Déploiement IPSec avec Win2003 - Windows & Software
Marsh Posté le 07-04-2005 à 22:52:50
Ton autorité de certification est d entreprise ou autonome.
Si c est d entreprise la demande de tes client se fera automatiquement.
Il faut suivre ce screenshot pour la GPO de tes serveurs web.
Et sur la GPO de tes ordinateurs, tu configures IPSec pour le Client(Respond Only) et ca devrait être bon.
Marsh Posté le 24-05-2006 à 17:38:15
Bonjour tous
J'ai monté une PKI windows 2003 SP1 Standard sur mon DC qui doit faire serveur VPN avec L2TP/IPSec pour des clients XP SP2: voilà le décor.
Le personnage maintenant: moi, inspiré comme une carpe avec un marteau.
J'ai quelques questions:
La première concerne l'installation. Pendant celle-ci je n'ai pas coché l'option avancée (ou "personalisée" ) qui permet au service de cetificats de générer des cetificats dans le système de fichier, mais un partage "CertEnroll" a quand même été créé. Est-ce dû à la version de w2003? Un premier certificat est déjà présent dans ce partage sans que j'ai rien demandé, c'est normal? Ça craint? Et aussi deux listes de révocation et une page asp...
Ensuite, j'ai commencé un peu de conf grâce à l'aide en ligne de windows:
et là, reproblème: je voudrais recevoir des e-mails quand certains évènements de certification se produiront, mais la commande indiquée dans l'aide plante : CertUtil -setreg exit\smtp\smtpserver monserveur me renvoie l'erreur ~ 0x80070002 ( win32 : 2) ~Fichier introuvable.... une idée (effectivement la branche registre hklm\system\currentcontrolset\services\Certsvc\configuration\ma_CA\ExitModules\CertificateAuthority_MicrosoftDefault.Exit\ contient tout juste deux pauvres valeurs mais pas de sous-clefs \SMTP et SMTP\CRLIssued Denied etc... comme il y en a sur mon serveur de test (w2k3 Enterprise sans SP))
... problème...mineur disons
Après c'est là que je bloque: si j'ai bien compris, il faut que les ordis et le serveur VPN possèdent un certificat.
Comment le leur faire obtenir et lesquels? Faut-il dupliquer les modèles IPSec et IPSec hors connexion?
bon début, non?
Merci pour votre aide
Marsh Posté le 06-04-2005 à 20:04:02
J'ai un réseau avec un serveur de fichiers, 2 serveurs web et un serveur controleur de domaine avec Active Directory.
Je veux sécuriser tous les échanges grâce à IPSec.
Sachant que tous les serveurs sont inclus dans active directory, suffit-il de choisir une stratégie de sécurité IP comme sur le screenshot pour qu'elle soit appliquée à tout le domaine ?
J'utilise des certificats au lieu de Kerberos pour l'authentification.
La demande de certificat se fait-elle automatiquement à l'autorité de certification ?
Merci d'avance