Génération d’une clé et obtention et enregistrement d’un certificat depuis un serveur SCEP
Lors de la génération d’une clé sur la machine, vous pouvez demander à un serveur protocole d’inscription de certificats simple (SCEP pour Simple Certificate Enrollment Protocol) qui gère les certificats d’émettre un certificat. Le certificat émis par un serveur SCEP est automatiquement enregistré sur la machine.
Pour plus d’informations sur les algorithmes des clés qui peuvent être générées avec cette machine et sur les certificats dont l’émission peut être demandée, voir les spécifications de la clé autogénérée et de la demande de signature de certificat (CSR pour Certificate Signing Request). Clés et certificats
Cette machine ne prend en charge que le service d’inscription de périphérique réseau (NDES pour Network Device Enrollment Service) dans Windows Server 2008 R2, Serveur 2012 R2 et 2016 pour le serveur SCEP. La communication par HTTPS n’est pas prise en charge.
Pour plus d’informations sur les algorithmes des clés qui peuvent être générées avec cette machine et sur les certificats dont l’émission peut être demandée, voir les spécifications de la clé autogénérée et de la demande de signature de certificat (CSR pour Certificate Signing Request). Clés et certificats
Cette machine ne prend en charge que le service d’inscription de périphérique réseau (NDES pour Network Device Enrollment Service) dans Windows Server 2008 R2, Serveur 2012 R2 et 2016 pour le serveur SCEP. La communication par HTTPS n’est pas prise en charge.
Pour obtenir et enregistrer un certificat depuis un serveur SCEP, configurez les paramètres de communication avec le serveur SCEP, puis générez une clé et demandez l’émission d’un certificat. Vous pouvez configurer les réglages pour demander l’émission d’un certificat à une date et une heure précises.
Configuration des paramètres de communication du serveur SCEP
Configurez ce paramétrage avec l’interface utilisateur distante depuis un ordinateur. Vous ne pouvez pas utiliser le panneau de commande pour configurer le paramétrage.
Vous devez détenir les droits d’administrateur.
Vous devez détenir les droits d’administrateur.
Préparatifs nécessaires
Préparez l’URL et le numéro de port du serveur SCEP.
1
Connectez-vous à l'interface utilisateur distante en tant qu’administrateur. Démarrage de l'interface utilisateur distante
2
Sur la page Portail de l'interface utilisateur distante, cliquez sur [Réglages/Enregistrement]. Page du portail de l’interface utilisateur distante
3
Cliquez sur [Gestion du périphérique] 
[Réglages pour Demande de délivrance de certificat (SCEP)] [Réglages de communication].
[Réglages pour Demande de délivrance de certificat (SCEP)] [Réglages de communication].L'écran [Réglages de communication] s'affiche.
4
Spécifiez les informations du serveur SCEP.
[URL du serveur SCEP ]
Saisissez l’URL du serveur SCEP auquel se connecter.
[Numéro de port]
Saisissez le numéro de port utilisé pour communiquer avec le serveur SCEP.
[Temporisation de communication]
Saisissez le temps entre le début de la communication et le délai d’expiration en secondes.
5
Cliquez sur [Mettre à jour].
Les paramètres sont appliqués.
6
Déconnectez-vous de l'interface utilisateur distante.
Demande de génération de clés et de délivrance de certificats
Demandez la génération de clés et l’émission de certificats à l’aide de l’interface utilisateur distante à partir d’un ordinateur. Vous ne pouvez pas utiliser le panneau de commande pour ce faire.
Des droits d’administrateur sont requis. La machine doit être redémarrée après l’obtention du certificat.
Des droits d’administrateur sont requis. La machine doit être redémarrée après l’obtention du certificat.
* Cette méthode ne peut pas être utilisée pour demander la délivrance d’un certificat lorsque le paramètre permettant de demander la délivrance d’un certificat à une date et une heure précises est activé. Demande de délivrance d’un certificat à une date et une heure spécifiées
1
Connectez-vous à l'interface utilisateur distante en tant qu’administrateur. Démarrage de l'interface utilisateur distante
2
Sur la page Portail de l'interface utilisateur distante, cliquez sur [Réglages/Enregistrement]. Page du portail de l’interface utilisateur distante
3
Cliquez sur [Gestion du périphérique] [Réglages pour Demande de délivrance de certificat (SCEP)] [Demande de délivrance de certificat].
[Réglages pour Demande de délivrance de certificat (SCEP)] [Demande de délivrance de certificat].L'écran [Demande de délivrance de certificat] s'affiche.
4
Configurez les informations relatives à la clé et au certificat.
[Nom de clé ]
Saisissez le nom de la clé en utilisant des caractères alphanumériques.
[Algorithme signature ]
Sélectionnez l'algorithme de signature dans le menu déroulant.
[Longueur de la clé (bit) ]
Sélectionnez la longueur de la clé dans le menu déroulant. Plus la valeur est grande, meilleure est la sécurité, mais les communications sont plus lentes.
