Conditions pr\u00e9alables \u00e0 l&rsquo;installation d&rsquo;AD CS<\/h3>\n<p><span style=\"font-weight: 400;\">Avant de commencer l&rsquo;installation d&rsquo;AD CS, assurez-vous que les conditions suivantes sont remplies :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Serveur Windows\u00a0:<\/b><span style=\"font-weight: 400;\"> Vous devez disposer d&rsquo;un syst\u00e8me d&rsquo;exploitation Windows Server avec les derni\u00e8res mises \u00e0 jour install\u00e9es.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Active Directory Domain Services (AD DS) :<\/b><span style=\"font-weight: 400;\"> AD CS est \u00e9troitement li\u00e9 \u00e0 AD DS. Assurez-vous que votre r\u00e9seau dispose d&rsquo;un environnement AD DS existant avec au moins un <a href=\"https:\/\/www.ninjaone.com\/fr\/it-hub\/endpoint-security\/qu-est-ce-qu-un-controleur-de-domaine\/\">contr\u00f4leur de domaine<\/a>.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Adresse IP statique :<\/b><span style=\"font-weight: 400;\"> Attribuez une adresse IP statique au serveur qui h\u00e9bergera les composants AD CS. Cela permet d&rsquo;assurer une communication r\u00e9seau stable pour les services de certificats.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Privil\u00e8ges administratifs :<\/b><span style=\"font-weight: 400;\"> Vous devez disposer de droits d&rsquo;administration sur le serveur pour installer AD CS.<\/span><\/li>\n<\/ul>\n<h3>Guide \u00e9tape par \u00e9tape pour l&rsquo;installation d&rsquo;AD CS sur un serveur Windows<\/h3>\n<p><span style=\"font-weight: 400;\">Voici les \u00e9tapes de l&rsquo;installation des services de certificats Active Directory :<\/span><\/p>\n<ol>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Lancer le Gestionnaire de serveur :<\/b><span style=\"font-weight: 400;\"> Vous le trouverez dans le menu D\u00e9marrer.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Ajouter des r\u00f4les et des fonctionnalit\u00e9s : <\/b><span style=\"font-weight: 400;\">Naviguez vers \u00ab\u00a0G\u00e9rer\u00a0\u00bb et cliquez sur \u00ab\u00a0Ajouter des r\u00f4les et des fonctionnalit\u00e9s\u00a0\u00bb<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Choisissez le type d&rsquo;installation :<\/b><span style=\"font-weight: 400;\"> Choisissez \u00ab\u00a0Installation bas\u00e9e sur les r\u00f4les ou les fonctionnalit\u00e9s\u00a0\u00bb dans \u00ab\u00a0Assistant d&rsquo;ajout de r\u00f4les et de fonctionnalit\u00e9s\u00a0\u00bb et cliquez sur \u00ab\u00a0Suivant\u00a0\u00bb<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>S\u00e9lectionnez le serveur<\/b><span style=\"font-weight: 400;\">: Assurez-vous que le serveur cible est s\u00e9lectionn\u00e9 et cliquez sur \u00ab\u00a0Suivant\u00a0\u00bb<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>S\u00e9lectionner les r\u00f4les et les fonctionnalit\u00e9s du serveur :<\/b><span style=\"font-weight: 400;\"> Faites d\u00e9filer vers le bas et s\u00e9lectionnez \u00ab\u00a0Active Directory Certificate Services\u00a0\u00bb. Cliquez sur \u00ab\u00a0Ajouter des fonctionnalit\u00e9s\u00a0\u00bb dans l&rsquo;assistant, puis sur \u00ab\u00a0Suivant\u00a0\u00bb.