Comment créer des profils de certificat dans System Center Configuration Manager

 

S'applique à: System Center Configuration Manager (current branch)

Les profils de certificat dans System Center Configuration Manager s'intègrent aux services de certificats Active Directory et au rôle du service d'inscription d'appareils réseau afin de provisionner des appareils gérés avec des certificats d'authentification pour que les utilisateurs puissent accéder aux ressources de l'entreprise. Les informations de cette rubrique peuvent vous aider à créer des profils de certificat dans System Center Configuration Manager.

System_CAPS_importantImportant

Vous devez effectuer la configuration avant de créer des profils de certificat. Pour plus d'informations, voir Configuration des profils de certificat dans System Center Configuration Manager.

Les étapes suivantes permettent de créer un profil de certificat à l'aide de l'Assistant Création d'un profil de certificat.

Étape

Détails

Plus d'informations

Étape 1 : Démarrer l’Assistant Créer un profil de certificat

Démarrez l'Assistant dans l'espace de travail Ressources et Conformité dans le nœud Paramètres de compatibilité.

Consultez la section Étape 1 : Démarrer l’Assistant Créer un profil de certificat dans cette rubrique.

Étape 2 : Fournir des informations générales sur le profil de certificat

Ajoutez des informations générales, comme le nom et la description du profil de certificat et le type de profil de certificat que vous souhaitez créer.

Consultez la section Étape 2 : Fournir des informations générales sur le profil de certificat dans cette rubrique.

Étape 3 : Fournir des informations sur le profil de certificat

Ajoutez des informations de configuration pour le profil de certificat.

Consultez la section Étape 3 : Fournir des informations sur le profil de certificat dans cette rubrique.

Étape 4 : Configurer des plateformes prises en charge pour le profil de certificat

Spécifier les systèmes d'exploitation où vous voulez installer le profil de certificat.

Consultez la section Étape 4 : Configurer des plateformes prises en charge pour le profil de certificat dans cette rubrique.

Étape 5 : Terminer l’Assistant

Terminez l'Assistant pour créer le profil de certificat.

Consultez la section Étape 5 : Terminer l’Assistant dans cette rubrique.

System_CAPS_cautionAttention

Si vous avez déjà déployé un certificat à l'aide d'un profil de certificat SCEP (Simple Certificate Enrollment Protocol), la modification des options de configuration entraîne la demande d'un nouveau certificat avec de nouvelles valeurs. Si le nombre de renouvellements de demande de certificat est élevé en raison de ces modifications, la charge de traitement par le processeur risque d'augmenter sur le serveur exécutant le service d'inscription d'appareils réseau.

Lorsque la demande de certificat est effectuée pour un client sur l'intranet (par exemple, Windows 8.1), le certificat d'origine est supprimé lorsqu'un nouveau certificat avec les nouvelles valeurs est demandé. Cependant, lorsque la demande de certificat est effectuée pour un client qui est géré à l'aide du connecteur Microsoft Intune, le certificat d'origine n'est pas supprimé du périphérique et reste installé.

Les sections suivantes indiquent les paramètres qui entraîneront une demande de renouvellement de certificat.

Utilisez les informations suivantes lorsque les étapes décrites dans le tableau précédent nécessitent des procédures supplémentaires.

Utilisez cette procédure pour démarrer l'Assistant Création d'un profil de certificat.

Pour démarrer l'Assistant Création d'un profil de certificat

  1. Dans la console System Center Configuration Manager, cliquez sur Ressources et Conformité.

  2. Dans l'espace de travail Ressources et Conformité, développez Paramètres de compatibilité, puis Accès aux ressources de l'entreprise, et cliquez sur Profils de certificat.

  3. Dans l'onglet Accueil, dans le groupe Créer, cliquez sur Créer un profil de certificat.

Cette procédure permet de fournir des informations générales sur le profil de certificat.

