05/12/2025

Les services de rôle AD CS

Les services de rôle

I. Présentation

AD CS (Active Directory Certificate Services) de Windows Server est un rôle qui permet de créer et de gérer une infrastructure de clé publique (PKI) pour émettre et gérer des certificats numériques. Ces certificats sont utilisés pour sécuriser les communications, authentifier les utilisateurs et les appareils, et garantir l'intégrité des données.

Le rôle AD CS comporte de multiples services. Voyons ensemble leurs capacités.

Au début de chaque paragraphe, vous trouverez le nom en anglais du service, ainsi que son nom permettant l'installation via PowerShell. Pour rappel, en PowerShell, vous pouvez installer une fonctionnalité ou un rôle sous Windows Server à l’aide du cmdlet « Install-WindowsFeature ».

II. Description des services d'AD CS

A. Autorité de certification

  • Certification Authority (CA) - ADCS-Cert-Authority

Incontournable dans une infrastructure de PKI, c'est le service en charge de l'émission des certificats pour les utilisateurs, les ordinateurs et les services ainsi que pour gérer la validité des certificats.

Il est utilisé dans le déploiement d'autorité racine ou intermédiaire.

B. Portail web

  • Certification Authority Web Enrollment - ADCS-Web-Enrollment

Le service s'intitule Inscription de l'autorité de certification via le web. Il s'agit d'un portail web qui permet de demander des certificats en sélectionnant un modèle et en remplissant un formulaire ou en soumettant directement une demande via un fichier CSR.

Je vous déconseille son usage pour deux raisons principales :

  1. Son installation, notamment sur un serveur d'autorité, peut vous exposer à l'attaque Petit Potam (voir module traitant de la sécurité),
  2. Seuls les anciens modèles sont disponibles depuis ce portail, le rendant peu utile.

C. Répondeur en ligne

  • Online Responder - ADCS-Online-Cert

Aussi appelé OCSP, il s'agit d'un service web qui offre la possibilité de vérifier l'état de révocation d'un certificat en lui soumettant le numéro de série du certificat à vérifier.

Il peut cohabiter avec le service d'autorité de certification, mais il est recommandé de le positionner sur une machine à part.

D. Inscription de périphérique réseau

  • Network Device Enrollment Service - ADCS-Device-Enrollment

Ce service, aussi appelé NDES, a la capacité de délivrer des certificats sur des équipements réseaux. Par exemple, vous pourriez avoir besoin de monter des tunnels VPN entre pare-feu, aussi un certificat vous sera utile. Il est également employé pour l'installation de certificats sur des périphériques mobiles comme des smartphones ou des tablettes, au travers du protocole SCEP.

Ce service de rôle ne peut pas être déployé sur une machine qui héberge le rôle d'autorité de certification.

E. Inscription web de certificats

  • Certificate Enrollment Web Service - ADCS-Enroll-Web-Svc

À ne pas confondre avec le portail web, il s'agit d'un service qui permet la délivrance de certificats pour des machines hors du domaine.

Les utilisateurs ou les machines contactent ce service web en HTTPS.

F. Stratégie web d'inscription de certificats

  • Certificate Enrollment Policy Web Service - ADCS-Enroll-Web-Pol

Directement lié au service précédent, il définit les stratégies (modèles…) et les informations liées à l'inscription de certificats pour des machines hors du domaine, car en DMZ ou dans une autre forêt. On parle de serveur CEP (Certificate Enrollment Policy). Il répond au travers du protocole HTTPS.

III. Conclusion

Maintenant que vous avez une vision plus claire des services de rôles AD CS, voyons les types d'autorités de certification possibles.

Module Précédent
Retour à la/au Module
Chapitre Suivant
author avatar
Hugues MOCCAND Architecte Systèmes
Architecte Systèmes en poste chez CHEOPS TECHNOLOGY, spécialiste des infrastructures informatiques sécurisées, l’un des leaders du Cloud Computing en France, organisé en 4 Divisions, Cloud & Managed Services, Infrastructure, Cyberdéfense, Modernisation Technologique, avec plus de 600 collaborateurs et 12 agences en France et en Suisse (DFI). Plusieurs fois certifiés Microsoft, je travaille en mode projets pour accompagner nos clients lors de leur transformation numérique principalement sur les sujets Microsoft : Azure, Microsoft 365, sécurité et produits on-premises, tels que Active Directory, PKI, RDS et Exchange Server.
Voir la bio complète
social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

CVE-2022-26138

Atlassian corrige une faille de sécurité dans Confluence liée à des identifiants codés en dur

Florian BURNEL 0
tuto partage de fichiers Windows Linux

Partager des fichiers entre Windows 11 et Linux : comment ça marche ?

Florian BURNEL 3
Coupure Internet - Marseille - Octobre 2022

Internet : un acte de vandalisme à Marseille perturbe les liaisons sous-marines vers le reste du monde

Florian BURNEL 3

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.