Installation de l'autorité de certification racine

Je m'inspire de cette documentation, très complète : Offline Root CA Setup | docs.mjcb.io

Un livre papier/kindle existe, je le recommande très fortement.

Cette documentation est en cours de rédaction.

J'utilise ici les bonnes pratiques de Microsoft qui consiste à mettre en place 2 serveurs :

Un serveur Windows Server 2022 qui aura le rôle d'autorité de certification racine, qui sera par la suite éteint,
Un deuxième serveur Windows Server 2022 qui aura le rôle d'autorité de certification intermédiaire, en ligne en permanence, qui délivrera les certificats clients.

On commence par mettre en place l'autorité de certification racine, qui sera par la suite offline.

A la racine du C:, on ajoute un fichier CAPolicy.inf :

[Version]
Signature = "$Windows NT$"

[PolicyStatementExtension]
Policies = AllIssuancePolicy,InternalPolicy
Critical = FALSE

; AllIssuancePolicy is set to the OID of 2.5.29.32.0 to ensure all certificate templates are available.
[AllIssuancePolicy]
OID = 2.5.29.32.0

[InternalPolicy]
OID = 1.2.3.4.1455.67.89.5
Notice = "The Khroners Labs Certification Authority is an internal resource. Certificates that are issued by this Certificate Authority are for internal usage only."
URL = http://pki.ad.khroners.fr/cps.html

[Certsrv_Server]
; Renewal information for the Root CA.
RenewalKeyLength = 4096
RenewalValidityPeriod = Years
RenewalValidityPeriodUnits = 10

; Disable support for issuing certificates with the RSASSA-PSS algorithm.
AlternateSignatureAlgorithm = 0

; The CRL publication period is the lifetime of the Root CA.
CRLPeriod = Years
CRLPeriodUnits = 10

; The option for Delta CRL is disabled since this is a Root CA.
CRLDeltaPeriod = Days
CRLDeltaPeriodUnits = 0

On configure le rôle :

certutil.exe -setreg CA\DSConfigDN "CN=Configuration,DC=ad,DC=khroners,DC=fr"
certutil.exe -setreg CA\ValidityPeriodUnits 5
certutil.exe -setreg CA\ValidityPeriod "Years"
certutil.exe -setreg CA\CRLPeriodUnits 52
certutil.exe -setreg CA\CRLPeriod "Weeks"
certutil.exe -setreg CA\CRLOverlapPeriodUnits 12
certutil.exe -setreg CA\CRLOverlapPeriod "Hours"
net stop CertSvc
net start CertSvc

Offline Root CA Setup | docs.mjcb.io

Installation du rôle AD DS (Contrôleur de domaine) et DNS

Ajouter un contrôleur de domaine secondaire

Activer la corbeille Active Directory

Monter un partage par GPO par OU

Créer des GPO pour Chrome

Déployer un .msi par GPO

Déployer un fond d'écran par GPO

Déployer des favoris Chrome via GPO

Gérer Edge par GPO

Déployer des favoris Edge par GPO

Gérer OneDrive par GPO

Configuration de Windows Update par GPO

Installation du rôle DHCP

Fail-over DHCP

Installation du rôle WSUS et synchronisation

Optimisation de WSUS

Ciblage des postes clients pour les mises à jour via le serveur WSUS

Création de vues

Création des GPO pour le ciblage WSUS et des groupes de tests des mises à jour

Approbation des mises à jour

Installation du runtime Microsoft Report Viewer

Approbation automatique des mises à jour de définition (Windows Defender)

Mise en place du TLS/SSL pour WSUS

Résoudre l'apparition de duplicatas de WSUS dans la console

Installation automatique des définitions de Microsoft Defender

Windows Server 2022 et WSUS

WDS

Extraire les pilotes de VMware Tools

Convertir un fichier ESD en WIM

MDT : Microsoft Deployment Toolkit

Créer une image de référence 21H2

Impossible de trouver le fichier script "C:\LTIbootstrap.vbs".

Déployer une image de référence avec MDT et WDS

MDT / WDS avec base de données SQL

Modifier le registre d'une image Windows

Exemple : MDT avec SQL

Erreur "Verify BCDBootEx" avec MDT

Installation de Windows Admin Center

Convertir un certificat letsencrypt en .pfx (admin center)

Ajouter des serveurs dans Admin Center

Installation de l'autorité de certification racine

Configuration Radius NPS pour l'authentification 802.1x via EAP-TLS

Déploiement du wifi 802.1x PEAP-TLS par GPO

Audit et sécurisation (hardening) d'AD CS

Installation de l'autorité de certification racine