Mise en place de l'authentification par certificat ordinateur avec AD CS

Mise à jour le 10 janv. 2025

J'ai déjà détaillé la configuration d'une architecture WPA Enterprise avec EAP-TLS en utilisant un certificat utilisateur. Vous pouvez trouver le tutoriel ici. Cela fonctionne très bien, mais dans certaines situations, ce n'est pas toujours adapté, car dans ce mode de fonctionnement la connexion réseau ne sera établie qu'une fois la session utilisateur ouverte.

Cela pose les problèmes suivants :
- Les scripts GPO qui sont censés s'exécuter au démarrage ne fonctionneront pas
- Nous ne pourrons pas nous connecter à distance à ces ordinateurs si la session est fermée

Pour remédier à cela, nous devons utiliser l'authentification par ordinateur. Avec cette méthode, l'ordinateur établira une connexion dès le démarrage du système, c'est-à-dire dès l'écran de verrouillage.

Dans ce guide, je décrirai les étapes nécessaires pour déployer des certificats d'ordinateur dans une architecture AD CS, afin que vous puissiez vous authentifier avec ces derniers.

Ce guide part du principe que l'architecture AD CS est déjà installée et opérationnelle. Pour une explication détaillée de la configuration d'une architecture AD CS, suivez ce magnifique lien : Mise en œuvre du WPA Enterprise (802.1X et RADIUS) avec EAP-TLS sur les points d'accès WiFi UniFi.

Ajout du modèle d'authentification pour les postes de travail

Depuis le serveur AD CS, nous allons créer un modèle de certificat pour les postes de travail, ce qui nous permettra de générer les certificats utilisés pour l'authentification des ordinateurs.

Ouvrez la console de gestion de l'Autorité de Certification :

Capture d'écran de la boîte de dialogue Exécuter de Windows avec 'certsrv.msc' saisi pour ouvrir la console de gestion de l'Autorité de Certification.

Ouvrez la Console des Modèles de Certificats en cliquant avec le bouton droit sur le dossier Modèles de Certificats et en sélectionnant Gérer :

Capture d'écran de la console de l'Autorité de Certification montrant l'option pour gérer les modèles de certificats dans la section 'Modèles de Certificats' d'AD CS.

Cliquez avec le bouton droit sur le Modèle Utilisateur et sélectionnez Dupliquer le Modèle :

Capture d'écran de la Console des Modèles de Certificats montrant l'option pour dupliquer un modèle de certificat de poste de travail dans AD CS.

Optionnel, mais si vous disposez d'une architecture récente, définissez les Paramètres de Compatibilité pour les systèmes les plus récents :

Capture d'écran de la fenêtre Propriétés du Nouveau Modèle dans AD CS, montrant les paramètres de compatibilité pour l'autorité de certification et le destinataire du certificat.

Donnez un nom au Modèle :

Capture d'écran de la fenêtre Propriétés du Nouveau Modèle dans AD CS, montrant le nom et le nom d'affichage du modèle définis sur EAP-TLS avec des périodes de validité et de renouvellement.

Augmentez la taille de la clé pour une meilleure sécurité :

Capture d'écran de la fenêtre Propriétés du Nouveau Modèle dans AD CS, montrant les paramètres cryptographiques avec une taille de clé minimale de 4096 et les fournisseurs cryptographiques sélectionnés.

Pour activer le déploiement automatique des certificats via une GPO, cochez la case Autoenroll pour les Ordinateurs du Domaine :

Capture d'écran de la fenêtre Propriétés du Nouveau Modèle dans AD CS, montrant les paramètres de sécurité où les Ordinateurs du Domaine disposent des autorisations Inscrire et Autoenroll.

Enfin, cliquez sur OK pour créer le modèle.

Depuis la console de gestion de l'Autorité de Certification, cliquez avec le bouton droit sur Modèles de Certificat et sélectionnez Modèle de Certificat à émettre :

Capture d'écran de la console de l'Autorité de Certification dans AD CS, montrant l'option pour émettre un nouveau modèle de certificat dans 'Modèles de Certificat'.

