Comment déployer WPA Enterprise EAP-TLS sur le WiFi UniFi

Mise à jour le 03 mars 2026

J'ai précédemment montré comment configurer une architecture WPA Enterprise avec PEAP-MSCHAPv2. L'article est disponible ici. Cependant, comme mentionné, et bien que cela soit relativement simple à configurer, cela peut ne pas être considéré comme la manière la plus sécurisée de protéger son WiFi. Si la sécurité est une priorité pour vous ou votre entreprise, je vous recommande vivement d'utiliser EAP-TLS à la place. Et bonne nouvelle, c'est précisément de cela dont nous allons discuter ici !

Dans ce guide, nous allons voir comment mettre en œuvre un accès WPA Enterprise en utilisant le protocole le plus sécurisé pour les connexions WiFi : EAP-TLS.

Nous nous concentrerons sur la configuration d'une architecture orientée Microsoft et Ubiquiti. Comme EAP-TLS repose sur une PKI, il nécessite une Autorité de Certification (CA). Par conséquent, nous configurerons également les Services de Certificats Active Directory (AD CS) pour distribuer des certificats à la fois aux Supplicants (stations utilisateurs) et au serveur d'authentification, qui sera un serveur NPS (le serveur RADIUS de Microsoft).

Les améliorations et avantages de WPA Enterprise sont les suivants :
- Authentification utilisateur renforcée par rapport au standard WPA : avec l'utilisation du protocole Extensible Authentication Protocol (EAP).
- Identifiants utilisateur individuels : chaque utilisateur dispose de ses propres identifiants, généralement sous forme de nom d'utilisateur et de mot de passe ou de certificats numériques.
- Authentification et gestion centralisées : par exemple en utilisant le protocole RADIUS.
- Contrôle précis de l'accès des utilisateurs : nous pouvons facilement ajouter ou supprimer l'accès des utilisateurs.

Schéma du flux d’authentification WPA Enterprise EAP-TLS sur WiFi UniFi : échange 802.1X entre le supplicant et le point d’accès, communication RADIUS avec le serveur NPS, validation des certificats via l’autorité de certification ADCS, puis handshake 4-way établissant un canal chiffré sécurisé. — Flux d’authentification WPA Enterprise avec EAP-TLS sur points d’accès UniFi, serveur RADIUS NPS et autorité de certification ADCS pour un WiFi d’entreprise sécurisé.

Services de Certificats Active Directory (AD CS)

Les Services de certificats Active Directory (AD CS) permettent la délivrance et la gestion des certificats d'infrastructure à clé publique (PKI). Dans cette configuration, il facilitera la fourniture de certificats qui permettront à chaque utilisateur dans un Active Directory de s'authentifier de manière sécurisée auprès d'un serveur RADIUS.

Installation du rôle AD CS

Nous avons deux options pour installer le rôle AD CS : en utilisant une console PowerShell ou via l'interface graphique.

PowerShell

Pour une installation rapide en utilisant PowerShell, exécuter la commande suivante :

PS C:\Users\administrator.STD> Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

Interface Utilisateur Graphique (GUI)

Utilisant le tableau de bord du Gestionnaire de serveur, accéder à Ajouter des rôles et des fonctionnalités :

Gestionnaire de serveur Windows Server affichant le menu Gérer avec l’option « Ajouter des rôles et des fonctionnalités » sélectionnée pour lancer l’assistant d’installation. — Windows Server – Ouverture de l’assistant « Ajouter des rôles et des fonctionnalités » depuis le menu Gérer dans le Gestionnaire de serveur.

Cliquer sur Suivant :

Assistant Ajouter des rôles et des fonctionnalités dans Windows Server – page « Avant de commencer » affichant les vérifications des prérequis et le bouton Suivant. — Page « Avant de commencer » de l’Assistant Ajouter des rôles et des fonctionnalités dans Windows Server, présentant la validation des prérequis avant de poursuivre l’installation du rôle.

Sélectionner Installation basée sur un rôle ou basée sur une fonction dans le menu Type d'installation, puis cliquer sur Suivant :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Sélectionner le type d’installation » avec l’option « Installation basée sur un rôle ou une fonctionnalité » sélectionnée. — Étape « Sélectionner le type d’installation » dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, avec le choix « Installation basée sur un rôle ou une fonctionnalité » pour déployer un service comme NPS ou ADCS.

Sélectionner votre serveur AD CS et cliquer sur Suivant :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Sélectionner le serveur de destination » avec ADCS.std.local choisi dans le pool de serveurs. — Étape « Sélectionner le serveur de destination » dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, avec la sélection du serveur ADCS.std.local depuis le pool de serveurs pour l’installation du rôle.

Cocher la case Services de certificats Active Directory et cliquer sur Suivant :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Sélectionner des rôles de serveur » avec Active Directory Certificate Services (AD CS) coché pour configurer une autorité de certification. — Étape « Sélectionner des rôles de serveur » dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, avec la sélection de Active Directory Certificate Services (AD CS) pour déployer une autorité de certification (PKI) utilisée notamment pour l’authentification EAP-TLS.

Cliquer sur Suivant dans le menu Fonctionnalités :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Sélectionner des fonctionnalités » affichant les fonctionnalités disponibles, notamment .NET Framework 3.5. — Étape « Sélectionner des fonctionnalités » dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, présentant les fonctionnalités optionnelles telles que .NET Framework 3.5 nécessaires selon les prérequis d’installation.

