Documentation produit
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR

Gérer les certificats

May 12, 2025
Contributeur: 
C

TLS utilise des certificats pour établir la confiance entre deux parties. Vous devez installer un certificat approprié sur chaque serveur fournissant un service et vous assurer que les machines se connectant à ce serveur font confiance à ce certificat. Il existe les options suivantes pour signer des certificats :

  • Certificats auto-signés. Ceux-ci ne sont pas recommandés. Ils sont difficiles à gérer car vous devez copier manuellement ce certificat sur toute autre machine qui doit faire confiance à ce certificat.
  • Autorité de certification d’entreprise. Si vous disposez déjà d’une PKI, il s’agit généralement de l’option la plus simple pour signer un certificat à utiliser entre des périphériques internes.
  • Autorité de certification publique. Cela nécessite que vous prouviez la propriété du domaine à l’autorité de certification. Il présente l’avantage que les appareils clients non gérés sont normalement préconfigurés pour faire confiance aux certificats des principales autorités de certification publiques.

Créer un nouveau certificat

Suivez les stratégies et procédures de votre organisation pour créer des certificats.

Créer un certificat à l’aide de l’autorité de certification Microsoft

Si l’autorité de certification Microsoft est intégrée à un domaine Active Directory ou à la forêt approuvée à laquelle les Delivery Controller sont joints, vous pouvez acquérir un certificat à partir de l’Assistant Inscription de certificats du composant logiciel enfichable MMC Certificats. L’autorité de certification Microsoft doit disposer d’un modèle de certificat publié adapté à une utilisation par les serveurs Web.

Le certificat racine est automatiquement déployé sur une autre machine du domaine à l’aide de la stratégie de groupe. Par conséquent, toutes les autres machines du domaine font confiance aux certificats créés à l’aide de l’autorité de certification Microsoft. Si vous avez des machines qui ne sont pas sur le domaine, vous devez exporter le certificat d’autorité de certification racine et l’importer dans ces machines.

  1. Sur le serveur, ouvrez la console MMC et ajoutez le composant logiciel enfichable Certificats. Lorsque vous y êtes invité, sélectionnez Un compte d’ordinateur.

  2. Développez Personnel > Certificats, puis utilisez la commande de menu contextuel Toutes les tâches > Demander un nouveau certificat.

    Composant logiciel enfichable MMC Certificats

  3. Cliquez sur Suivant pour commencer, puis sur Suivant pour confirmer que vous obtenez le certificat à partir de l’inscription Active Directory.

  4. Sélectionnez un modèle approprié tel que Serveur Web exportable. Si le modèle a été configuré pour fournir automatiquement les valeurs du sujet, vous pouvez cliquer sur Inscrire sans fournir plus de détails. Dans le cas contraire, cliquez sur Des informations supplémentaires sont nécessaires pour s’inscrire à ce certificat. Cliquez ici pour configurer les paramètres.

    Boîte de dialogue de demande de certificats

  5. Pour fournir plus de détails sur le modèle de certificat, cliquez sur le bouton flèche Détails et configurez les éléments suivants :

    Nom de l’objet : sélectionnez Nom courant et ajoutez le nom de domaine complet du serveur.

    Nom alternatif : sélectionnez DNS et ajoutez le nom de domaine complet du serveur.

    Propriétés de certificat

  6. Sélectionnez OK.

  7. Appuyez sur S’inscrire pour créer le certificat. Il est affiché dans la liste des certificats.

    Capture d'écran des certificats personnels

Créer une demande de certificat à l’aide d’IIS

Si IIS est installé sur le serveur, procédez comme suit :

  1. Ouvrir Gestionnaire des services Internet (IIS)
  2. Sélectionnez le nœud du serveur dans la liste Connexions.
  3. Ouvrez Certificats de serveur. Capture d'écran indiquant où trouver les "Certificats de serveur"
  4. Dans le volet Actions, sélectionnez Créer une demande de certificat…. Capture d'écran du menu des actions avec "créer une demande de certificat" en surbrillance
  5. Saisissez les propriétés du nom distinctif. Capture d'écran de l'écran des propriétés du nom distinctif
  6. Sur l’écran Propriétés du fournisseur de service cryptographique, conservez le fournisseur de service cryptographique par défaut. Sélectionnez une taille de clé de 2048 ou plus. Capture d'écran de l'écran des propriétés du fournisseur de service cryptographique
  7. Choisissez un nom de fichier et appuyez sur Terminer. Capture d'écran de l'écran Nom de fichier
  8. Téléchargez votre CSR auprès de votre autorité de certification.
  9. Une fois que vous avez reçu le certificat, dans le volet Actions, sélectionnez Compléter la demande de certificat…. Capture d'écran du menu des actions avec "Compléter la demande de certificat" en surbrillance
  10. Sélectionnez le certificat, fournissez un nom convivial et appuyez sur OK. Capture d'écran de la fenêtre Compléter la réponse de certificat

Il n’existe aucun moyen de définir le nom alternatif de l’objet. Par conséquent, le certificat est limité au serveur spécifié à l’aide du nom courant.

