Comment déployer des certificats SSL sur des ordinateurs via la stratégie de groupe

La gestion des certificats SSL sur les réseaux Windows peut parfois s’avérer complexe. Qu’il s’agisse de déployer une autorité de certification personnalisée, d’ajouter des certificats SSL spécifiques à un site ou simplement de résoudre les problèmes liés aux avertissements du navigateur, une gestion centralisée est la solution idéale. L’utilisation de la stratégie de groupe (GPO) pour déployer les certificats est une méthode courante, bien que parfois délicate à mettre en œuvre. L’objectif est d’installer ou de supprimer automatiquement les certificats racine de confiance sur tous les ordinateurs du domaine, évitant ainsi à tous les utilisateurs de cliquer systématiquement sur « Continuer quand même ».

Voici un guide pratique, agrémenté de conseils concrets, pour vous aider à gérer vos certificats sans problème. Attendez-vous à utiliser la ligne de commande, à ajuster les GPO et à quelques victoires à la Pyrrhus. Mais au final, vos machines devraient faire confiance à vos certificats personnalisés sans difficulté.

Comment exporter un certificat SSL/TLS vers un fichier sous Windows

Éléments que vous pourriez vouloir exporter : un certificat auto-signé, un certificat racine d’autorité de certification ou même un certificat de site que vous déployez en interne. Le plus simple est de le récupérer depuis le navigateur ou de l’exporter directement depuis la boutique.

Exporter depuis le navigateur (croisons les doigts pour qu’il s’agisse simplement d’un certificat auto-signé)

  • Pour Microsoft Edge, accédez à l’ icône « Non sécurisé » dans la barre d’adresse, puis cliquez sur « Afficher le certificat ».
  • Accédez à l’ onglet Détails et cliquez sur Exporter.
  • Enregistrez le fichier au format BASE64 avec l’ extension .crt ou .pem. Un jeu d’enfant ! — si votre navigateur ne vous pose pas de problème ou ne bloque pas l’opération.

Mais parfois, il est nécessaire de récupérer le certificat par programmation, notamment pour automatiser des tâches. Voici une astuce PowerShell pratique utilisant WebRequest :

$webRequest = [Net. WebRequest]::Create("https://your-internal-site.local") try { $webRequest. GetResponse() } catch {} $getcert = $webRequest. ServicePoint. Certificate $bytes = $getcert. Export([Security. Cryptography. X509Certificates. X509ContentType]::Cert) set-content -value $bytes -encoding byte -path "C:\certs\your-site-certificate.cer"

Ce script un peu bricolé récupère le certificat SSL d’un site et l’enregistre localement au format CER. Bizarre ? Peut-être. Mais ça fonctionne plutôt bien.

Exportation manuelle depuis le magasin de certificats Windows

  • Courir mmc.exe.
  • Accédez à Fichier > Ajouter/Supprimer un composant logiciel enfichable.
  • Ajouter des certificats pour le compte ordinateur (ou Mon compte utilisateur s’il s’agit d’un certificat utilisateur).
  • Sélectionnez Ordinateur local lorsque vous y êtes invité, puis développez le magasin des autorités de certification racines de confiance.
  • Trouvez votre certificat cible, cliquez avec le bouton droit, sélectionnez Toutes les tâches > Exporter.
  • Choisissez le format binaire X.509 encodé DER (.CER) et indiquez l’emplacement d’enregistrement. Aucune clé privée n’est requise : aucun souci à se faire.

Installer des certificats sur les appareils Windows via la stratégie de groupe

Cette étape consiste à créer une stratégie de groupe (GPO) qui déploie le certificat sur toutes les machines cibles. Facile à configurer, mais une erreur peut engendrer des complications. Préparez-vous à utiliser la console de gestion des stratégies de groupe (GPMC).

Créez et liez une stratégie de groupe pour déployer le certificat.

  • Ouvrez gpmc.msc, accédez à l’unité d’organisation (UO) contenant ces ordinateurs — celle où vous souhaitez récupérer les certificats.
  • Faites un clic droit, choisissez Créer un objet de stratégie de groupe dans ce domaine et Liez-le ici.
  • Donnez-lui un nom évident, comme « Déployer la racine de l’autorité de certification interne ».
  • Faites un clic droit et sélectionnez Modifier.

Configurer l’installation automatique des certificats

  • Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de clé publique > Autorités de certification racine de confiance.
  • Faites un clic droit, choisissez Importer.
  • Accédez au fichier de certificat enregistré (le CER que vous avez exporté) et sélectionnez-le.
  • Configurez-le pour qu’il s’installe dans le magasin des autorités de certification racines de confiance ; aucune clé privée n’est requise.
  • Cliquez sur OK et répétez l’opération si vous souhaitez déployer plusieurs certificats simultanément (vous pouvez vérifier les champs tels que Délivré à, Expiration pour vérification).

Une fois la stratégie de groupe créée, exécutez-la gpupdate /forcesur un client pour la tester. Utilisez certlm.msc sur une machine pour vérifier que le certificat a bien été placé au bon endroit, dans le magasin des certificats racines de confiance. Vérifiez également si votre navigateur n’affiche plus l’avertissement « Certificat non approuvé ».

Pour nettoyer ou remplacer un certificat obsolète, vous pouvez également supprimer ou mettre à jour les certificats à l’aide d’une stratégie de groupe (GPO) : il suffit de trouver le certificat avec son empreinte numérique, de le supprimer ou de le remplacer dans la stratégie, puis de déployer la modification.

Bien sûr, Windows complique les choses au point qu’on risque de faire les choses deux fois. Parfois, face à un certificat récalcitrant, il est judicieux de supprimer manuellement les certificats ou d’automatiser cette suppression via un script d’ouverture de session (avec CertUtil ou PowerShell).

Résumé

  • Exportez les certificats depuis les navigateurs ou votre serveur.
  • Créez une GPO et liez-la à l’unité organisationnelle appropriée.
  • Importer les certificats dans le magasin de certificats racine de confiance via une stratégie de groupe (GPO).
  • Forcer la mise à jour de la stratégie de groupe sur les clients ou attendre l’actualisation automatique.
  • Vérifiez le magasin de certificats et les navigateurs pour confirmer la réussite.

Conclure

Ce n’est pas sorcier, mais c’est parfois un peu fastidieux. Une fois la configuration terminée, ça vaut le coup : plus d’alertes, moins d’appels au support. Il faut juste bien maîtriser les GPO. Si le problème persiste, essayez de supprimer ou de renouveler manuellement les certificats expirés. Parfois, une analyse approfondie du magasin de certificats permet de déceler des problèmes cachés.

J’espère que cela permettra à certains de gagner du temps. Obtenir des certificats de confiance pour de grands domaines n’est pas idéal, mais c’est possible.