RangeeOS - Obtenir un certificat utilisateur informatique via SCEP
Le guide suivant explique comment configurer un client RangeeOS afin qu’il puisse demander un certificat à un serveur de certificats via SCEP (Simple Certificate Enrollment Protocol).
Les certificats émis via SCEP peuvent par exemple être utilisés pour l’authentification auprès d’un serveur WLAN-RADIUS ou dans un réseau 802.1X.
Le guide suivant décrit la configuration du client. Les valeurs indiquées peuvent varier en fonction de l’infrastructure de certificats utilisée.
Strong Certificate Binding
Depuis février 2025, tous les certificats informatiques authentifiant auprès d’un Windows Network Policy Server doivent respecter les exigences du Strong Certificate Binding (source : Microsoft). Jusqu’en septembre 2025, l’application de cette exigence peut encore être retardée en définissant la clé de registre suivante :
Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc Name: StrongCertificateBindingEnforcement Type: DWORD Value: 1
Résumé des exigences à respecter :
- L’ordinateur auquel appartient le certificat doit être membre du domaine.
- Le certificat doit contenir l’extension 1.3.6.1.4.1.311.25.2, dans laquelle l’ObjectSID du compte ordinateur doit être codée.
- L’ObjectSID doit correspondre au nom d’hôte choisi pour le certificat.
Pour satisfaire ces exigences sous RangeeOS, vous pouvez intégrer vos appareils au domaine via Active Directory → Connexion poste de travail.
Lorsqu’un client est membre du domaine, l’option „ Définir le SID de l’ordinateur comme Subject Alternative Name “ est activée dans la configuration SCEP.
Un certificat demandé par la suite contiendra alors la nouvelle extension.
Configuration
La configuration SCEP se trouve dans la Kommbox de RangeeOS sous Système (anciennement Outils) → SCEP :
- Activer SCEP : doit être activé
- URL du serveur SCEP : http://FQDN/certsrv/mscep/mscep.dll
- Mot de passe du serveur SCEP : via MSCEP, le mot de passe peut être obtenu automatiquement en fournissant les identifiants autorisés ; en configuration manuelle, il est demandé après la saisie du serveur SCEP.
- URL Admin du serveur SCEP : http://FQDN/certsrv/mscep_admin/
- Nom d’utilisateur Admin du serveur SCEP : Domaine\Utilisateur disposant des droits nécessaires pour demander un certificat. Cela peut être testé via l’URL http://FQDN/certsrv/mscep_admin/ – un nom d’utilisateur et un mot de passe seront demandés.
- Mot de passe Admin du serveur SCEP : mot de passe correspondant à l’utilisateur Admin du serveur SCEP
- Type de certificat : choix entre certificat utilisateur ou certificat ordinateur
- Certificat utilisateur:
- Si aucun nom d’utilisateur et/ou domaine n’est indiqué pour le certificat, le nom d’utilisateur Admin et le domaine du serveur SCEP seront utilisés.
- Certificat ordinateur :
- Nom DNS pour le certificat : permet d’indiquer manuellement le nom d’hôte du client
- Détermination automatique du nom DNS : option pour utiliser soit le FQDN, soit le nom d’hôte du client pour la demande de certificat
- Définir le SID de l’ordinateur comme Subject Alternative Name : nécessite que RangeeOS soit membre du domaine. Cette option est nécessaire pour inclure l’ObjectSID du compte ordinateur comme Subject Alternative Name dans le certificat (voir section sur le Strong Certificate Binding)
- Mise à jour automatique du certificat : définit la fréquence de renouvellement du certificat
- Forcer la mise à jour maintenant : si activé, un certificat est immédiatement demandé lors de l’application. Cela permet de vérifier directement dans le journal si la demande a réussi.
- Ne pas appliquer les paramètres TCMS : indique si les paramètres doivent être distribués via le TCMS. Cette option doit être activée dans la configuration de groupe pour fonctionner.
Exemple de configuration pour un serveur de certificats avec le nom d’hôte dc2019.windows.local dans notre environnement de test :