Pour fournir des informations générales sur le profil de certificat

  1. Sur la page Général de l'Assistant Création d'un profil de certificat, spécifiez les informations suivantes :

    • Nom : entrez un nom unique pour le profil de certificat. Vous pouvez utiliser jusqu'à 256 caractères.

    • Description : entrez une description qui donne un aperçu du profil de certificat et d’autres informations pertinentes qui permettent de l’identifier dans la console System Center Configuration Manager. Vous pouvez utiliser jusqu'à 256 caractères.

    • Spécifiez le type de profil de certificat que vous voulez créer : choisissez un des types de profil de certificat suivants :

      • Certificat d’Autorité de certification approuvé : sélectionnez ce type de profil de certificat si vous souhaitez déployer un certificat d’autorité de certification racine ou intermédiaire approuvé pour former une chaîne d’approbation des certificats quand l’utilisateur ou l’appareil doit authentifier un autre appareil. Par exemple, l'appareil peut être un serveur RADIUS (Remote Authentication Dial-In User Service) ou un serveur VPN (réseau privé virtuel). Vous devez également configurer un profil de certificat d'Autorité de certification approuvé pour pouvoir créer un profil de certificat SCEP. Dans ce cas, le certificat d'Autorité de certification approuvé doit être le certificat racine approuvé pour l'Autorité de certification qui émet le certificat à l'utilisateur ou à l'appareil.

      • Paramètres du protocole SCEP (Simple Certificate Enrollment Protocol) : sélectionnez ce type de profil de certificat pour demander un certificat pour un appareil ou un utilisateur à l’aide du protocole SCEP et du service de rôle du service d’inscription d’appareils réseau.

Utilisez l'une des procédures suivantes pour configurer les informations de profil de certificat pour les certificats d'Autorité de certification approuvés et les certificats SCEP dans le profil de certificat.

System_CAPS_importantImportant

Vous devez configurer au moins un profil de certificat d'Autorité de certification approuvé pour pouvoir créer un profil de certificat SCEP.

Pour configurer un certificat d'Autorité de certification approuvé

  1. Sur la page Certificat d'Autorité de certification approuvé de l'Assistant Création d'un profil de certificat, spécifiez les informations suivantes :

    • Fichier de certificat : cliquez sur Importer, puis recherchez le fichier de certificat que vous souhaitez utiliser.

    • Banque de destination : pour les appareils qui ont plus d’un magasin de certificats, sélectionnez l’emplacement où stocker le certificat. Pour les appareils avec un seul magasin, ce paramètre est ignoré.

  2. Utilisez la valeur Empreinte numérique de certificat pour vérifier que vous avez importé le certificat correct.

Pour configurer les informations de certificat SCEP

  1. Dans la page Serveurs SCEP de l’Assistant Créer un profil de certificat, spécifiez l’URL des serveurs NDES qui délivreront des certificats par le biais du protocole SCEP. Vous pouvez choisir d’affecter automatiquement une URL NDES en fonction de la configuration du serveur de système de site de point d’inscription de certificat, ou ajouter les URL manuellement.

  2. Sur la page Inscription SCEP de l'Assistant Création d'un profil de certificat, spécifiez les informations suivantes :

    • Tentatives : spécifiez le nombre de fois où l’appareil doit renvoyer automatiquement la demande de certificat au serveur exécutant le service d’inscription de périphériques réseau. Ce paramètre prend en charge le scénario où un gestionnaire de l'autorité de certification doit approuver une demande de certificat avant d'être accepté. Ce paramètre est généralement utilisé pour des environnements haute sécurité ou si vous avez une autorité de certification émettrice autonome plutôt qu'une autorité de certification d'entreprise. Vous pouvez également utiliser ce paramètre à des fins de test pour vérifier les options de demande de certificat avant que l'Autorité de certification émettrice traite la demande de certificat. Utilisez ce paramètre conjointement avec le paramètre Délai de nouvelle tentative (en minutes).