Créer une demande de signature de certificat à partir du composant logiciel enfichable Certificats

À partir du composant logiciel enfichable Certificats mmc, vous pouvez créer une demande de signature de certificat. Cela génère un fichier que vous pouvez envoyer à une autorité de certification qui fournira le certificat. Vous devez ensuite importer le certificat pour le combiner avec la clé privée locale.

  1. Sur le serveur, ouvrez la console MMC et ajoutez le composant logiciel enfichable Certificats. Lorsque vous y êtes invité, sélectionnez Un compte d’ordinateur.

  2. Développez Personnel > Certificats
  3. Sélectionnez Toutes les tâches > Opérations avancées > Créer une demande personnalisée.
  4. Sur Avant de commencer, sélectionnez Suivant.
  5. Sur l’écran Sélectionner la stratégie d’inscription de certificat, sélectionnez une stratégie existante appropriée ou Continuer sans stratégie d’inscription.
  6. Sur l’écran Demande personnalisée, si vous utilisez une stratégie d’inscription, choisissez un modèle approprié, s’il est disponible, tel que Exportable vers le serveur Web.
  7. Sur l’écran Informations sur le certificat, développez Détails et sélectionnez Propriétés.
  8. Dans la fenêtre Propriétés du certificat, dans l’onglet Général, entrez un nom convivial approprié.

  9. Dans l’onglet Objet :

    1. Sous Nom de l’objet, sélectionnez Nom courant et entrez le nom de domaine complet du serveur. Vous pouvez saisir un caractère générique. Sélectionnez Add.
    2. Sous Nom de l’objet, ajoutez les valeurs appropriées pour Organisation, Unité d’organisation, Localité, État, Pays.
    3. Sous Nom alternatif, sélectionnez DNS. Ajoutez le nom de domaine complet du serveur. Vous pouvez ajouter plusieurs noms de domaine complets de serveur ou un nom de domaine complet générique.

  10. Dans l’onglet Extensions :

    • Sous Utilisation de la clé, ajoutez Signature numérique et Chiffrement de la clé.
    • Sous Utilisation étendue de la clé (stratégies d’application), ajoutez Authentification du serveur et Authentification du client.

  11. Dans l’onglet Clé privée.

    • Sous Sélectionner le fournisseur de service cryptographique (CSP), choisissez un fournisseur approprié.
    • Sous Options de clé, sélectionnez une taille de clé appropriée. Pour les fournisseurs RSA, utilisez au minimum une taille de clé de 2048. Pour plus de sécurité, vous pouvez choisir 4096, mais cela aura un léger impact sur les performances.
    • Sous Options de clé, sélectionnez Rendre la clé privée exportable.
  12. Sélectionnez OK.
  13. Sélectionnez Suivant.
  14. Sélectionnez Parcourir et enregistrez votre demande.
  15. Sélectionnez Terminer.
  16. Téléchargez votre CSR auprès de votre autorité de certification.
  17. Une fois que vous avez reçu le certificat, importez-le sur le même serveur afin qu’il soit lié à la clé privée.

Créer un nouveau certificat auto-signé

Un certificat auto-signé est créé lors de l’installation d’un contrôleur de mise à disposition et de Web Studio. Vous pouvez générer un nouveau certificat auto-signé et l’utiliser pour remplacer le certificat existant.

Utilisation du gestionnaire IIS

Si IIS est installé sur le serveur, vous pouvez effectuer les étapes suivantes :

  1. Connectez-vous au serveur en tant qu’administrateur.

  2. Ouvrir le gestionnaire IIS
  3. Ouvrir Certificats de serveur

  4. Dans le volet Actions, sélectionnez Créer un certificat auto-signé.

    Certificats de serveur

  5. Dans Créer un certificat auto-signé, entrez le nom du certificat et cliquez sur OK. Le certificat auto-signé est alors créé.

    Créer un certificat auto-signé

Utilisation de PowerShell

Vous pouvez utiliser PowerShell pour créer un certificat auto-signé :

  $certSubject = "CN=myddc.example.com" # The FQDN of the server.
  $friendlyName = "Self-Signed-3"
$expireYears = 5

## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

Importer un certificat existant

Vous pouvez importer un certificat existant dans le serveur à l’aide de l’une des méthodes suivantes.

Assistant d’importation de certificats

  1. Double-cliquez sur le fichier PFX ou faites un clic droit sur le fichier et sélectionnez Installer le fichier PFX. L’assistant d’importation de certificat ** s’ouvre.

  2. Pour Emplacement de stockage, sélectionnez Machine locale.

    Capture d'écran de l'assistant d'importation de certificat

  3. Entrez le mot de passe si nécessaire.

    Capture d'écran de l'assistant d'importation de certificat, étape de protection de la clé privée

  4. Sélectionnez le magasin de certificats. Pour les certificats de serveur, choisissez Personnel. S’il s’agit d’un certificat racine ou d’un certificat auto-signé auquel vous souhaitez faire confiance à partir de cette machine, choisissez Autorités de certification racines de confiance.

