Configuration de MVE pour la gestion automatisée des certificats

Dans le coin supérieur droit de la page, cliquez sur .

Cliquez sur Autorité de certification > Utiliser le serveur d'autorité de certification.

Remarque :  Le bouton Utiliser le serveur d'autorité de certification s'affiche uniquement lors de la configuration initiale de l'autorité de certification ou lors de la suppression du certificat.

Configurez les points de terminaison du serveur.

• Serveur CA : serveur de l'autorité de certification (CA) qui génère les certificats d'imprimante. Vous pouvez sélectionner l'un des éléments suivants :
• Certificat CA d'OpenXPKI
• Certificat CA Microsoft d'entreprise

Remarque :  L'utilisateur peut également configurer un serveur CA qui prend en charge le protocole EST (Enrollment over Secure Transport).

• Le serveur CA doit implémenter le protocole EST tel que défini dans RFC 7030.

Remarque :  Tout écart par rapport à la spécification peut entraîner une configuration non valide.

• EST est le protocole recommandé pour se connecter au serveur CA OpenXPKI.

Remarque :  Le serveur Microsoft CA d'entreprise ne prend pas en charge le protocole EST.

• Adresse du serveur CA : l'adresse IP ou le nom de l'hôte du serveur CA. Ce champ s'applique uniquement aux protocoles SCEP et EST.

Remarque :  Saisissez l'un des éléments suivants :

• Pour le serveur MSCA (avec SCEP) : <nom d'hôte ou adresse IP du serveur>/certsrv/mscep/mscep.dll
• Pour le serveur OpenXPKI (avec SCEP) : <nom d'hôte ou adresse IP du serveur>/scep/scep
• Pour EST, saisissez l'un des éléments suivants :
• https://172.87.95.240
• https://estserver.com
• estserver.com
• Libellé de serveur CA (facultatif) : si l'utilisateur crée un nouveau domaine, le même nom de domaine doit être indiqué dans ce champ.
• Adresse de serveur CEP : ce champ est uniquement applicable au protocole MSCEWS.

Remarque :  Saisissez l'un des éléments suivants :

• Authentification par nom d'utilisateur et mot de passe : https://democep.com/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP
• Pour l'authentification intégrée à Windows : https://democep.com/ADPolicyProvider_CEP_Kerberos/service.svc/CEP
• Pour l'authentification du certificat client : https://democep.com/ADPolicyProvider_CEP_Certificate/service.svc/CEP
• Nom d'hôte du serveur CA : le nom de l'hôte de votre serveur CA.

Remarque :  Par exemple, pour le protocole MSCEWS, l'utilisateur peut sélectionner democa.lexmark.com

• Nom d'hôte du serveur CES : nom d'hôte de votre serveur CES.

Remarque :  Par exemple, pour le protocole MSCEWS, l'utilisateur peut sélectionner democes.lexmark.com

• Mot de passe de challenge : le mot de passe de challenge est requis pour confirmer l'identité de MVE sur le serveur CA. Ce mot de passe est uniquement requis pour la CA OpenXPKI. Il n'est pas pris en charge par la CA Microsoft d'entreprise.

Remarque :  En fonction de votre serveur CA, vous devez configurer le mode d'authentification du serveur. Effectuez l'une des opérations suivantes :

• Si vous sélectionnez le protocole EST, dans le menu Mode d'authentification du serveur CA, sélectionnez l'une des options suivantes :
• Authentification par nom d'utilisateur et mot de passe
• Authentification du certificat client
• Si vous sélectionnez le protocole MSCEWS, puis dans le menu Mode d'authentification du serveur CA, sélectionnez l'une des options suivantes :
• Authentification par nom d'utilisateur et mot de passe
• Authentification du certificat client
• Authentification intégrée à Windows
• Le protocole SCEP prend uniquement en charge le mode d'authentification par mot de passe de challenge.

Remarque :  En fonction de votre serveur CA, reportez-vous à l'une des sections suivantes :

• Gestion des certificats à l'aide de l'autorité de certification OpenXPKI via SCEP
• Gestion des certificats à l'aide de l'autorité de certification Microsoft via SCEP
• Gestion des certificats à l'aide de l'autorité de certification Microsoft via MSCEWS
• Gestion des certificats à l'aide de l'autorité de certification OpenXPKI via EST

Cliquez sur Enregistrer les modifications et valider > OK.

Remarques :

• L'optionAnnuler les modifications ne fonctionne que si les modifications n'ont pas encore été enregistrées, ou enregistrées et validées.
• L'utilisateur ne peut pas récupérer les données d'une configuration non valide, car MVE ne stocke pas le dernier état valide d'une configuration. MVE ne stocke qu'une seule configuration de certificat à la fois, qui peut être valide ou non.

Remarques :

• La connexion entre MVE et les serveurs CA doit être validée. Pendant la validation, MVE communique avec le serveur CA pour télécharger la chaîne de certificats et la liste de révocation des certificats (CRL). Le certificat de l'agent d'inscription ou le certificat de test est également généré. Ce certificat permet au serveur CA d'approuver MVE.
• Vous pouvez sélectionner un ou plusieurs modèles CEP lorsque vous utilisez le protocole MSCEWS. Procédez comme suit :

1. Après avoir cliqué sur Enregistrer les modifications et valider, la fenêtre Sélection de modèle CEP s'affiche.



2. Sélectionnez un ou plusieurs modèles disponibles.

   • La boîte de dialogue Utiliser le serveur d'autorité de certification extrait la liste de révocation de certificats.
   • Une boîte de dialogue confirme que la validation du certificat a réussi.


3. Vous pouvez voir les modèles CEP sélectionnés sur la page de configuration du serveur CA.

Remarque :  Lorsque vous appliquez cette configuration à n'importe quel périphérique, un certificat est créé en fonction du modèle sélectionné.

Revenez à la page Configuration du système, puis vérifiez le certificat CA.

Remarque :  Vous pouvez également télécharger ou supprimer le certificat CA.