Les certificats dans SCCM 2012

Après un long silence radio voici un nouveau post sur la mise en place des certificats dans SCCM 2012.

Dans SCCM 2007, le choix se limitait au mode mixte ou natif et affectait l’ensemble des rôles du site. Dans SCCM 2012 vous pouvez choisir si chaque point de gestion et point de distribution doit utiliser les certificats ou non. La mise en place de certificats permet un chiffrement des communications entre vos clients et vos serveurs SCCM.

Je ne couvrirais pas ici la mise en place des certificats pour l’AMT et l’enrôlement des périphériques mobiles mais nous verrons la mise en place des certificats pour les clients, les points de gestion et le déploiement d’OS.

Les prérequis

  • Vous aurez besoin pour mettre en place ces certificats d’une autorité de certification dans votre domaine.
  • Vous avez créé un groupe AD contenant les comptes des serveurs SCCM assurant le rôle de point de gestion et point de distribution.

Première étape : La création des modèles de certificats

Il va vous falloir créer plusieurs modèles de certificats :

  • Un certificat pour les clients SCCM
  • Un certificat pour les points de gestion
  • Un certificat pour les points de distribution pour permettre le déploiement d’OS
Ouvrez la console de votre autorité de certification et allez dans les modèles de certificats.

Faites un clic droit sur « modèles de certificats » et cliquez sur « gérer ».

Nous allons commencer par le certificat pour les clients.

Choisissez le certificat « Ordinateur » et dupliquez le modèle.

Choisissez « Windows 2003 Server »
Donnez un nom au modèle et allez dans l’onglet « sécurité »
Enlevez le droit « inscrire » aux admins du domaine et aux administrateurs de l’entreprise.

Donnez les droits lecture et inscription automatique au groupe Ordinateurs du domaine.

Nous allons maintenant créer le certificat pour les points de distribution.

Dupliquez à nouveau le modèle ordinateur et choisissez un modèle Windows 2003 server.

Donnez un nom au certificat, choisissez une durée de validité.

Allez dans l’onglet « Traitement de la demande ».

Cochez la case « Autoriser l’exportation de la clé privée ».

Allez dans l’onglet sécurité

Enlevez le droit « inscrire » aux admins du domaine et aux administrateurs de l’entreprise.

Donnez les droits lecture et inscription au groupe des serveurs SCCM.

Et pour finir nous allons créer le modèle de certificat pour les points de gestion.

Dupliquez le modèle Serveur Web et choisissez un modèle Windows 2003 server.

Donnez un nom au certificat, choisissez une durée de validité.

Allez dans l’onglet « Nom du sujet ».

Choisissez de construire le nom de sujet à partir des infos de l’AD.

Dans le format du nom de sujet choisissez « Nom commun ».

Allez dans l’onglet sécurité.

Enlevez le droit « inscrire » aux admins du domaine et aux administrateurs de l’entreprise.

Donnez les droits lecture et inscription au groupe des serveurs SCCM.

Validez et retournez à la console de l’autorité de certification.

Sur les modèles de certificat, cliquez sur « nouveau » puis « modèle de certificat à délivrer ».
Choisissez les nouveaux certificats et validez.

Deuxième étape : Activer l’auto enrôlement des clients

Editez une GPO qui affectera vos clients SCCM.

Rendez-vous dans les Stratégies ordinateur / Paramètres de sécurité / Stratégie de clé publique.

Ouvrez « Client des services de certificat – Inscription automatique ».

Activez les paramètres, cochez les cases pour le renouvellement et la mise à jour des certificats basés sur modèles.

Et voilà, après un petit gpupdate vos clients auront leur certificat.

Troisième étape : déployez le certificat pour les points de gestion

Sur votre point de gestion, ouvrez une console mmc, ajoutez le composant enfichable « Certificats » et choisissez le compte de l’ordinateur local.

Dans les certificats personnels, cliquez sur « Toutes les taches » et sur « demander un nouveau certificat ».

Choisissez votre modèle de certificat pour point de gestion et cliquez sur « inscrire ».

Validez et fermez la console.

Allez maintenant dans la console IIS de votre point de gestion.

Faites un clic droit sur le site par défaut et cliquez sur « modifier les liaisons ».

Cliquez sur « ajouter », choisissez HTTPS et choisissez le certificat que vous venez de créer.
Et voilà, votre IIS est prêt pour le SSL.

Quatrième étape : Créez le certificat pour le point de distribution

Sur votre point de distribution, ouvrez une console mmc, ajoutez le composant enfichable « Certificats » et choisissez le compte de l’ordinateur local.

Dans les certificats personnels, cliquez sur « Toutes les taches » et sur « demander un nouveau certificat ».

Choisissez votre certificat pour point de distribution et validez.
Sélectionnez votre nouveau certificat, faites un clic droit dessus allez dans toutes les taches et exportez le.
Exportez la clé privée.
Cliquez sur suivant.
Entrez un mot de passe.
Donnez un nom de fichier.
Une fois le certificat exporté supprimez le.

Dernière étape : activez HTTPS dans SCCM

Dans la console SCCM, allez dans l’espace « Administration ».

Ouvrez les propriétés de votre point de gestion.

Activez HTTPS.
Allez maintenant dans les propriétés de votre point de distribution.
Activez HTTPS.

Importez le certificat que vous avez exporté et fournissez le mot de passe.

Voilà, vous avez désormais activé HTTPS pour votre point de gestion et votre point de distribution !

Publicités

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s