Lire la description des Services de certificats Active Directory si on est mautivé, puis cliquer sur Suivant :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – page d’informations « Active Directory Certificate Services » décrivant le rôle AD CS et les considérations d’installation d’une autorité de certification. — Étape « Active Directory Certificate Services » dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, présentant le rôle AD CS, son fonctionnement en tant qu’autorité de certification (PKI Microsoft) et les points clés avant l’installation.

Cocher la case Autorité de certification et cliquer sur Suivant :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Sélectionner les services de rôle » avec Autorité de certification sélectionnée pour Active Directory Certificate Services (AD CS). — Étape « Sélectionner les services de rôle » dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, avec la sélection du service Autorité de certification pour Active Directory Certificate Services (AD CS) afin de déployer une PKI Microsoft.

Cliquer sur Suivant pour continuer :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Confirmer les sélections d’installation » affichant Active Directory Certificate Services (AD CS) et le service Autorité de certification prêts à être installés. — Étape « Confirmer les sélections d’installation » dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, permettant de vérifier la configuration d’Active Directory Certificate Services (AD CS) et du rôle Autorité de certification avant le déploiement de la PKI.

Ouvrir le tableau de bord du Gestionnaire de serveur et accéder à la Configuration après déploiement :

Gestionnaire de serveur Windows Server – notification post-déploiement invitant à configurer Active Directory Certificate Services (AD CS) après l’installation du rôle. — Alerte de configuration post-déploiement dans Windows Server Manager invitant à finaliser la configuration d’Active Directory Certificate Services (AD CS) après l’installation de l’autorité de certification.

Modifier les informations d'identification par défaut si nécessaire, puis cliquer sur Suivant :

Sélectionner le rôle Autorité de certification et cliquer sur Suivant pour continuer :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Services de rôle » avec Autorité de certification sélectionnée pour la configuration. — Étape « Services de rôle » dans l’Assistant de configuration AD CS, avec la sélection du service Autorité de certification afin de configurer Active Directory Certificate Services et finaliser le déploiement de la PKI sous Windows Server.

Choisir Autorité de certification Enterprise et cliquer sur Suivant :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Type d’installation » avec Autorité de certification d’entreprise (Enterprise CA) sélectionnée. — Étape « Type d’installation » dans l’Assistant de configuration AD CS, avec la sélection de l’Autorité de certification d’entreprise (Enterprise CA) pour intégrer la PKI à Active Directory sous Windows Server.

Sélectionner Root CA :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Type d’autorité de certification » avec Autorité de certification racine (Root CA) sélectionnée. — Étape « Type d’autorité de certification » dans l’Assistant de configuration AD CS, avec la sélection de l’Autorité de certification racine (Root CA) pour établir la base de confiance de l’infrastructure PKI sous Windows Server.

Nous créons une toute nouvelle clé privée :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Clé privée » avec l’option « Créer une nouvelle clé privée » sélectionnée pour l’autorité de certification. — Étape « Clé privée » dans l’Assistant de configuration AD CS, avec le choix de créer une nouvelle clé privée pour sécuriser l’Autorité de certification et garantir l’intégrité de l’infrastructure PKI sous Windows Server.

Choisir les options cryptographiques appropriées :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Cryptographie pour l’autorité de certification » avec fournisseur RSA, longueur de clé 4096 bits et algorithme de hachage SHA-512 sélectionnés. — Étape « Cryptographie pour l’autorité de certification » dans l’Assistant de configuration AD CS, configurant le fournisseur RSA, une clé de 4096 bits et l’algorithme de hachage SHA-512 afin de renforcer la sécurité de l’infrastructure PKI sous Windows Server.

Spécifier le nom de l'Autorité de certification :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Nom de l’autorité de certification » définissant le nom commun (CN) de la CA comme std-ADCS-CA. — Étape « Nom de l’autorité de certification » dans l’Assistant de configuration AD CS, permettant de définir le nom commun (Common Name – CN) de l’Autorité de certification, ici std-ADCS-CA, élément clé de l’infrastructure PKI sous Windows Server.

Indiquer la période de validité du certificat, 10 ans semble être une bonne durée, étant donné que nous serons probablement tous morts d'ici là :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Période de validité » configurant une durée de validité de 10 ans pour le certificat de l’autorité de certification. — Étape « Période de validité » dans l’Assistant de configuration AD CS, définissant la durée de validité du certificat de l’Autorité de certification (CA) à 10 ans, paramètre essentiel pour la gestion du cycle de vie de la PKI sous Windows Server.

Spécifier les emplacements de la base de données :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Base de données de l’autorité de certification » affichant les emplacements par défaut de la base de données des certificats et des fichiers journaux. — Étape « Base de données de l’autorité de certification » dans l’Assistant de configuration AD CS, présentant les emplacements par défaut de la base de données des certificats et des fichiers journaux, éléments clés pour la gestion et l’audit de l’infrastructure PKI sous Windows Server.

Vérifier la configuration globale et cliquer sur Configurer pour exécuter la configuration :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Confirmation » récapitulant les paramètres de l’Autorité de certification racine d’entreprise (Enterprise Root CA) avant application. — Étape « Confirmation » dans l’Assistant de configuration AD CS, permettant de vérifier l’ensemble des paramètres de l’Autorité de certification racine d’entreprise (Enterprise Root CA) avant d’appliquer la configuration et finaliser le déploiement de la PKI sous Windows Server.

