GPO pour déployer les certificats automatiquements

Quand vous décidez d’installer une autorité de certification pour sécuriser un serveur, une application, il faut ensuite déployer les certificats chez tous les clients … Pour ne pas perdre de temps lors de l’installation des certificats ordinateurs et utilisateurs, il est possible de paramétrer l’inscription automatique des certificats pour un domaine à l’aide de GPO.

Pour cela on se connecte sur GPMC, cela se déroule en 2 étapes :

1ère Étape : Configuration Ordinateur

• Sous le nom de domaine concerné on clic droit sur Default domain Policy et clic sur modifier.
• Ensuite il faut déplier Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégie de clé publique
• Ensuite il faut double-cliquer sur Paramètres d’inscription automatique, sélectionner Inscrire les certificats automatiquement et cocher les deux options qui sont en dessous (renouveler et mettre à jour)
• Dans Paramètres de demande automatique de certificat , faire clique droit > nouveau > Demande automatique de certificat
• Faire suivant et sélectionner Ordinateur puis terminer

2ème Étape : Configuration Utilisateur

• Il faut déplier Configuration utilisateur > Paramètres Windows > Paramètres de sécurité > Stratégie de clé publique
• Ensuite il faut double-cliquer sur Paramètres d’inscription automatique, sélectionner Inscrire les certificats automatiquement et cocher les deux options qui sont en dessous (renouveler et mettre à jour)

Voilà le déploiement des certificats se fera lorsque la mise à jour des GPO se lancera, vous pouvez forcer la mise à jour des GPO en lançant :
gpupdate /sync ou /force si vous voulez forcer la mise à jour. Pour voir si les certificats ont bien été déployer on peut lancer la commande gpudate sur un client et ensuite voir dans la mmc autorité de certification si les certificats apparaissent.