circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Renouvellement du certificat serveur

Cette page décrit le processus de renouvellement du certificat serveur RADIUSaaS.

Un certificat de serveur est essentiel pour sécuriser à la fois le tunnel interne EAP-TLS et le tunnel externe RadSec TLS sur RADIUSaaS. Pour éviter des échecs d'authentification, veillez à renouveler votre certificat avant son expiration.

hashtag
Votre certificat de serveur peut être de l'un des deux types suivants :

  1. Customer-CAarrow-up-right. Celui-ci est fourni avec votre RADIUSaaS et offre une longue validité de 20 ans. Actuellement, il n'est pas possible de créer un nouveau Customer-CA en parallèle de l'existant. Cela signifie que le Customer-CA existant arrivant à expiration devra être supprimé avant qu'un nouveau puisse être créé. La création d'un nouveau Customer-CA générera également un nouveau certificat racine qui devra être redéployé sur vos clients. Veuillez suivre ce l'article pour déployer votre nouveau Customer-CA et le référencer via la politique WiFi de votre MDM.

  2. Apportez votre propre certificat (BYO) en utilisant votre propre PKI, par ex. certificat serveur émis par SCEPmanarrow-up-right. Les certificats serveur SCEPman expirent tous les deux ans, pensez donc à définir un rappel pour éviter des interruptions. Lors de l'utilisation d'un certificat BYO, on suppose que le certificat racine de la CA et le FQDN (Subject et SAN) resteront inchangés par rapport au certificat arrivant à expiration. Par conséquent, le redéploiement du certificat n'est pas nécessaire.

hashtag
Création d'un nouveau certificat

hashtag
Customer-CA intégré

Ce type de certificat est valable 20 ans et ne peut pas être renouvelé avant son expiration. Il peut cependant être supprimé et un nouveau créé en suivant le ce arrow-up-rightguide.

hashtag
Certificat BYO

Si vous souhaitez utiliser votre propre certificat, par ex. : un certificat serveur émis par SCEPman, suivez ce arrow-up-rightle lien pour créer un certificat serveur avant l'expiration dans SCEPman ou votre PKI préférée.

hashtag
Déploiement du nouveau certificat serveur

hashtag
Profils Intune

Si vous renouvelez le Customer-CA ou une CA BYO avec une racine et un FQDN différents de l'ancien, veuillez suivre les étapes ci‑dessous pour redéployer ce certificat auprès de vos clients ; sinon, si vous utilisez un certificat BYO sans changement du certificat racine de la CA et du FQDN (Subject et SAN), vous pouvez sauter cette étape !

  1. Déployez le nouveau certificat serveur / racine de confiance sur vos clients comme décrit iciarrow-up-right en créant un nouveau profil.

  2. Mettez à jour vos existants profils WiFi ou filaires

    • Si vous avez utilisé l'assistant Intune pour la création de vos profils réseau, modifiez tous les profils pertinents en ajoutant un second certificat serveur de confiance. N'oubliez pas d'ajouter un second nom de serveur sous Noms des serveurs de certificats au cas où le nouveau certificat aurait un domaine différent.

    • Si vous avez utilisé un profil personnalisé pour la création de vos profils réseau, téléchargez à nouveau le XML généré par RADIUSaaS depuis iciarrow-up-right, et remplacez-le dans votre profil existant. Les deux empreintes des certificats serveur sont automatiquement incluses dans le XML.

  3. Attendez jusqu'à ce que tous vos clients aient reçu le(s) profil(s) mis à jour.

Exemple : profil WiFi Windows 10 mis à jour avec deux certificats RADIUS serveur de confiance et des domaines différents.

hashtag
Infrastructure WiFi et LAN

Si vous utilisez RadSecarrow-up-right, téléversez le nouveau certificat serveur sur vos points d'accès ou votre commutateur réseau.

hashtag
Activation du nouveau certificat serveur

Enfin, lorsque vous êtes prêt à basculer vers le nouveau certificat, activez‑le comme décrit ici.

Mis à jour

Ce contenu vous a-t-il été utile ?