    • Délai de nouvelle tentative (en minutes) : spécifiez l’intervalle, en minutes, entre deux tentatives d’inscription, quand vous utilisez l’approbation du gestionnaire de l’Autorité de certification avant que l’Autorité de certification émettrice traite la demande de certificat. Si vous utilisez l'approbation du gestionnaire à des fins de test, la spécification d'une valeur faible évitera d'attendre trop longtemps une nouvelle tentative de demande de certificat par l'appareil après l'approbation de la demande. Toutefois, si vous utilisez l'approbation du gestionnaire sur un réseau de production, vous voudrez spécifier une valeur élevée pour donner suffisamment de temps à l'administrateur de l'Autorité de certification pour vérifier et approuver ou refuser les approbations en attente.

    • Seuil de renouvellement (%) : spécifiez le pourcentage de durée de vie restante du certificat avant que l’appareil ne demande le renouvellement du certificat.

    • Fournisseur de stockage de clés : spécifiez l’emplacement de stockage de la clé du certificat. Choisissez l'une des valeurs suivantes :

      • Installer dans le module de plateforme sécurisée (TPM) s’il existe : installe la clé dans le module de plateforme sécurisée. Si le module de plateforme sécurisée n'est pas présent, la clé est installée dans le fournisseur de stockage de la clé du logiciel.

      • Installer dans le module de plateforme sécurisée (TPM) sinon mettre en échec : installe la clé dans le module de plateforme sécurisée. Si le module de plateforme sécurisée n'est pas présent, l'installation échoue.

      • Installer sur Passport for Work, sinon mettre en échec : cette option est disponible pour les appareils Windows 10 Desktop et Mobile. Elle inscrit la clé auprès de Passport for Work, comme décrit dans Contrôler les paramètres de Microsoft Passport sur les appareils avec System Center Configuration Manager. Cette option vous permet également d’Exiger une authentification multifacteur lors de l’inscription des appareils avant de délivrer des certificats à ces appareils. Pour plus d’informations, consultez Utiliser l’authentification multifacteur dans Microsoft Intune.

      • Installer dans le fournisseur de stockage de la clé du logiciel : installe la clé dans le fournisseur de stockage de la clé du logiciel.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

    • Appareils pour l’inscription du certificat : si le profil de certificat est déployé sur un regroupement d’utilisateurs, choisissez d’autoriser l’inscription de certificats uniquement sur l’appareil principal de l’utilisateur ou sur tous les appareils auxquels se connecte l’utilisateur. Si le profil de certificat est déployé sur un regroupement d'appareils, choisissez d'autoriser l'inscription de certificats uniquement pour l'utilisateur principal de l'appareil ou pour tous les utilisateurs qui se connectent à l'appareil.

  3. Sur la page Propriétés du certificat de l'Assistant Création d'un profil de certificat, spécifiez les informations suivantes :

    • Nom du modèle de certificat : cliquez sur Parcourir pour sélectionner le nom d’un modèle de certificat que doit utiliser le service d’inscription de périphériques réseau conformément à sa configuration et qui a été ajouté à une Autorité de certification émettrice. Pour accéder correctement aux modèles de certificat, le compte utilisateur utilisé pour exécuter la console System Center Configuration Manager doit disposer le l'autorisation Lecture sur le modèle de certificat. Vous pouvez également, si vous ne pouvez pas utiliser Parcourir, taper le nom du modèle de certificat.

      System_CAPS_importantImportant

      Si le nom de modèle de certificat contient des caractères non-ASCII (par exemple, les caractères de l'alphabet chinois), le certificat ne sera pas déployé. Pour vous assurer que le certificat est déployé, vous devez tout d'abord créer une copie du modèle de certificat sur l'autorité de certification et renommez la copie à l'aide de caractères ASCII.

