Code source wiki de RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen
Modifié par ndzokam le 2025/11/07 03:16
Masquer les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
 |
15.1 | 1 | Le guide suivant explique comment configurer un client RangeeOS afin qu’il puisse demander un certificat à un serveur de certificats via SCEP (Simple Certificate Enrollment Protocol). |
| |
5.2 | 2 | |
| 3 | {{info}} | ||
| |
15.1 | 4 | Testé avec succès pour la dernière fois avec : |
| |
5.2 | 5 | |
| |
15.1 | 6 | **Versions client :** |
| |
5.2 | 7 | |
| |
14.1 | 8 | firmware x64 - 13.00 build 073 |
| |
5.2 | 9 | |
| |
15.1 | 10 | **Versions serveur :** |
| |
5.2 | 11 | |
| |
15.1 | 12 | Windows Server 2019 avec les services de certificats Active Directory |
| |
5.2 | 13 | {{/info}} |
| 14 | |||
| |
15.1 | 15 | Les certificats émis via SCEP peuvent par exemple être utilisés pour l’authentification auprès d’un serveur WLAN-RADIUS ou dans un réseau 802.1X. |
| |
5.2 | 16 | |
| |
15.1 | 17 | Le guide suivant décrit la configuration du client. Les valeurs indiquées peuvent varier en fonction de l’infrastructure de certificats utilisée. |
| |
5.2 | 18 | |
| |
14.1 | 19 | == Strong Certificate Binding == |
| |
5.2 | 20 | |
| |
15.1 | 21 | Depuis février 2025, tous les certificats informatiques authentifiant auprès d’un Windows Network Policy Server doivent respecter les exigences du Strong Certificate Binding (source : [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Jusqu’en septembre 2025, l’application de cette exigence peut encore être retardée en définissant la clé de registre suivante : |
| |
5.2 | 22 | |
| |
14.1 | 23 | {{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc |
| 24 | Name: StrongCertificateBindingEnforcement | ||
| 25 | Type: DWORD | ||
| 26 | Value: 1}}} | ||
| |
5.2 | 27 | |
| |
15.1 | 28 | Résumé des exigences à respecter : |
| |
5.2 | 29 | |
| |
15.1 | 30 | * L’ordinateur auquel appartient le certificat doit être membre du domaine. |
| 31 | * Le certificat doit contenir l’extension **1.3.6.1.4.1.311.25.2**, dans laquelle **l’ObjectSID** du compte ordinateur doit être codée. | ||
| 32 | * L’ObjectSID doit correspondre au nom d’hôte choisi pour le certificat. | ||
| |
5.2 | 33 | |
| |
15.1 | 34 | Pour satisfaire ces exigences sous RangeeOS, vous pouvez intégrer vos appareils au domaine via **Active Directory → Connexion poste de travail**. |
| 35 | Lorsqu’un client est membre du domaine, l’option **„ Définir le SID de l’ordinateur comme Subject Alternative Name “** est activée dans la configuration SCEP. | ||
| 36 | Un certificat demandé par la suite contiendra alors la nouvelle extension. | ||
| |
14.1 | 37 | |
| 38 | {{info}} | ||
| |
15.1 | 39 | L’option **Définir le SID de l’ordinateur comme Subject Alternative Name **n’est disponible qu’à partir de la Firmware x64 13.00 Build 073. |
| |
14.1 | 40 | {{/info}} |
| 41 | |||
| 42 | (% class="wikigeneratedid" %) | ||
| 43 | [[image:scep01.png||height="515" width="400"]] | ||
| 44 | |||
| |
15.1 | 45 | == Configuration == |
| |
14.1 | 46 | |
| |
15.1 | 47 | La configuration **SCEP** se trouve dans la **Kommbox** de **RangeeOS** sous **Système** (anciennement **Outils**) → **SCEP** : |
| |
14.1 | 48 | |
| |
15.1 | 49 | * **Activer SCEP :** doit être activé |
| 50 | * **URL du serveur SCEP :** http:~/~/FQDN/certsrv/mscep/mscep.dll | ||
| 51 | * **Mot de passe du serveur SCEP :** via MSCEP, le mot de passe peut être obtenu automatiquement en fournissant les identifiants autorisés ; en configuration manuelle, il est demandé après la saisie du serveur SCEP. | ||
| 52 | * **URL Admin du serveur SCEP :** http:~/~/FQDN/certsrv/mscep_admin/ | ||
| 53 | * **Nom d’utilisateur Admin du serveur SCEP :** Domaine\Utilisateur disposant des droits nécessaires pour demander un certificat. Cela peut être testé via l’URL http:~/~/FQDN/certsrv/mscep_admin/ – un nom d’utilisateur et un mot de passe seront demandés. | ||
| 54 | * **Mot de passe Admin du serveur SCEP :** mot de passe correspondant à l’utilisateur Admin du serveur SCEP | ||
| 55 | * **Type de certificat :** choix entre certificat utilisateur ou certificat ordinateur | ||
| 56 | * ** Certificat utilisateur: ** | ||
| 57 | ** Si aucun nom d’utilisateur et/ou domaine n’est indiqué pour le certificat, le nom d’utilisateur Admin et le domaine du serveur SCEP seront utilisés. | ||
| 58 | * **Certificat ordinateur :** | ||
| 59 | ** **Nom DNS pour le certificat :** permet d’indiquer manuellement le nom d’hôte du client | ||
| 60 | ** **Détermination automatique du nom DNS :** option pour utiliser soit le FQDN, soit le nom d’hôte du client pour la demande de certificat | ||
| 61 | ** **Définir le SID de l’ordinateur comme Subject Alternative Name :** nécessite que RangeeOS soit membre du domaine. Cette option est nécessaire pour inclure l’**ObjectSID** du compte ordinateur comme Subject Alternative Name dans le certificat (voir section sur le **Strong Certificate Binding**) | ||
| 62 | * **Mise à jour automatique du certificat :** définit la fréquence de renouvellement du certificat | ||
| 63 | * **Forcer la mise à jour maintenant :** si activé, un certificat est immédiatement demandé lors de l’application. Cela permet de vérifier directement dans le journal si la demande a réussi. | ||
| 64 | * **Ne pas appliquer les paramètres TCMS :** indique si les paramètres doivent être distribués via le TCMS. Cette option doit être activée dans la configuration de groupe pour fonctionner. | ||
| |
5.2 | 65 | |
| |
15.1 | 66 | **Exemple de configuration** pour un serveur de certificats avec le nom d’hôte dc2019.windows.local dans notre environnement de test : |
| |
5.2 | 67 | |
| |
14.1 | 68 | [[image:1752130525822-903.png]] |
| |
5.2 | 69 | |
| |
14.1 | 70 |