Certificate Templates version 2

vous devez avoir installé Certificates Services comme une CA d’entreprise. Pour visualiser les modèles disponibles, lancez le snap-in Microsoft Management Console (MMC) Certification Authority à partir du groupe de programmes Administrative Tools, étendez le noeud CA, faites un clic droit sur le noeud Certificate Templates et sélectionnez Manage. Ou bien, exécutez le MMC depuis la ligne de commande en tapant

MMC.EXE

L’écran de la figure 1 affiche une liste partielle des modèles livrés avec Windows 2003 Enterprise Edition. Vous observerez que certains modèles requièrent une CA Windows 2003 Enterprise Edition tandis que d’autres requièrent une CA Win2K ou ultérieure. Si vous double-cliquez sur un modèle qui requiert une CA Windows 2003, vous verrez que vous pouvez modifier et personnaliser beaucoup de ses propriétés. En revanche, si vous double-cliquez sur un certificat Win2K CA, vous verrez que vous ne pouvez pas modifier les propriétés (à l’exception des paramètres de sécurité). Cependant, vous pouvez utiliser le snap-in Certificate Templates pour dupliquer les modèles Win2K CA et les rendre personnalisables. Faites simplement un clic droit sur un modèle et sélectionnez Duplicate Template.

Dans la boîte de dialogue Properties qui apparaît, vous pouvez nommer et personnaliser le modèle, comme le montre la figure 2. Dans la boîte de dialogue Properties, les onglets correspondent à plusieurs paramètres personnalisables. Par exemple, l’onglet Request Handling permet de sélectionner le but (qui détermine le type de sécurité) pour les certificats que le modèle émettra. Vos options sont les suivantes : signature, cryptage, signature et cryptage, ou logon par smart card et signature. Si votre choix inclut le cryptage, vous pouvez choisir d’archiver la clé privée de cryptage (je reviendrai plus loin et plus en détail sur l’archivage et la récupération des clés.) L’onglet Subject Name détermine si l’information d’identification viendra de l’AD quand un certificat sera émis et quelle forme prendra le nom du sujet. Vous pouvez choisir des noms de sujets autres ; vos choix — Email Address, DNS Name, User Principal Name (UPN), and Service Principal Name (SPN) — apparaissent sous la forme d’une liste de cases à cocher permettant plus d’une sélection à la fois.

Sélectionnez les critères d’émission de certificats au moyen de l’onglet Issuance Requirements. Par exemple, vous pouvez restreindre le nombre de signatures que chaque certificat doit avoir (sil en faut plus d’une, vous ne pouvez pas émettre un certificat par auto-enrôlement) et les stratégies en matière d’application et d’émission (par exemple, assurance). Vous pouvez indiquer quels modèles un nouveau modèle de certificats remplace, grâce à l’onglet Superseded Templates. Quand un modèle de certificat est remplacé, ceux qui contiennent des certificats provenant de l’ancien modèle doivent obtenir un certificat de remplacement de la part du nouveau modèle avant l’expiration programmée.

Vous pouvez utiliser l’onglet Extensions pour définir Application Policies (aussi appelé Extended Key Usage) dans les certificats émis à partir d’un modèle. Les Application Policies définissent les usages possibles d’un certificat. Application Policies inclut EFS, Client Authentication, Email Security, SmartCard Logon, Code Signing et Server Authentication. L’onglet Extensions comporte également les Issuance Policies, qui définissent le niveau d’assurance associé au certificat et contiennent l’emplacement du CPS (Certification Practice Statement). Vous pouvez créer de nouveaux niveaux d’assurance à partir de cet onglet et modifier les existants, selon les besoins. Utilisez l’onglet Security pour définir qui peut utiliser le modèle et comment. Par le biais de cet onglet, vous pouvez accorder à certains sujets l’autorisation d’obtenir un certificat par auto-enrôlement (bien que la manière dont vous personnalisez le modèle pourrait empêcher un sujet d’acquérir un certificat de cette manière). Vous devez aussi donner aux utilisateurs des permissions de lecture et d’enrôlement avant qu’ils puissent utiliser l’auto-enrôlement.

La CA n’émettra pas tous les templates présents dans le snap-in Certificate Templates. Avant qu’un certificat puisse être émis à partir d’un modèle, y compris ceux de votre cru, le modèle doit être importé dans le Certificate Templates qui figure dans le snap-in Certification Authority. Pour effectuer cette importation, faites un clic droit sur le noeud Certificate Templates et sélectionnez New puis Certificate Template to Issue. Dans la liste des modèles de certificats disponibles affichée, vous pouvez choisir les modèles pour les certificats que vous voulez que la CA émette.