Documentation Oracle Cloud Infrastructure

Configuration de l'autorité de certification Windows Server

Découvrez comment configurer ADCS dans le serveur Window.

Vous devez configurer l'autorité de certification (CA) pour stocker la clé privée dans le cluster HSM. Pour cette configuration, vous devez d'abord ajouter le rôle ADCS (Active Directory Certificate Services) au serveur Windows. Après avoir ajouté le rôle ADCS, vous pouvez utiliser le fournisseur de stockage de clés (KSP) pour créer et gérer la clé privée de l'autorité de certification dans le cluster HSM. KSP est une interface qui connecte Windows Server au cluster HSM.

Prérequis

Pour configurer Windows Server en tant qu'autorité de certification (CA) avec le cluster HSM, vous avez besoin des prérequis suivants :
  • Cluster HSM actif.
  • Service client KMS dédié OCI exécuté dans le système d'exploitation Windows Server.
  • Compte d'utilisateur cryptographique (CU) permettant de gérer la clé privée de l'autorité de certification sur le cluster.

Ajout du rôle Services de certificat Active Directory

Pour créer l'autorité de certification Windows Server, vous devez d'abord ajouter le rôle Active Directory Certificate Services (ADCS) au serveur Windows. Le rôle ADCS vous permet d'utiliser le fournisseur KSP pour créer et stocker la clé privée de l'autorité de certification sur le cluster.

  1. Dans le menu Démarrer de Windows, accédez à Windows Server, puis démarrez Server Manager.
  2. Cliquez sur Gérer dans l'angle supérieur droit, puis sélectionnez Ajouter des rôles et des fonctionnalités.
  3. Dans la page Avant de commencer, lisez les informations, puis cliquez sur Suivant.
  4. Sur la page Sélectionner un type d'installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité, puis cliquez sur Suivant.
  5. Sur la page Sélectionner un serveur de destination, sélectionnez Sélectionner un serveur du pool de serveurs, puis cliquez sur Suivant.
  6. Sur la page Sélectionner des rôles de serveur, sélectionnez les options suivantes, puis cliquez sur Suivant.
    • Services de certificat Active Directory
    • Ajouter des fonctionnalités.
  7. Sur la page Services de certificat Active Directory, cliquez sur Suivant. Dans la page Services de rôle, sélectionnez les éléments suivants :
    • Sélectionnez Autorité de certification.
  8. Sur la page Confirmer les sélections d'installation, vérifiez les détails, puis cliquez sur Installer.
  9. Une fois l'installation terminée, cliquez sur le lien Configure Active Directory Certificate Services on the destination server.
  10. Sur la page Informations d'identification, vérifiez ou modifiez les informations d'identification et cliquez sur Suivant.
  11. Sur la page Services de rôle, sélectionnez Autorité de certification et cliquez sur Suivant.
  12. Sur la page Type de configuration, sélectionnez Autorité de certification autonome et cliquez sur Suivant.
  13. Sur la page Type d'autorité de certification, sélectionnez Autorité de certification racine et cliquez sur Suivant.
  14. Sur la page Clé privée, sélectionnez Créer une clé privée et cliquez sur Suivant.
  15. Sur la page Cryptographie, indiquez les options suivantes et cliquez sur Suivant :
    • Sélectionner un fournisseur cryptographique : sélectionnez Fournisseur de stockage de clé cavium.
    • Longueur de la clé : sélectionnez l'une des options de longueur de la clé.
    • Sélectionner l'algorithme de hachage pour la signature des certificats émis par cette autorité de certification : choisissez un algorithme de hachage.
  16. Sur la page Nom de l'autorité de certification, fournissez les détails suivants et cliquez sur Suivant.
    • Nom commun.
    • Suffixe de nom distinctif.
    • Aperçu du nom distinctif.
  17. Sur la page Période de validité, entrez la période de validité en années, mois, semaines ou jours, puis cliquez sur Suivant.
  18. Sur la page Base de données de certificats, indiquez l'emplacement du certificat et des journaux, puis cliquez sur Suivant.
  19. Sur la page Configurer, cliquez sur Configurer.
  20. Sur la page Résultats, cliquez sur Fermer.
    Remarque

    Vous pouvez vérifier si l'autorité de certification a été installée correctement en exécutant sc query certsvc à partir de la ligne de commande.

Signature d'une CSR avec une autorité de certification Windows Server

Découvrez comment signer une CSR à l'aide de l'autorité de certification du serveur Windows.

Utilisez l'autorité de certification (CA) de votre serveur Windows avec le cluster HSM pour signer une demande de signature de certificat.

Vous devez disposer d'une demande de signature de certificat (CSR) valide pour effectuer cette tâche. Créez une CSR via l'une des méthodes suivantes :

  • Ouvrir SSL
  • Gestionnaire des services Internet (IIS) de Windows Server
  • CLI Windows (à l'aide de l'utilitaire certreq)

Pour signer une CSR avec l'autorité de certification du serveur Windows, procédez comme suit :

  1. Connectez-vous à votre serveur Windows et démarrez le gestionnaire Windows Server.
  2. Dans le tableau de bord du gestionnaire de serveurs, cliquez sur Outils.
  3. Cliquez sur Autorité de certification.
  4. Sur la page Autorité de certification, procédez comme suit :
    1. Ouvrez le menu Actions et sélectionnez Toutes les tâches, puis Soumettre une nouvelle demande.
    2. Sélectionnez votre fichier CSR et cliquez sur Ouvrir.
    3. Dans la fenêtre Autorité de certification, sélectionnez Demandes en attente et sélectionnez la demande en attente.
    4. Dans le menu Action, sélectionnez Toutes les tâches, puis Incident.
    5. Dans la fenêtre Autorité de certification, sélectionnez Demandes émises pour afficher le certificat signé.
  5. Facultatif. Pour exporter le certificat signé, procédez comme suit :
    1. Dans la fenêtre Autorité de certification, sélectionnez le certificat.
    2. Sélectionnez l'onglet Détails, puis Copier vers le fichier.
    3. Suivez les instructions de l'assistant Export de certificat.
  6. Cliquez sur Fermer.