rss logo

Comment déployer WPA Enterprise EAP-TLS sur le WiFi UniFi

WiFi Logo

J'ai précédemment montré comment configurer une architecture WPA Enterprise avec PEAP-MSCHAPv2. L'article est disponible ici. Cependant, comme mentionné, et bien que cela soit relativement simple à configurer, cela peut ne pas être considéré comme la manière la plus sécurisée de protéger son WiFi. Si la sécurité est une priorité pour vous ou votre entreprise, je vous recommande vivement d'utiliser EAP-TLS à la place. Et bonne nouvelle, c'est précisément de cela dont nous allons discuter ici !

Dans ce guide, nous allons voir comment mettre en œuvre un accès WPA Enterprise en utilisant le protocole le plus sécurisé pour les connexions WiFi : EAP-TLS.

Nous nous concentrerons sur la configuration d'une architecture orientée Microsoft et Ubiquiti. Comme EAP-TLS repose sur une PKI, il nécessite une Autorité de Certification (CA). Par conséquent, nous configurerons également les Services de Certificats Active Directory (AD CS) pour distribuer des certificats à la fois aux Supplicants (stations utilisateurs) et au serveur d'authentification, qui sera un serveur NPS (le serveur RADIUS de Microsoft).

Diagramme illustrant la mise en œuvre de WPA Enterprise avec EAP-TLS sur les points d'accès WiFi UniFi. Il comprend un serveur ADCS, un serveur NPS et un processus d'authentification utilisant les protocoles 802.1X et RADIUS.

Services de Certificats Active Directory (AD CS)

Les Services de certificats Active Directory (AD CS) permettent la délivrance et la gestion des certificats d'infrastructure à clé publique (PKI). Dans cette configuration, il facilitera la fourniture de certificats qui permettront à chaque utilisateur dans un Active Directory de s'authentifier de manière sécurisée auprès d'un serveur RADIUS.

Installation du rôle AD CS

Nous avons deux options pour installer le rôle AD CS : en utilisant une console PowerShell ou via l'interface graphique.

PowerShell

  • Pour une installation rapide en utilisant PowerShell, exécuter la commande suivante :
PS C:\Users\administrator.STD> Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

Interface Utilisateur Graphique (GUI)

