AD CS : Configuration de l'authentification par certificat ordinateurs

Mise à jour le 10 mars 2025

J'ai déjà détaillé la configuration d'une architecture WPA Enterprise avec EAP-TLS en utilisant un certificat utilisateur. Vous pouvez trouver le tutoriel ici. Cela fonctionne très bien, mais dans certaines situations, ce n'est pas toujours adapté, car dans ce mode de fonctionnement la connexion réseau ne sera établie qu'une fois la session utilisateur ouverte.

Cela pose les problèmes suivants :
- Les scripts GPO qui sont censés s'exécuter au démarrage ne fonctionneront pas
- Nous ne pourrons pas nous connecter à distance à ces ordinateurs si la session est fermée

Pour remédier à cela, nous devons utiliser l'authentification par ordinateur. Avec cette méthode, l'ordinateur établira une connexion dès le démarrage du système, c'est-à-dire dès l'écran de verrouillage.

Dans ce guide, je décrirai les étapes nécessaires pour déployer des certificats d'ordinateur dans une architecture AD CS, afin que vous puissiez vous authentifier avec ces derniers.

Ce guide part du principe que l'architecture AD CS est déjà installée et opérationnelle. Pour une explication détaillée de la configuration d'une architecture AD CS, suivez ce magnifique lien : Mise en œuvre du WPA Enterprise (802.1X et RADIUS) avec EAP-TLS sur les points d'accès WiFi UniFi.

Ajout du modèle d'authentification pour les postes de travail

Depuis le serveur AD CS, nous allons créer un modèle de certificat pour les postes de travail, ce qui nous permettra de générer les certificats utilisés pour l'authentification des ordinateurs.

Ouvrez la console de gestion de l'Autorité de Certification :

Capture d'écran de la boîte de dialogue Exécuter de Windows avec 'certsrv.msc' saisi pour ouvrir la console de gestion de l'Autorité de Certification.

Ouvrez la Console des Modèles de Certificats en cliquant avec le bouton droit sur le dossier Modèles de Certificats et en sélectionnant Gérer :

Capture d'écran de la console de l'Autorité de Certification montrant l'option pour gérer les modèles de certificats dans la section 'Modèles de Certificats' d'AD CS.

Cliquez avec le bouton droit sur le modèle Workstation Authentication et sélectionnez Dupliquer le Modèle :

Capture d'écran de la Console des Modèles de Certificats montrant l'option pour dupliquer un modèle de certificat de poste de travail dans AD CS.

Optionnel, mais si vous disposez d'une architecture récente, définissez les Paramètres de Compatibilité pour les systèmes les plus récents :

Capture d'écran de la fenêtre Propriétés du Nouveau Modèle dans AD CS, montrant les paramètres de compatibilité pour l'autorité de certification et le destinataire du certificat.

Donnez un nom au Modèle :

Capture d'écran de la fenêtre Propriétés du Nouveau Modèle dans AD CS, montrant le nom et le nom d'affichage du modèle définis sur EAP-TLS avec des périodes de validité et de renouvellement.

Augmentez la taille de la clé pour une meilleure sécurité :

Capture d'écran de la fenêtre Propriétés du Nouveau Modèle dans AD CS, montrant les paramètres cryptographiques avec une taille de clé minimale de 4096 et les fournisseurs cryptographiques sélectionnés.

Pour activer le déploiement automatique des certificats via une GPO, cochez la case Inscription automatique pour les Ordinateurs du Domaine :

Capture d'écran de la fenêtre Propriétés du Nouveau Modèle dans AD CS, montrant les paramètres de sécurité où les Ordinateurs du Domaine disposent des autorisations Inscrire et Autoenroll.

Enfin, cliquez sur OK pour créer le modèle.

Depuis la console de gestion de l'Autorité de Certification, cliquez avec le bouton droit sur Modèles de Certificat et sélectionnez Nouveau > Modèle de Certificat à délivrer :

Capture d'écran de la console de l'Autorité de Certification dans AD CS, montrant l'option pour émettre un nouveau modèle de certificat dans 'Modèles de Certificat'.

Sélectionnez le modèle Workstation_Auth_EAP-TLS créé précédemment :

Capture d'écran de la fenêtre Activer les Modèles de Certificat dans AD CS, montrant la sélection du modèle de certificat EAP-TLS pour activation.

Le modèle Workstation_Auth_EAP-TLS devrait apparaître dans le dossier Modèles de Certificat :

Capture d'écran de la console de l'Autorité de Certification dans AD CS, montrant le modèle de certificat EAP-TLS activé dans 'Modèles de Certificat'.

Configurer le serveur NPS

Nous devons configurer notre serveur NPS (qui est le serveur RADIUS dans l'écosystème Microsoft) afin d'accepter l'authentification pour un groupe d'ordinateurs. Je ne détaillerai pas ici l'ensemble du processus d'installation, car je l'ai déjà expliqué : ici.

Je vais donc simplement décrire ci-dessous comment créer une stratégie réseau dans laquelle nous définissons le groupe d'ordinateurs qui pourront se connecter au réseau.

Depuis la console Network Policy Server, cliquez sur Nouveau depuis le dossier Stratégies réseau :

Création d'une nouvelle stratégie réseau dans Windows Network Policy Server pour la configuration de WPA Enterprise avec EAP-TLS sur les points d'accès UniFi.

Attribuez un nom à la stratégie :

Spécification du nom de la stratégie réseau et du type de connexion dans NPS.

