Bonjour, je m'appelle David. Je suis ingénieur principal chez Dell et dans cette vidéo, je vais vous montrer comment configurer les services Bureau à distance pour utiliser un certificat tiers de confiance. Les certificats peuvent être utilisés par plusieurs composants des services Bureau à distance, notamment Remote Desktop Web Access et Remote Desktop Gateway. Vous pouvez utiliser des certificats auto-signés avec les services Bureau à distance, mais comme les certificats auto-signés ne sont pas intrinsèquement approuvés, les clients doivent être configurés manuellement pour les approuver, ce qui entraîne simplement beaucoup de travail supplémentaire.
Dans cette démonstration, j’utiliserai le même certificat de confiance pour tous les services Bureau à distance, mais il est possible d’utiliser différents certificats pour différents services avec une contrainte spécifique que je traiterai le temps venu. Pour commencer, nous devons émettre une demande de signature de certificat ou CSR. Il y a plusieurs façons de le faire, mais je vais utiliser le Gestionnaire IIS car il est assez intuitif. Une fois le serveur sélectionné dans le volet de gauche, il faut aller dans « Server Certificates », double-cliquer dessus, ce qui permet d’afficher tous les certificats existants sur le serveur.
Pour l’instant, il n’y a qu’un certificat auto-signé. Cliquez sur « Create Certificate Request » dans le volet de droite, puis renseignons ces champs. Le nom commun doit correspondre au nom de l’objet du certificat, mais dans cet environnement de laboratoire, les autres champs n’ont pas vraiment d’importance. Cependant, les champs sont obligatoires, je vais donc ajouter quelques informations, puis cliquer sur « Next ». Ici, nous pouvons choisir le fournisseur de services cryptographiques et la longueur de bit. Pour les besoins de cette démonstration, je vais laisser les valeurs par défaut et cliquer à nouveau sur Suivant. Ensuite, je dois spécifier le fichier dans lequel la demande de certificat sera stockée.
Il s’agira simplement d’un fichier texte, que je stockerai dans le dossier « cert » que j’ai créé à cet effet. Je vais lui donner un nom et cliquer sur « Finish », et la demande est maintenant créée. Je vais vérifier le répertoire et m’assurer qu’il s’y trouve. Si j’ouvre la demande de certificat, vous pouvez voir à quoi elle ressemble. Il s’agit simplement d’une demande de certificat standard. À ce stade, je dois soumettre la demande à l’autorité de certification ou à l’autorité de certification. La procédure diffère selon l’AC. Dans ce cas, je dois copier le contenu du fichier de demande dans un champ particulier. Certaines autorités de certification peuvent vous demander de télécharger le fichier texte vous-même.
Je ne vais pas vous montrer la procédure de soumission de la demande et de réception du certificat, car elle est très différente. Au lieu de cela, nous allons simplement sauter un peu. Le certificat a été émis et je l’ai téléchargé dans ce même dossier. Il s’agit d’un fichier CER, qui est l’une des extensions courantes pour les fichiers de certificat, mais je ne peux pas utiliser un fichier CER avec RDS. Un fichier PFX est requis. Si je regarde le fichier lui-même, nous pouvons voir des informations sur le certificat et sur l’autorité de certification qui l’a émis. Notamment, il n’y a rien ici sur la clé privée, car le certificat n’a pas encore été associé à sa clé privée, qui a été générée lors de la génération de la demande.
Nous devons le lier à la clé privée pour pouvoir l’utiliser pour RDS. Pour ce faire, revenons au Gestionnaire des services Internet et cliquons sur Terminer la demande de certificat. Ensuite, nous choisissons le fichier de certificat, lui donnons un nom convivial, qui sera le nom de l’objet du certificat, et spécifions un magasin de certificats où il doit être stocké. Cliquez sur « OK » et vous voyez qu’il s’affiche dans la liste des certificats de serveur. Si nous examinons les propriétés du certificat, vous voyez une note ci-dessous indiquant que nous avons une clé privée qui correspond à ce certificat, qu’il a donc été lié à sa clé privée et qu’il peut être utilisé par RDS. Tout d’abord, nous devons l’exporter. Pour ce faire, à partir de cette même console, nous cliquons sur « Export », lui donnons un nom de fichier, et il s’agira, comme vous pouvez le voir, d’un fichier PFX.
Maintenant, il suffit de l’enregistrer dans le même dossier, et nous devons attribuer un mot de passe à la clé privée. Cela concerne la protection de la clé. Cliquez sur « OK ». Si je reviens au dossier, vous verrez qu’il contient un fichier PFX, que nous pouvons importer dans RDS. Pour ce faire, nous allons dans la section « Remote Desktop Services » de Server Manager et dans « Deployment Properties ». Dans la fenêtre « Deployment Properties », il y a une section « Certificate », et pour le moment, il est configuré pour utiliser un certificat auto-signé pour ces quatre services de rôle.
Comme je l’ai mentionné, vous pouvez utiliser un certificat différent pour chaque service, mais je vais utiliser le même pour les quatre. Pour ce faire, nous sélectionnons l’un des services de rôle, puis nous cliquons sur le bouton « Select Existing Certificate », puis sur « Choose a Different Certificate », nous cliquons sur le bouton « Browse » et nous accédons au fichier PFX. Ouvrez-la, spécifiez le mot de passe que nous avons défini sur ce fichier, puis cochez la case « Autoriser l’ajout de certificats », puis cliquez sur « OK ». Vous devez suivre la même procédure pour chaque service de rôle. Vous devez cliquer sur « Appliquer » après avoir effectué chacune d’entre elles, puis attendre une minute pour appliquer le certificat. Malheureusement, vous ne pouvez pas faire les quatre à la fois, donc cette partie de la procédure devient un peu fastidieuse.
Je vais passer à l’étape suivante pour que vous n’ayez pas à me regarder faire la même chose quatre fois de suite. Je tiens à noter l’avertissement qui s’affiche ici, indiquant que vous devez utiliser le même certificat pour la passerelle Bureau à distance et l’accès Web Bureau à distance. Il s’agit d’une pratique d’excellence de Microsoft. J’ai maintenant configuré les quatre services de rôle pour qu’ils utilisent ce certificat. Vous pouvez voir que l’état indique « Réussite » pour chacun d’entre eux et que le niveau de confiance affiche « Approuvé ». Nous cliquons donc sur « OK » pour finaliser la mise au point, et nous allons maintenant tester le tout sur une autre machine.
Je vais faire un test très simple. Je vais lancer un navigateur Web et accéder à la page de connexion Remote Desktop Web Access, qui s’affiche sans avertissement de certificat. Si nous examinons le certificat lui-même, vous pouvez dire qu’il s’agit du certificat que nous venons de configurer. Le nom commun correspond, le nom de l’autorité de certification correspond, et la date d’émission et la date d’expiration correspondent.
Découvrons maintenant comment configurer les services Bureau à distance pour utiliser un certificat tiers de confiance. J’espère qu’elle vous a été utile. Je m’appelle David. Je suis ingénieur principal chez Dell et merci de votre attention.
