Installer l’autorité de certification
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Vous pouvez utiliser cette procédure pour installer les services de certificats Active Directory (AD CS) afin de pouvoir inscrire un certificat de serveur sur des serveurs qui exécutent le serveur NPS (Network Policy Server), le service de routage et d’accès à distance, ou les deux.
Important
- Avant d’installer les services de certificats Active Directory, vous devez nommer l’ordinateur, configurer l’ordinateur avec une adresse IP statique et joindre l’ordinateur au domaine. Pour plus d’informations sur la manière de réaliser ces tâches, consultez le Guide du réseau principal Windows Server 2016.
- Pour effectuer cette procédure, l’ordinateur sur lequel vous installez AD CS doit être joint à un domaine où les services de certificats Active Directory (AD DS) sont installés.
Pour être autorisé à effectuer cette procédure, vous devez faire partie du groupe Administrateurs de l'entreprise et du groupe Admins du domaine du domaine racine.
Remarque
Pour effectuer cette procédure en utilisant Windows PowerShell, ouvrez PowerShell et entrez la commande suivante, puis appuyez sur Entrée.
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
Une fois AD CS installé, tapez la commande suivante et appuyez sur Entrée.
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
Pour installer les services de certificats Active Directory
Conseil
Si vous souhaitez utiliser Windows PowerShell pour installer les services de certificats Active Directory, consultez Install-AdcsCertificationAuthority pour les applets de commande et les paramètres facultatifs.
Ouvrez une session en tant que membre du groupe Administrateurs de l'entreprise et du groupe Admins du domaine du domaine racine.
Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajouter des rôles et des fonctionnalités. L'Assistant Ajout de rôles et de fonctionnalités s'ouvre.
Dans Avant de commencer, cliquez sur Suivant.
Notes
La page Avant de commencer de l’Assistant Ajout de rôles et de fonctionnalités ne s’affiche pas si vous avez préalablement sélectionné Ignorer cette page par défaut dans l’Assistant.
Dans Sélectionner le type d’installation, vérifiez que Installation basée sur un rôle ou une fonctionnalité est sélectionné, puis cliquez sur Suivant.
Dans Sélectionner le serveur de destination, vérifiez que Sélectionner un serveur du pool de serveurs est sélectionné. Dans Pool de serveurs, vérifiez que l’ordinateur local est sélectionné. Cliquez sur Suivant.
Dans Sélectionner des rôles de serveurs, dans Rôles, cliquez sur Services de certificats Active Directory. Quand vous êtes invité à ajouter les fonctionnalités requises, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.
Dans Sélectionner des fonctionnalités, cliquez sur Suivant.
Dans Services de certificats Active Directory, lisez les informations fournies, puis cliquez sur Suivant.
Dans Confirmer les sélections pour l’installation, cliquez sur Installer. Ne fermez pas l’assistant pendant le processus d’installation. Une fois l’installation terminée, cliquez sur Configurer les services de certificats Active Directory sur le serveur de destination. L’assistant de configuration des services AD CS s’ouvre. Lisez les informations d’identification et, si nécessaire, fournissez les informations d’identification d’un compte membre du groupe Administrateurs d’entreprise. Cliquez sur Suivant.
Dans Services de rôle, cliquez sur Autorité de certification, puis sur Suivant.
Dans la page Type d’installation, vérifiez que l’option Autorité de certification d’entreprise est sélectionnée, puis cliquez sur Suivant.
Dans la page Spécifier le type d’autorité de certification, vérifiez que l’option Autorité de certification racine est sélectionnée, puis cliquez sur Suivant.
Dans la page Spécifier le type de clé privée, vérifiez que l’option Créer une nouvelle clé privée est sélectionnée, puis cliquez sur Suivant.
Dans la page Chiffrement pour l’autorité de certification, conservez les paramètres par défaut pour le fournisseur de solutions Cloud (RSA#Microsoft Software Key Storage Provider) et l’algorithme de hachage (SHA2), et déterminez la meilleure longueur de clé en caractères pour votre déploiement. Les grandes longueurs de caractères de clé offrent une sécurité optimale. Toutefois, cela peut avoir un impact sur les performances du serveur et peuvent ne pas être compatibles avec les applications héritées. Il est recommandé de conserver le paramètre par défaut de 2048. Cliquez sur Suivant.
Dans la page Nom de l’autorité de certification, acceptez le nom commun suggéré pour l'autorité de certification ou modifiez-le en fonction de vos besoins. Assurez-vous que le nom de l’autorité de certification est compatible avec vos conventions d’affectation de noms et vos objectifs, car vous ne pouvez pas modifier le nom de l’autorité de certification après avoir installé AD CS. Cliquez sur Suivant.
Sur la page Période de validité, dans Spécifier la période de validité, tapez le nombre et sélectionnez une valeur de temps (années, mois, semaines ou jours). Le paramètre par défaut de cinq ans est recommandé. Cliquez sur Suivant.
Dans la page Base de données de l’autorité de certification, dans Spécifier les emplacements de la base de données, spécifiez l’emplacement du dossier pour la base de données de certificats et le journal de base de données de certificats. Si vous spécifiez des emplacements autres que les emplacements par défaut, assurez-vous que les dossiers sont sécurisés avec des listes de contrôle d’accès qui empêchent les utilisateurs ou ordinateurs non autorisés d’accéder à la base de données et aux fichiers journaux de l’autorité de certification. Cliquez sur Suivant.
Dans Confirmation, cliquez sur Configurer pour appliquer vos sélections, puis sur Fermer.