  • Utilisant le tableau de bord du Gestionnaire de serveur, accéder à Ajouter des rôles et des fonctionnalités :
Capture d'écran du Gestionnaire de serveur Windows avec l'option « Ajouter des rôles et des fonctionnalités » en surbrillance dans le menu Gérer.
  • Cliquer sur Suivant :
Capture d'écran de la page « Avant de commencer » de l'assistant d'ajout de rôles et de fonctionnalités sur Windows Server, mettant en évidence les conditions préalables et le bouton « Suivant ».
  • Sélectionner Installation basée sur un rôle ou basée sur une fonction dans le menu Type d'installation, puis cliquer sur Suivant :
Capture d'écran de la page « Sélectionner le type d'installation » de l'assistant d'ajout de rôles et de fonctionnalités sur Windows Server, mettant en évidence l'option d'installation basée sur les rôles ou sur les fonctionnalités.
  • Sélectionner votre serveur AD CS et cliquer sur Suivant :
Capture d'écran de la page « Sélectionner le serveur de destination » dans l'assistant d'ajout de rôles et de fonctionnalités sur Windows Server, montrant un pool de serveurs avec un serveur sélectionné nommé ADCS.std.local.
  • Cocher la case Services de certificats Active Directory et cliquer sur Suivant :
Capture d'écran de la page « Select Server Roles » de l'assistant « Add Roles and Features », mettant en évidence la sélection du rôle « Active Directory Certificate Services ».
  • Cliquer sur Suivant dans le menu Fonctionnalités :
Capture d'écran de la page « Select Features » de l'assistant d'ajout de rôles et de fonctionnalités, montrant une liste de fonctionnalités avec .NET Framework 3.5 en surbrillance.
  • Lire la description des Services de certificats Active Directory si on est mautivé, puis cliquer sur Suivant :
Capture d'écran de la page « Active Directory Certificate Services » de l'assistant d'ajout de rôles et de fonctionnalités, expliquant le rôle et les considérations relatives à la configuration d'AD CS.
  • Cocher la case Autorité de certification et cliquer sur Suivant :
Capture d'écran de la page « Select Role Services » de l'assistant « Add Roles and Features », mettant en évidence l'option « Certification Authority » pour Active Directory Certificate Services.
  • Cliquer sur Suivant pour continuer :
Capture d'écran de la page « Confirmation des sélections d'installation » de l'assistant d'ajout de rôles et de fonctionnalités, montrant les rôles sélectionnés pour l'installation d'AD CS et l'option de redémarrage automatique du serveur si nécessaire.
  • Ouvrir le tableau de bord du Gestionnaire de serveur et accéder à la Configuration après déploiement :
Capture d'écran de la notification de configuration post-déploiement dans le Gestionnaire de serveur Windows, mettant en évidence l'option de configuration des services de certificats Active Directory après l'installation.
  • Modifier les informations d'identification par défaut si nécessaire, puis cliquer sur Suivant :
Capture d'écran de la page « Credentials » de l'assistant de configuration d'AD CS, montrant la saisie des informations d'identification de l'administrateur requises pour configurer les services de rôle.
  • Sélectionner le rôle Autorité de certification et cliquer sur Suivant pour continuer :
Capture d'écran de la page Services de rôle de l'assistant de configuration d'AD CS, montrant la sélection du service de rôle d'autorité de certification.
  • Choisir Autorité de certification Enterprise et cliquer sur Suivant :
Capture d'écran de la page Type de configuration de l'assistant de configuration d'AD CS, mettant en évidence la sélection de l'option AC d'entreprise.
  • Sélectionner Root CA :
Capture d'écran de la page Type d'autorité de certification dans l'assistant de configuration d'AD CS, mettant en évidence la sélection de l'autorité de certification racine comme type d'autorité de certification.
  • Nous créons une toute nouvelle clé privée :
Capture d'écran de la page Clé privée de l'assistant de configuration d'AD CS, montrant l'option de création d'une nouvelle clé privée pour l'autorité de certification.
  • Choisir les options cryptographiques appropriées :
Capture d'écran de la page Cryptographie pour l'autorité de certification dans l'assistant de configuration AD CS, montrant la sélection du fournisseur cryptographique RSA, de la longueur de clé 4096 et de l'algorithme de hachage SHA512.
  • Spécifier le nom de l'Autorité de certification :
Capture d'écran de la page Nom de l'autorité de certification dans l'assistant de configuration d'AD CS, montrant la saisie du nom commun de l'autorité de certification comme std-ADCS-CA.
  • Indiquer la période de validité du certificat, 10 ans semble être une bonne durée, étant donné que nous serons probablement tous morts d'ici là :
Capture d'écran de la page Période de validité de l'assistant de configuration d'AD CS, montrant la sélection d'une période de validité de 10 ans pour l'autorité de certification.
  • Spécifier les emplacements de la base de données :
Capture d'écran de la page Base de données CA de l'assistant de configuration AD CS, montrant les emplacements par défaut de la base de données des certificats et des fichiers journaux.
  • Vérifier la configuration globale et cliquer sur Configurer pour exécuter la configuration :
Capture d'écran de la page de confirmation de l'assistant de configuration d'AD CS, résumant les paramètres de l'autorité de certification avant le lancement de la configuration.
  • Une fois la configuration réussie, cliquer sur Fermer :
Capture d'écran de la page Résultats de l'assistant de configuration d'AD CS, indiquant que la configuration de l'autorité de certification a réussi.

