Documentation produit
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR

Gérer les certificats

May 20, 2025
Contributeur: 
C

TLS utilise des certificats pour établir la confiance entre deux parties. Vous devez installer un certificat approprié sur chaque serveur fournissant un service et vous assurer que les machines se connectant à ce serveur font confiance à ce certificat. Pour signer des certificats, vous disposez des options suivantes :

  • Certificats auto-signés. Ces certificats ne sont pas recommandés. Ils sont difficiles à gérer parce que vous devez les copier manuellement sur n’importe quelle autre machine qui doit leur faire confiance.
  • Autorité de certification d’entreprise. Si vous disposez déjà d’une PKI, il s’agit généralement de l’option la plus simple pour signer un certificat à utiliser entre des périphériques internes.
  • Autorité publique de certification. Cette option nécessite de prouver la propriété du domaine à l’autorité de certification. L’avantage, c’est que les appareils clients non gérés sont normalement préconfigurés pour faire confiance aux certificats des principales autorités de certification publiques.

Créer un nouveau certificat

Suivez les stratégies et les procédures de votre organisation pour créer des certificats.

Créer un certificat à l’aide de l’autorité de certification Microsoft

Si l’autorité de certification Microsoft est intégrée à un domaine Active Directory ou à la forêt approuvée à laquelle les Delivery Controller sont joints, vous pouvez acquérir un certificat à partir de l’Assistant Inscription de certificats du composant logiciel enfichable MMC Certificats. L’autorité de certification Microsoft doit disposer d’un modèle de certificat publié adapté à une utilisation par les serveurs Web.

Le certificat racine est automatiquement déployé sur une autre machine du domaine à l’aide de la stratégie de groupe. Ainsi, toutes les autres machines du domaine font confiance aux certificats créés à l’aide de l’autorité de certification Microsoft. Si des machines n’appartiennent pas au domaine, vous devez exporter le certificat d’autorité de certification racine et l’importer sur ces machines.

  1. Sur le serveur, ouvrez la console MMC et ajoutez le composant logiciel enfichable Certificats. Lorsque vous y êtes invité, sélectionnez Un compte d’ordinateur.

  2. Développez Personnel > Certificats, puis utilisez la commande de menu contextuel Toutes les tâches > Demander un nouveau certificat.

    Composant logiciel enfichable MMC Certificats

  3. Cliquez sur Suivant pour commencer, puis sur Suivant pour confirmer que vous obtenez le certificat à partir de l’inscription Active Directory.

  4. Sélectionnez un modèle approprié tel que Web Server Exportable. Si le modèle a été configuré pour fournir automatiquement les valeurs du sujet, vous pouvez cliquer sur Inscrire sans fournir plus de détails. Sinon, cliquez sur Des informations supplémentaires sont nécessaires pour vous inscrire à ce certificat. Cliquez ici pour configurer les paramètres.

    Boîte de dialogue de demande de certificats

  5. Pour fournir plus de détails sur le modèle de certificat, cliquez sur le bouton flèche Détails et configurez les éléments suivants :

    Nom du sujet : sélectionnez un nom courant et ajoutez le FQDN du serveur.

    Nom alternatif : sélectionnez DNS et ajoutez le FQDN du serveur.

    Propriétés de certificat

  6. Appuyez sur OK.

  7. Appuyez sur Inscription pour créer le certificat. Il est affiché dans la liste des certificats.

    Capture d'écran des certificats personnels

Créer une demande de certificat à l’aide d’IIS

Si IIS est installé sur le serveur, procédez comme suit :

  1. Ouvrez le Gestionnaire Internet Information Services (IIS)
  2. Sélectionnez le nœud du serveur dans la liste Connexions.
  3. Ouvrez Certificats de serveur. Capture d'écran indiquant où trouver "Certificats de serveur"
  4. Dans le volet Actions, sélectionnez Créer une demande de certificat…. Capture d'écran du menu d'actions avec "créer une demande de certificat" en surbrillance
  5. Saisissez les propriétés du nom unique**. Capture de l'écran Propriétés du nom unique
  6. Sur l’écran Propriétés du fournisseur de services cryptographiques, laissez le fournisseur de services cryptographiques ** par défaut. Sélectionnez une taille de clé de **2048 ou plus. Capture de l'écran Propriétés du fournisseur de services cryptographiques
  7. Choisissez un nom de fichier et appuyez sur Terminer. Capture de l'écran Nom de fichier
  8. Chargez la demande CSR sur l’autorité de certification.
  9. Une fois que vous avez reçu le certificat, dans le volet Actions, sélectionnez Terminer la demande de certificat…. Capture d'écran du menu d'actions avec "Demande de certificat complète" en surbrillance
  10. Sélectionnez le certificat, fournissez un nom convivial ** et appuyez sur **OK. Capture d'écran de la fenêtre de réponse complète du certificat

Il n’existe aucun moyen de définir un autre nom de sujet. En conséquence, le certificat se limite au serveur spécifié à l’aide du nom commun.

