Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configurer Windows Server en tant qu'autorité de certification (CA) avec AWS CloudHSM
<a name="third-ca-toplevel"></a>

AWS CloudHSM permet de configurer Windows Server en tant qu'autorité de certification (CA) via le SDK client 3 et le SDK client 5. Les étapes d'utilisation de ces outils varient en fonction de la version du SDK client dans laquelle vous avez actuellement effectué le téléchargement. Les sections suivantes fournissent des informations sur chaque SDK. 

**Topics**
+ [SDK client 5 avec Windows Server CA](win-ca-overview-sdk5.md)
+ [SDK client 3 avec Windows Server CA](win-ca-overview-sdk3.md)

# Configurer Windows Server en tant qu'autorité de certification (CA) avec le SDK client 5
<a name="win-ca-overview-sdk5"></a>

Dans une infrastructure à clés publiques (PKI), une autorité de certification est une entité de confiance qui émet des certificats numériques. Ces certificats numériques lient une clé publique à une identité (une personne ou une organisation) à l'aide du chiffrement de la clé publique et des signatures numériques. Pour exploiter une autorité de certification, vous devez garantir la confiance en protégeant les clés privées qui signent les certificats délivrés par votre autorité de certification. Vous pouvez stocker ces clés privées dans le HSM de votre cluster AWS CloudHSM , et utiliser celui-ci pour effectuer les opérations de signature par chiffrement.

Dans ce didacticiel, vous allez utiliser Windows Server et AWS CloudHSM configurer une autorité de certification. Vous installez le logiciel client AWS CloudHSM pour Windows sur votre serveur Windows Server, puis vous ajoutez le rôle de services de certificats Active Directory (AD CS) à votre serveur Windows Server. Lorsque vous configurez ce rôle, vous utilisez un fournisseur de stockage de AWS CloudHSM clés (KSP) pour créer et stocker la clé privée de l'autorité de certification sur votre AWS CloudHSM cluster. Le KSP est le pont qui connecte votre serveur Windows à votre AWS CloudHSM cluster. Pour finir, vous signez une demande de signature de certificat (CSR) avec votre CA Windows Server. 

Pour plus d’informations, consultez les rubriques suivantes :

**Topics**
+ [

## Étape 1 : Configurer les prérequis
](#win-ca-prerequisites-sdk5)
+ [

## Étape 2 : créer une autorité de certification Windows Server avec AWS CloudHSM
](#win-ca-setup-sdk5)
+ [

## Étape 3 : signez une demande de signature de certificat (CSR) avec votre autorité de certification Windows Server avec AWS CloudHSM
](#win-ca-sign-csr-sdk5)

## Étape 1 : Configurer les prérequis
<a name="win-ca-prerequisites-sdk5"></a>

Pour configurer Windows Server en tant qu'autorité de certification (CA) auprès de AWS CloudHSM, vous avez besoin des éléments suivants :
+ Un AWS CloudHSM cluster actif avec au moins un HSM.
+ Une instance Amazon EC2 exécutant un système d'exploitation Windows Server avec le logiciel AWS CloudHSM client pour Windows installé. Ce didacticiel utilise Microsoft Windows Server 2016.
+ Un utilisateur de chiffrement (CU) propriétaire et gestionnaire de la clé privée de la CA sur le HSM.

**Pour configurer les conditions requises pour une autorité de certification Windows Server avec AWS CloudHSM**

1. Suivez les étapes de [Prise en main](getting-started.md). Lorsque vous lancez le client Amazon EC2, choisissez une AMI Windows Server. Ce didacticiel utilise Microsoft Windows Server 2016. Une fois que vous avez terminé ces étapes, vous disposez d'un cluster actif avec au moins un HSM. Vous disposez également d'une instance client Amazon EC2 exécutant Windows Server sur laquelle le logiciel AWS CloudHSM client pour Windows est installé.

1. (Facultatif) Ajoutez-en HSMs d'autres à votre cluster. Pour de plus amples informations, veuillez consulter [Ajouter un HSM à un cluster AWS CloudHSM](add-hsm.md).

1. Connectez-vous à votre instance client . Pour plus d'informations, consultez [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) dans le guide de l'*utilisateur Amazon EC2*.

1. Créez un utilisateur cryptographique (CU) à l'aide de la [gestion des utilisateurs HSM avec la CLI CloudHSM ou de la gestion des utilisateurs HSM](manage-hsm-users-chsm-cli.md) [à l'aide de l'utilitaire de gestion CloudHSM (CMU](manage-hsm-users-cmu.md)). Conservez le nom d'utilisateur et le mot de passe du CU. Vous en aurez besoin pour terminer l'étape suivante.

1. [Définissez les informations d'identification de connexion pour le HSM](ksp-library-authentication.md), à l'aide du nom d'utilisateur et du mot de passe CU que vous avez créés à l'étape précédente.

1. À l'étape 5, si vous avez utilisé le Gestionnaire d'informations d'identification Windows pour définir les informations d'identification HSM, téléchargez [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)depuis SysInternals pour exécuter la commande suivante sous le nom *NT Authority \$1 SYSTEM* :

   ```
   psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   Remplacez *<USERNAME>* et par *<PASSWORD>* les informations d'identification HSM.

Pour créer une autorité de certification Windows Server avec AWS CloudHSM, rendez-vous sur[Créer une CA Windows Server](#win-ca-setup-sdk5).

## Étape 2 : créer une autorité de certification Windows Server avec AWS CloudHSM
<a name="win-ca-setup-sdk5"></a>

Pour créer une CA Windows Server, vous ajoutez le rôle de services de certificat Active Directory (AD CS) à votre serveur Windows Server. Lorsque vous ajoutez ce rôle, vous utilisez un fournisseur de stockage de AWS CloudHSM clés (KSP) pour créer et stocker la clé privée de l'autorité de certification sur votre AWS CloudHSM cluster.

**Note**  
Lorsque vous créez votre CA Windows Server, vous pouvez choisir de créer une CA racine ou CA subordonnée. En général, vous prenez cette décision en fonction de la conception de votre infrastructure à clés publiques et des stratégies de sécurité de votre organisation. Ce didacticiel explique comment créer une CA racine pour plus de simplicité.

**Pour ajouter le rôle AD CS à votre serveur Windows Server et créer la clé privée de la CA**

1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) dans le guide de l'*utilisateur Amazon EC2*.

1. Sur votre serveur Windows Server, démarrez le **Server Manager (Gestionnaire de serveurs)**.

1. Dans le tableau de bord du **Server Manager (Gestionnaire de serveurs)**, choisissez **Add roles and features (Ajouter des rôles et des fonctions)**.

1. Prenez connaissances des informations contenues dans le fichier **Before you begin (Avant de commencer)**, puis choisissez **Next (Suivant)**.

1. Pour **Installation Type (Type d'installation)**, choisissez **Role-based or feature-based installation (Installation basée sur un rôle ou une fonction)**. Ensuite, sélectionnez **Suivant**.

1. Pour **Server Selection (Sélection de serveur)**, choisissez **Select a server from the server pool (Sélectionner un serveur du pool de serveurs)**. Ensuite, sélectionnez **Suivant**.

1. Pour **Server Roles (Rôles de serveur)**, procédez comme suit :

   1. Sélectionnez **Active Directory Certificate Services (Services de certificat Active Directory)**.

   1. Pour **Add features that are required for Active Directory Certificate Services (Ajouter des fonctions qui sont requises pour les services de certificats Active Directory)**, choisissez **Add Features (Ajouter des fonctions)**.

   1. Choisissez **Suivant** pour finaliser la sélection de rôles de serveur.

1. Pour **Fonctions**, acceptez les valeurs par défaut, puis choisissez **Next (Suivant)**.

1. Pour **AD CS**, procédez comme suit :

   1. Choisissez **Suivant**.

   1. Sélectionnez **Certification Authority (Autorité de certification)**, puis choisissez **Next (Suivant)**.

1. Pour **Confirmation**, lisez les informations de confirmation, puis choisissez **Installer**. Ne fermez pas la fenêtre.

1. Cliquez sur le lien en surbrillance **Configurer les services de certificats Active Directory sur le serveur de destination**.

1. Pour **Informations d'identification**, vérifiez ou modifiez les informations d'identification affichées. Ensuite, sélectionnez **Suivant**.

1. Pour **Role Services (Services de rôle)**, sélectionnez **Certification Authority (Autorité de certification)**. Ensuite, sélectionnez **Suivant**.

1. Pour **Setup Type (Type de configuration)**, sélectionnez **Standalone CA (CA autonome)**. Ensuite, sélectionnez **Suivant**.

1. Pour **CA Type (Type de CA)**, sélectionnez **Root CA (CA racine)**. Ensuite, sélectionnez **Suivant**.
**Note**  
Vous pouvez choisir de créer une CA racine ou une CA subordonnée en fonction de la conception de votre infrastructure à clés publiques et des stratégies de sécurité de votre organisation. Ce didacticiel explique comment créer une CA racine pour plus de simplicité.

1. Pour **Private Key (Clé privée)**, sélectionnez **Create a new private key (Créer une nouvelle clé privée)**. Ensuite, sélectionnez **Suivant**.

1. Dans **Cryptography (Chiffrement)**, procédez comme suit :

   1. Pour **Sélectionner un fournisseur de chiffrement**, choisissez l'une des options du fournisseur de **stockage de clés CloudHSM** dans le menu. Il s'agit des principaux fournisseurs de stockage de clés AWS CloudHSM . Par exemple, vous pouvez choisir le **fournisseur de stockage de clés RSA \$1CloudHSM**.

   1. Pour **Key length (Longueur de la clé)**, choisissez l'une des options de longueur de clé.

   1. Pour **Select the hash algorithm for signing certificates issued by this CA (Sélectionner l'algorithme de hachage pour signer les certificats émis par cette CA)**, choisissez l'une des options de l'algorithme de hachage.

   Choisissez **Suivant**.

1. Dans **CA Name (Nom de la CA)**, procédez comme suit :

   1. (Facultatif) Modifiez le nom commun.

   1. (Facultatif) Tapez un suffixe de nom unique.

   Choisissez **Suivant**.

1. Pour **Période de validité**, spécifiez une période de plusieurs années, mois, semaines ou jours. Ensuite, sélectionnez **Suivant**.

1. Pour **Certificate Database (Base de données de certificats)**, vous pouvez accepter les valeurs par défaut ou, le cas échéant, modifier l'emplacement pour la base de données et le journal de base de données. Ensuite, sélectionnez **Suivant**.

1. Pour **Confirmation**, vérifiez les informations sur la CA, puis choisissez **Configurer**.

1. Choisissez **Close (Fermer)**, puis à nouveau **Close (Fermer)**.

Vous disposez désormais d'une autorité de certification Windows Server avec AWS CloudHSM. Pour savoir comment signer une demande de signature de certificat (CSR) avec votre CA, consultez [Signer une CSR](#win-ca-sign-csr-sdk5).

## Étape 3 : signez une demande de signature de certificat (CSR) avec votre autorité de certification Windows Server avec AWS CloudHSM
<a name="win-ca-sign-csr-sdk5"></a>

Vous pouvez utiliser votre autorité de certification Windows Server AWS CloudHSM pour signer une demande de signature de certificat (CSR). Pour effectuer ces étapes, vous avez besoin d'une CSR valide. Vous pouvez créer une CSR de différentes manières, notamment :
+ À l'aide d'OpenSSL
+ À l'aide du gestionnaire d'Internet Information Services (IIS) de Windows Server
+ À l'aide du composant logiciel enfichable des certificats dans la console de gestion Microsoft
+ À l'aide de l'utilitaire de ligne de commande **certreq** sous Windows

La procédure à suivre pour créer une CSR ne sont pas pris en compte dans le cadre de ce didacticiel. Une fois que vous disposez d'une CSR, vous pouvez la signer avec votre CA Windows Server.

**Pour signer une CSR avec votre CA Windows Server**

1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) dans le guide de l'*utilisateur Amazon EC2*.

1. Sur votre serveur Windows Server, démarrez le **Server Manager (Gestionnaire de serveurs)**.

1. Dans le tableau de bord **Server Manager (Gestionnaire de serveurs)**, dans le coin supérieur droit, choisissez **Outils**, **Certification Authority (Autorité de certification)**.

1. Dans la fenêtre **Certification Authority (Autorité de certification)**, choisissez le nom de votre ordinateur.

1. Dans le menu **Action**, choisissez **All Tasks (Toutes les tâches)**, **Submit new request (Envoyer une nouvelle demande)**.

1. Sélectionnez votre fichier de CSR, puis choisissez **Ouvrir**.

1. Dans la fenêtre **Certification Authority (Autorité de certification)**, double-cliquez sur **Pending Requests (Demandes en attente)**.

1. Sélectionnez la demande en attente. Puis, dans le menu **Action**, choisissez **All Tasks (Toutes les tâches)**, **Issue (Émettre)**.

1. Dans la fenêtre **Certification Authority (Autorité de certification)**, double-cliquez sur **Issued Requests (Demandes émises)** pour afficher le certificat signé.

1. (Facultatif) Pour exporter le certificat signé vers un fichier, procédez comme suit :

   1. Dans la fenêtre **Certification Authority (Autorité de certification)**, double-cliquez sur le certificat.

   1. Choisissez l'onglet **Détails**, puis **Copy to File (Copier dans un fichier)**.

   1. Suivez les instructions fournies dans **Certificate Export Wizard (Assistant d'exportation de certificat)**.

Vous disposez désormais d'une autorité de certification Windows Server avec AWS CloudHSM et d'un certificat valide signé par l'autorité de certification Windows Server.

# Configurer Windows Server en tant qu'autorité de certification (CA) avec le SDK client 3
<a name="win-ca-overview-sdk3"></a>

Dans une infrastructure à clés publiques (PKI), une autorité de certification est une entité de confiance qui émet des certificats numériques. Ces certificats numériques lient une clé publique à une identité (une personne ou une organisation) à l'aide du chiffrement de la clé publique et des signatures numériques. Pour exploiter une autorité de certification, vous devez garantir la confiance en protégeant les clés privées qui signent les certificats délivrés par votre autorité de certification. Vous pouvez stocker ces clés privées dans le HSM de votre cluster AWS CloudHSM , et utiliser celui-ci pour effectuer les opérations de signature par chiffrement.

Dans ce didacticiel, vous allez utiliser Windows Server et AWS CloudHSM configurer une autorité de certification. Vous installez le logiciel client AWS CloudHSM pour Windows sur votre serveur Windows Server, puis vous ajoutez le rôle de services de certificats Active Directory (AD CS) à votre serveur Windows Server. Lorsque vous configurez ce rôle, vous utilisez un fournisseur de stockage de AWS CloudHSM clés (KSP) pour créer et stocker la clé privée de l'autorité de certification sur votre AWS CloudHSM cluster. Le KSP est le pont qui connecte votre serveur Windows à votre AWS CloudHSM cluster. Pour finir, vous signez une demande de signature de certificat (CSR) avec votre CA Windows Server. 

Pour plus d’informations, consultez les rubriques suivantes :

**Topics**
+ [

## Étape 1 : Configurer les prérequis
](#win-ca-prerequisites-sdk3)
+ [

## Étape 2 : créer une autorité de certification Windows Server avec AWS CloudHSM
](#win-ca-setup-sdk3)
+ [

## Étape 3 : signez une demande de signature de certificat (CSR) avec votre autorité de certification Windows Server avec AWS CloudHSM
](#win-ca-sign-csr-sdk3)

## Étape 1 : Configurer les prérequis
<a name="win-ca-prerequisites-sdk3"></a>

Pour configurer Windows Server en tant qu'autorité de certification (CA) auprès de AWS CloudHSM, vous avez besoin des éléments suivants :
+ Un AWS CloudHSM cluster actif avec au moins un HSM.
+ Une instance Amazon EC2 exécutant un système d'exploitation Windows Server avec le logiciel AWS CloudHSM client pour Windows installé. Ce didacticiel utilise Microsoft Windows Server 2016.
+ Un utilisateur de chiffrement (CU) propriétaire et gestionnaire de la clé privée de la CA sur le HSM.

**Pour configurer les conditions requises pour une autorité de certification Windows Server avec AWS CloudHSM**

1. Suivez les étapes de [Prise en main](getting-started.md). Lorsque vous lancez le client Amazon EC2, choisissez une AMI Windows Server. Ce didacticiel utilise Microsoft Windows Server 2016. Une fois que vous avez terminé ces étapes, vous disposez d'un cluster actif avec au moins un HSM. Vous disposez également d'une instance client Amazon EC2 exécutant Windows Server sur laquelle le logiciel AWS CloudHSM client pour Windows est installé.

1. (Facultatif) Ajoutez-en HSMs d'autres à votre cluster. Pour de plus amples informations, veuillez consulter [Ajouter un HSM à un cluster AWS CloudHSM](add-hsm.md).

1. Connectez-vous à votre instance client . Pour plus d'informations, consultez [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) dans le guide de l'*utilisateur Amazon EC2*.

1. Créez un utilisateur cryptographique (CU) à l'aide de la [gestion des utilisateurs HSM avec la CLI CloudHSM ou de la gestion des utilisateurs HSM](manage-hsm-users-chsm-cli.md) [à l'aide de l'utilitaire de gestion CloudHSM (CMU](manage-hsm-users-cmu.md)). Conservez le nom d'utilisateur et le mot de passe du CU. Vous en aurez besoin pour terminer l'étape suivante.

1. [Définissez les informations d'identification de connexion pour le HSM](ksp-library-prereq.md), à l'aide du nom d'utilisateur et du mot de passe CU que vous avez créés à l'étape précédente.

1. À l'étape 5, si vous avez utilisé le Gestionnaire d'informations d'identification Windows pour définir les informations d'identification HSM, téléchargez [https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)depuis SysInternals pour exécuter la commande suivante sous le nom *NT Authority \$1 SYSTEM* :

   ```
   	  psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username <USERNAME> --password <PASSWORD>
   ```

   Remplacez *<USERNAME>* et par *<PASSWORD>* les informations d'identification HSM.

Pour créer une autorité de certification Windows Server avec AWS CloudHSM, rendez-vous sur[Créer une CA Windows Server](#win-ca-setup-sdk3).

## Étape 2 : créer une autorité de certification Windows Server avec AWS CloudHSM
<a name="win-ca-setup-sdk3"></a>

Pour créer une CA Windows Server, vous ajoutez le rôle de services de certificat Active Directory (AD CS) à votre serveur Windows Server. Lorsque vous ajoutez ce rôle, vous utilisez un fournisseur de stockage de AWS CloudHSM clés (KSP) pour créer et stocker la clé privée de l'autorité de certification sur votre AWS CloudHSM cluster.

**Note**  
Lorsque vous créez votre CA Windows Server, vous pouvez choisir de créer une CA racine ou CA subordonnée. En général, vous prenez cette décision en fonction de la conception de votre infrastructure à clés publiques et des stratégies de sécurité de votre organisation. Ce didacticiel explique comment créer une CA racine pour plus de simplicité.

**Pour ajouter le rôle AD CS à votre serveur Windows Server et créer la clé privée de la CA**

1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) dans le guide de l'*utilisateur Amazon EC2*.

1. Sur votre serveur Windows Server, démarrez le **Server Manager (Gestionnaire de serveurs)**.

1. Dans le tableau de bord du **Server Manager (Gestionnaire de serveurs)**, choisissez **Add roles and features (Ajouter des rôles et des fonctions)**.

1. Prenez connaissances des informations contenues dans le fichier **Before you begin (Avant de commencer)**, puis choisissez **Next (Suivant)**.

1. Pour **Installation Type (Type d'installation)**, choisissez **Role-based or feature-based installation (Installation basée sur un rôle ou une fonction)**. Ensuite, sélectionnez **Suivant**.

1. Pour **Server Selection (Sélection de serveur)**, choisissez **Select a server from the server pool (Sélectionner un serveur du pool de serveurs)**. Ensuite, sélectionnez **Suivant**.

1. Pour **Server Roles (Rôles de serveur)**, procédez comme suit :

   1. Sélectionnez **Active Directory Certificate Services (Services de certificat Active Directory)**.

   1. Pour **Add features that are required for Active Directory Certificate Services (Ajouter des fonctions qui sont requises pour les services de certificats Active Directory)**, choisissez **Add Features (Ajouter des fonctions)**.

   1. Choisissez **Suivant** pour finaliser la sélection de rôles de serveur.

1. Pour **Fonctions**, acceptez les valeurs par défaut, puis choisissez **Next (Suivant)**.

1. Pour **AD CS**, procédez comme suit :

   1. Choisissez **Suivant**.

   1. Sélectionnez **Certification Authority (Autorité de certification)**, puis choisissez **Next (Suivant)**.

1. Pour **Confirmation**, lisez les informations de confirmation, puis choisissez **Installer**. Ne fermez pas la fenêtre.

1. Cliquez sur le lien en surbrillance **Configurer les services de certificats Active Directory sur le serveur de destination**.

1. Pour **Informations d'identification**, vérifiez ou modifiez les informations d'identification affichées. Ensuite, sélectionnez **Suivant**.

1. Pour **Role Services (Services de rôle)**, sélectionnez **Certification Authority (Autorité de certification)**. Ensuite, sélectionnez **Suivant**.

1. Pour **Setup Type (Type de configuration)**, sélectionnez **Standalone CA (CA autonome)**. Ensuite, sélectionnez **Suivant**.

1. Pour **CA Type (Type de CA)**, sélectionnez **Root CA (CA racine)**. Ensuite, sélectionnez **Suivant**.
**Note**  
Vous pouvez choisir de créer une CA racine ou une CA subordonnée en fonction de la conception de votre infrastructure à clés publiques et des stratégies de sécurité de votre organisation. Ce didacticiel explique comment créer une CA racine pour plus de simplicité.

1. Pour **Private Key (Clé privée)**, sélectionnez **Create a new private key (Créer une nouvelle clé privée)**. Ensuite, sélectionnez **Suivant**.

1. Dans **Cryptography (Chiffrement)**, procédez comme suit :

   1. Pour **Select a cryptographic provider (Sélectionner un fournisseur de services de chiffrement)**, choisissez l'une des options **Cavium Key Storage Provider (Fournisseur de stockage de clés Cavium)** du menu. Il s'agit des principaux fournisseurs de stockage de clés AWS CloudHSM . Par exemple, vous pouvez choisir **RSA \$1 Cavium Key Storage Provider (Fournisseur de stockage de clés Cavium RSA \$1)**.

   1. Pour **Key length (Longueur de la clé)**, choisissez l'une des options de longueur de clé.

   1. Pour **Select the hash algorithm for signing certificates issued by this CA (Sélectionner l'algorithme de hachage pour signer les certificats émis par cette CA)**, choisissez l'une des options de l'algorithme de hachage.

   Choisissez **Suivant**.