Configuration du rôle AD CS

À partir du serveur ADCS, nous devons créer deux modèles de certificat : l'un pour le Serveur d'authentification (NPS), qui permettra de générer un certificat Ordinateur, et l'autre pour les Supplicants, qui permettra aux Utilisateurs du domaine de s'authentifier.

  • Ouvrir la console de gestion de l'Autorité de certification :
Capture d'écran de la boîte de dialogue Exécuter de Windows avec « certsrv.msc » saisi pour ouvrir la console de gestion de l'autorité de certification.
  • Accéder au menu Modèles de certification et supprimer les modèles dont vous n'avez pas besoin (dans mon cas, j'ai tout supprimé car je n'utiliserai l'ADCS uniquement que dans le cas de l'authentification EAP-TLS) :
Capture d'écran de la console de l'autorité de certification, montrant la suppression d'un modèle de certificat de la section « Modèles de certificats » dans AD CS.

Création des modèles de certificat

  • Ouvrir la Console des modèles de certificat en faisant un clic droit sur le dossier Modèles de certificat et en sélectionnant Gérer :
Capture d'écran de la console de l'autorité de certification, montrant l'option de gestion des modèles de certificats dans la section « Modèles de certificats » d'AD CS.
Modèle de certificat pour l'authentification des utilisateurs (Pour les Supplicants)

Remarque : la méthode d'authentification par certificat utilisateur fonctionne bien, mais envisagez d'utiliser l'authentification par certificat d'ordinateur si vous utilisez des scripts GPO ou si vous souhaitez que l'ordinateur puisse se connecter dès l'écran de verrouillage. Voir la procédure détaillée ici : Mise en place de l'authentification par certificat ordinateurs avec AD CS.

  • Faire un clic droit sur Modèle utilisateur et sélectionner Dupliquer le modèle :
Capture d'écran de la console des modèles de certificats, montrant l'option de duplication d'un modèle de certificat utilisateur dans AD CS.
  • Facultatif, mais si l'on dispose d'une architecture récente, on pourra configurer les systèmes les plus récents dans les Paramètres de compatibilité :
Capture d'écran de la fenêtre Propriétés du nouveau modèle dans AD CS, montrant les paramètres de compatibilité pour l'autorité de certification et le destinataire du certificat.
  • Donner un nom au Modèle :
Capture d'écran de la fenêtre Propriétés du nouveau modèle dans AD CS, montrant le nom du modèle et le nom d'affichage définis sur EAP-TLS avec les périodes de validité et de renouvellement.
  • Mettre à jour la taille de la clé :
Capture d'écran de la fenêtre Propriétés du nouveau modèle dans AD CS, montrant les paramètres cryptographiques avec une taille de clé minimale de 4096 et les fournisseurs cryptographiques sélectionnés.
  • Pour permettre le déploiement automatique des certificats via GPO, cocher la case Autoenroll pour Utilisateurs du Domaine :
Capture d'écran de la fenêtre Propriétés du nouveau modèle dans AD CS, montrant les paramètres de sécurité dans lesquels les utilisateurs du domaine se voient accorder des autorisations d'inscription et d'inscription automatique.
  • Bien noter que l'adresse mail est requise pour les utilisateurs AD qui demanderont des certificats. Cela signifie qu'une adresse e-mail doit être saisie dans le champ utilisateur de l'Active Directory :
Capture d'écran de la fenêtre Propriétés du nouveau modèle dans AD CS, montrant les paramètres du nom de l'objet pour inclure le nom de l'e-mail, ainsi que les propriétés de l'utilisateur Active Directory avec l'adresse e-mail de l'utilisateur.

Enfin, cliquer sur OK pour créer le modèle.