Une fois la configuration réussie, cliquer sur Fermer :

Assistant de configuration Active Directory Certificate Services (AD CS) – étape « Résultats » confirmant la configuration réussie de l’Autorité de certification. — Étape « Résultats » dans l’Assistant de configuration AD CS, confirmant la réussite de la configuration de l’Autorité de certification et la mise en service de l’infrastructure PKI sous Windows Server.

Configuration du rôle AD CS

À partir du serveur ADCS, nous devons créer deux modèles de certificat : l'un pour le Serveur d'authentification (NPS), qui permettra de générer un certificat Ordinateur, et l'autre pour les Supplicants, qui permettra aux Utilisateurs du domaine de s'authentifier.

Ouvrir la console de gestion de l'Autorité de certification :

Boîte de dialogue Exécuter de Windows avec la commande « certsrv.msc » saisie pour ouvrir la console de gestion de l’Autorité de certification (AD CS). — Ouverture de la console de gestion de l’Autorité de certification via la commande certsrv.msc depuis la boîte de dialogue Exécuter de Windows, afin d’administrer Active Directory Certificate Services (AD CS).

Accéder au menu Modèles de certification et supprimer les modèles dont vous n'avez pas besoin (dans mon cas, j'ai tout supprimé car je n'utiliserai l'ADCS uniquement que dans le cas de l'authentification EAP-TLS) :

Console Autorité de certification dans Active Directory Certificate Services (AD CS) montrant la suppression d’un modèle de certificat dans la section « Modèles de certificats ». — Suppression d’un modèle de certificat depuis la section « Modèles de certificats » dans la console Autorité de certification d’Active Directory Certificate Services (AD CS), étape clé pour la gestion et la sécurisation de la PKI.

Création des modèles de certificat

Ouvrir la Console des modèles de certificat en faisant un clic droit sur le dossier Modèles de certificat et en sélectionnant Gérer :

Console Active Directory Certificate Services (AD CS) – gestion des modèles de certificats dans l’Autorité de certification. — Ouverture de la gestion des **Modèles de certificats** dans la console Autorité de certification d’Active Directory Certificate Services (AD CS), pour administrer et personnaliser les modèles utilisés par la PKI sous Windows Server.

Modèle de certificat pour l'authentification des utilisateurs (Pour les Supplicants)

Remarque : la méthode d'authentification par certificat utilisateur fonctionne bien, mais envisagez d'utiliser l'authentification par certificat d'ordinateur si vous utilisez des scripts GPO ou si vous souhaitez que l'ordinateur puisse se connecter dès l'écran de verrouillage. Voir la procédure détaillée ici : Mise en place de l'authentification par certificat ordinateurs avec AD CS.

Faire un clic droit sur Modèle utilisateur et sélectionner Dupliquer le modèle :

Console Modèles de certificats dans Active Directory Certificate Services (AD CS) montrant la duplication du modèle de certificat « Utilisateur ». — Duplication du modèle de certificat « Utilisateur » dans la console Modèles de certificats d’Active Directory Certificate Services (AD CS), afin de créer un modèle personnalisé adapté aux besoins de la PKI sous Windows Server.

Facultatif, mais si l'on dispose d'une architecture récente, on pourra configurer les systèmes les plus récents dans les Paramètres de compatibilité :

Fenêtre Propriétés du nouveau modèle de certificat dans Active Directory Certificate Services (AD CS) – paramètres de compatibilité configurés pour Windows Server 2016 et Windows 10. — Configuration des paramètres de compatibilité dans la fenêtre Propriétés du nouveau modèle de certificat d’Active Directory Certificate Services (AD CS), avec un niveau défini pour Windows Server 2016 et Windows 10 afin d’assurer la cohérence et la sécurité de la PKI.

Donner un nom au Modèle :

Propriétés du nouveau modèle de certificat dans Active Directory Certificate Services (AD CS) – configuration du nom du modèle EAP-TLS, du nom d’affichage ainsi que des périodes de validité et de renouvellement. — Configuration du modèle de certificat EAP-TLS dans Active Directory Certificate Services (AD CS), incluant le nom du modèle, le nom d’affichage ainsi que les paramètres de validité et de renouvellement pour l’authentification 802.1X en environnement WiFi sécurisé.

Mettre à jour la taille de la clé :

Propriétés du nouveau modèle de certificat dans Active Directory Certificate Services (AD CS) – paramètres de cryptographie configurés avec une taille minimale de clé de 4096 bits. — Configuration des paramètres de cryptographie du modèle de certificat EAP-TLS dans Active Directory Certificate Services (AD CS), avec une taille minimale de clé définie à 4096 bits afin de renforcer la sécurité de l’authentification WiFi 802.1X.

Pour permettre le déploiement automatique des certificats via GPO, cocher la case Autoenroll pour Utilisateurs du Domaine :

Propriétés du nouveau modèle de certificat dans Active Directory Certificate Services (AD CS) – paramètres de sécurité accordant aux utilisateurs du domaine les autorisations Inscription et Inscription automatique. — Configuration des paramètres de sécurité du modèle de certificat EAP-TLS dans Active Directory Certificate Services (AD CS), en accordant aux utilisateurs du domaine les autorisations d’Inscription et d’Inscription automatique (Autoenrollment) pour l’authentification WiFi 802.1X.