Sélectionnez le modèle Workstation_Auth_EAP-TLS créé précédemment :

Capture d'écran de la fenêtre Activer les Modèles de Certificat dans AD CS, montrant la sélection du modèle de certificat EAP-TLS pour activation.

Le modèle Workstation_Auth_EAP-TLS devrait apparaître dans le dossier Modèles de Certificat :

Capture d'écran de la console de l'Autorité de Certification dans AD CS, montrant le modèle de certificat EAP-TLS activé dans 'Modèles de Certificat'.

Déploiement des certificats

Une fois que l'AD CS est correctement configuré, nous pouvons demander un certificat pour les postes de travail depuis n'importe quel ordinateur du domaine.

Manuellement depuis la Console de Gestion des Certificats

Depuis un ordinateur utilisateur, ouvrez la Console de Gestion des Certificats pour l'ordinateur local :

Capture d'écran de la boîte de dialogue Exécuter de Windows avec certlm.msc saisi, prêt à ouvrir la Console de Gestion des Certificats de l'ordinateur local.

Cliquez avec le bouton droit sur le dossier Personnel et sélectionnez Demande de nouveau certificat… :

Capture d'écran du composant logiciel enfichable Certificats dans le magasin Personnel de l'ordinateur local, mettant en évidence l'option pour demander un nouveau certificat.

Cliquez sur Suivant pour démarrer le processus d'enrôlement du certificat :

Assistant d'inscription aux certificats affichant l'écran 'Avant de commencer' avec des instructions pour demander des certificats.

Sélectionnez la Stratégie d'enrôlement Active Directory et cliquez sur Suivant pour continuer :

Assistant d'inscription aux certificats affichant l'écran 'Sélectionner une stratégie d'inscription' avec la 'Stratégie d'inscription Active Directory' sélectionnée.

Sélectionnez la stratégie Workstation définie précédemment et cliquez sur Inscrire :

Assistant d'inscription aux certificats affichant l'écran 'Demander des certificats' avec 'Workstation_Auth_EAP-TLS' sélectionné et le bouton 'Inscrire' mis en évidence.

Cliquez simplement sur Terminer une fois le processus d'inscription terminé :

Assistant d'inscription aux certificats affichant l'écran 'Résultats de l'installation du certificat' avec le statut 'Réussi' pour le certificat NPS, et le bouton 'Terminer' mis en évidence.

Après avoir cliqué sur Actualiser, vous devriez voir le certificat de votre ordinateur apparaître :

Gestionnaire de certificats affichant un certificat installé avec succès dans la section 'Personnel > Certificats'. Le certificat 'W11.std.local' délivré par 'std-ADCS-CA' avec une date d'expiration au 01/05/2025 est mis en évidence.

Automatiquement avec une Stratégie de Groupe (GPO)

Pour automatiser le processus de renouvellement des certificats, nous pouvons créer une GPO à appliquer aux ordinateurs du domaine.

Allez dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Stratégies de sécurité > Stratégies de clé publique et modifiez la stratégie Client de services de certificats - Inscription automatique :

Éditeur de gestion des stratégies de groupe avec l'option 'Client des services de certificat - Inscription automatique' sélectionnée dans la section Stratégies de clé publique. Le menu contextuel met en évidence 'Propriétés'.

Activez le Modèle de configuration et cochez les cases pour activer le renouvellement automatique des certificats :

Fenêtre Propriétés du client des services de certificat - Inscription automatique montrant la configuration pour le renouvellement automatique des certificats et les mises à jour.

Exécutez gpupdate pour obtenir un certificat :

C:\> gpupdate

Informatique

Zik

Autres

Mise en place de l'authentification par certificat ordinateur avec AD CS

Ajout du modèle d'authentification pour les postes de travail

Déploiement des certificats

Manuellement depuis la Console de Gestion des Certificats

Automatiquement avec une Stratégie de Groupe (GPO)