  • Depuis la console de gestion de l'Autorité de certification, faire un clic droit sur Modèles de certificat et sélectionner Modèle de certificat à délivrer :
Capture d'écran de la console de l'autorité de certification dans AD CS, montrant l'option d'émission d'un nouveau modèle de certificat sous « Modèles de certificats ».
  • Sélectionner le modèle EAP-TLS précédemment créé :
Capture d'écran de la fenêtre Enable Certificate Templates dans AD CS, montrant la sélection du modèle de certificat EAP-TLS à activer.
  • Le modèle EAP-TLS devrait apparaître dans le dossier Modèles de certificat :
Capture d'écran de la console de l'autorité de certification dans AD CS, montrant le modèle de certificat EAP-TLS activé sous « Modèles de certificats ».
Modèle de certificat pour le serveur d'authentification (serveur NPS)
  • Ouvrir la Console des modèles de certificat en faisant un clic droit sur le dossier Modèles de certificat et en sélectionnant Gérer :
Capture d'écran de la console de l'autorité de certification dans AD CS, montrant l'option de gestion du modèle de certificat EAP-TLS sous « Modèles de certificats ».
  • Faire un clic droit sur Modèle d'ordinateur et sélectionner Dupliquer le modèle :
Capture d'écran de la console des modèles de certificats dans AD CS, montrant l'option de duplication du modèle de certificat Ordinateur.
  • Facultatif, mais sur une architecture récente, on pourra configurer les systèmes les plus récents dans les Paramètres de compatibilité :
Capture d'écran de la fenêtre Propriétés du nouveau modèle dans AD CS, montrant les paramètres de compatibilité pour l'autorité de certification et le destinataire du certificat.
  • Donner un nom au Modèle :
Capture d'écran de la fenêtre Propriétés du nouveau modèle dans AD CS, montrant le nom d'affichage du modèle et le nom défini sur NPS avec les périodes de validité et de renouvellement configurées.
  • Facultatif, on peut encore améliorer la sécurité en mettant à jour la taille de la clé :
Capture d'écran de la fenêtre Propriétés du nouveau modèle dans AD CS, montrant les paramètres cryptographiques avec une taille de clé minimale de 4096 et les fournisseurs cryptographiques sélectionnés pour NPS.
  • Pour permettre le déploiement automatique des certificats via GPO, cocher la case Autoenroll pour Ordinateurs du Domaine (Optionnel: on pourra limiter l'enrôlement au seul serveur NPS en remplaçant ici le groupe Domain Computers par notre serveur NPS) :
Capture d'écran de la fenêtre Propriétés du nouveau modèle dans AD CS, montrant les paramètres de sécurité dans lesquels les ordinateurs de domaine bénéficient des autorisations d'inscription et d'inscription automatique.

Enfin, cliquer sur OK pour créer le modèle.

  • Depuis la console de gestion de l'Autorité de certification, faire un clic droit sur Modèles de certificat et sélectionner Modèle de certificat à délivrer :
Capture d'écran de la console de l'autorité de certification dans AD CS, montrant l'option d'émission d'un nouveau modèle de certificat sous « Modèles de certificats ».
  • Sélectionner le modèle NPS précédemment créé :
Capture d'écran de la fenêtre Enable Certificate Templates dans AD CS, montrant la sélection du modèle de certificat NPS à activer.
  • Le modèle NPS devrait apparaître dans le dossier Modèles de certificat :
Capture d'écran de la console de l'autorité de certification dans AD CS, montrant les modèles de certificats NPS et EAP-TLS activés sous « Modèles de certificats ».

Serveur d'authentification (NPS)

Installation du rôle NPS

Nous avons deux options pour installer le rôle NPS : depuis une console PowerShell ou via l'interface graphique.

