GPO: Deployer un certificats authority

 

Quand vous décidez d’installer un certification pour sécuriser un serveur, il faut ensuite déployer les certificats chez tous les clients... Souvent on réalise cela poste par poste... mais il y a moyen de faire plus simple...

Pour ne pas perdre de temps lors de l’installation des certificats ordinateurs et utilisateurs, il est possible de paramétrer l’inscription automatique des certificats pour un domaine à l’aide de GPO.

Pour cela on se connecte sur GPMC (Group Policy Management Console), cela se déroule en 2 étapes :

1ère Étape : Configuration de l'Ordinateur

  • Sous le nom de domaine concerné, dans l'unité d'organisation désirée, on choisi l'une des policies, ou on crée une nouvelle...
  • Ensuite il faut déplier Computer Configuration > Windows Settings > Security Settings > Public Key Policies
  • Ensuite il faut double-cliquer sur Autoenrollment Settings, sélectionner Enroll certificates automatically (coché par défaut) et cocher les deux options qui sont en dessous (renouveler et mettre à jour)
  • Dans Automatic Certificate Request Settings, faire click droit > New > Automatic Certificate Request...
  • Faire suivant et sélectionner Computer puis terminer
  • Dans Trusted Root Certification Authorities, faire click droit > Import... Choisir le certificat à Importer

2ème Étape : Configuration Utilisateur

  • Il faut déplier User Configuration > Windows Settings  > Security Settings  > Public Key Policies 
  • Ensuite il faut double-cliquer sur Autoenrollment Settings, sélectionner Enroll certificates automatically (coché par défaut) et cocher les deux options qui sont en dessous (renouveler et mettre à jour)

Voilà le déploiement des certificats se fera lorsque la mise à jour des GPO se lancera, vous pouvez forcer la mise à jour des GPO en lançant :
gpupdate /sync ou /force si vous voulez forcer la mise à jour. Pour voir si les certificats ont bien été déployer on peut lancer la commande gpudate sur un client et ensuite voir dans la mmc autorité de certification si les certificats apparaissent.

Attention: Vous devez appliquer cette GPO sur une OU qui contient les ordinateurs, j'ai mis plusieurs heures à comprendre pourquoi cette #@### de GPO n'a pas voulu ajouter le certificat sur le PC de test, jusqu'à ce que j'ajoute la GPO sur l'OU contenant le PC de test.