Bien noter que l'adresse mail est requise pour les utilisateurs AD qui demanderont des certificats. Cela signifie qu'une adresse e-mail doit être saisie dans le champ utilisateur de l'Active Directory :

Propriétés du nouveau modèle de certificat dans Active Directory Certificate Services (AD CS) – paramètres du nom du sujet configurés pour inclure l’adresse e-mail issue des attributs utilisateur Active Directory. — Configuration des paramètres du nom du sujet du modèle de certificat EAP-TLS dans Active Directory Certificate Services (AD CS), avec l’inclusion de l’attribut e-mail de l’utilisateur provenant d’Active Directory pour l’authentification 802.1X.

Enfin, cliquer sur OK pour créer le modèle.

Depuis la console de gestion de l'Autorité de certification, faire un clic droit sur Modèles de certificat et sélectionner Modèle de certificat à délivrer :

Console Autorité de certification dans Active Directory Certificate Services (AD CS) affichant l’option permettant de publier un nouveau modèle de certificat depuis la section « Modèles de certificats ». — Publication d’un nouveau modèle de certificat depuis la section « Modèles de certificats » dans la console Autorité de certification d’Active Directory Certificate Services (AD CS), afin de rendre le modèle EAP-TLS disponible pour l’inscription des certificats.

Sélectionner le modèle EAP-TLS précédemment créé :

Fenêtre Activer les modèles de certificats dans Active Directory Certificate Services (AD CS) avec le modèle EAP-TLS sélectionné pour activation. — Activation du modèle de certificat EAP-TLS dans la console Autorité de certification d’Active Directory Certificate Services (AD CS), afin de permettre son utilisation pour l’authentification WiFi 802.1X.

Le modèle EAP-TLS devrait apparaître dans le dossier Modèles de certificat :

Console Autorité de certification dans Active Directory Certificate Services (AD CS) affichant le modèle de certificat EAP-TLS activé. — Modèle de certificat EAP-TLS activé avec succès dans la console Autorité de certification d’Active Directory Certificate Services (AD CS), prêt à être utilisé pour l’authentification WiFi sécurisée via 802.1X.

Modèle de certificat pour le serveur d'authentification (serveur NPS)

Ouvrir la Console des modèles de certificat en faisant un clic droit sur le dossier Modèles de certificat et en sélectionnant Gérer :

Console Autorité de certification dans Active Directory Certificate Services (AD CS) affichant l’option « Gérer » pour le modèle de certificat EAP-TLS. — Accès à l’option « Gérer » du modèle de certificat EAP-TLS dans la console Autorité de certification d’Active Directory Certificate Services (AD CS), afin d’administrer et modifier les paramètres du modèle utilisé pour l’authentification 802.1X.

Faire un clic droit sur Modèle d'ordinateur et sélectionner Dupliquer le modèle :

Console Modèles de certificats dans Active Directory Certificate Services (AD CS) montrant la duplication du modèle de certificat « Ordinateur ». — Duplication du modèle de certificat « Ordinateur » dans la console Modèles de certificats d’Active Directory Certificate Services (AD CS), afin de créer un modèle personnalisé pour l’authentification des postes via 802.1X et EAP-TLS.

Facultatif, mais sur une architecture récente, on pourra configurer les systèmes les plus récents dans les Paramètres de compatibilité :

Propriétés du nouveau modèle de certificat dans Active Directory Certificate Services (AD CS) – paramètres de compatibilité configurés pour Windows Server 2016 et Windows 10. — Configuration des paramètres de compatibilité du modèle de certificat ordinateur dans Active Directory Certificate Services (AD CS), avec un niveau défini pour Windows Server 2016 et Windows 10 afin d’assurer la prise en charge de l’authentification EAP-TLS et 802.1X.

Donner un nom au Modèle :

Propriétés du nouveau modèle de certificat dans Active Directory Certificate Services (AD CS) – configuration du nom du modèle de certificat NPS et des paramètres de validité. — Configuration du modèle de certificat NPS dans Active Directory Certificate Services (AD CS), incluant le nom du modèle et les paramètres de validité afin de sécuriser l’authentification RADIUS via Network Policy Server (NPS) avec EAP-TLS.

Facultatif, on peut encore améliorer la sécurité en mettant à jour la taille de la clé :

Propriétés du nouveau modèle de certificat dans Active Directory Certificate Services (AD CS) – paramètres de cryptographie du modèle NPS configurés avec une taille minimale de clé de 4096 bits. — Configuration des paramètres de cryptographie du modèle de certificat NPS dans Active Directory Certificate Services (AD CS), avec une taille minimale de clé définie à 4096 bits afin de renforcer la sécurité des échanges RADIUS via Network Policy Server.

Pour permettre le déploiement automatique des certificats via GPO, cocher la case Autoenroll pour Ordinateurs du Domaine (Optionnel: on pourra limiter l'enrôlement au seul serveur NPS en remplaçant ici le groupe Domain Computers par notre serveur NPS) :

Propriétés du nouveau modèle de certificat dans Active Directory Certificate Services (AD CS) – paramètres de sécurité accordant aux ordinateurs du domaine les autorisations Inscription et Inscription automatique pour le certificat NPS. — Configuration des paramètres de sécurité du modèle de certificat NPS dans Active Directory Certificate Services (AD CS), en accordant aux ordinateurs du domaine les autorisations d’Inscription et d’Inscription automatique (Autoenrollment) afin d’automatiser le déploiement des certificats pour Network Policy Server (NPS).

Enfin, cliquer sur OK pour créer le modèle.