PowerShell

  • Pour une installation rapide en utilisant PowerShell, exécuter la commande suivante :
PS C:\Users\administrator.STD> Install-WindowsFeature NPAS -Restart -IncludeManagementTools

Interface Graphique

  • Utiliser le tableau de bord Server Manager et naviguer jusqu'à Add Roles and Features :
Capture d'écran du gestionnaire de serveur dans Windows Server, montrant l'option « Ajouter des rôles et des fonctionnalités » mise en évidence dans le menu « Gérer ».
  • Sélectionner Installation basée sur un rôle ou sur une fonctionnalité :
Capture d'écran de l'assistant d'ajout de rôles et de fonctionnalités dans Windows Server, montrant la sélection de « Installation basée sur les rôles ou les fonctionnalités » comme type d'installation.
  • Sélectionner le serveur :
Capture d'écran de l'assistant d'ajout de rôles et de fonctionnalités dans Windows Server, montrant la sélection d'un serveur de destination dans le pool de serveurs pour l'installation des rôles.
  • Sélectionner le rôle Services de stratégie et d'accès réseau :
Capture d'écran de l'assistant d'ajout de rôles et de fonctionnalités dans Windows Server, montrant la sélection de « Network Policy and Access Services » comme rôle de serveur à installer.
  • Cliquer sur Suivant :
Capture d'écran de l'assistant d'ajout de rôles et de fonctionnalités dans Windows Server, montrant l'étape de sélection des fonctionnalités avec des options telles que .NET Framework 3.5 Features en surbrillance.
  • Cocher Redémarrer le serveur de destination et cliquer sur Installer :
Capture d'écran de l'assistant d'ajout de rôles et de fonctionnalités dans Windows Server, montrant l'étape de confirmation de l'installation des services de stratégie réseau et d'accès avec l'option de redémarrage automatique du serveur sélectionnée.

Distribution de certificats pour le serveur NPS

Avec l'AD CS maintenant correctement configuré, nous pouvons demander un certificat d'ordinateur depuis le serveur NPS.

Manuellement via la console de gestion des certificats

  • Depuis le serveur NPS, ouvrir la Console de gestion des certificats de l'ordinateur :
Capture d'écran de la boîte de dialogue Exécuter de Windows avec certlm.msc saisi, prêt à ouvrir la console de gestion des certificats de la machine locale.
  • Faire un clic droit sur le dossier Personnel et sélectionner Demande de nouveau certificat… :
Capture d'écran du snap-in Certificats dans le magasin personnel Ordinateur local, mettant en évidence l'option de demande d'un nouveau certificat.
  • Cliquer sur Next pour démarrer le processus d'enrôlement du certificat :
L'assistant d'inscription au certificat affiche l'écran « Avant de commencer » avec les instructions pour demander des certificats.
  • Sélectionner la Stratégie d'enrôlement Active Directory et cliquer sur Next pour continuer :
L'assistant d'enrôlement des certificats affiche l'écran « Select Certificate Enrollment Policy » avec « Active Directory Enrollment Policy » sélectionné.
  • Sélectionner la Stratégie NPS définie précédemment et cliquer sur Enroll :
L'assistant d'inscription au certificat affiche l'écran « Request Certificates » avec « NPS » sélectionné et le bouton « Enroll » en surbrillance.
  • Cliquer simplement sur Terminer une fois le processus d'enrôlement terminé :
L'assistant d'inscription au certificat affiche l'écran « Résultats de l'installation du certificat » avec l'état « Réussi » pour le certificat NPS et le bouton « Terminer » en surbrillance.
  • Après avoir cliqué sur Rafraichir, devrait apparaître le certificat d'ordinateur :
Le gestionnaire de certificats affiche un certificat installé avec succès dans la section « Personnel > Certificats ». Le certificat 'NPS.std.local' émis par 'std-ADCS-CA' avec la date d'expiration '8/1/2024' est mis en évidence.

Automatiquement via la stratégie de groupe (GPO)

Pour automatiser le processus de renouvellement du certificat, nous pouvons créer une GPO.