      Notez les informations suivantes, selon que vous accédez au modèle de certificat ou tapez le nom du certificat :

      • Si vous naviguez pour sélectionner le nom du modèle de certificat, certains champs de la page sont automatiquement remplis à partir du modèle de certificat. Dans certains cas, vous ne pouvez pas modifier ces valeurs, sauf si vous choisissez un modèle de certificat différent.

      • Si vous tapez le nom du modèle de certificat, assurez-vous que le nom correspond exactement à l'un des modèles de certificat figurant dans le Registre du serveur exécutant le service d'inscription d'appareils réseau. Assurez-vous que vous spécifiez le nom du modèle de certificat et non le nom d'affichage du modèle de certificat.

        Pour rechercher le nom des modèles de certificat, accédez à la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. Les modèles de certificat s'affichent sous la forme des valeurs EncryptionTemplate, GeneralPurposeTemplate et SignatureTemplate. Par défaut, la valeur des trois modèles de certificat est IPSECIntermediateOffline, laquelle correspond au nom d'affichage du modèle IPSec (requête hors connexion).

        System_CAPS_warningAvertissement

        System Center Configuration Manager ne peut pas vérifier le contenu du modèle de certificat lorsque vous tapez le nom du modèle au lieu de le rechercher. De ce fait, il est possible de sélectionner des options qui ne sont pas prises en charge par le modèle de certificat et qui entraînent l'échec de la demande de certificat. Dans ce cas, un message d'erreur pour w3wp.exe s'affiche dans le fichier CPR.log, indiquant que le nom du modèle dans la demande de signature de certificat (DSC) et le nom dans la vérification ne correspondent pas.

        Lorsque vous tapez le nom du modèle de certificat spécifié pour la valeur de modèle à usage général, vous devez sélectionner les options Chiffrement de clé et Signature numérique pour ce profil de certificat. Toutefois, si vous voulez activer l'option Chiffrement de clé uniquement dans ce profil de certificat, spécifiez le nom du modèle de certificat pour la clé Modèle de chiffrement. De la même manière, si vous voulez activer l'option Signature numérique uniquement dans ce profil de certificat, spécifiez le nom du modèle de certificat pour la clé Modèle de signature.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

    • Type de certificat : sélectionnez si le certificat est déployé sur un appareil ou un utilisateur.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

    • Format du nom de l’objet : dans la liste, sélectionnez comment System Center Configuration Manager crée automatiquement le nom de l’objet dans la demande de certificat. Si le certificat est pour un utilisateur, vous pouvez également inclure l'adresse de messagerie de cet utilisateur dans le nom de l'objet.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

    • Autre nom de l’objet : spécifiez comment System Center Configuration Manager crée automatiquement les valeurs pour l’autre nom de l’objet dans la demande de certificat. Par exemple, si vous avez sélectionné un type de certificat utilisateur, vous pouvez inclure le nom d'utilisateur principal (UPN) dans l'autre nom de l'objet.

      System_CAPS_tipConseil

      Si le certificat client est utilisé pour l'authentification sur un serveur de stratégie réseau, l'autre nom de l'objet doit être défini sur le nom d'utilisateur principal.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

      System_CAPS_importantImportant

      Les appareils iOS ne prennent pas en charge tous les formats pour le nom d'objet et autre nom d'objet dans les certificats SCEP. Si vous spécifiez un format non pris en charge, les certificats ne seront pas inscrits sur les appareils iOS. Lorsque vous configurez un profil de certificat SCEP pour le déploiement sur des appareils iOS, utilisez Nom commun pour Format du nom de l'objet et Nom DNS, Adresse de messagerie ou UPN pour Autre nom de l'objet.

    • Période de validité du certificat : si vous avez exécuté la commande certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE sur l’Autorité de certification émettrice, ce qui autorise une période de validité personnalisée, vous pouvez spécifier le temps restant avant l’expiration du certificat. Pour plus d'informations sur cette commande, consultez Étape 1 : Installer et configurer le service d’inscription de périphérique réseau et les dépendances dans la rubrique Configuration des profils de certificat dans System Center Configuration Manager.

