How to
KB N°2751

Déploiement des certificats clients sur IE/Chrome et Firefox via GPO

Versions: V.5.x V6.x
Publié le lundi 10 avril 2017
Modifié le lundi 10 juin 2019

Comment déployer les certificats permettant le déchiffrement SSL sur des postes clients Windows, sous IE/Chrome et Firefox.

Objectif

Déployer les certificats permettant le déchiffrement SSL sur des postes clients Windows, sous IE/Chrome et Firefox.

  • Sous IE et Chrome, on déploie le certificat par GPO. En effet, IE et Chrome utilisent le magasin de certificats de Windows.
  • Sous Firefox, on crée un profil Firefox contenant le certificat à l'aide d'un outil tiers, puis on déploie ce profil par GPO. (Firefox utilise son propre magasin de certificats.)

Étapes

Dans un premier temps, créez vos certificats via l’outil XCA, comme décrit dans l'article de base de connaissances Créer un certificat SSL. Le certificat que vous allez déployer sur les postes clients est le certificat au format DER (.cer).

IE et Chrome

La mise à disposition des certificats pour IE et Chrome est très simple : il suffit de créer une GPO (dans l'exemple ci-dessous, Stratégie Déploiement certificats SSL) et d’importer le certificat dans le menu Configuration ordinateur > Stratégies > Paramètres Windows > Stratégie de sécurité > Stratégie de clé publique > Autorité de certification racines de confiance.

Firefox

On utilise un outil tiers, CCK2, pour générer un profil Firefox contenant le certificat désiré. Créez le profil sur la machine locale : vous le copierez ensuite sur votre AD.

  1. Installer CCK2 sur votre navigateur depuis l'adresse suivante : https://mike.kaply.com/cck2/.
    1. Lancer CCK2 depuis la barre d'outils de Firefox.
    2. Dans la fenêtre qui s'ouvre, créer un nouveau profil en cliquant sur le bouton New.
    3. Dans la pop-up qui s'ouvre, donner un nom au nouveau profil puis cliquer sur OK. La fenêtre principale de CCK2 s'ouvre.

  2. Dans le menu About, indiquer un numéro de version pour votre profil (cette étape est obligatoire).
  3. Ajouter votre certificat :
    1. Ouvrir le menu Certificates.
    2. Cliquer sur l'onglet Authorities.
    3. Cliquer sur Add File, puis sélectionner votre fichier .cer.
    4. Dans la pop-up Certificates, cocher toutes les options de la section Web sites :

  4. Dans le menu Finish, cliquer sur le bouton Use AutoConfig : sélectionner un dossier où exporter la configuration (le profil Firefox). Une pop-up vous confirme que la configuration a été créée dans le dossier : vous pouvez fermer le module CCK2.

    Vous devriez maintenant avoir différents fichiers et répertoires dans le dossier d'export.

  5. Pour pouvoir déployer le profil créé avec CCK2, il va falloir envoyer le contenu du dossier firefox dans le dossier d'installation de Firefox de chaque utilisateur.
    1. Copier le dossier firefox, par exemple dans un dossier soft dans votre annuaire Active Directory.

    2. Créer un script .bat qui va contenir les lignes de commande suivantes. Celui-ci copiera le profil Firefox depuis l'AD sur les machines des utilisateurs. Attention à bien remplacer le nom de la machine par le nom de votre serveur Active Directory, et le nom de domaine par le vôtre également.

      xcopy \\AD\sysvol\masociete.lan\soft\Firefox\autoconfig-olfeo-mozilla\firefox\* "C:\Program Files\Mozilla Firefox" /S /i /c /y
      
      xcopy \\AD\sysvol\masociete.lan\soft\Firefox\autoconfig-olfeo-mozilla\firefox\* "C:\Program Files (x86)\Mozilla Firefox" /S /i /c /y
    3. Copier le script dans le dossier script de votre annuaire Active Directory.
    4. Faire en sorte que ce script s’exécute au démarrage de la session Windows des utilisateurs via une GPO, dans la section Configuration utilisateur > Stratégies > Paramètres Windows > Scripts  (dans l'exemple ci-dessous, notre GPO s'appelle Stratégie Déploiement certificats SSL) :

Validation

Connectez-vous sur une session d’un utilisateur Windows. Vous devriez voir le certificat à la fois :

  • Dans la bibliothèque Windows (qui gère les certificats pour IE et Chrome) :

  • Dans la bibliothèque de Firefox :

 

 

RESSOURCE :

Avez-vous trouvé cet article utile ?
Revenir à la liste des articles
En visitant ce site, vous acceptez l'utilisation de cookies. Nous utilisons des cookies pour améliorer votre navigation sur notre site. En savoir plus.Ok