Cliquez sur Ajouter… pour spécifier la condition :

Ajout de conditions à une stratégie réseau dans NPS.

Sélectionnez Groupes d’ordinateurs, puis cliquez sur Ajouter des groupes… :

Capture d'écran de la fenêtre de configuration d'une nouvelle stratégie réseau dans Windows Network Policy Server (NPS). La condition 'Groupes de machines' est sélectionnée et le bouton 'Ajouter des groupes...' est mis en évidence, permettant à l'administrateur de spécifier un groupe de machines pour l'application de la stratégie réseau.

Ajoutez un groupe d’ordinateurs Active Directory, tel que Ordinateurs du Domaine :

Capture d'écran de la fenêtre 'Sélectionner un groupe' dans Windows Network Policy Server (NPS). Le groupe 'Domain Computers' est saisi comme groupe de machines sélectionné pour la stratégie, avec le bouton 'OK' mis en évidence pour confirmer la sélection.

Cliquez sur Suivant :

$Capture d'écran de la fenêtre 'Spécifier les conditions' dans Windows Network Policy Server (NPS). La condition 'Groupes de machines' est définie sur 'STD\Domain Computers', et le bouton 'Suivant' est mis en évidence pour poursuivre la configuration de la stratégie.$

Sélectionnez Accès accordé :

Autorisation d'accès pour la configuration de la stratégie réseau Wi-Fi EAP-TLS.

Choisissez Microsoft: Carte à puce ou autre certificat comme type EAP et modifiez la configuration :

Configuration des méthodes d'authentification pour Wi-Fi EAP-TLS à l'aide de certificats.

Sélectionnez le certificat précédemment émis :

Capture d'écran montrant la sélection du certificat nouvellement déployé dans la configuration Wi-Fi EAP-TLS Ubiquiti.

Cliquez sur Suivant :

Configuration des contraintes de la stratégie réseau, y compris le délai d'inactivité, pour la mise en place de Wi-Fi EAP-TLS.

Cliquez à nouveau sur Suivant :

Configuration des attributs RADIUS et des paramètres de la stratégie réseau pour la mise en place de Wi-Fi EAP-TLS.

Enfin, cliquez sur Terminer pour créer la stratégie :

$Capture d'écran de la fenêtre 'Finalisation de la nouvelle stratégie réseau' dans Windows Network Policy Server (NPS). La stratégie nouvellement créée, nommée 'UniFi', inclut la condition 'Groupes de machines' définie sur 'STD\Domain Computers'. Le bouton 'Terminer' est mis en évidence pour finaliser la création de la stratégie.$

Déploiement des certificats

Une fois que l'AD CS est correctement configuré, nous pouvons demander un certificat pour les postes de travail depuis n'importe quel ordinateur du domaine.

Manuellement depuis la Console de Gestion des Certificats

Depuis un ordinateur utilisateur, ouvrez la Console de Gestion des Certificats pour l'ordinateur local :

Capture d'écran de la boîte de dialogue Exécuter de Windows avec certlm.msc saisi, prêt à ouvrir la Console de Gestion des Certificats de l'ordinateur local.

Cliquez avec le bouton droit sur le dossier Personnel et sélectionnez Demander un nouveau certificat… :

Capture d'écran du composant logiciel enfichable Certificats dans le magasin Personnel de l'ordinateur local, mettant en évidence l'option pour demander un nouveau certificat.

Cliquez sur Suivant pour démarrer le processus d'enrôlement du certificat :

Assistant d'inscription aux certificats affichant l'écran 'Avant de commencer' avec des instructions pour demander des certificats.

Sélectionnez la Stratégie d'inscription à Active Directory et cliquez sur Suivant pour continuer :

Assistant d'inscription aux certificats affichant l'écran 'Sélectionner une stratégie d'inscription' avec la 'Stratégie d'inscription Active Directory' sélectionnée.

Sélectionnez la stratégie Workstation définie précédemment et cliquez sur Inscription :

Assistant d'inscription aux certificats affichant l'écran 'Demander des certificats' avec 'Workstation_Auth_EAP-TLS' sélectionné et le bouton 'Inscrire' mis en évidence.

Cliquez simplement sur Terminer une fois le processus d'inscription terminé :

Assistant d'inscription aux certificats affichant l'écran 'Résultats de l'installation du certificat' avec le statut 'Réussi' pour le certificat NPS, et le bouton 'Terminer' mis en évidence.

Après avoir cliqué sur Actualiser, vous devriez voir le certificat de votre ordinateur apparaître :

Gestionnaire de certificats affichant un certificat installé avec succès dans la section 'Personnel > Certificats'. Le certificat 'W11.std.local' délivré par 'std-ADCS-CA' avec une date d'expiration au 01/05/2025 est mis en évidence.

Automatiquement avec une Stratégie de Groupe (GPO)

Pour automatiser le processus de renouvellement des certificats, nous pouvons créer une GPO à appliquer aux ordinateurs du domaine.

Allez dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de clé publique et modifiez la stratégie Client des services de certificats - Inscription automatique :

Éditeur de gestion des stratégies de groupe avec l'option 'Client des services de certificat - Inscription automatique' sélectionnée dans la section Stratégies de clé publique. Le menu contextuel met en évidence 'Propriétés'.

Activez le Modèle de configuration et cochez les cases pour activer le renouvellement automatique des certificats :

Fenêtre Propriétés du client des services de certificat - Inscription automatique montrant la configuration pour le renouvellement automatique des certificats et les mises à jour.

Exécutez gpupdate pour obtenir un certificat :

C:\> gpupdate