Depuis la console de gestion de l'Autorité de certification, faire un clic droit sur Modèles de certificat et sélectionner Modèle de certificat à délivrer :

Sélectionner le modèle NPS précédemment créé :

Fenêtre Activer les modèles de certificats dans Active Directory Certificate Services (AD CS) avec le modèle de certificat NPS sélectionné pour activation. — Activation du modèle de certificat NPS dans la console Autorité de certification d’Active Directory Certificate Services (AD CS), afin de permettre son utilisation pour l’authentification RADIUS via Network Policy Server.

Le modèle NPS devrait apparaître dans le dossier Modèles de certificat :

Console Autorité de certification dans Active Directory Certificate Services (AD CS) affichant les modèles de certificat NPS et EAP-TLS activés. — Modèles de certificat NPS et EAP-TLS activés avec succès dans la console Autorité de certification d’Active Directory Certificate Services (AD CS), prêts à être utilisés pour l’authentification WiFi 802.1X et les échanges RADIUS sécurisés.

Serveur d'authentification (NPS)

Installation du rôle NPS

Nous avons deux options pour installer le rôle NPS : depuis une console PowerShell ou via l'interface graphique.

PowerShell

Pour une installation rapide en utilisant PowerShell, exécuter la commande suivante :

PS C:\Users\administrator.STD> Install-WindowsFeature NPAS -Restart -IncludeManagementTools

Interface Graphique

Utiliser le tableau de bord Server Manager et naviguer jusqu'à Add Roles and Features :

Gestionnaire de serveur Windows Server affichant l’option « Ajouter des rôles et des fonctionnalités » dans le menu Gérer. — Ouverture de l’assistant « Ajouter des rôles et des fonctionnalités » depuis le menu Gérer dans Windows Server Manager, étape préalable à l’installation de rôles tels que NPS ou AD CS.

Sélectionner Installation basée sur un rôle ou sur une fonctionnalité :

Sélectionner le serveur :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Sélectionner le serveur de destination » avec NPS.std.local choisi dans le pool de serveurs. — Sélection du serveur de destination (NPS.std.local) dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, afin d’installer le rôle Network Policy Server (NPS) pour l’authentification RADIUS.

Sélectionner le rôle Services de stratégie et d'accès réseau :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Sélectionner des rôles de serveur » avec « Services de stratégie et d’accès réseau » sélectionné. — Sélection du rôle « Services de stratégie et d’accès réseau » dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, afin d’installer Network Policy Server (NPS) pour l’authentification RADIUS et 802.1X.

Cliquer sur Suivant :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Sélectionner des fonctionnalités » lors de l’installation de Network Policy Server (NPS). — Vérification des fonctionnalités optionnelles dans l’Assistant Ajouter des rôles et des fonctionnalités lors de l’installation de Network Policy Server (NPS) sous Windows Server pour l’authentification RADIUS et 802.1X.

Cocher Redémarrer le serveur de destination et cliquer sur Installer :

Assistant Ajouter des rôles et des fonctionnalités de Windows Server – étape « Confirmation » pour l’installation des Services de stratégie et d’accès réseau (NPS). — Confirmation de l’installation des Services de stratégie et d’accès réseau (Network Policy Server – NPS) dans l’Assistant Ajouter des rôles et des fonctionnalités de Windows Server, préalable à la mise en place de l’authentification RADIUS et 802.1X.

Distribution de certificats pour le serveur NPS

Avec l'AD CS maintenant correctement configuré, nous pouvons demander un certificat d'ordinateur depuis le serveur NPS.

Manuellement via la console de gestion des certificats

Depuis le serveur NPS, ouvrir la Console de gestion des certificats de l'ordinateur :

Boîte de dialogue Exécuter de Windows avec la commande « certlm.msc » saisie pour ouvrir le Gestionnaire de certificats de l’ordinateur local. — Ouverture du Gestionnaire de certificats de l’ordinateur local via la commande certlm.msc depuis la boîte de dialogue Exécuter de Windows, afin d’administrer les certificats utilisés par NPS et l’authentification EAP-TLS.

Faire un clic droit sur le dossier Personnel et sélectionner Demande de nouveau certificat… :

Console Certificats de l’ordinateur local (certlm.msc) – demande d’un nouveau certificat dans le magasin Personnel. — Demande d’un nouveau certificat depuis le magasin Personnel de l’ordinateur local via certlm.msc, afin d’obtenir un certificat délivré par Active Directory Certificate Services (AD CS) pour Network Policy Server (NPS) et l’authentification EAP-TLS.

Cliquer sur Next pour démarrer le processus d'enrôlement du certificat :

Assistant d’inscription de certificats – écran « Avant de commencer » avant la demande d’un nouveau certificat. — Écran « Avant de commencer » de l’Assistant d’inscription de certificats, affiché avant d’initier une demande de certificat auprès d’Active Directory Certificate Services (AD CS).

Sélectionner la Stratégie d'enrôlement Active Directory et cliquer sur Next pour continuer :

Assistant d’inscription de certificats – étape « Sélectionner une stratégie d’inscription de certificats » avec « Stratégie d’inscription Active Directory » sélectionnée. — Sélection de la « Stratégie d’inscription Active Directory » dans l’Assistant d’inscription de certificats afin d’obtenir un certificat via Active Directory Certificate Services (AD CS).

Sélectionner la Stratégie NPS définie précédemment et cliquer sur Enroll :

Assistant d’inscription de certificats – étape « Demander des certificats » avec le modèle de certificat NPS sélectionné pour l’inscription. — Sélection du modèle de certificat NPS et lancement de la demande dans l’Assistant d’inscription de certificats, afin d’obtenir un certificat délivré par Active Directory Certificate Services (AD CS) pour Network Policy Server.

