> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/gateway/fr/knowledge-base/how-to-articles/use-windows-certificate-store-for-devolutions-gateway.md). # Utiliser le magasin de certificats Windows pour Devolutions Gateway {% hint style="warning" %} Si vos clients ne parviennent pas à se connecter via Devolutions Gateway, assurez-vous que le certificat contient la chaîne complète. Cette chaîne de certificats inclut tous les certificats intermédiaires. Par exemple : Autorité de certification racine – Autorité de certification sécurisée – Certificat XYZ acheté. {% endhint %} Il est possible d'utiliser le magasin de certificats Windows comme source de certificat TLS. Plutôt que d'utiliser un fichier, stockez et gérez vos certificats avec Windows. À l'heure actuelle, cette fonctionnalité n'est pas exposée dans l'interface graphique de la console de configuration de Devolutions Gateway. Pour la configurer, vous devez soit modifier directement le fichier gateway.json, soit utiliser le module Devolutions.PowerShell. Avec cette nouvelle fonctionnalité, [quelques paramètres supplémentaires](https://github.com/Devolutions/devolutions-gateway#configuration) sont disponibles pour configurer la source du certificat. {% hint style="info" %} Si vous avez une configuration `TlsCertificateFile` et/ou `TlsPrivateKeyFile` déjà définie, sa suppression n'est pas nécessaire, car `TlsCertificateSource` indique à Devolutions Gateway où chercher le certificat. {% endhint %} * **TlsCertificateSource** (chaîne) : source du certificat TLS ; les valeurs possibles sont indiquées ci-dessous. * **External** (par défaut) : récupère un certificat stocké sur le système de fichiers. Voir les options `TlsCertificateFile`, `TlsPrivateKeyFile` et `TlsPrivateKeyPassword`. * **System** : récupère le certificat géré par le magasin de certificats système. Voir les options `TlsCertificateSubjectName`, `TlsCertificateStoreName` et `TlsCertificateStoreLocation`. * **TlsCertificateSubjectName** (chaîne) : nom du sujet du certificat TLS lors de l'utilisation de la source System. * **TlsCertificateStoreName** (chaîne) : nom du magasin de certificats système à utiliser pour TLS (la valeur par défaut est My). * **TlsCertificateStoreLocation** (chaîne) : emplacement du magasin de certificats système à utiliser pour TLS ; les valeurs possibles sont indiquées ci-dessous. * **CurrentUser** (par défaut) * **CurrentService** * **LocalMachine** ## Importer le certificat dans le magasin de certificats Windows Commencez par importer votre certificat dans le magasin de certificats Windows. Windows prend en charge les formats de certificat suivants : * Certificat X.509 - \*.cer, \*.crt * Échange d'informations personnelles - \*.pfx, \*.p12 * Magasin de certificats sérialisé Microsoft - \*.sst * Certificats PKCS #7 - \*.spc, \*.p7b {% hint style="info" %} Si vous utilisez la méthode `External` via `TlsCertificateSource`, space.vars.DGATEWAY prend uniquement en charge le regroupement de la clé publique et de la clé privée dans un fichier PFX (PKCS#12). Sinon, vous devrez également définir le paramètre `TlsPrivateKeyFile`. {% endhint %} ### Conversion d'un certificat X.509 Devolutions Gateway nécessite une clé privée avec le certificat TLS ; vous pourriez donc avoir besoin de combiner la clé publique avec sa clé privée. Voici deux méthodes : [Remote Desktop Manager](https://docs.devolutions.net/fr/gateway/kb/how-to-articles/use-windows-certificate-store/#using-remote-desktop-manager) et l'utilitaire Windows intégré [certutil](https://docs.devolutions.net/fr/gateway/kb/how-to-articles/use-windows-certificate-store/#using-the-windows-certutil-utility). #### Avec Remote Desktop Manager L'entrée ***Certificat X.509*** peut être utilisée pour importer ce certificat et l'exporter dans plusieurs formats différents, y compris PFX. 1. Dans Remote Desktop Manager, cliquez sur ***Nouvelle entrée*** – ***Gestion des justificatifs*** – ***Général*** – ***Certificat X.509***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0180.png) 2. Sélectionnez le certificat et cliquez sur ***Ouvrir***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0164.png) 3. Cliquez sur ***Suivant***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0165.png) 4. Cliquez sur le bouton points de suspension et sélectionnez la ***Clé privée***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0166.png) 5. Cliquez sur ***Ouvrir***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0181.png)

La Clé privée doit avoir l'extension .key.