Créer une demande de signature de certificat à partir du composant logiciel enfichable Certificats

À partir du composant logiciel enfichable Certificats mmc, vous pouvez créer une demande de signature de certificat. Ce processus génère un fichier à envoyer à l’autorité de certification qui fournira le certificat. Vous devez ensuite importer le certificat pour le combiner avec la clé privée locale.

  1. Sur le serveur, ouvrez la console MMC et ajoutez le composant logiciel enfichable Certificats. Lorsque vous y êtes invité, sélectionnez Un compte d’ordinateur.

  2. Développer Personnel > Certificats
  3. Sélectionnez Toutes les tâches > Opérations avancées > Créer une demande personnalisée.
  4. Sur l’écran Avant de commencer, sélectionnez Suivant.
  5. Sur l’écran Sélectionner la stratégie d’inscription au certificat, sélectionnez une stratégie appropriée ou Continuer sans stratégie d’inscription.
  6. Sur l’écran Demande personnalisée, si vous utilisez une stratégie d’inscription, choisissez un modèle approprié, s’il est disponible, tel que Exportable sur serveur Web.
  7. Sur l’écran Informations sur le certificat, développez Détails et sélectionnez Propriétés.
  8. Dans la fenêtre Propriétés du certificat, dans l’onglet Général, entrez un nom convivial approprié.

  9. Dans l’onglet Objet :

    1. Sous Nom de l’objet, sélectionnez Nom commun et entrez le FQDN du serveur. Vous pouvez saisir un caractère générique. Sélectionnez Add.
    2. Sous Nom de l’objet, ajoutez les valeurs appropriées pour Organisation, Unité d’organisation, Localité, État, Pays.
    3. Sous Nom alternatif, sélectionnez DNS. Ajoutez le FQDN du serveur. Vous pouvez ajouter plusieurs noms de domaine complets de serveur ou un nom de domaine complet générique.

  10. Dans l’onglet Extensions :

    • Sous Utilisation de la clé ajoutez Signature numérique et Chiffrement de la clé.
    • Sous Utilisation étendue des clés (stratégies d’application), ajoutez Authentification du serveur et Authentification du client.

  11. Dans l’onglet Clé privée.

    • Sous Sélectionnez le fournisseur de services cryptographiques (CSP) choisissez un fournisseur approprié.
    • Sous Options de clé, sélectionnez une taille de clé appropriée. Pour les fournisseurs RSA, utilisez au minimum une taille de clé de 2048. Pour plus de sécurité, vous pouvez choisir 4096, mais cela aura un léger impact sur les performances.
    • Sous Options de clé, sélectionnez Rendre la clé privée exportable.
  12. Sélectionnez OK.
  13. Sélectionnez Suivant.
  14. Sélectionnez Parcourir et enregistrez votre demande.
  15. Sélectionnez Terminer.
  16. Chargez la demande CSR sur l’autorité de certification.
  17. Une fois que vous avez reçu le certificat, importez-le sur le même serveur afin de le lier à la clé privée.

Créer un nouveau certificat autosigné

Un certificat autosigné est créé lors de l’installation d’un serveur Delivery Controller et d’un serveur Web Studio. Vous pouvez générer un nouveau certificat auto-signé et l’utiliser pour remplacer le certificat existant.

Utilisation du gestionnaire IIS

Si le gestionnaire IIS est installé sur le serveur, vous pouvez effectuer les étapes suivantes :

  1. Connectez-vous au serveur en tant qu’administrateur.

  2. Ouvrir le gestionnaire IIS
  3. Ouvrez Certificats de serveur

  4. Dans le volet Actions, sélectionnez Créer un certificat autosigné.

    Certificats de serveur

  5. Dans Créer un certificat auto-signé, entrez le nom du certificat et cliquez sur OK. Le certificat auto-signé est alors créé.

    Créer un certificat auto-signé

Utilisation de PowerShell

Vous pouvez utiliser PowerShell pour créer un certificat autosigné :

  $certSubject = "CN=myddc.example.com" # The FQDN of the server.
  $friendlyName = "Self-Signed-3"
  $expireYears = 5

  ## Create new self-signed certificate under LocalMachine\My
  $certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

  # Add to trusted root certificates
  $rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
  $rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
  $rootCertStore.Add($certificate)
<!--NeedCopy-->

Importer un certificat

Vous pouvez importer un certificat sur le serveur à l’aide de l’une des méthodes suivantes.

Assistant d’importation de certificats

  1. Double-cliquez ou faites un clic droit sur le fichier PFX et sélectionnez Installer PFX. L’assistant d’importation de certificat s’ouvre.

  2. Pour Emplacement de stockage, sélectionnez Machine locale.

    Capture d'écran de l'assistant d'importation de certificat

  3. Entrez le mot de passe si nécessaire.

    Capture d'écran de l'assistant d'importation de certificat, étape de protection de la clé privée

  4. Sélectionnez le magasin de certificats **. Pour les certificats de serveur, choisissez **Personnel. S’il s’agit d’un certificat racine ou d’un certificat autosigné auquel vous souhaitez faire confiance à partir de cette machine, choisissez Autorités de certification racines de confiance.

