Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.
Ctrlk

Renouvellement du certificat du serveur

Cette page décrit le processus de renouvellement du certificat du serveur RADIUSaaS.

Un certificat de serveur est essentiel pour sécuriser à la fois le tunnel interne EAP-TLS et le tunnel externe TLS RadSec sur RADIUSaaS. Pour éviter les échecs d’authentification, assurez-vous de renouveler votre certificat avant son expiration.

Votre certificat de serveur peut être de l’un des deux types suivants :

  1. Customer-CA. Celui-ci est fourni avec votre RADIUSaaS et offre une longue durée d’expiration de 20 ans. Actuellement, il n’existe aucun moyen de créer un nouveau Customer-CA en parallèle de celui existant. Cela signifie que le Customer-CA existant arrivant à expiration devra être supprimé avant qu’un nouveau puisse être créé. La création d’un nouveau Customer-CA générera également un nouveau certificat racine qui devra être redéployé sur vos clients. Veuillez suivre ceci article pour déployer votre nouveau Customer-CA et le référencer via la stratégie Wi-Fi de votre MDM.

  2. Certificat Bring Your Own (BYO) à l’aide de votre propre PKI, par ex. Certificat de serveur émis par SCEPman. Les certificats de serveur SCEPman expirent tous les deux ans, alors assurez-vous de définir un rappel pour éviter toute interruption. Lors de l’utilisation d’un certificat BYO, il est supposé que le certificat racine de l’AC et le FQDN (Subject et SAN) resteront inchangés par rapport au certificat arrivant à expiration. Par conséquent, le redéploiement du certificat n’est pas nécessaire.

Création d’un nouveau certificat

Customer-CA intégré

Ce type de certificat est valable 20 ans et ne peut pas être renouvelé avant son expiration. Il peut toutefois être supprimé et un nouveau peut être créé en suivant ceci le guide.

Certificat BYO

Si vous souhaitez utiliser votre propre certificat, par ex. : un certificat de serveur émis par SCEPman, alors suivez ceci le lien pour créer un certificat de serveur avant l’expiration dans SCEPman ou dans votre PKI préférée.

Déploiement du nouveau certificat de serveur

Profils Intune

Si vous renouvelez le Customer-CA ou un CA BYO avec une racine et un FQDN différents de ceux du précédent, veuillez suivre les étapes ci-dessous pour redéployer ce certificat sur vos clients ; sinon, si vous utilisez un certificat BYO sans changement du certificat racine de l’AC ni du FQDN (Subject et SAN), vous pouvez ignorer cette étape !

  1. Déployez le nouveau certificat de serveur/certificat racine approuvé sur vos clients comme décrit ici en créant un nouveau profil.

  2. Mettez à jour vos existants profils Wi-Fi ou filaires

    • Si vous avez utilisé l’assistant Intune pour la création de vos profils réseau, modifiez tous les profils concernés en ajoutant un second certificat de serveur approuvé. N’oubliez pas d’ajouter un deuxième nom de serveur sous Noms de serveur du certificat au cas où le nouveau certificat aurait un domaine différent.

    • Si vous avez utilisé un profil personnalisé pour la création de vos profils réseau, retéléchargez le XML généré par RADIUSaaS depuis ici, puis remplacez-le dans votre profil existant. Les deux empreintes de certificat de serveur sont automatiquement incluses dans le XML.

  3. Attendez que tous vos clients aient reçu les profils mis à jour.

Exemple : profil Wi-Fi Windows 10 mis à jour avec deux certificats de serveur RADIUS approuvés et des domaines différents.

Infrastructure Wi-Fi et LAN

Si vous utilisez RadSectéléversez le nouveau certificat de serveur vers vos points d’accès ou votre commutateur réseau.

Activation du nouveau certificat de serveur

Enfin, lorsque vous êtes prêt à basculer vers le nouveau certificat, activez-le comme décrit ici.

Mis à jour

Ce contenu vous a-t-il été utile ?