Titre Installation et configuration d une CA sous Windows Server 2008 Propriétaire Tavares José Classification Interne Date dernière 28 Septembre 2009



Documents pareils
Acronymes et abréviations. Acronymes / Abbréviations. Signification

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 3


Les différentes méthodes pour se connecter

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

TP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

(1) Network Camera

Stockage des machines virtuelles d un système ESXi jose.tavares@hesge.ch & gerald.litzistorf@hesge.ch

vcenter Server 1. Interface Lancez le vsphere Client et connectez vous à vcenter Server. Voici la page d accueil de vcenter Server.

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Installation FollowMe Q server

Bind, le serveur de noms sous Linux

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 5

Il est possible d associer ces noms aux langages numérique grâce à un système nommé DNS(Domain Name System)

COURS 5 Mettre son site en ligne! Exporter son site avec WordPress Duplicator Installer un logiciel FTP Faire le suivi des visites de son site avec

Ces deux machines virtuelles seront installées sous VMWARE WORKSTATION.

Mise en place d un serveur HTTPS sous Windows 2000

Déploiement d'une application Visual Studio Lightswitch dans Windows Azure.

Direction des Systèmes d'information

WiFi Security Camera Quick Start Guide. Guide de départ rapide Caméra de surveillance Wi-Fi (P5)

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Gestion des certificats en Internet Explorer

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

Configuration du FTP Isolé Active Directory

Installation de SCCM 2012 (v2)

Les réseaux des EPLEFPA. Guide «PfSense»

Authentification unique Eurécia

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Tous les logiciels cités dans ce document sont des marques déposées de leurs propriétaires respectifs


Configuration de GFI MailArchiver

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Sécurisation des accès au CRM avec un certificat client générique

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

1. Mise en œuvre du Cegid Web Access Server en https

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Récupérer les documents stockés sur l ENTG

CS REMOTE CARE - WEBDAV

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Configuration du serveur FTP sécurisé (Microsoft)

MIGRATION ANNEXE SAINT YVES. 1 : L existant. Pourquoi cette migration Schéma et adressage IP. 2 : Le projet. Schéma et adressage IP.

A-EAK (1) Network Camera

WDpStats Procédure d installation

Installation et configuration de Windows Deployment Service (v3.1)

Nous souhaitons fournir un service sécurisé sans pour autant chiffrer sans garantir la fiabilité du chiffrement.

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

Mise en oeuvre d un Serveur de CD AXIS StorPoint

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

Note Technique. 1. Objectif. 2. Prérequis. 3. Installation

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Système Principal (hôte) 2008 Enterprise x64

SIEMENS LX / Cloud OpenIP

Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall

PORTAIL INTERNET DECLARATIF. Configuration du client Mail de MICROSOFT VISTA

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

TP 6 : Wifi Sécurité

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Configuration du serveur ESX

Firewall ou Routeur avec IP statique

Aide sur l'authentification par certificat

Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance

MIRAGE VMWARE Solution de gestion d images en couches qui sépare le PC en plusieurs couches logiques. Olivier Emery

REPARTITION DE CHARGE LINUX

Documentation relative à l installation des certificats e-commerce de BKW

TP de réseaux : Domain Name Server.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Installation de GFI Network Server Monitor

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Guide de connexion pour les sites sécurisés youroffice & yourassets

Installation d'un Active Directory et DNS sous Windows Server 2008

Getting Started. 10 étapes pour bien démarrer. Avant de démarrer. Première connexion PCC

Installation de GFI MailSecurity en mode passerelle

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4

CASE-LINUX CRÉATION DMZ

FusionInventory. I-Détails et explication de l installation de l agent FusionInventory

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

Sauvegardes par Internet avec Rsync

Installer un domaine DNS

LAB : Schéma. Compagnie C / /24 NETASQ

La double authentification dans SharePoint 2007

VTX FTP. Transfert de fichiers business par FTP - Manuel de l'utilisateur. Informations complémentaires : info@vtx.

