Configuration du connecteur Jamf AD CS (IIS) pour l’utilisation d’un certificat client alternatif

Le connecteur AD CS crée des certificats clients sécurisés lorsqu’il est installé. Toutefois, si votre organisation préfère utiliser une CA interne ou une CA tierce, vous pouvez configurer le connecteur AD CS pour qu’il utilise un certificat client alternatif.

Exigences

  • Le certificat client que vous voulez utiliser.

  • Le certificat client est au format .pfx ou .p12 (le format est habituellement fourni par votre équipe PKI).

  • Le certificat client est déjà installé et stocké dans le magasin de certificats du serveur.

  1. Cliquez sur le menu Démarrer, sélectionnez Exécuter, puis saisissez la commande certlm.msc pour ouvrir l’outil de gestion des certificats.

  2. Accédez au certificat client que vous voulez utiliser, faites un clic droit sur l’identité et sélectionnez Toutes les tâches > Exporter.

  3. L’assistant d’exportation des certificats vous guide dans le processus.

    Lorsque vous y êtes invité, n’exportez pas la clé privée, mais sélectionnez le format de fichier d’exportation codé en base64 X.509 (.cer).

  4. Ouvrez le fichier .cer exporté avec Notepad et supprimez les lignes suivantes :
    -----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
  5. Supprimez le formatage créé par Notepad pour que le contenu du certificat s’affiche sur une seule ligne.
    Pour ce faire, effectuez l’une des opérations suivantes :

    • Supprimez le formatage manuellement.

    • Copiez-collez le contenu dans une fenêtre de navigateur et copiez-collez à nouveau le résultat dans Notepad.

    Vous devriez obtenir quelque chose de similaire à ce qui suit :

  6. Ouvrez le gestionnaire IIS (Internet Information Services).
  7. Dans la barre latérale Connexions, ouvrez le dossier Sites, cliquez sur le site du connecteur Jamf AD CS (appelé par défaut « AdcsProxy »), puis double-cliquez sur Éditeur de configuration.

  8. Cliquez sur le menu contextuel Section et accédez à system.webServer > sécurité > authentification > iisClientCertificateMappingAuthentication.

  9. Cliquez sur oneToOneMappings (Mappage un à un), puis sur le bouton ... sur la droite de l’entrée de configuration.

    L’éditeur affiche les réglages pour la configuration client. La valeur du certificat est la clé publique en base64 pour l’identité du client.
  10. Cliquez sur certificat dans la liste Propriétés et remplacez la longue chaîne dans le champ de droite (le certificat codé en base64) par la chaîne que vous avez obtenue plus tôt en utilisant Notepad.

  11. Dans la barre latérale Actions, cliquez sur Appliquer pour enregistrer les modifications. Fermez ensuite la fenêtre de l’Éditeur de configuration.

  12. Retournez sur le site AdcsProxy dans la fenêtre du Gestionnaire IIS et cliquez sur Redémarrer dans la barre latérale Actions.