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>S\u00e9lectionnez les services de r\u00f4le :<\/b><span style=\"font-weight: 400;\"> Choisissez les services de r\u00f4le AD CS que vous souhaitez installer et cliquez sur \u00ab\u00a0Suivant\u00a0\u00bb<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Installer AD CS :<\/b><span style=\"font-weight: 400;\"> V\u00e9rifiez vos choix, s\u00e9lectionnez \u00ab\u00a0Red\u00e9marrer le serveur de destination automatiquement si n\u00e9cessaire\u00a0\u00bb et cliquez sur \u00ab\u00a0Installer\u00a0\u00bb<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Configurer AD CS : <\/b><span style=\"font-weight: 400;\">Une fois l&rsquo;installation termin\u00e9e, cliquez sur \u00ab\u00a0Fermer\u00a0\u00bb S\u00e9lectionnez le drapeau de notification dans l&rsquo;application Gestionnaire de serveur, trouvez le message pour commencer la configuration post-d\u00e9ploiement et cliquez sur le lien pour commencer la configuration.<\/span><\/li>\n<\/ol>\n<h3>Options de configuration et consid\u00e9rations \u00e0 prendre en compte lors de l&rsquo;installation<\/h3>\n<p><span style=\"font-weight: 400;\">En adaptant la configuration d&rsquo;AD CS \u00e0 vos exigences de s\u00e9curit\u00e9 sp\u00e9cifiques et \u00e0 vos besoins op\u00e9rationnels, vous pouvez cr\u00e9er un environnement PKI qui r\u00e9pond aux normes de conformit\u00e9 et renforce la s\u00e9curit\u00e9 de votre r\u00e9seau. Voici quelques options \u00e0 envisager :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Stockage des cl\u00e9s :<\/b><span style=\"font-weight: 400;\"> Lors de l&rsquo;installation, vous pouvez choisir de stocker la cl\u00e9 priv\u00e9e dans le Microsoft Strong Cryptographic Provider ou dans un Hardware Security Model (HSM) pour plus de s\u00e9curit\u00e9.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Param\u00e8tres de r\u00e9vocation :<\/b><span style=\"font-weight: 400;\"> Configurez la fr\u00e9quence et la m\u00e9thode de publication des CRL (CRL ou OCSP) pour garantir aux clients des mises \u00e0 jour opportunes de l&rsquo;\u00e9tat de r\u00e9vocation.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Mod\u00e8les de certificats :<\/b><span style=\"font-weight: 400;\"> Configurez les mod\u00e8les de certificats qui seront n\u00e9cessaires pour les diff\u00e9rents cas d&rsquo;utilisation dans votre entreprise.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Sauvegarde CA :<\/b><span style=\"font-weight: 400;\"> Mettre en \u0153uvre un plan de sauvegarde de la cl\u00e9 priv\u00e9e de l&rsquo;autorit\u00e9 de certification (AC) et des donn\u00e9es de configuration.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Configuration de la s\u00e9curit\u00e9 :<\/b><span style=\"font-weight: 400;\"> S\u00e9curiser correctement le serveur de l&rsquo;autorit\u00e9 de certification en limitant l&rsquo;acc\u00e8s administratif et en activant l&rsquo;audit.<\/span><\/li>\n<\/ul>\n<h2>R\u00e9solution des probl\u00e8mes courants li\u00e9s \u00e0 AD CS<\/h2>\n<p><span style=\"font-weight: 400;\">M\u00eame si AD CS a \u00e9t\u00e9 configur\u00e9 avec soin, des probl\u00e8mes peuvent encore survenir. Voici quelques conseils pour vous aider \u00e0 identifier, d\u00e9panner et r\u00e9soudre certains probl\u00e8mes AD CS courants :<\/span><\/p>\n<h3><span style=\"font-weight: 400;\">Identifier les probl\u00e8mes de configuration courants<\/span><\/h3>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Erreurs dans le mod\u00e8le de certificat :<\/b><span style=\"font-weight: 400;\"> Les probl\u00e8mes li\u00e9s \u00e0 la d\u00e9livrance et \u00e0 l&rsquo;inscription des certificats peuvent r\u00e9sulter d&rsquo;une mauvaise configuration des mod\u00e8les de certificats.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Les services CA ne d\u00e9marrent pas :<\/b><span style=\"font-weight: 400;\"> Examinez les journaux d&rsquo;\u00e9v\u00e9nements pour y trouver des messages d&rsquo;erreur. Il peut s&rsquo;agir d&rsquo;une corruption de la base de donn\u00e9es, d&rsquo;une autorisation inad\u00e9quate ou de conflits de ports.