S'abonner à un Certificat avec l'autorité de certification (CA) Microsoft
Bien que vous puissiez créer un certificat autosigné à l'aide de Firebox System Manager ou d'autres outils, vous pouvez également créer un certificat à l'aide de l'autorité de certification Microsoft.
Chaque demande de signature de certificat (CSR) doit être signée par une autorité de certification (CA) afin de pouvoir être utilisée pour l'authentification. En créant un certificat à partir de cette procédure, vous agissez en tant qu'autorité de certification et signez numériquement votre propre demande de signature. Cependant, pour des raisons de compatibilité, il est conseillé d'envoyer la demande de signature de certificat à une autorité de certification connue. Les certificats racine de ces entreprises sont installés par défaut sur la plupart des navigateurs Internet et périphériques Firebox. Par conséquent, vous n'aurez pas à les distribuer vous-même.
Afin d'inspecter le contenu du trafic sortant de vos clients vers des sites externes via un proxy HTTPS ou SMTP, nous vous recommandons d'utiliser votre Autorité de Certification interne pour signer la demande car vous devez créer un certificat d'Autorité de Certification capable de signer à son tour d'autres certificats. Si vous créez une demande de signature de certificat dans Firebox System Manager et qu'elle est signée par une autorité de certification reconnue, elle peut servir de certificat d'Autorité de Certification.
La plupart des systèmes d'exploitation Windows Server vous permettent de remplir une demande de signature de certificat et de créer un certificat.
Envoyer la demande de certificat
- Dans la barre d'adresses, entrez l'adresse IP du serveur sur lequel est installée l'autorité de certification, suivie de certsrv.
Par exemple : http://10.0.2.80/certsrv - Cliquez sur le lien Demander un certificat.
- Cliquez sur le lien Demande de certificat avancée.
- Cliquez sur Soumettre une demande de certificat ou de renouvellement.
- Collez le contenu de votre fichier de demande de signature de certificat dans la zone de texte Demande enregistrée.
- Pour les certificats d'inspection de contenu du trafic sortant, ouvrez la liste déroulante Modèle de certificat et sélectionnez Autorité de Certification Subordonnée.
- Cliquez sur Envoyer.
Délivrer le certificat
C'est une étape facultative. Vous n'avez pas besoin d'émettre le certificat si votre serveur a activé l'inscription Web ou l'inscription automatique.
- Connectez-vous au serveur sur lequel est installée l'autorité de certification, si nécessaire.
- Sélectionnez Démarrer > Panneau de Configuration > Outils d'Administration > Autorité de Certification.
- Dans l'arborescence Autorité de Certification (Locale), sélectionnez Votre Nom de Domaine > Demandes en Attente.
- Sélectionnez la demande de signature de certificat dans le volet de navigation de droite.
- Dans le menu Action, sélectionnez Toutes les Tâches > Émettre.
- Fermez la fenêtre de l'autorité de certification.
Télécharger le certificat
- Dans la barre d'adresses, entrez l'adresse IP du serveur sur lequel est installée l'autorité de certification, suivie de certsrv.
- Cliquez sur le lien Afficher le statut d'une requête de certificat en attente.
- Sélectionnez la demande de certificat correspondant à la date et à l'heure de votre envoi.
- Sélectionnez le format d'encodage du certificat téléchargé, tel que Base 64 pour un certificat PEM.
- Cliquez sur Télécharger le Certificat d'Autorité de Certification pour enregistrer le certificat.
L'Autorité de Certification est distribuée sous la forme d'un composant de Windows Server. Si elle ne figure pas dans le dossier Outils d'administration de votre serveur, suivez les instructions du fabricant pour l'installer.