Code source wiki de RangeeOS - Mit SCEP ein Computer-Benutzerzertifikat beziehen
Modifié par ndzokam le 2025/11/07 03:16
Afficher les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
| 1 | Le guide suivant explique comment configurer un client RangeeOS afin qu’il puisse demander un certificat à un serveur de certificats via SCEP (Simple Certificate Enrollment Protocol). | ||
| 2 | |||
| 3 | {{info}} | ||
| 4 | Testé avec succès pour la dernière fois avec : | ||
| 5 | |||
| 6 | **Versions client :** | ||
| 7 | |||
| 8 | firmware x64 - 13.00 build 073 | ||
| 9 | |||
| 10 | **Versions serveur :** | ||
| 11 | |||
| 12 | Windows Server 2019 avec les services de certificats Active Directory | ||
| 13 | {{/info}} | ||
| 14 | |||
| 15 | Les certificats émis via SCEP peuvent par exemple être utilisés pour l’authentification auprès d’un serveur WLAN-RADIUS ou dans un réseau 802.1X. | ||
| 16 | |||
| 17 | Le guide suivant décrit la configuration du client. Les valeurs indiquées peuvent varier en fonction de l’infrastructure de certificats utilisée. | ||
| 18 | |||
| 19 | == Strong Certificate Binding == | ||
| 20 | |||
| 21 | Depuis février 2025, tous les certificats informatiques authentifiant auprès d’un Windows Network Policy Server doivent respecter les exigences du Strong Certificate Binding (source : [[Microsoft>>https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16]]). Jusqu’en septembre 2025, l’application de cette exigence peut encore être retardée en définissant la clé de registre suivante : | ||
| 22 | |||
| 23 | {{{Key: HKLM:\SYSTEM\CurrentControlSet\Services\Kdc | ||
| 24 | Name: StrongCertificateBindingEnforcement | ||
| 25 | Type: DWORD | ||
| 26 | Value: 1}}} | ||
| 27 | |||
| 28 | Résumé des exigences à respecter : | ||
| 29 | |||
| 30 | * L’ordinateur auquel appartient le certificat doit être membre du domaine. | ||
| 31 | * Le certificat doit contenir l’extension **1.3.6.1.4.1.311.25.2**, dans laquelle **l’ObjectSID** du compte ordinateur doit être codée. | ||
| 32 | * L’ObjectSID doit correspondre au nom d’hôte choisi pour le certificat. | ||
| 33 | |||
| 34 | Pour satisfaire ces exigences sous RangeeOS, vous pouvez intégrer vos appareils au domaine via **Active Directory → Connexion poste de travail**. | ||
| 35 | Lorsqu’un client est membre du domaine, l’option **„ Définir le SID de l’ordinateur comme Subject Alternative Name “** est activée dans la configuration SCEP. | ||
| 36 | Un certificat demandé par la suite contiendra alors la nouvelle extension. | ||
| 37 | |||
| 38 | {{info}} | ||
| 39 | L’option **Définir le SID de l’ordinateur comme Subject Alternative Name **n’est disponible qu’à partir de la Firmware x64 13.00 Build 073. | ||
| 40 | {{/info}} | ||
| 41 | |||
| 42 | (% class="wikigeneratedid" %) | ||
| 43 | [[image:scep01.png||height="515" width="400"]] | ||
| 44 | |||
| 45 | == Configuration == | ||
| 46 | |||
| 47 | La configuration **SCEP** se trouve dans la **Kommbox** de **RangeeOS** sous **Système** (anciennement **Outils**) → **SCEP** : | ||
| 48 | |||
| 49 | * **Activer SCEP :** doit être activé | ||
| 50 | * **URL du serveur SCEP :** http:~/~/FQDN/certsrv/mscep/mscep.dll | ||
| 51 | * **Mot de passe du serveur SCEP :** via MSCEP, le mot de passe peut être obtenu automatiquement en fournissant les identifiants autorisés ; en configuration manuelle, il est demandé après la saisie du serveur SCEP. | ||
| 52 | * **URL Admin du serveur SCEP :** http:~/~/FQDN/certsrv/mscep_admin/ | ||
| 53 | * **Nom d’utilisateur Admin du serveur SCEP :** Domaine\Utilisateur disposant des droits nécessaires pour demander un certificat. Cela peut être testé via l’URL http:~/~/FQDN/certsrv/mscep_admin/ – un nom d’utilisateur et un mot de passe seront demandés. | ||
| 54 | * **Mot de passe Admin du serveur SCEP :** mot de passe correspondant à l’utilisateur Admin du serveur SCEP | ||
| 55 | * **Type de certificat :** choix entre certificat utilisateur ou certificat ordinateur | ||
| 56 | * ** Certificat utilisateur: ** | ||
| 57 | ** Si aucun nom d’utilisateur et/ou domaine n’est indiqué pour le certificat, le nom d’utilisateur Admin et le domaine du serveur SCEP seront utilisés. | ||
| 58 | * **Certificat ordinateur :** | ||
| 59 | ** **Nom DNS pour le certificat :** permet d’indiquer manuellement le nom d’hôte du client | ||
| 60 | ** **Détermination automatique du nom DNS :** option pour utiliser soit le FQDN, soit le nom d’hôte du client pour la demande de certificat | ||
| 61 | ** **Définir le SID de l’ordinateur comme Subject Alternative Name :** nécessite que RangeeOS soit membre du domaine. Cette option est nécessaire pour inclure l’**ObjectSID** du compte ordinateur comme Subject Alternative Name dans le certificat (voir section sur le **Strong Certificate Binding**) | ||
| 62 | * **Mise à jour automatique du certificat :** définit la fréquence de renouvellement du certificat | ||
| 63 | * **Forcer la mise à jour maintenant :** si activé, un certificat est immédiatement demandé lors de l’application. Cela permet de vérifier directement dans le journal si la demande a réussi. | ||
| 64 | * **Ne pas appliquer les paramètres TCMS :** indique si les paramètres doivent être distribués via le TCMS. Cette option doit être activée dans la configuration de groupe pour fonctionner. | ||
| 65 | |||
| 66 | **Exemple de configuration** pour un serveur de certificats avec le nom d’hôte dc2019.windows.local dans notre environnement de test : | ||
| 67 | |||
| 68 | [[image:1752130525822-903.png]] | ||
| 69 | |||
| 70 |