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Configuration de la r\u00e9vocation :<\/b><span style=\"font-weight: 400;\"> V\u00e9rifiez que les CRL ou les r\u00e9pondeurs OCSP sont configur\u00e9s correctement et accessibles aux clients.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>\u00c9checs de r\u00e9vocation de certificats :<\/b><span style=\"font-weight: 400;\"> Cela peut \u00eatre d\u00fb \u00e0 des points de distribution de CRL ou des r\u00e9pondeurs OCSP inaccessibles, ou \u00e0 des probl\u00e8mes de validation de la cha\u00eene de certificats.<\/span><\/li>\n<\/ul>\n<h3><span style=\"font-weight: 400;\">R\u00e9solution des probl\u00e8mes d&rsquo;enr\u00f4lement et de validation<\/span><\/h3>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>\u00c9checs d&rsquo;enr\u00f4lement :<\/b><span style=\"font-weight: 400;\"> V\u00e9rifier l&rsquo;autorisation des mod\u00e8les de certificats et des agents d&rsquo;enr\u00f4lement. Assurez-vous que les clients peuvent communiquer avec l&rsquo;autorit\u00e9 de certification et acc\u00e9der aux URL d&rsquo;enr\u00f4lement.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Certificats expir\u00e9s : <\/b><span style=\"font-weight: 400;\">V\u00e9rifiez que les certificats n&rsquo;ont pas expir\u00e9 et mettez en place une surveillance pour alerter les administrateurs des expirations \u00e0 venir.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Certificats r\u00e9voqu\u00e9s :<\/b><span style=\"font-weight: 400;\"> Examinez la raison de la r\u00e9vocation et assurez-vous que les clients peuvent acc\u00e9der \u00e0 des CRL ou \u00e0 des r\u00e9pondeurs OCSP \u00e0 jour.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Erreurs de validation de la cha\u00eene de certificats : <\/b><span style=\"font-weight: 400;\">V\u00e9rifiez que l&rsquo;ensemble du certificat de la cha\u00eene est intact et valide. V\u00e9rifier la pr\u00e9sence des certificats interm\u00e9diaires et des certificats racine dans le magasin de certificats racine de confiance.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Questions relatives au client : <\/b><span style=\"font-weight: 400;\">V\u00e9rifiez la synchronisation de l&rsquo;heure, la connectivit\u00e9 du r\u00e9seau et la configuration du pare-feu du c\u00f4t\u00e9 du client.<\/span><\/li>\n<\/ul>\n<h2>Puis-je encore utiliser AD CS apr\u00e8s avoir migr\u00e9 vers Azure AD (Microsoft Enterprise ID) ?<\/h2>\n<p>Oui, les \u00e9quipes informatiques peuvent toujours utiliser AD CS m\u00eame apr\u00e8s avoir migr\u00e9 vers Azure AD (Microsoft Enterprise ID). Les certificats d&rsquo;AD CS s\u00e9curisent les communications, authentifient les appareils et permettent un acc\u00e8s s\u00e9curis\u00e9 aux ressources, que les identit\u00e9s soient g\u00e9r\u00e9es dans Azure AD ou dans Active Directory sur site. Azure AD peut automatiser l&rsquo;inscription des certificats afin d&rsquo;am\u00e9liorer les flux de travail des \u00e9quipes informatiques.<\/p>\n<h2>AD CS fonctionne-t-il avec la gestion des appareils mobiles (MDM) ?<\/h2>\n<p>Oui, les logiciels MDM utilisent g\u00e9n\u00e9ralement des certificats pour l&rsquo;authentification, le chiffrement et la s\u00e9curit\u00e9 des appareils mobiles.