PKI Microsoft (Windows Server) - Mise en œuvre et administration

Déployer une PKI AD CS : CA, modèles, auto-enrôlement, publication CRL/OCSP

Formation créée le 19/01/2026.
Version du programme : 1

Type de formation

Présentiel

Durée de formation

28 heures (4 jours)
Cette formation est gratuite.
S'inscrire
Cette formation est gratuite.
S'inscrire
Cette formation est gratuite.
S'inscrire

PKI Microsoft (Windows Server) - Mise en œuvre et administration

Déployer une PKI AD CS : CA, modèles, auto-enrôlement, publication CRL/OCSP


Cette formation permet de déployer et administrer une PKI Microsoft basée sur AD CS. Elle couvre l’installation et la configuration d’une autorité de certification, la publication AIA/CDP, la gestion des CRL et d’OCSP, ainsi que la création et l’exploitation des modèles de certificats. Les participants mettent en œuvre l’enrôlement et l’auto-enrôlement via GPO et valident les usages courants, notamment TLS.

Objectifs de la formation

  • Concevoir et déployer une PKI Microsoft basée sur AD CS, adaptée à un contexte “entreprise”.
  • Configurer la publication CDP/AIA et mettre en œuvre la révocation via CRL et OCSP (niveau socle).
  • Créer et administrer les modèles de certificats (templates) et automatiser l’enrôlement via GPO (auto-enrollment).
  • Exploiter le cycle de vie des certificats (délivrance, renouvellement, révocation) et formaliser les procédures essentielles d’exploitation.

Profil des bénéficiaires

Pour qui
  • Administrateurs systèmes Windows / Windows Server en charge des services d’infrastructure.
  • Administrateurs Active Directory (AD, DNS, GPO) impliqués dans l’enrôlement et la gestion des identités machines/utilisateurs.
  • Ingénieurs infrastructures / exploitation (IT Services) responsables de la mise en production et du maintien en condition opérationnelle.
  • Administrateurs réseaux impliqués dans des usages certificats (TLS, authentification, services internes).
  • Référents sécurité / équipes cyber intervenant sur la PKI (gouvernance, exigences de sécurité, contrôles), sans être nécessairement spécialistes PKI.
Prérequis
  • Administration de base de Windows Server et d’Active Directory (AD, DNS).
  • Pratique des GPO (création, ciblage, vérification de l’application).
  • Notions de certificats et de TLS (usages serveur/client).

Contenu de la formation

Fondations PKI et cadrage d'architecture
  • Chaine de confiance, roles Root/Sub CA, usages (TLS, authentification, signature).
  • CRL vs OCSP, cycle de vie (emission, renouvellement, revocation).
  • Choix d'architecture: Root offline vs Root online, modele 2-tier, separation des roles.
  • Nommage, DNS, pre-requis AD, organisation GPO et OU de base.
  • TP Preparation AD/DNS et prerequis de deploiement.
  • Plan de noms et de publication (CDP/AIA) pour le labo. Livrable Schema cible (1 page) + decisions structurantes (tiers, durees, publication).
Deploiement AD CS (CA) et configuration de base
  • Installation et configuration d'une Enterprise Sub CA.
  • Parametres crypto (provider, taille de cles, hash) et bonnes pratiques.
  • Configuration CDP/AIA, CRL et Delta CRL: planification et accessibilite.
  • Validation cote clients et depannage des erreurs courantes.
  • TP Installation CA + parametres de base.
  • Mise en place CDP/AIA et publication CRL via HTTP.
  • Tests de validation de chaine et de revocation.
Templates, enrollment et cycle de vie
  • Templates: duplication, EKU/key usage, compatibilite, parametres KSP/CSP.
  • Securite des templates: permissions, delegation et gouvernance minimale.
  • Auto-enrollment via GPO: activation, magasins, troubleshooting.
  • Renouvellement, re-emission, remplacement et migration de templates.
  • TP Creation de templates (Machine TLS, User Auth) + securisation basique.
  • GPO auto-enrollment et tests d'emission/renouvellement.
OCSP, usages concrets et exploitation de base
  • OCSP: principes, certificat de signature, configuration et tests.
  • Mise en oeuvre TLS serveur (IIS) et bonnes pratiques.
  • Certificats client (mutual TLS): principes et tests.
  • Sauvegarde/restauration CA (config, base, cles) et checklist d'exploitation niveau 1.
  • TP Deploiement OCSP et validation.
  • Mise en place TLS sur IIS (bindings) et tests.
  • Sauvegarde CA + restauration controlee.

Équipe pédagogique

Professionnel expert technique et pédagogique

Ressources techniques et pédagogiques

  • Espace numérique de travail
  • Documents supports de formation projetés
  • Exposés théoriques
  • Etude de cas concrets
  • Quiz en salle
  • Mise à disposition en ligne de documents supports à la suite de la formation
  • Travaux pratiques (Minimum 60 % du temps de formation)

Qualité et satisfaction

• Taux de satisfaction des apprenants • Nombre d'apprenants • Taux et causes des abandons • Taux de retour des enquêtes • Taux d'interruption en cours de prestation • Taux de réussite à l'évaluation des acquis