      Vous pouvez spécifier une valeur inférieure à la période de validité du modèle de certificat spécifié, mais pas une valeur supérieure. Par exemple, si la période de validité du certificat dans le modèle de certificat est de 2 ans, vous pouvez spécifier une valeur de 1 an mais pas une valeur de 5 ans. La valeur doit également être inférieure à la période de validité restante du certificat de l'autorité de certification émettrice.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

    • Utilisation de la clé : spécifiez les options d’utilisation de la clé pour le certificat. Vous pouvez choisir parmi les options suivantes :

      • Chiffrage de clés : autorisez l’échange de clés uniquement quand la clé est chiffrée.

      • Signature numérique : autorisez l’échange de clés uniquement quand une signature numérique contribue à protéger la clé.

        Si vous avez sélectionné un modèle de certificat à l'aide de l'option Parcourir, vous risquez de ne pas pouvoir modifier ces paramètres si vous ne sélectionnez pas un autre modèle de certificat.

      Le modèle de certificat que vous avez sélectionné doit être configuré avec une ou les deux options d'utilisation de la clé ci-dessus. Sinon, le message Key usage in CSR and challenge do not match est présent dans le fichier journal de point d'enregistrement de certificat, Crp.log.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

    • Taille de la clé (bits) : sélectionnez la taille de la clé en bits.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

    • Utilisation de la clé étendue : cliquez sur Sélectionner pour ajouter des valeurs pour le rôle prévu du certificat. Dans la plupart des cas, le certificat demande une Authentification client afin que l'utilisateur ou l'appareil puisse être authentifié sur un serveur. Toutefois, vous pouvez ajouter d'autres utilisations de la clé en fonction de vos besoins.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

    • Algorithme de hachage : sélectionnez l’un des types d’algorithme de hachage disponibles avec ce certificat. Permet de sélectionner le niveau le plus élevé de sécurité pris en charge par les appareils se connectant.

      System_CAPS_noteRemarque

      SHA-2 prend en charge SHA-256, SHA-384 et SHA-512.SHA-3 prend uniquement en charge SHA-3.

    • Certificat d’Autorité de certification racine : cliquez sur Sélectionner pour choisir un profil de certificat d’autorité de certification racine que vous avez précédemment configuré et déployé sur l’utilisateur ou l’appareil. Ce certificat d'autorité de certification doit être le certificat racine de l'autorité de certification qui émet le certificat que vous configurez dans ce profil de certificat.

      System_CAPS_importantImportant

      Si vous spécifiez un certificat d'autorité de certification racine qui n'est pas déployé sur l'utilisateur ou l'appareil, System Center Configuration Manager ne va pas lancer la demande de certificat que vous configurez dans ce profil de certificat.

      System_CAPS_noteRemarque

      Si vous modifiez cette valeur après avoir déployé le certificat, l'ancien certificat est supprimé et un nouveau certificat est demandé.

La procédure suivante permet de spécifier les systèmes d'exploitation où vous installerez le profil de certificat.

Pour spécifier les plate-formes prises en charge pour le profil de certificat

  • Sur la page Plateformes prises en charge de l'Assistant Création d'un profil de certificat, sélectionnez les systèmes d'exploitation dans lesquels vous voulez installer le profil de certificat. Vous pouvez également cliquer sur Sélectionner tout pour installer le profil de certificat sur tous les systèmes d'exploitation disponibles.

Dans la page Résumé de l'Assistant, passez en revue les actions qui seront exécutées, puis terminez l'Assistant. Le nouveau profil de certificat s'affiche dans le nœud Profils de certificat de l'espace de travail Ressources et Conformité et il est prêt à être déployé sur les utilisateurs et les appareils. Pour plus d’informations, voir Comment déployer des profils de certificat dans System Center Configuration Manager.

Afficher: