L'objectif de cette procédure est de sécuriser l'impression depuis les postes utilisateurs vers les serveurs d'impression Microsoft via l'utilisation du protocole IPP over TLS.
Prérequis:
- Une imprimante physique ou virtuelle doit être installée et partagée sur le serveur d'imprimante.
- Un nom DNS doit être attribué au serveur d'impression (dans l'exemple ci-dessous le nom sera GESP-2022.cartadis.local)
- Un certificat valide émis par une autorité de certification, correspondant au nom DNS du serveur (à défaut nous pouvons créer et utiliser un certificat autosigné, c'est ce que nous ferons dans l'exemple ci-dessous).
Les étapes à suivre seront les suivantes:
Serveur:
- Ajout de la fonctionnalité d'impression internet
- Création d'un certificat autosigné: optionnel si le certificat est émis par une autorité de certification (interne ou externe)
- Configuration du serveur IIS
Client:
- Importation du certificat serveur : optionnel si le certificat est émis par une autorité de certification (interne ou externe)
- Ajout de l'imprimante
Serveur:
- Ajout de la fonctionnalité d'impression internet
Pour ajouter la fonctionnalité, rendez-vous dans le menu d'ajout des rôles et fonctionnalités:
Puis ajouter les rôles suivants:
- Serveur d'impression
- Impression Internet
A l'issue de l'installation, un serveur IIS est installé.
Vous devez vous y connecter pour la suite de la procédure.
Pour se faire, il faut lancer le Gestionnaire des services internet (IIS).
- Création un certificat autosigné (optionnel)
Cette étape est optionnelle si le certificat est émis par une autorité de certification (interne ou externe).
Cliquer sur le nom du serveur, puis sur le menu Certificats de serveur :
Dans la colonne de droite, cliquer sur Créer un certificat auto-signé :
On vous demande la création d'un nom convivial pour le certificat, le magasin de certificats doit rester sur Personnel :
Cliquer sur OK, et le certificat est alors créé :
Il faut désormais le lier à notre site.
- Configuration du serveur IIS
Cliquer sur le menu Sites :
Puis dans le menu de droite sur Liaisons :
Cliquer ensuite sur Ajouter :
Dans notre exemple nous utilisons le port HTTPS par défaut, mais nous aurions pu le personnaliser.
Nous indiquons le nom d'hôte de notre serveur, et n'oublions pas de sélectionner notre certificat:
Une fois la liaison effectuée, le serveur est désormais configuré.
Vous pouvez tester la connexion depuis un poste client via l'URL https://<nomDeDomain>/Printers.
Client:
- Importation du certificat serveur (optionnel)
Cette étape est optionnelle si le certificat est émis par une autorité de certification (interne ou externe).
Dans le cas de l'utilisation d'un certificat auto-signé, il faut dans un premier temps récupérer le certificat du serveur IIS.
Pour se faire, veuillez retourner dans le menu de gestion IIS, et cliquer sur le serveur dans la colonne de droite, puis sur Certificats de serveur:
Cliquer sur le nom du certificat, puis sur le bouton Exporter de la colonne de droite :
Sélectionner l'emplacement d'export, un nom pour le fichier ainsi qu'un mot de passe.
L'export du certificat est au format .pfx.
Copier ensuite ce certificat sur le poste client, et double-cliquer dessus pour l'installer.
Il faut choisir de l'ouvrir avec l'extension du noyau de chiffrement :
Choisir de l'installer sur l'ordinateur local :
pour l'importer on vous demande alors le mot de passe du fichier .pfx crée précédemment :
Enfin, placer le certificat dans le magasin d'autorité de certification racines de confiance :
⚠️ Il faut redémarrer le poste utilisateur pour la prise en compte du certificat.
- Ajout de l'imprimante
Pour ajouter l'imprimante sur le poste utilisateur, il faut au préalable récupérer l'URL de l'imprimante.
Pour cela connecter vous depuis le poste client sur le lien suivant : https://<nomDuDomaine>/Printers
Cliquer ensuite sur le nom de votre imprimante, puis sur les propriétés pour récupérer l'URL:
Ensuite, ouvrez le menu Imprimantes et Scanners du poste, sélectionner 'ajouter' puis attendre que le menu d'ajout manuel apparaisse :
Choisir 'Sélectionner une imprimante partagée par un nom' puis ajouter l'URL de l'imprimante:
Cliquer sur suivant, votre imprimante est désormais installé pour faire de l'impression IPP over TLS vers le serveur d'imprimante.