  • Aller dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Stratégies de sécurité > Stratégies de clé publique et éditer la stratégie Client de services de certificats - Inscription automatique :
Éditeur de gestion de stratégie de groupe avec l'option sélectionnée « Client des services de certification - enrôlement automatique » dans la section Stratégies de clés publiques. Le menu contextuel met en évidence « Propriétés ».
  • Activer le Modèle de configuration et cocher les cases pour activer l'automatisation du renouvellement du certificat :
Client Certificate Services - Fenêtre Auto-Enrollment Properties montrant la configuration du renouvellement et des mises à jour automatiques des certificats.
  • Effectuer une commande gpupdate pour obtenir un certificat :
C:\> gpupdate

Configurer le rôle NPS

  • Ouvrir la console NPS :
Exécuter la boîte de dialogue avec la commande 'nps.msc' pour ouvrir la console de gestion du Network Policy Server.

Déclarer les points d'accès en tant que clients RADIUS

  • Se déplacer dans NPS > Clients et serveurs RADIUS > Client RADIUS et cliquer sur Nouveau :
Console de Network Policy Server montrant la création d'un nouveau client RADIUS dans la section Clients RADIUS.
  • Pour chaque point d'accès, donner un Nom, définir l'adresse IP et créer un mot de passe fort (utiliser le même pour chaque point d'accès) :
Nouvelle configuration du client RADIUS dans Windows Network Policy Server pour les points d'accès WiFi UniFi, y compris les champs pour le nom amical, l'adresse et le secret partagé.
  • Devraient être présents tous les points d'accès précédemment ajoutés dans le dossier Clients RADIUS :
Liste des clients RADIUS configurés dans Windows Network Policy Server, montrant les points d'accès UniFi avec les noms amicaux, les adresses IP et le statut activé pour WPA Enterprise EAP-TLS.

Créer une politique réseau

Nous devons maintenant créer une politique réseau où nous définirons quel groupe d'utilisateurs pourra se connecter et les protocoles utilisés.

  • Cliquer sur Nouveau dans le dossier Politiques réseau :
Création d'une nouvelle stratégie réseau dans Windows Network Policy Server pour configurer WPA Enterprise avec EAP-TLS sur les points d'accès UniFi.
  • Donner un nom à la politique :
Spécification du nom de la politique de réseau et du type de connexion dans NPS.
  • Cliquer sur Ajouter pour spécifier la condition :
Ajouter des conditions à une politique de réseau dans NPS.
  • Sélectionner Groupes d'utilisateurs et cliquer sur Ajouter des groupes… :
Spécification de groupes d'utilisateurs pour la configuration de la politique de réseau pendant la configuration de Wi-Fi EAP-TLS.
  • Ajouter un groupe d'utilisateurs Active Directory, tel que Domain Users :
Sélection du groupe Domain Users pour la configuration de la politique Wi-Fi EAP-TLS.
  • Cliquer sur Suivant :
Vue d'ensemble des conditions relatives aux groupes d'utilisateurs spécifiées pour la politique de réseau Wi-Fi EAP-TLS.
  • Sélectionner Accès autorisé :
Octroi d'une autorisation d'accès pour la configuration de la politique réseau Wi-Fi EAP-TLS.
  • Choisir Microsoft : Carte à puce ou autre certificat comme type EAP et modifier la configuration :
Configuration des méthodes d'authentification pour Wi-Fi EAP-TLS à l'aide de certificats.
  • Sélectionner le certificat nouvellement déployé :
Capture d'écran de la sélection du nouveau certificat déployé dans la configuration Ubiquiti Wi-Fi EAP-TLS.
  • Cliquer sur Suivant :
Configuration des contraintes de la politique réseau, y compris le délai d'inactivité, pour la configuration Wi-Fi EAP-TLS.
  • Cliquer sur Suivant :
Configuration des attributs RADIUS et des paramètres de stratégie réseau pour la configuration Wi-Fi EAP-TLS.
  • Enfin, cliquer sur Terminer pour créer la politique :
Terminer la configuration de la nouvelle politique de réseau pour Wi-Fi EAP-TLS.