[Organisation ]
Saisissez le nom de l’organisation, si nécessaire, en utilisant des caractères alphanumériques.
[Nom commun ]
Saisissez le nom du sujet du certificat en utilisant des caractères alphanumériques, si nécessaire. Ce nom correspond au nom commun (CN).
[Créé dans (Autre nom)]
Saisissez l’adresse IP ou le domaine à configurer pour le Subject Alternative Name (SAN), si nécessaire.
Si vous ne configurez pas le paramètre [Créé dans (Autre nom)], cochez la case [Ne pas régler].
Seules les adresses IPv4 peuvent être configurées dans [Adresse IP].
[Mot de passe de stimulation ]
Si un mot de passe est configuré pour le serveur SCEP, saisissez le mot de passe utilisé pour demander la délivrance en utilisant des caractères alphanumériques.
[Emplacement d'utilisation de la clé ]
Sélectionnez le lieu d’utilisation de la clé générée. Si l’emplacement n’est pas déterminé, sélectionnez [Aucun]. Si vous sélectionnez [IPSec], sélectionnez dans le menu déroulant l’IPSec à utiliser à cet endroit.
5
Cliquez sur [Envoyer la demande] [OK].
[OK].La demande de délivrance d'un certificat est envoyée au serveur SCEP.
6
Lorsque [Un certificat a été acquis. Cliquez sur [Redémarrer] pour redémarrer le périphérique.] s’affiche, cliquez sur [Redémarrer].
L’appareil redémarre, et la clé et le certificat sont enregistrés.
REMARQUE
Vérification du statut des demandes d’émission et informations sur les erreurs
Cliquez sur [Réglages/Enregistrement] [Gestion du périphérique] [Réglages pour Demande de délivrance de certificat (SCEP)] [Statut de la demande de délivrance de certificat] pour voir les informations détaillées.
Si un certificat n’est pas délivré, une erreur s’affiche dans l’état de la demande de délivrance. Pour plus de détails sur le message et la façon de le résoudre, voir ce qui suit :
[Gestion du périphérique] [Réglages pour Demande de délivrance de certificat (SCEP)] [Statut de la demande de délivrance de certificat] pour voir les informations détaillées.Si un certificat n’est pas délivré, une erreur s’affiche dans l’état de la demande de délivrance. Pour plus de détails sur le message et la façon de le résoudre, voir ce qui suit :
Affichage et vérification des informations détaillées d'un certificat enregistré
Cliquez sur [Réglages/Enregistrement] [Gestion du périphérique] [Réglages de clé et de certificat], puis cliquez sur le nom de la clé (ou l’icône du certificat) dans la liste des clés et des certificats pour afficher les détails du certificat.
[Gestion du périphérique] [Réglages de clé et de certificat], puis cliquez sur le nom de la clé (ou l’icône du certificat) dans la liste des clés et des certificats pour afficher les détails du certificat.Dans l'écran des détails du certificat, cliquez sur [Vérifier le certificat] pour vérifier si le certificat est valide.
Si la clé avec certificat ne peut pas être supprimée
Vous ne pouvez pas supprimer une clé avec certificat en cours d'utilisation. Désactivez la fonction en cours d'utilisation, ou supprimez la clé avec certificat après l'avoir remplacée par une autre clé avec certificat.
Demande de délivrance d’un certificat à une date et une heure spécifiées
Vous pouvez demander la délivrance d’un certificat à une date et une heure précises. Vous pouvez également faire en sorte que la demande d’émission de certificats se fasse régulièrement.
Configurez ce paramétrage avec l’interface utilisateur distante depuis un ordinateur. Vous ne pouvez pas utiliser le panneau de commande pour configurer le paramétrage.
Vous devez détenir les droits d’administrateur.
Vous devez détenir les droits d’administrateur.
1
Connectez-vous à l'interface utilisateur distante en tant qu’administrateur. Démarrage de l'interface utilisateur distante
2
Sur la page Portail de l'interface utilisateur distante, cliquez sur [Réglages/Enregistrement]. Page du portail de l’interface utilisateur distante
3
Cliquez sur [Gestion du périphérique] [Réglages pour Demande de délivrance de certificat (SCEP)] [Réglages pour Demande automatique de délivrance de certificat].
[Réglages pour Demande de délivrance de certificat (SCEP)] [Réglages pour Demande automatique de délivrance de certificat].L'écran [Réglages pour Demande automatique de délivrance de certificat] s'affiche.
4
Cochez la case [Activer le minuteur pour la demande automatique de délivrance de certificat], et saisissez la date et l’heure de début de la demande d’émission de certificat.
5
Configurez les paramètres de la demande de délivrance automatique, si nécessaire.
[Régler automatiquement l'heure de la demande de délivrance]
Pour ajuster l’heure de demande de délivrance de certificat, cochez cette case.
L’heure de déclenchement de la demande d’un certificat peut être ajustée de façon aléatoire de jusqu’à 10 minutes pour réduire la charge du serveur SCEP.