Installation de VirtualPOPC-1 sur Ubuntu Server LTS 64bits

Extended communication server 4.1 : VoIP SIP service- Administration

NetBak Replicator 4.0 Manuel de l utilisateur Version 1.0

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Machine virtuelle W4M- Galaxy : Guide d'installation

Mettre en place un accès sécurisé à travers Internet

Tutoriel déploiement Windows 7 via serveur Waik

TAGREROUT Seyf Allah TMRIM

Utiliser le portail d accès distant Pour les personnels de l université LYON1

Mise en place d un firewall d entreprise avec PfSense

Installation de SharePoint Foundation 2013 sur Windows 2012

Transcription:

Titre Installation et configuration d une CA sous Windows Server 2008 Propriétaire Tavares José Classification Interne Date dernière 28 Septembre 2009 modification Chemin\NomFichier \\10.1.1.1\FilesTD\Group4\Personnel\Tavares\00_EIG\CA_LaboTD.doc CA MICROSOFT SOUS WINDOWS SERVER 2008... 1 0 But... 1 1 Installation de Windows Server 2008... 2 2 Installation d une CA... 3 3 Accepter automatiquement les requêtes de certificats... 8 4 Configuration IP, login et mot de passe... 8 5 Configurer les chemins de CRL et AIA... 9 6 Se faire délivrer un certificat serveur... 10 7 Configurer le DNS... 14 8 Configuration du firewall Clavister... 15 CA Microsoft sous Windows Server 2008 0 But Configurer l autorité de certification (CA) LaboTD à partir de Windows Server 2008 ; mises à jour des configurations DNS et firewall Clavister Remarques Utilisation d une architecture virtualisée ESXi 4 (PC-G16) Accès depuis http://ca.tdeig.ch hepia Labo de transmission de données -1- JT / 28 Septembre 2009

1 Installation de Windows Server 2008 Une installation par défaut a été faite, sur une base Windows Server 2008 64bits Standard Edition Cette installation c est effectuée dans une machine virtuelle, sur un disque virtuel de 20GB, et a nécessité environ 45minutes Après installation, l écran d accueil est le suivant hepia Labo de transmission de données -2- JT / 28 Septembre 2009

2 Installation d une CA Cliquer sur Add roles puis sélectionner Active Directory Certificate Services, ainsi que Web Server (IIS) Le serveur web IIS est en effet nécessaire pour faire des demandes de certificats à notre CA hepia Labo de transmission de données -3- JT / 28 Septembre 2009

Sélectionner les 2 champs ci-dessous (Certification Authority Web Enrollment est nécessaire afin de pouvoir faire des requêtes de certificat via IIS) Sélectionner Standalone hepia Labo de transmission de données -4- JT / 28 Septembre 2009

Il s agit d une Root CA : Sélectionner Create a new private key hepia Labo de transmission de données -5- JT / 28 Septembre 2009

Choisir de créer une clé RSA de 4096 bits avec sha1 comme algorithme de hash Notre CA va s appeler LaboTD hepia Labo de transmission de données -6- JT / 28 Septembre 2009

Le certificat root aura une validité de 10 ans : Laisser les options suivantes par défaut, puis un résumé nous sera présenté : hepia Labo de transmission de données -7- JT / 28 Septembre 2009

La CA peut ensuite être administrée sur le serveur, sous Start Administrative Tools Certification Authority 3 Accepter automatiquement les requêtes de certificats Start Administrative Tools Certification Authority Clic-droit sur la CA Properties Onglet Policy Module Properties Sélectionner la valeur ci-dessous OK Redémarrer la CA pour appliquer les changements 4 Configuration IP, login et mot de passe Adresse IP = 129.194.184.89 Netmask = 255.255.252.0 Gateway = 129.194.184.1 DNS = 129.194.184.84 129.194.4.6 Login = Administrator Pass = carte CryptMe hepia Labo de transmission de données -8- JT / 28 Septembre 2009

5 Configurer les chemins de CRL et AIA Par défaut, les chemins de CRL (Certificate Revocation List) et AIA (Authority Information Access) sont désignés par le nom PC ou s exécute la CA. Le paramètre AIA pointe en réalité sur le certificat root de la CA Dans notre cas, il a fallu reconfigurer ces chemins dans la CA : Start Administrative Tools Certification Authority Clic-droit sur la CA Properties Onglet Extensions Effectuer un Remove des 2 dernières entrées (http://... et file://...) Puis à l aide du bouton Add, ajouter la bonne url sans oublier de cocher les 2 cases comme ci-dessous : Source http://technet.microsoft.com/en-us/library/cc773036(ws.10).aspx hepia Labo de transmission de données -9- JT / 28 Septembre 2009