Cliquer simplement sur Terminer une fois le processus d'enrôlement terminé :

Assistant d’inscription de certificats – étape « Résultats de l’installation du certificat » indiquant l’inscription réussie du certificat NPS. — Installation réussie du certificat NPS dans l’Assistant d’inscription de certificats, confirmant la délivrance du certificat par Active Directory Certificate Services (AD CS) pour l’authentification RADIUS via Network Policy Server.

Après avoir cliqué sur Rafraichir, devrait apparaître le certificat d'ordinateur :

Console Certificats de l’ordinateur local (certlm.msc) affichant le certificat serveur NPS installé (Délivré à : NPS.std.local) dans Personnel > Certificats. — Vérification du certificat serveur NPS installé dans le magasin Personnel de l’ordinateur local via certlm.msc, confirmant la présence du certificat délivré par Active Directory Certificate Services (AD CS) pour l’authentification RADIUS.

Automatiquement via la stratégie de groupe (GPO)

Pour automatiser le processus de renouvellement du certificat, nous pouvons créer une GPO.

Aller dans Configuration de l'ordinateur > Stratégies > Paramètres Windows > Stratégies de sécurité > Stratégies de clé publique et éditer la stratégie Client de services de certificats - Inscription automatique :

Éditeur de gestion des stratégies de groupe – configuration de « Client des services de certificats - Inscription automatique » sous Stratégies de clé publique. — Ouverture des propriétés de « Client des services de certificats - Inscription automatique » dans l’Éditeur de gestion des stratégies de groupe afin de configurer l’auto-enrollment des certificats via Active Directory Certificate Services (AD CS).

Activer le Modèle de configuration et cocher les cases pour activer l'automatisation du renouvellement du certificat :

Client des services de certificats – Propriétés d’inscription automatique avec le modèle de configuration activé et les options de renouvellement et de mise à jour des certificats sélectionnées. — Activation de l’inscription automatique des certificats dans la stratégie de groupe, avec sélection des options de renouvellement et de mise à jour afin d’automatiser la gestion des certificats via Active Directory Certificate Services (AD CS).

Effectuer une commande gpupdate pour obtenir un certificat :

C:\> gpupdate

Configurer le rôle NPS

Ouvrir la console NPS :

Boîte de dialogue Exécuter de Windows avec la commande « nps.msc » saisie pour ouvrir la console Network Policy Server (NPS). — Ouverture de la console Network Policy Server (NPS) via la commande nps.msc depuis la boîte de dialogue Exécuter de Windows, afin de configurer l’authentification RADIUS et 802.1X.

Déclarer les points d'accès en tant que clients RADIUS

Se déplacer dans NPS > Clients et serveurs RADIUS > Client RADIUS et cliquer sur Nouveau :

Console Network Policy Server (NPS) – création d’un nouveau client RADIUS dans la section « Clients RADIUS ». — Création d’un nouveau client RADIUS dans la console Network Policy Server (NPS), étape essentielle pour autoriser un point d’accès ou un contrôleur WiFi à envoyer des requêtes d’authentification 802.1X.

Pour chaque point d'accès, donner un Nom, définir l'adresse IP et créer un mot de passe fort (utiliser le même pour chaque point d'accès) :

Paramètres du nouveau client RADIUS dans Network Policy Server (NPS) configurant un point d’accès UniFi avec son adresse IP et une clé secrète partagée. — Configuration d’un nouveau client RADIUS dans Network Policy Server (NPS), en renseignant l’adresse IP du point d’accès UniFi ainsi que la clé secrète partagée pour sécuriser l’authentification 802.1X.

Devraient être présents tous les points d'accès précédemment ajoutés dans le dossier Clients RADIUS :

Console Network Policy Server (NPS) affichant la liste des clients RADIUS configurés pour les points d’accès UniFi avec statut activé. — Vérification des points d’accès UniFi configurés et listés en tant que clients RADIUS dans la console Network Policy Server (NPS), avec confirmation de leur statut activé pour l’authentification 802.1X.

Créer une politique réseau

Nous devons maintenant créer une politique réseau où nous définirons quel groupe d'utilisateurs pourra se connecter et les protocoles utilisés.

Cliquer sur Nouveau dans le dossier Politiques réseau :

Console Network Policy Server (NPS) – création d’une nouvelle stratégie réseau pour l’authentification WPA2/WPA3 Enterprise avec EAP-TLS. — Création d’une nouvelle stratégie réseau dans Network Policy Server (NPS) pour l’authentification WPA2/WPA3 Enterprise via EAP-TLS, permettant de sécuriser l’accès WiFi en 802.1X.

Donner un nom à la politique :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – définition du nom de la stratégie « UniFi » pour l’authentification 802.1X. — Définition du nom de la stratégie réseau (« UniFi ») dans l’assistant de Network Policy Server (NPS), étape préalable à la configuration de l’authentification WiFi 802.1X avec EAP-TLS.

Cliquer sur Ajouter pour spécifier la condition :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – ajout de conditions pour définir quand la stratégie s’applique. — Ajout de conditions dans l’assistant de Network Policy Server (NPS) afin de définir quand la stratégie d’authentification EAP-TLS doit s’appliquer pour l’accès WiFi en 802.1X.

