Installation de IIS

Démarrer > Exécuter > appwiz.cpl > Ajouter ou supprimer des composants Windows

Composant Windows : Serveur d'applications > Services IIS > Service World Wide Web

Installation de l'autorité de certification

Démarrer > Exécuter > appwiz.cpl > Ajouter ou supprimer des composants Windows

Composant Windows : Service de certificats > Autorité de certification de services de certificats

Type de certificat : Autorité racine d'entreprise
CN : HomeCA
DN : DC=home,DC=local
Période de validité : 5 ans
DB certificats : C:\WINDOWS\system32\CertLog
DB journal DB certificats : C:\WINDOWS\system32\CertLog

Forcer la création d'un certificat serveur

Démarrer > Exécuter > mmc

Ajouter le composant Certificats pour le compte de l'odinateur (local)

Se placer sur la magasin Personnel puis emettre une requpête de certificat via le menu contextuel :

Toutes les tâches > Demander un nouveau certificat

Type de certificat : Contrôleur de domaine
Nom convivial : vm-dc1.home.local

Remarque : cette manipulation est à faire sur l'ensemble des contrôleurs de domaine

Test d'accès LDAPS

Démarrer > Exécuter > ldp

Connection > Connect

Server : vm-dc1.home.local
Port: 636
SSL : actif

Autoriser les requêtes de certificats pour tous les contrôleurs des domaines enfants

Ouvrir la console de gestion de l'Autorité de Certification :

Outils d'administration > Autorité de certification

Modifier les autorisations de l'AC :

clic droit sur HomeCA > Propriétés > Onglet Sécurité,

ajouter le groupe Contrôleurs de domaine de chaque domaine et les autoriser à demander des certificats.

Ajouter le groupe Contrôleurs de domaine de chaque domaine dans le groupe CERTSVC_DCOM_ACCESS.

Mettre à jour les paramètres de sécurité DCOM pour les services de certification :

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG

Redémarrer le service Distributed Transaction Coordinator :

net stop msdtc
net start msdtc

Redémarrer l'Autorité de certification :

net stop certsvc
net start certsvc