6 Se faire délivrer un certificat serveur Remarques importantes (problèmes rencontrés) La durée de vie du certificat a été modifiée à 9 ans http://support.microsoft.com/kb/254632/ Puis redémarrer la CA (Clic droit sur la CA All tasks Stop ) Lors d une demande de certificat depuis un poste Vista exécutant IE7, on obtient une erreur : An error occurred while creating the certificate request. Please verify that your CSP supports any settings you have made and that your input is valid. Suggested cause: No suggestion. Error: 0x80070005 - (unknown) Ceci se produit car IE7 est lancé avec peu de privilèges sous Vista, ce problème a été corrigé avec IE8 qui fonctionne déjà différemment. Il est cependant possible de résoudre cette erreur sous IE7, en ajoutant le site web de la CA à la zone Trusted sites Lorsqu un essaie d ouvrir un site faisant partie de la zone Trusted, IE7 lance une nouvelle fenêtre avec des privilèges différents, ce qui résout le problème! Sources : http://social.technet.microsoft.com/forums/en-us/itprovistaie/thread/75b0450e-4926-47df-8885-b8e209919c16 http://support.microsoft.com/kb/922706/en-us Tools Internet Options Security Trusted sites hepia Labo de transmission de données -10- JT / 28 Septembre 2009

Cliquer sur le bouton Sites Décocher la case Require server verification (https:) for all sites in this zone Ajouter le site web de la CA http://ca.tdeig.ch Close OK Puis ouvrir http://ca.tdeig.ch avec IE7 On obtient l avertissement suivant : Il ne reste plus qu à autoriser les contrôles ActiveX (voir ci-dessous) pour la zone Trusted sites! Cela est d ailleurs préférable d un point de vue sécurité, plutôt que d autoriser pour tous les sites web ces contrôles ActiveX qui ne sont pas marqués comme sûrs!! Tools Internet Options onglet Security Trusted sites - Custom level Modifier les valeurs ci-dessous : hepia Labo de transmission de données -11- JT / 28 Septembre 2009

Création du certificat serveur L objectif est de créer une connexion SSL (https) sur le site web de la CA, et pour cela on a besoin de se faire délivrer un certificat serveur. On va donc demander à la CA (nommée LaboTD) de nous délivrer un certificat serveur que l on puisse associer à notre site web Cette opération a pu se faire depuis le navigateur du serveur (ici c est le même PC que la CA), en se connectant sur http://localhost/certsrv (ajouter ce site dans la zone Trusted et activer les contrôles ActiveX, voir pages 10-11) Cliquer sur Request a certificate advanced certificate request Create and submit a request to this CA On obtient le formulaire ci-dessous que l on doit compléter (le champ Name est nécessaire) : hepia Labo de transmission de données -12- JT / 28 Septembre 2009

Dans le champ Type of Certificate Needed, choisir Server Authentication Certificate Cliquer sur submit pour soumettre la demande à la CA hepia Labo de transmission de données -13- JT / 28 Septembre 2009

7 Configurer le DNS Se connecter au DNS debian via par exemple vshere Client (IP=10.1.1.52) Modifier le fichier /etc/bind/db.tdeig Attention, les espaces sont des TAB : ; ; BIND data file for tdeig.ch ; $TTL 604800 @ IN SOA ns1.tdeig.ch. root.tdeig.ch. ( 6 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; NS ns1.tdeig.ch. ;* A 129.194.184.80 ;tdeig.ch. A 129.194.184.80 ns1 A 129.194.184.84 www A 129.194.184.80 ftp A 129.194.184.80 secure A 129.194.184.81 ca A 129.194.184.89 lb A 129.194.184.92 lb A 129.194.184.93 lb A 129.194.184.94 Redémarrer le service bind9 /etc/init.d/bind9 restart hepia Labo de transmission de données -14- JT / 28 Septembre 2009

8 Configuration du firewall Clavister Il a fallu ajouter des règles sur le firewall du labo pour permettre de communiquer avec la nouvelle CA Aller sur le Manager, puis créer un nouveau Host sous Hosts & Networks, que j ai nommé CA_WinServer2008. Ce Host désigne son adresse IP 129.194.184.89 On va aussi ajouter notre Host au groupe de serveurs DMZ (des règles sont créées pour ce groupe, afin d autoriser le ping par exemple) hepia Labo de transmission de données -15- JT / 28 Septembre 2009

Puis créer une nouvelle règle afin d autoriser le flux http vers notre CA Sous l onglet Service ci-dessus, sélectionner http-in-all hepia Labo de transmission de données -16- JT / 28 Septembre 2009

Puis, il faut créer une nouvelle route afin d activer le routage vers notre CA : Il ne reste plus qu à uploader la nouvelle config sur le firewall! hepia Labo de transmission de données -17- JT / 28 Septembre 2009

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back