Sélectionner Groupes d'utilisateurs et cliquer sur Ajouter des groupes… :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – ajout de groupes d’utilisateurs Active Directory comme condition pour l’authentification EAP-TLS. — Ajout de groupes d’utilisateurs Active Directory comme condition dans la stratégie réseau EAP-TLS de Network Policy Server (NPS), afin de contrôler l’accès WiFi 802.1X selon l’appartenance aux groupes du domaine.

Ajouter un groupe d'utilisateurs Active Directory, tel que Domain Users :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – sélection du groupe Active Directory « Utilisateurs du domaine » comme condition pour l’authentification EAP-TLS. — Sélection du groupe Active Directory « Utilisateurs du domaine » comme condition dans la stratégie réseau EAP-TLS de Network Policy Server (NPS), afin d’autoriser l’accès WiFi 802.1X aux membres du domaine.

Cliquer sur Suivant :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – condition Groupe d’utilisateurs définie sur « Utilisateurs du domaine » pour l’authentification EAP-TLS. — Vérification de la condition « Groupe d’utilisateurs » configurée sur « Utilisateurs du domaine » dans la stratégie réseau EAP-TLS de Network Policy Server (NPS), afin de contrôler l’accès WiFi 802.1X selon l’appartenance au domaine Active Directory.

Sélectionner Accès autorisé :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – option « Accès accordé » sélectionnée pour autoriser les connexions 802.1X avec EAP-TLS. — Configuration de l’option « Accès accordé » dans l’assistant de Network Policy Server (NPS) pour la stratégie WiFi 802.1X utilisant EAP-TLS, afin d’autoriser les connexions authentifiées via RADIUS.

Choisir Microsoft : Carte à puce ou autre certificat comme type EAP et modifier la configuration :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – configuration de l’authentification EAP-TLS avec « Carte à puce ou autre certificat ». — Configuration de l’authentification EAP-TLS (« Carte à puce ou autre certificat ») dans la stratégie Network Policy Server (NPS), afin de sécuriser l’accès WiFi 802.1X via des certificats numériques et le protocole RADIUS.

Sélectionner le certificat nouvellement déployé :

Paramètres EAP-TLS dans Network Policy Server (NPS) affichant le certificat serveur sélectionné, délivré à NPS.std.local. — Sélection du certificat serveur NPS pour l’authentification EAP-TLS (« Carte à puce ou autre certificat »), étape essentielle pour sécuriser les connexions WiFi 802.1X via RADIUS.

Cliquer sur Suivant :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – configuration des contraintes de stratégie pour l’authentification 802.1X avec EAP-TLS. — Configuration des contraintes de la stratégie dans Network Policy Server (NPS) pour l’authentification WiFi 802.1X via EAP-TLS, afin de définir les paramètres de sécurité appliqués aux connexions RADIUS.

Cliquer sur Suivant :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – configuration des paramètres de stratégie et des attributs RADIUS pour l’authentification 802.1X avec EAP-TLS. — Configuration des paramètres de la stratégie réseau et des attributs RADIUS dans Network Policy Server (NPS) pour l’authentification WiFi 802.1X via EAP-TLS, afin d’appliquer les règles de sécurité adaptées à l’environnement d’entreprise.

Enfin, cliquer sur Terminer pour créer la politique :

Assistant Nouvelle stratégie réseau dans Network Policy Server (NPS) – finalisation de la configuration de la stratégie 802.1X avec EAP-TLS. — Finalisation de la configuration de la stratégie réseau dans Network Policy Server (NPS) pour l’authentification WiFi 802.1X via EAP-TLS, validant l’ensemble des paramètres RADIUS et des règles d’accès.

Serveur UniFi Network

Nous devons maintenant configurer notre Serveur UniFi Network afin d'y intégrer le serveur RADIUS (NPS).

Accéder au menu Profils et créer un nouveau profil RADIUS :

Création d’un nouveau profil RADIUS dans l’application UniFi Network pour configurer l’authentification WiFi WPA2/WPA3 Enterprise via EAP-TLS et 802.1X.

Cliquer sur Créer Nouveau :

Création d’un nouveau profil RADIUS dans UniFi Network afin de configurer l’authentification WiFi WPA2/WPA3 Enterprise via EAP-TLS et le protocole 802.1X avec un serveur RADIUS.

Attribuer un Nom au profil RADIUS et ajouter l'adresse IP du serveur NPS au niveau de Authentication Servers et du RADIUS Accounting Servers. Ajouter le mot de passe précédemment configuré sur le serveur NPS, préciser les ports réseau, puis cliquer sur les boutons Ajouter pour valider la configuration :

Configuration d’un profil RADIUS UniFi avec le serveur NPS pour l’authentification (UDP 1812) et la comptabilité (UDP 1813) dans un environnement WiFi WPA2/WPA3 Enterprise utilisant EAP-TLS et 802.1X.

Maintenant, aller dans le menu WiFi et ajouter un nouveau profil WiFi ou modifier un profil existant :

Application UniFi Network – gestion des paramètres du réseau WiFi avant l’activation de la sécurité WPA2/WPA3 Enterprise avec EAP-TLS. — Gestion des paramètres du réseau WiFi dans UniFi Network avant l’activation de l’authentification WPA2/WPA3 Enterprise via EAP-TLS et 802.1X.

Configurez le Protocole de sécurité et le Profil RADIUS :

Application UniFi Network – configuration WiFi avancée avec activation du WPA3 Enterprise et sélection d’un profil RADIUS pour l’authentification EAP-TLS. — Activation du WPA3 Enterprise et sélection du profil RADIUS configuré dans UniFi afin de sécuriser l’accès WiFi via l’authentification 802.1X avec EAP-TLS.