1. Dans **CA Name (Nom de la CA)**, procédez comme suit :

   1. (Facultatif) Modifiez le nom commun.

   1. (Facultatif) Tapez un suffixe de nom unique.

   Choisissez **Suivant**.

1. Pour **Période de validité**, spécifiez une période de plusieurs années, mois, semaines ou jours. Ensuite, sélectionnez **Suivant**.

1. Pour **Certificate Database (Base de données de certificats)**, vous pouvez accepter les valeurs par défaut ou, le cas échéant, modifier l'emplacement pour la base de données et le journal de base de données. Ensuite, sélectionnez **Suivant**.

1. Pour **Confirmation**, vérifiez les informations sur la CA, puis choisissez **Configurer**.

1. Choisissez **Close (Fermer)**, puis à nouveau **Close (Fermer)**.

Vous disposez désormais d'une autorité de certification Windows Server avec AWS CloudHSM. Pour savoir comment signer une demande de signature de certificat (CSR) avec votre CA, consultez [Signer une CSR](#win-ca-sign-csr-sdk3).

## Étape 3 : signez une demande de signature de certificat (CSR) avec votre autorité de certification Windows Server avec AWS CloudHSM
<a name="win-ca-sign-csr-sdk3"></a>

Vous pouvez utiliser votre autorité de certification Windows Server AWS CloudHSM pour signer une demande de signature de certificat (CSR). Pour effectuer ces étapes, vous avez besoin d'une CSR valide. Vous pouvez créer une CSR de différentes manières, notamment :
+ À l'aide d'OpenSSL
+ À l'aide du gestionnaire d'Internet Information Services (IIS) de Windows Server
+ À l'aide du composant logiciel enfichable des certificats dans la console de gestion Microsoft
+ À l'aide de l'utilitaire de ligne de commande **certreq** sous Windows

La procédure à suivre pour créer une CSR ne sont pas pris en compte dans le cadre de ce didacticiel. Une fois que vous disposez d'une CSR, vous pouvez la signer avec votre CA Windows Server.

**Pour signer une CSR avec votre CA Windows Server**

1. Si ce n'est pas déjà fait, connectez-vous à votre serveur Windows Server. Pour plus d'informations, consultez [Connect to Your Instance](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows) dans le guide de l'*utilisateur Amazon EC2*.

1. Sur votre serveur Windows Server, démarrez le **Server Manager (Gestionnaire de serveurs)**.

1. Dans le tableau de bord **Server Manager (Gestionnaire de serveurs)**, dans le coin supérieur droit, choisissez **Outils**, **Certification Authority (Autorité de certification)**.

1. Dans la fenêtre **Certification Authority (Autorité de certification)**, choisissez le nom de votre ordinateur.

1. Dans le menu **Action**, choisissez **All Tasks (Toutes les tâches)**, **Submit new request (Envoyer une nouvelle demande)**.

1. Sélectionnez votre fichier de CSR, puis choisissez **Ouvrir**.

1. Dans la fenêtre **Certification Authority (Autorité de certification)**, double-cliquez sur **Pending Requests (Demandes en attente)**.

1. Sélectionnez la demande en attente. Puis, dans le menu **Action**, choisissez **All Tasks (Toutes les tâches)**, **Issue (Émettre)**.

1. Dans la fenêtre **Certification Authority (Autorité de certification)**, double-cliquez sur **Issued Requests (Demandes émises)** pour afficher le certificat signé.

1. (Facultatif) Pour exporter le certificat signé vers un fichier, procédez comme suit :

   1. Dans la fenêtre **Certification Authority (Autorité de certification)**, double-cliquez sur le certificat.

   1. Choisissez l'onglet **Détails**, puis **Copy to File (Copier dans un fichier)**.

   1. Suivez les instructions fournies dans **Certificate Export Wizard (Assistant d'exportation de certificat)**.

Vous disposez désormais d'une autorité de certification Windows Server avec AWS CloudHSM et d'un certificat valide signé par l'autorité de certification Windows Server.