6. Cliquez sur ***Terminer***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0168.png) 7. Remplissez les informations, puis cliquez sur ***Ajouter***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0167.png) 8. Sélectionnez l'entrée et cliquez sur ***Enregistrer le certificat sous*** (également disponible dans le menu contextuel du clic droit). ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0186.png) 9. Dans le champ ***Format d'exportation***, choisissez ***Personal Information Exchange (pfx)***. 10. Choisissez l'emplacement d'enregistrement du fichier en cliquant sur le bouton points de suspension. 11. Saisissez un mot de passe fort, puis cliquez sur ***Exporter***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0182.png) #### Avec l'utilitaire Windows `certutil` Utilisez l'utilitaire Windows intégré `certutil` pour combiner un fichier de certificat (`.crt` ou `.cer`) et sa clé privée (`.key`). Les deux fichiers doivent avoir le même nom. `certutil -MergePFX file.crt file.pfx` ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0169.png) ### Importer le certificat Après avoir obtenu le certificat et le fichier de clé privée du certificat, importez-le dans Windows. 1. Installez le certificat : * Si Windows détecte automatiquement le certificat, double-cliquez dessus et choisissez ***Installer le certificat...*** ; ou * Ouvrez `certmgr.msc` à l'emplacement du magasin souhaité (`LocalMachine` ou `CurrentUser`), faites un clic droit sur l'emplacement voulu (ex. : ***Personnel/Certificats***) et choisissez ***Toutes les tâches*** – ***Importer***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0183.png) 2. Choisissez l'une des options suivantes et cliquez sur ***Suivant*** : * ***Sélectionner automatiquement le magasin de certificats en fonction du type de certificat*** ; ou * ***Placer tous les certificats dans le magasin suivant*** et cliquez sur ***Parcourir...*** pour choisir un dossier. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0184.png) 3. Terminez l'importation en cliquant sur ***Terminer***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0185.png) ## Accorder à Devolutions Gateway une permission de lecture sur la clé privée du certificat Par défaut, Devolutions Gateway exécute son service avec le compte Network Service. Pour utiliser un certificat du magasin de certificats local, assurez-vous que le compte Network Service dispose des permissions de lecture sur la clé privée du certificat. 1. Ouvrez le magasin de certificats local et accédez au certificat. 2. Effectuez un clic droit sur le certificat et sélectionnez ***Toutes les tâches*** – ***Gérer les clés privées***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2079.png) 3. Cliquez pour ajouter un nom d'utilisateur. ![](https://cdnweb.devolutions.net/docs/INTERFACE2080.png) 4. Saisissez « NETWORK SERVICE » dans le champ des noms d'objets, puis cliquez sur ***OK***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2081.png) 5. Sélectionnez le nouveau nom d'utilisateur ***NETWORK SERVICE*** et accordez-lui l'autorisation ***Lecture***. ![](https://cdnweb.devolutions.net/docs/INTERFACE2082.png) 6. Cliquez sur ***Appliquer***, puis sur ***OK***. ## Configurer le magasin de certificats Windows via gateway.json L'emplacement par défaut du fichier `gateway.json` se trouve dans le répertoire **%ProgramData%\Devolutions\Gateway**. Assurez-vous que le fichier est un `.json` valide en le testant avec : ```powershell $Config = ("{0}\Devolutions\Gateway\gateway.json" -F $Env:ProgramData) Try { Get-Content -Path $Config | ConvertFrom-JSON -ErrorAction 'Stop' } Catch { $PSItem[0].Exception.Message } ``` Cela fonctionne avec PowerShell 5.1 et les versions ultérieures (la version recommandée est PowerShell 7.x). ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0173.png) Une configuration typique est présentée ci-dessous. Vos valeurs peuvent différer, notamment le ***Subject Name***, qui reflétera le nom de domaine auquel Devolutions Gateway répond. Les valeurs importantes à modifier sont : * `TlsCertificateSource` - `System` * `TlsCertificateSubjectName` - `gateway.ad.it-help.ninja` * `TlsCertificateStoreName` - `My` * `TlsCertificateStoreLocation` - `LocalMachine` Exemple de fichier de configuration complet : ```json { "Id": "c912b379-8c34-449d-8ff3-3aa20a9cc3e4", "Hostname": "gateway.ad.it-help.ninja", "TlsCertificateFile": "server.crt", "TlsPrivateKeyFile": "server.key", "TlsCertificateSource": "System", "TlsCertificateSubjectName": "gateway.ad.it-help.ninja", "TlsCertificateStoreName": "My", "TlsCertificateStoreLocation": "LocalMachine", "ProvisionerPublicKeyFile": "provisioner.pem", "Listeners": [ { "InternalUrl": "https://*:7171", "ExternalUrl": "https://*:7171" }, { "InternalUrl": "tcp://*:8181", "ExternalUrl": "tcp://*:8181" } ] } ``` 1. Exécutez le script ci-dessus. 2. Ouvrez `services.msc`. 3. Effectuez un clic droit sur ***Devolutions Gateway Service*** et sélectionnez ***Redémarrer***. ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0174.png) 4. Vérifiez que Devolutions Gateway fonctionne correctement en accédant à `https://{FQDN}:7171/jet/health` (en remplaçant `{FQDN}` par l'adresse DNS de votre passerelle) depuis un navigateur web. ## Configurer le magasin de certificats Windows via PowerShell Devolutions Gateway peut également être configuré via des commandes PowerShell. Le [module PowerShell Devolutions Gateway](https://www.powershellgallery.com/packages/DevolutionsGateway/) expose de nombreuses commandes pour le configurer. Par défaut, une installation de Devolutions Gateway inclut le module dans le répertoire d'installation. Importez le module de la façon suivante : ```powershell # Import the Module Import-Module -Name "C:\Program Files\Devolutions\Gateway\PowerShell\Modules\DevolutionsGateway" # View the imported Modules Get-Module ``` ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0175.png) Une autre méthode pour rendre le module facilement accessible est de l'installer via la commande suivante : ```powershell # Install the DevolutionsGateway module Install-Module -Name 'DevolutionsGateway' # Update the module if installed via the above method (will not update the bundled version installed with Gateway) Update-Module -Name 'DevolutionsGateway' # Import the Module Import-Module -Name 'DevolutionsGateway' # View the imported modules to verify the DevolutionsGateway module is available Get-Module ``` ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0176.png) Une fois importé, vous pouvez afficher la configuration actuelle avec la commande suivante : ```powershell Get-DGatewayConfig ``` ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0177.png) Pour demander à Devolutions Gateway d'utiliser le magasin Windows, utilisez la commande suivante : ```powershell # Update the configuration; this will not remove any existing parameters, only configure those defined. # Replace the '{FQDN}` example with the fully-qualified DNS name of the Gateway address Set-DGatewayConfig -TlsCertificateSource "System" -TlsCertificateSubjectName "{FQDN}" -TlsCertificateStoreLocation "LocalMachine" -TlsCertificateStoreName "My" # Display the updated configuration Get-DGatewayConfig ``` ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0178.png) Redémarrez le service pour que la configuration prenne effet. ```powershell Restart-Service -Name 'DevolutionsGateway' ``` ![](https://cdnweb.devolutions.net/docs/docs_en_kb_KB0179.png) Vérifiez que Devolutions Gateway fonctionne correctement en accédant à `https://{FQDN}:7171/jet/health` depuis un navigateur web. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.devolutions.net/gateway/fr/knowledge-base/how-to-articles/use-windows-certificate-store-for-devolutions-gateway.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.