Supplicant (Stations Windows)

Nous allons maintenant voir comment, depuis un supplicant, obtenir le certificat qui sera utilisé pour l'authentification.

Distribution du certificat du supplicant

Manuellement via la Console de gestion des certificats

Ouvrir la Console de gestion des certificats pour l'utilisateur actuel sur la machine du supplicant :

Ouverture du Gestionnaire de certificats Windows en exécutant certmgr.msc depuis la boîte de dialogue Exécuter. — Ouverture du Gestionnaire de certificats Windows (Utilisateur actuel) à l’aide de la commande `certmgr.msc` depuis la boîte de dialogue Exécuter, afin de gérer les certificats utilisateur utilisés notamment pour l’authentification EAP-TLS.

Faire un clic droit sur Personnel et sélectionner Demander un nouveau certificat… :

Demande d’un nouveau certificat depuis le magasin Personnel dans le Gestionnaire de certificats Windows (contexte Utilisateur actuel). — Demande d’un nouveau certificat depuis le magasin **Personnel** dans le Gestionnaire de certificats Windows (contexte Utilisateur actuel), afin d’obtenir un certificat utilisateur délivré par Active Directory Certificate Services pour l’authentification EAP-TLS.

Cliquer sur Suivant pour démarrer le processus d'enrôlement du certificat :

Assistant d’inscription de certificats Windows – écran « Avant de commencer » avant la demande d’un certificat utilisateur. — Assistant d’inscription de certificats Windows – écran d’introduction « Avant de commencer » affiché avant la demande d’un nouveau certificat utilisateur via Active Directory Certificate Services.

Sélectionner la stratégie d'enrôlement Active Directory et cliquer sur Suivant pour continuer :

Assistant d’inscription de certificats Windows – sélection de la « Stratégie d’inscription Active Directory ». — Sélection de la **Stratégie d’inscription Active Directory** dans l’Assistant d’inscription de certificats Windows avant la demande d’un certificat utilisateur délivré par Active Directory Certificate Services.

Sélectionner la stratégie EAP-TLS que nous avons configurée précédemment et cliquer sur Enrôler :

Assistant d’inscription de certificats Windows – demande d’un certificat EAP-TLS depuis Active Directory. — Sélection et inscription du modèle de certificat **EAP-TLS** dans l’Assistant d’inscription de certificats Windows afin d’obtenir un certificat utilisateur pour l’authentification WiFi 802.1X via Active Directory Certificate Services.

Cliquer simplement sur Terminer une fois le processus d'enrôlement terminé :

Assistant d’inscription de certificats Windows – installation réussie du certificat EAP-TLS. — Inscription réussie du certificat **EAP-TLS** dans l’Assistant d’inscription de certificats Windows, confirmant la délivrance du certificat utilisateur par Active Directory Certificate Services pour l’authentification WiFi 802.1X.

Après actualisation, le certificat d'authentification du client devrait apparaitre :

Gestionnaire de certificats Windows – certificat client EAP-TLS installé dans le magasin Personnel (Utilisateur actuel). — Vérification que le **certificat client EAP-TLS** est correctement installé dans le magasin *Personnel > Certificats* (Utilisateur actuel), confirmant la préparation du poste pour l’authentification WiFi 802.1X via certificat.

Automatiquement via la stratégie de groupe (GPO)

Accéder à Configuration utilisateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de clés publiques et modifiez la stratégie Client des services de certificats - Inscription automatique :

Éditeur de gestion des stratégies de groupe – accès aux propriétés « Client des services de certificats - Inscription automatique ». — Ouverture des propriétés **Client des services de certificats – Inscription automatique** dans l’Éditeur de gestion des stratégies de groupe (GPO) afin de configurer l’inscription automatique des certificats via Active Directory Certificate Services.

Activer le Modèle de configuration et cocher les cases pour activer l'automatisation du renouvellement des certificats :

Stratégie de groupe – configuration des paramètres d’inscription automatique du Client des services de certificats. — Activation de l’inscription automatique des certificats dans la stratégie de groupe (GPO) et configuration des options de renouvellement et de mise à jour des modèles pour les certificats utilisateur et ordinateur via Active Directory Certificate Services.

Effectuer une mise à jour des stratégies avec gpupdate pour obtenir un certificat :

C:\> gpupdate

Les supplicants peuvent maintenant se connecter au réseau WiFi WPA Enterprise en utilisant EAP-TLS.

Comment déployer WPA Enterprise EAP-TLS sur le WiFi UniFi

Services de Certificats Active Directory (AD CS)

Installation du rôle AD CS

PowerShell

Interface Utilisateur Graphique (GUI)

Configuration du rôle AD CS

Création des modèles de certificat

Modèle de certificat pour l'authentification des utilisateurs (Pour les Supplicants)

Modèle de certificat pour le serveur d'authentification (serveur NPS)

Serveur d'authentification (NPS)

Installation du rôle NPS

PowerShell

Interface Graphique

Distribution de certificats pour le serveur NPS

Manuellement via la console de gestion des certificats

Automatiquement via la stratégie de groupe (GPO)

Configurer le rôle NPS

Déclarer les points d'accès en tant que clients RADIUS

Créer une politique réseau

Serveur UniFi Network

Supplicant (Stations Windows)

Distribution du certificat du supplicant

Manuellement via la Console de gestion des certificats

Automatiquement via la stratégie de groupe (GPO)

References