L’heure de déclenchement de la demande d’un certificat peut être ajustée de façon aléatoire de jusqu’à 10 minutes pour réduire la charge du serveur SCEP.
[Effectuer la relève lorsqu'une erreur de communication se produit ou lorsque la demande de délivrance est reportée]
Vérifiez l’état du serveur SCEP, par exemple lorsque la délivrance du certificat a été reportée. Cochez la case et saisissez le nombre de tentatives d’interrogation et l’intervalle.
* L'interrogation n'est pas exécutée et une erreur se produit dans les cas suivants :
Lorsque la machine a atteint le nombre maximal de clés et de certificats qu’il peut enregistrer
Lorsqu'une erreur se produit dans les données de la réponse obtenue
Lorsqu'une erreur se produit dans le serveur SCEP
[Envoyer régulièrement des demandes de délivrance]
La demande de délivrance de certificat se fait automatiquement et régulièrement. Cochez la case et sélectionnez l’intervalle de demande de délivrance dans le menu déroulant.
L’activation de ce paramètre réinitialise la date et l’heure de début de la demande de délivrance d’un certificat.
L’activation de ce paramètre réinitialise la date et l’heure de début de la demande de délivrance d’un certificat.
[Redémarrer automatiquement le périphérique après acquisition du certificat]
Cochez cette case pour redémarrer la machine après avoir obtenu un certificat.
[Supprimer l'ancienne clé et l'ancien certificat]
Cochez cette case pour écraser la clé et le certificat au même endroit où la clé sera utilisée.
6
Configurez les informations relatives à la clé et au certificat dans [Réglages pour la clé et le certificat à délivrer].
[Nom de clé ]
Saisissez le nom de la clé en utilisant des caractères alphanumériques.
[Algorithme signature ]
Sélectionnez l'algorithme de signature dans le menu déroulant.
[Longueur de la clé (bit) ]
Sélectionnez la longueur de la clé dans le menu déroulant. Plus la valeur est grande, meilleure est la sécurité, mais les communications sont plus lentes.
[Organisation ]
Saisissez le nom de l’organisation, si nécessaire, en utilisant des caractères alphanumériques.
[Nom commun ]
Saisissez le nom du sujet du certificat en utilisant des caractères alphanumériques, si nécessaire. Ce nom correspond au nom commun (CN).
[Créé dans (Autre nom)]
Saisissez l’adresse IP ou le domaine à configurer pour le Subject Alternative Name (SAN), si nécessaire.
Si vous ne configurez pas le paramètre [Créé dans (Autre nom)], cochez la case [Ne pas régler].
Seules les adresses IPv4 peuvent être configurées dans [Adresse IP].
[Mot de passe de stimulation ]
Si un mot de passe est configuré pour le serveur SCEP, saisissez le mot de passe utilisé pour demander la délivrance en utilisant des caractères alphanumériques.
[Emplacement d'utilisation de la clé ]
Sélectionnez le lieu d’utilisation de la clé générée. Si l’emplacement n’est pas déterminé, sélectionnez [Aucun]. Si vous sélectionnez [IPSec], sélectionnez dans le menu déroulant l’IPSec à utiliser à cet endroit.
7
Cliquez sur [Mettre à jour].
Les paramètres sont appliqués.
8
Déconnectez-vous de l'interface utilisateur distante.
REMARQUE
Vérification du statut des demandes d’émission et informations sur les erreurs
Cliquez sur [Réglages/Enregistrement] [Gestion du périphérique] [Réglages pour Demande de délivrance de certificat (SCEP)] [Statut de la demande de délivrance de certificat] pour voir les informations détaillées.
Si un certificat n’est pas délivré, une erreur s’affiche dans l’état de la demande de délivrance. Pour plus de détails sur le message et la façon de le résoudre, voir ce qui suit :
[Gestion du périphérique] [Réglages pour Demande de délivrance de certificat (SCEP)] [Statut de la demande de délivrance de certificat] pour voir les informations détaillées.Si un certificat n’est pas délivré, une erreur s’affiche dans l’état de la demande de délivrance. Pour plus de détails sur le message et la façon de le résoudre, voir ce qui suit :
Affichage et vérification des informations détaillées d'un certificat enregistré
Cliquez sur [Réglages/Enregistrement] [Gestion du périphérique] [Réglages de clé et de certificat], puis cliquez sur le nom de la clé (ou l’icône du certificat) dans la liste des clés et des certificats pour afficher les détails du certificat.
[Gestion du périphérique] [Réglages de clé et de certificat], puis cliquez sur le nom de la clé (ou l’icône du certificat) dans la liste des clés et des certificats pour afficher les détails du certificat.Dans l'écran des détails du certificat, cliquez sur [Vérifier le certificat] pour vérifier si le certificat est valide.
Si la clé avec certificat ne peut pas être supprimée
Vous ne pouvez pas supprimer une clé avec certificat en cours d'utilisation. Désactivez la fonction en cours d'utilisation, ou supprimez la clé avec certificat après l'avoir remplacée par une autre clé avec certificat.