locked
RD Web Access et les certificats RRS feed

  • Question

  • Bonjour,

    Je souhaite utiliser un serveur 2008R2 Foundation en simple serveur de fichiers (donc sans AD), et avec les rôles TSE suivants:
    Hôte de session bureau à distance et RD Web Access.
    Quelle serait la façon la plus simple d'installer et gérer les certifiacts pour les connextions distantes ? Doit-on créer les certificats dans IIs,
    ou est-il nécessaire d'installer le service de certificats Active Directory ?

    Merci

    mercredi 13 mars 2013 07:20

Réponses

  • Bonjour, 

    Je précise que le rôle passerelle de services n'est pas installé.

    Le rôle 'Passerelle' n'est pas nécessaire à faire fonctionner votre infra RD.

    D'où la question précédente, au vu des outils présents sur le serveur, est-il judicieux de créer un certificat avec IIs ?

    Un serveur web va présenter un certificat qui dis en gros que son nom est certifié par une autorité X. Le poste client va vérifier auprès de l'autorité X la véracité du certificat présenté.

    Vous devez de toute façon importer un certificat dans IIS. Donc il y a plusieurs choix :

    - Certificat auto-signé par le serveur. Il y a des limitations. J'avais des problèmes sur pour la connexion aux services si le poste clients ne possédait le certificat d'autorité racine.

    -Certificat délivré par une PKI interne. Faut donc créer un infrastructure à clé publique interne. Cette PKI va délivré le certificat web et le poste vérifiera le certificat auprès de cette PKI.

    - Certificat délivré par une autorité tiers mais vous ne voulez pas partir sur cette option.

    J'ai oublié de vous demander si cette infra est une maquette ou pour votre entreprise ?

    Dans tous les cas, je vous conseille de créer une PKI.

    Dans le cas d'une maquette, il suffit d'installer le composant ADCS sur un des serveurs pour qu'il fasse autorité de certification et de créer un certificat serveur web.

    En entreprise, vous devez mettre en place une PKI avec autorité racine et autorité intermédiaire.

    Pour info : http://technet.microsoft.com/en-us/library/cc770357(v=ws.10).aspx

    Cdt,


    Jérémy DHUIT


    jeudi 14 mars 2013 10:19

Toutes les réponses

  • Bonjour,

    Si j'ai bien compris, vous souhaitez gérer les certificats pour l'accès web à vos services TS.

    Pour les certificats web, vous n'avez pas besoin d'installer le services de certificats MS si votre serveur si vous avez déjà une PKI dans votre infrastructure ou si vous souhaitez acquérir un certificat auprès d'un éditeur tiers (verisign par exemple).

    Il vous suffit de faire une demande de certificat auprès de l'autorité de votre choix puis de l'importer dans IIS et de choisir ce même certificat pour la publication de votre site (accès web TS) en https.

    Cdt,


    Jérémy DHUIT

    mercredi 13 mars 2013 15:13
  • Bonjour et merci pour votre réponse,

    Je précise que le rôle passerelle de services n'est pas installé.
    il n'y a pas de PKI dans l'infrastructure et je ne souhaite pas acquérir de certificats (450 €/an le certif.)
    Je souhaite gérer les certificats effectivement pour les remote apps en accès web (https://monserveur.com/rdweb).

    D'où la question précédente, au vu des outils présents sur le serveur, est-il judicieux de créer un certificat avec IIs ?

    Merci

    jeudi 14 mars 2013 08:01
  • Bonjour, 

    Je précise que le rôle passerelle de services n'est pas installé.

    Le rôle 'Passerelle' n'est pas nécessaire à faire fonctionner votre infra RD.

    D'où la question précédente, au vu des outils présents sur le serveur, est-il judicieux de créer un certificat avec IIs ?

    Un serveur web va présenter un certificat qui dis en gros que son nom est certifié par une autorité X. Le poste client va vérifier auprès de l'autorité X la véracité du certificat présenté.

    Vous devez de toute façon importer un certificat dans IIS. Donc il y a plusieurs choix :

    - Certificat auto-signé par le serveur. Il y a des limitations. J'avais des problèmes sur pour la connexion aux services si le poste clients ne possédait le certificat d'autorité racine.

    -Certificat délivré par une PKI interne. Faut donc créer un infrastructure à clé publique interne. Cette PKI va délivré le certificat web et le poste vérifiera le certificat auprès de cette PKI.

    - Certificat délivré par une autorité tiers mais vous ne voulez pas partir sur cette option.

    J'ai oublié de vous demander si cette infra est une maquette ou pour votre entreprise ?

    Dans tous les cas, je vous conseille de créer une PKI.

    Dans le cas d'une maquette, il suffit d'installer le composant ADCS sur un des serveurs pour qu'il fasse autorité de certification et de créer un certificat serveur web.

    En entreprise, vous devez mettre en place une PKI avec autorité racine et autorité intermédiaire.

    Pour info : http://technet.microsoft.com/en-us/library/cc770357(v=ws.10).aspx

    Cdt,


    Jérémy DHUIT


    jeudi 14 mars 2013 10:19
  • Merci.
    Pour répondre à votre question, cette infra autonome est destinée à une TPE / 5 utilisateurs dont 2 distants;
    donc pas de domaine, pas de forêt, pas non plus de données secret défense.....
    les postes clients étant sous win7 et le NLA étant activé sur le serveur, la gestion des certificats reste une option.
    Je pense toutefois, dans ce cas, m'orienter éventuellement vers l'ADCS, tout en tenant compte de vos conseils.
    Je passe aux tests.

    Cordialement.

    jeudi 14 mars 2013 10:49