Gérer les certificats de confiance

• 4 minutes

Les certificats jouent un rôle essentiel dans la protection et la validation de l’authentification et d’autres tâches liées à la sécurité. L’un des principes fondamentaux qui activent ces fonctionnalités est un certificat de confiance. Pour qu’un certificat soit effectif, chaque utilisateur, appareil ou application qui l’utilise doit approuver l’autorité de certification qui l’a émis.

Qu’est-ce qu’un certificat de confiance ?

Lorsque vous utilisez des certificats, il est important de prendre en compte les personnes ou les éléments qui peuvent avoir besoin d’évaluer leur authenticité et leur validité. Il existe trois types de certificats que vous pouvez utiliser :

• Les certificats internes d’une autorité de certification d’organisation comme un serveur hébergeant le rôle AD CS.
• Les certificats externes d’une autorité de certification publique, par exemple une organisation qui fournit des logiciels de cybersécurité commerciaux ou des services d’identité.
• Un certificat auto-signé.

Si vous déployez une autorité de certification racine d’entreprise et que vous l’utilisez pour inscrire des certificats sur les appareils joints à un domaine de vos utilisateurs, ces appareils acceptent les certificats inscrits comme approuvés. Toutefois, un appareil de groupe de travail considère ces mêmes certificats comme non approuvés. Pour résoudre ce problème, vous pouvez :

• Obtenir des certificats publics auprès d’une autorité de certification externe pour les appareils de groupe de travail. Cela implique le coût supplémentaire des certificats publics.
• Configurer les appareils de groupe de travail pour qu’ils fassent confiance à l’autorité de certification racine d’entreprise. Cela demande une configuration supplémentaire.

Gérer les certificats et les certificats de confiance dans Windows

Vous pouvez gérer les certificats qui sont stockés dans le système d’exploitation Windows à l’aide d’un ensemble d’outils, notamment Windows Admin Center, le composant logiciel enfichable Certificats de Microsoft Management Console, Windows PowerShell et l’outil de ligne de commande certutil. Chacun d’eux vous donne accès aux magasins de certificats de l’utilisateur actuel, de l’ordinateur local et de ses services. Chaque magasin comprend plusieurs dossiers, notamment :

Magasin

Description

Personnel

Contient les certificats émis pour l’utilisateur local, l’ordinateur local ou son service, en fonction du magasin sélectionné.

Autorités de certification racine de confiance

Contient les certificats d’autorités de certification racines de confiance.

Enterprise Trust

Contient les listes de certificats de confiance pour implémenter des approbations de certificats auto-signés d’autres organisations.

Autorités de certification intermédiaires

Contient les certificats émis pour des AC secondaires dans la hiérarchie de certification.

Pour vous assurer que les appareils de groupe de travail approuvent votre autorité de certification racine d’entreprise, exportez son certificat du dossier Autorités de certification racines de confiance vers un ordinateur joint au domaine et importez-le dans le même dossier sur ces appareils.

Créer un certificat auto-signé à des fins de test

Alors que les certificats auto-signés ne conviennent pas aux scénarios de production, ils peuvent être utiles dans le cadre de tests. Vous pouvez utiliser l’applet de commande Windows PowerShell New-SelfSignedCertificate pour créer un certificat auto-signé. Si vous incluez le paramètre CloneCert et fournissez un certificat existant, le nouveau sera associé aux paramètres correspondants, à l’exception de la clé publique. Au lieu de cela, l’applet de commande crée une nouvelle clé du même algorithme et de même longueur.

L’exemple suivant crée un certificat de serveur SSL autosigné dans le magasin personnel de la machine locale avec www.fabrikam.com, www.contoso.com pour le nom d’objet, et www.fabrikam.com pour l’autre nom de l’objet et le nom d’émetteur.

New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"