<\/p>\n<p>AD CS peut fonctionner avec des <a href=\"https:\/\/www.ninjaone.com\/fr\/mdm\/\">solutions MDM<\/a> car la plupart des fournisseurs proposent un connecteur AD CS qui permet aux solutions en nuage telles que MDM de communiquer avec le serveur AD CS. Ces connecteurs sont particuli\u00e8rement utiles lorsqu&rsquo;il s&rsquo;agit d&rsquo;appareils non Windows tels qu&rsquo;Apple et Android. Les techniciens peuvent ajouter des AC personnalis\u00e9es, les d\u00e9ployer et les g\u00e9rer par le biais de leur solution MDM.<\/p>\n<p>L&rsquo;int\u00e9gration optimale avec un logiciel MDM garantit que les appareils sont correctement authentifi\u00e9s et s\u00e9curis\u00e9s, ce qui renforce la s\u00e9curit\u00e9 globale des donn\u00e9es et des appareils au sein de l&rsquo;entreprise.<\/p>\n\n<h2>Conclusion<\/h2>\n<p><span style=\"font-weight: 400;\">Active Directory Certificate Services (AD CS) joue un r\u00f4le important dans le renforcement de la s\u00e9curit\u00e9 des r\u00e9seaux de domaines Windows. AD CS int\u00e8gre les PKI \u00e0 l&rsquo;infrastructure famili\u00e8re d&rsquo;Active Directory et permet aux entreprises d&rsquo;\u00e9mettre et de g\u00e9rer des certificats num\u00e9riques, de s\u00e9curiser les communications et de v\u00e9rifier l&rsquo;identit\u00e9 des utilisateurs et des appareils au sein du r\u00e9seau. Les avantages d&rsquo;AD CS sont notamment une s\u00e9curit\u00e9 accrue gr\u00e2ce au chiffrement et \u00e0 l&rsquo;authentification par certificat, une gestion simplifi\u00e9e des certificats et une administration centralis\u00e9e dans Active Directory.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Pour obtenir ces avantages, AD CS doit \u00eatre g\u00e9r\u00e9 et configur\u00e9 correctement, ce qui implique le respect d&rsquo;un ensemble de bonnes pratiques, notamment la mise en \u0153uvre de proc\u00e9dures de sauvegarde et de restauration, la surveillance d&rsquo;AD CS et la r\u00e9alisation d&rsquo;une maintenance r\u00e9guli\u00e8re. En suivant ces lignes directrices et d&rsquo;autres sugg\u00e9r\u00e9es dans cet article et en renfor\u00e7ant vos comp\u00e9tences en mati\u00e8re de d\u00e9pannage, vous pouvez maintenir une infrastructure AD CS fiable et s\u00e9curis\u00e9e qui contribue \u00e0 la r\u00e9silience globale de votre \u00e9cosyst\u00e8me informatique.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>De nombreuses entreprises s&rsquo;appuient sur Windows Server comme pilier de leur infrastructure informatique. Beaucoup utilisent \u00e9galement des certificats d&rsquo;infrastructure \u00e0 cl\u00e9 publique (PKI) pour r\u00e9pondre \u00e0 diverses exigences de s\u00e9curit\u00e9, notamment la s\u00e9curit\u00e9 des serveurs web (SSL), l&rsquo;authentification bas\u00e9e sur des certificats, les signatures num\u00e9riques de documents et le chiffrement du courrier \u00e9lectronique (S\/MIME). Active [&hellip;]<\/p>\n","protected":false},"author":89,"featured_media":349575,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"","_lmt_disable":"","footnotes":""},"categories":[3054],"tags":[],"class_list":["post-351959","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-rmm-fr"],"acf":[],"modified_by":null,"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/351959","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/users\/89"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/comments?post=351959"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/posts\/351959\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media\/349575"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/media?parent=351959"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/categories?post=351959"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/fr\/wp-json\/wp\/v2\/tags?post=351959"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}