    Capture d'écran de l'assistant d'importation de certificat, étape de stockage de certificats

Utilisez la console de gestion des certificats d’ordinateur

  1. Ouvrez la console Gérer les certificats d’ordinateur et accédez au magasin de certificats approprié. Pour les certificats de serveur, c’est normalement le cas. Personnel > Certificats. Pour faire confiance à un certificat racine ou auto-signé, choisissez Autorités de certification racines de confiance > Certificats.

  2. Faites un clic droit sur le certificat et sélectionnez > Toutes les tâches > Importer….

    Console de gestion des certificats d'ordinateur

  3. Sélectionnez Parcourir… et sélectionnez le fichier.

  4. Entrez le mot de passe si nécessaire.

Utiliser PowerShell

Pour importer un certificat, utilisez l’applet de commande PowerShell Import-PfxCertificate. Par exemple, pour importer le certificat certificate.pfx avec le mot de passe 123456 dans le magasin de certificats personnels, exécutez la commande suivante :

  Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

Pour importer un certificat racine de confiance, définissez CertStoreLocation sur Cert:\LocalMachine\Root\.

Exporter un certificat sans clé privée

Pour exporter un certificat afin de pouvoir l’importer dans d’autres appareils pour approuver le certificat, vous devez exclure la clé privée.

  1. Ouvrez Gérer les certificats d’ordinateur. Accédez à Personnel > Certificats et sélectionnez le certificat que vous souhaitez exporter.

  2. Dans le menu Action, sélectionnez Toutes les tâches, puis Exporter.

    Capture d'écran de la gestion des certificats avec le menu Exporter

  3. Choisissez Non, ne pas exporter la clé privée, puis appuyez sur Suivant.

    Export certificate

  4. Sélectionnez le format binaire codé DER X.509 (.CER) (par défaut) et appuyez sur Suivant.

  5. Entrez un nom de fichier et appuyez sur Suivant.

    Capture d'écran de l'assistant d'exportation de certificat, nom de fichier

  6. Sélectionnez Terminer.

    Capture d'écran de l'assistant d'exportation de certificat, exportation réussie

Exporter un certificat avec une clé privée

Pour exporter un certificat afin de pouvoir l’utiliser sur d’autres serveurs, vous devez inclure la clé privée.

  1. Ouvrez Gérer les certificats d’ordinateur. Accédez à Personnel > Certificats et sélectionnez le certificat que vous souhaitez exporter.

  2. Dans le menu Action, sélectionnez Toutes les tâches, puis Exporter.

    Capture d'écran de la gestion des certificats avec le menu Exporter

  3. Choisissez Oui, exporter la clé privée, puis sélectionnez Suivant.

    Export certificate

  4. Dans l’onglet Sécurité, saisissez un mot de passe puis sélectionnez Suivant.

    Capture d'écran de l'assistant d'exportation de certificat, étape de sécurité

  5. Entrez un nom de fichier et sélectionnez Suivant.

    Capture d'écran de l'assistant d'exportation de certificat, nom de fichier

  6. Sélectionnez Terminer.

    Capture d'écran de l'assistant d'exportation de certificat, exportation réussie

Convertir le certificat au format PEM

Par défaut, Windows exporte les certificats au format PKCS#12 sous forme de fichier .pfx qui inclut la clé privée. Pour utiliser le certificat sur une passerelle NetScaler ou un serveur de licences, vous devez extraire le certificat et les clés privées dans des fichiers séparés au format PEM. Pour ce faire, utilisez openssl.

Pour exporter le certificat au format PEM, exécutez :

  openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

Le mot de passe existant et une nouvelle phrase secrète vous seront demandés

Pour exporter la clé au format PEM, exécutez :

  openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

Certificats de confiance

  • Si vous utilisez un certificat provenant d’une autorité de certification publique, les appareils sont normalement préconfigurés avec les certificats racine.
  • Si vous utilisez une autorité de certification d’entreprise, vous devez déployer le certificat racine sur tous les appareils qui doivent approuver ce certificat. Si vous utilisez les services de certification Active Directory, les certificats racine sont également déployés sur toutes les machines du domaine à l’aide de la stratégie de groupe. Vous devez importer manuellement le certificat racine sur des machines non jointes à un domaine, telles que vos passerelles NetScaler ou des machines sur d’autres domaines.
  • Si vous utilisez un certificat auto-signé, celui-ci doit être installé manuellement sur toute machine devant faire confiance au certificat.

Pour exporter un certificat racine auto-signé ou approuvé depuis Windows, reportez-vous à la section Exporter un certificat sans clé privée.

Pour que Windows fasse confiance au certificat, vous devez importer le certificat dans le magasin Autorités de certification racine de confiance. Si vous utilisez PowerShell, entrez le magasin Cert:\LocalMachine\Root\.

Pour que NetScaler fasse confiance au certificat, convertissez d’abord le certificat au format PEM, puis installez le certificat racine.

Gérer les certificats
May 12, 2025
Contributeur: 
C
May 12, 2025
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.