    Capture d'écran de l'assistant d'importation de certificat, étape de stockage de certificats

Utilisez la console de gestion des certificats d’ordinateur

  1. Ouvrez la console Gérer les certificats d’ordinateur et accédez au magasin de certificats approprié. Pour les certificats de serveur, accédez à : Personnel > Certificats. Pour approuver un certificat racine ou autosigné, choisissez Autorités de certification racines de confiance > Certificats.

  2. Faites un clic droit sur le certificat et sélectionnez > Toutes les tâches > Importer….

    Console de gestion des certificats d'ordinateur

  3. Sélectionner Parcourir… et sélectionnez le fichier.

  4. Entrez le mot de passe si nécessaire.

Utiliser PowerShell

Pour importer un certificat, utilisez l’applet de commande PowerShell Import-PfxCertificate. Par exemple, pour importer le certificat certificate.pfx avec le mot de passe 123456 dans le magasin de certificats personnels, exécutez la commande suivante :

  Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Pour importer un certificat racine de confiance, définissez CertStoreLocation sur Cert:\LocalMachine\Root\.

Exporter un certificat sans clé privée

Pour exporter un certificat afin de pouvoir l’importer dans d’autres appareils et l’approuver, vous devez exclure la clé privée.

  1. Ouvrez Gérer les certificats d’ordinateur. Accédez à Personnel > Certificats et sélectionnez le certificat que vous souhaitez exporter.

  2. Dans le menu Action, sélectionnez Toutes les tâches puis Exporter.

    Capture d'écran de la gestion des certificats avec le menu Exporter

  3. Choisissez Non, ne pas exporter la clé privée, puis appuyez sur Suivant.

    Certificat d'exportation

  4. Sélectionnez le format binaire codé DER X.509 (.CER) (par défaut) et appuyez sur Suivant.

  5. Entrez un nom de fichier et appuyez sur Suivant.

    Capture d'écran de l'assistant d'exportation de certificat, indiquant le nom de fichier

  6. Sélectionnez Terminer.

    Capture d'écran de l'assistant d'exportation de certificat, indiquant la réussite de l'exportation

Exporter un certificat avec une clé privée

Pour exporter un certificat afin de pouvoir l’utiliser sur d’autres serveurs, vous devez inclure la clé privée.

  1. Ouvrez Gérer les certificats d’ordinateur. Accédez à Personnel > Certificats et sélectionnez le certificat que vous souhaitez exporter.

  2. Dans le menu Action, sélectionnez Toutes les tâches puis Exporter.

    Capture d'écran de la gestion des certificats avec le menu Exporter

  3. Choisissez Oui, exporter la clé privée, puis sélectionnez Suivant.

    Certificat d'exportation

  4. Dans l’onglet Sécurité, saisissez un mot de passe puis sélectionnez Suivant.

    Capture d'écran de l'assistant d'exportation de certificat, indiquant l'étape de sécurité

  5. Entrez un nom de fichier et sélectionnez Suivant.

    Capture d'écran de l'assistant d'exportation de certificat, indiquant le nom de fichier

  6. Sélectionnez Terminer.

    Capture d'écran de l'assistant d'exportation de certificat, indiquant la réussite de l'exportation

Convertir le certificat au format PEM

Par défaut, Windows exporte les certificats au format PKCS#12 sous forme de fichier .pfx qui inclut la clé privée. Pour utiliser le certificat sur une passerelle NetScaler Gateway ou un serveur de licences, vous devez extraire le certificat et les clés privées dans des fichiers distincts au format PEM. Vous pouvez le faire en utilisant openssl.

Pour exporter le certificat au format PEM, exécutez :

  openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Il vous sera demandé de saisir le mot de passe existant et une nouvelle phrase secrète.

Pour exporter la clé au format PEM, exécutez :

  openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Certificats de confiance

  • Si vous utilisez un certificat provenant d’une autorité de certification publique, les machines sont normalement préconfigurées avec les certificats racine.
  • Si vous utilisez une autorité de certification d’entreprise, vous devez déployer le certificat racine sur toutes les machines qui doivent approuver ce certificat. Si vous utilisez les services de certification Active Directory, les certificats racine sont également déployés sur toutes les machines du domaine à l’aide de la stratégie de groupe. En cas de machines n’appartenant pas au domaine, telles que NetScaler Gateway, ou de machines appartenant à d’autres domaines, vous devez importer manuellement le certificat racine.
  • Si vous utilisez un certificat autosigné, il doit être installé manuellement sur toute machine devant faire confiance au certificat.

Pour exporter un certificat racine autosigné ou approuvé depuis Windows, consultez la section Exporter un certificat sans clé privée.

Pour que Windows approuve le certificat, vous devez importer le certificat dans le magasin Autorités de certification racines de confiance. Si vous utilisez PowerShell, entrez le magasin Cert:\LocalMachine\Root\.

Pour que NetScaler approuve le certificat, convertissez d’abord le certificat au format PEM, puis Installez le certificat racine.

Gérer les certificats
May 20, 2025
Contributeur: 
C
May 20, 2025
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.