Serveur UniFi Network

Nous devons maintenant configurer notre Serveur UniFi Network afin d'y intégrer le serveur RADIUS (NPS).

  • Accéder au menu Profils et créer un nouveau profil RADIUS :
Création d'un nouveau profil RADIUS pour la configuration Wi-Fi EAP-TLS.
  • Cliquer sur Créer Nouveau :
Option permettant de créer un nouveau profil RADIUS pour Wi-Fi EAP-TLS dans les paramètres du réseau.
  • Attribuer un Nom au profil RADIUS et ajouter l'adresse IP du serveur NPS au niveau de Authentication Servers et du RADIUS Accounting Servers. Ajouter le mot de passe précédemment configuré sur le serveur NPS, préciser les ports réseau, puis cliquer sur les boutons Ajouter pour valider la configuration :
Configuration des paramètres d'un nouveau profil RADIUS, y compris les serveurs d'authentification et de comptabilité pour Wi-Fi EAP-TLS.
  • Maintenant, aller dans le menu WiFi et ajouter un nouveau profil WiFi ou modifier un profil existant :
Gestion des paramètres du réseau Wi-Fi et des configurations globales de l'AP pour la configuration EAP-TLS.
  • Configurez le Protocole de sécurité et le Profil RADIUS :
Configuration avancée du réseau Wi-Fi avec WPA3 Enterprise et paramètres de profil RADIUS pour EAP-TLS.

Supplicant (Stations Windows)

Nous allons maintenant voir comment, depuis un supplicant, obtenir le certificat qui sera utilisé pour l'authentification.

Distribution du certificat du supplicant

Manuellement via la Console de gestion des certificats

  • Ouvrir la Console de gestion des certificats pour l'utilisateur actuel sur la machine du supplicant :
Ouvrir le gestionnaire de certificats de Windows en utilisant certmgr.msc dans la boîte de dialogue Exécuter.
  • Faire un clic droit sur Personnel et sélectionner Demander un nouveau certificat… :
Demande d'un nouveau certificat à partir du magasin personnel dans le gestionnaire de certificats de Windows.
  • Cliquer sur Suivant pour démarrer le processus d'enrôlement du certificat :
Écran d'introduction de l'assistant d'inscription au certificat sous Windows.
  • Sélectionner la stratégie d'enrôlement Active Directory et cliquer sur Suivant pour continuer :
Sélection de la politique d'enrôlement des certificats dans l'assistant d'enrôlement de Windows.
  • Sélectionner la stratégie EAP-TLS que nous avons configurée précédemment et cliquer sur Enrôler :
Demande d'un certificat EAP-TLS dans l'assistant d'inscription au certificat de Windows.
  • Cliquer simplement sur Terminer une fois le processus d'enrôlement terminé :
Résultats de l'installation du certificat montrant l'inscription réussie du certificat EAP-TLS dans Windows.
  • Après actualisation, le certificat d'authentification du client devrait apparaitre :
Affichage du certificat EAP-TLS installé dans le magasin personnel du gestionnaire de certificats de Windows.

Automatiquement via la stratégie de groupe (GPO)

  • Accéder à Configuration utilisateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de clés publiques et modifiez la stratégie Client des services de certificats - Inscription automatique :
Accès aux propriétés d'inscription automatique dans l'éditeur de gestion de la stratégie de groupe pour la configuration des certificats.
  • Activer le Modèle de configuration et cocher les cases pour activer l'automatisation du renouvellement des certificats :
Configuration des paramètres d'inscription automatique pour les certificats d'utilisateur et d'ordinateur dans la stratégie de groupe.
  • Effectuer une mise à jour des stratégies avec gpupdate pour obtenir un certificat :
C:\> gpupdate

Les supplicants peuvent maintenant se connecter au réseau WiFi WPA Enterprise en utilisant EAP-TLS.

References