Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Windows Device Portal (WDP) permet aux administrateurs d’appareils d’installer un certificat personnalisé à utiliser dans la communication HTTPS.
Bien que vous puissiez le faire sur votre propre PC, cette fonctionnalité est principalement destinée aux entreprises disposant d’une infrastructure de certificat existante en place.
Par exemple, une entreprise peut avoir une autorité de certification qu’elle utilise pour signer des certificats pour les sites web intranet servis via HTTPS. Cette fonctionnalité se trouve au-dessus de cette infrastructure.
Aperçu
Par défaut, WDP génère une autorité de certification racine autogénérée, puis l'utilise pour signer des certificats SSL pour chaque point de terminaison qu’il surveille. Cela inclut localhost, 127.0.0.1et ::1 (IPv6 localhost).
Sont également inclus le nom d’hôte de l’appareil (par exemple, https://LivingRoomPC) et chaque adresse IP locale de lien affectée à l’appareil (jusqu’à deux [IPv4, IPv6] par adaptateur réseau).
Vous pouvez voir les adresses IP locales de lien pour un appareil en examinant l’outil Réseau dans le WDP. Ils commencent par 10. ou 192. pour IPv4, ou fe80: pour IPv6.
Dans la configuration par défaut, un avertissement de certificat peut apparaître dans votre navigateur en raison de l’autorité de certification racine non approuvée. Plus précisément, le certificat SSL fourni par WDP est signé par une autorité de certification racine que le navigateur ou le PC n’approuve pas. Cela peut être résolu en créant une autorité de certification racine approuvée.
Créer une autorité de certification racine
Cela ne doit être effectué que si votre entreprise (ou votre domicile) n’a pas d’infrastructure de certificat configurée et ne doit être effectuée qu’une seule fois. Le script PowerShell suivant crée une autorité de certification racine appelée WdpTestCA.cer. L’installation de ce fichier sur les autorités de certification racines approuvées de l’ordinateur local entraîne l’approbation des certificats SSL signés par cette autorité de certification racine. Vous pouvez (et devez) installer ce fichier .cer sur chaque PC que vous souhaitez connecter à WDP.
$CN = "PickAName"
$OutputPath = "c:\temp\"
# Create root certificate authority
$FilePath = $OutputPath + "WdpTestCA.cer"
$Subject = "CN="+$CN
$rootCA = New-SelfSignedCertificate -certstorelocation cert:\currentuser\my -Subject $Subject -HashAlgorithm "SHA512" -KeyUsage CertSign,CRLSign
$rootCAFile = Export-Certificate -Cert $rootCA -FilePath $FilePath
Une fois cette opération créée, vous pouvez utiliser le fichier WdpTestCA.cer pour signer des certificats SSL.
Créer un certificat SSL avec l’autorité de certification racine
Les certificats SSL ont deux fonctions critiques : sécuriser votre connexion via le chiffrement et vérifier que vous communiquez réellement avec l’adresse affichée dans la barre de navigateur (Bing.com, 192.168.1.37, etc.) et non pas un tiers malveillant.
Le script PowerShell suivant crée un certificat SSL pour le point de terminaison localhost. Chaque point de terminaison qui écoute WDP a besoin de son propre certificat ; vous pouvez remplacer l’argument $IssuedTo dans le script par chacun des points de terminaison différents pour votre appareil : le nom d’hôte, localhost et les adresses IP.
$IssuedTo = "localhost"
$Password = "PickAPassword"
$OutputPath = "c:\temp\"
$rootCA = Import-Certificate -FilePath C:\temp\WdpTestCA.cer -CertStoreLocation Cert:\CurrentUser\My\
# Create SSL cert signed by certificate authority
$IssuedToClean = $IssuedTo.Replace(":", "-").Replace(" ", "_")
$FilePath = $OutputPath + $IssuedToClean + ".pfx"
$Subject = "CN="+$IssuedTo
$cert = New-SelfSignedCertificate -certstorelocation cert:\localmachine\my -Subject $Subject -DnsName $IssuedTo -Signer $rootCA -HashAlgorithm "SHA512"
$certFile = Export-PfxCertificate -cert $cert -FilePath $FilePath -Password (ConvertTo-SecureString -String $Password -Force -AsPlainText)
Si vous avez plusieurs appareils, vous pouvez réutiliser les fichiers .pfx localhost, mais vous devez toujours créer des certificats d’adresse IP et de nom d’hôte pour chaque appareil séparément.
Lorsque l’ensemble de fichiers .pfx est généré, vous devez les charger dans le WDP.
Approvisionner le portail d’appareil Windows avec la ou les certification
Pour chaque fichier .pfx que vous avez créé pour un appareil, vous devez exécuter la commande suivante à partir d’une invite de commandes avec élévation de privilèges.
WebManagement.exe -SetCert <Path to .pfx file> <password for pfx>
Consultez ci-dessous pour obtenir des exemples d’utilisation :
WebManagement.exe -SetCert localhost.pfx PickAPassword
WebManagement.exe -SetCert --1.pfx PickAPassword
WebManagement.exe -SetCert MyLivingRoomPC.pfx PickAPassword
Une fois que vous avez installé les certificats, redémarrez simplement le service afin que les modifications puissent prendre effet :
sc stop webmanagement
sc start webmanagement
Conseil / Astuce
Les adresses IP peuvent changer au fil du temps. De nombreux réseaux utilisent DHCP pour donner des adresses IP, de sorte que les appareils n’obtiennent pas toujours la même adresse IP qu’auparavant. Si vous avez créé un certificat pour une adresse IP sur un appareil et que l’adresse de cet appareil a changé, WDP génère un nouveau certificat à l’aide du certificat auto-signé existant et cesse d’utiliser celui que vous avez créé. Cela entraînera l’affichage de la page d’avertissement de certificat dans votre navigateur. Pour cette raison, nous vous recommandons de nous connecter à vos appareils via leurs noms d’hôte, que vous pouvez définir dans le portail d’appareil Windows. Celles-ci restent les mêmes, quelles que soient les adresses IP.