Vous déployez AD CS pour l’auto‑inscription des certificats et vous vous demandez s’il faut des CAL dédiées ? Voici un guide pratique, clair et actionnable pour rester conforme sans surpayer vos licences Windows Server.
Client Access Licenses (CAL) et Active Directory Certificate Services (AD CS)
Vue d’ensemble de la question
Contexte : une entreprise exploite une autorité de certification intermédiaire « Enterprise CA » intégrée à Active Directory. Les certificats sont émis automatiquement aux ordinateurs et aux utilisateurs du domaine via l’auto‑inscription (GPO). Deux interrogations reviennent systématiquement :
- Faut‑il des CAL spécifiques pour qu’AD CS délivre ces certificats ?
- Si oui, doivent‑elles couvrir chaque périphérique/utilisateur potentiel ou seulement les connexions simultanées ?
Réponse courte
Non, il n’existe pas de CAL dédiées à AD CS. L’émission de certificats aux objets membres du domaine est couverte par vos CAL Windows Server existantes. Le décompte des CAL est par utilisateur ou par appareil (selon le modèle choisi), et jamais sur la base de connexions concurrentes.
Réponse & solutions
| Point | Explication |
|---|---|
| Aucune CAL supplémentaire n’est nécessaire pour AD CS | L’usage standard d’AD CS (émission de certificats pour des objets déjà membres du domaine) est couvert par les CAL Windows Server que vous possédez déjà pour l’accès au contrôleur de domaine. |
| Licences du serveur | Le rôle AD CS est inclus dans la licence Windows Server du système qui héberge l’autorité de certification. Il n’exige pas de licence additionnelle par fonctionnalité. |
| Device CAL vs. User CAL | Le choix reste identique : licenciez l’accès général à Windows Server/AD, pas l’émission de certificats. Inutile de compter les connexions concurrentes ; Microsoft exige une CAL pour chaque utilisateur ou appareil qui accède aux services du domaine, quelle que soit la méthode (Kerberos, LDAP, certificats, etc.). |
| Scénarios hors domaine | Si vous émettez des certificats à des entités externes (appareils non joints au domaine, partenaires, IoT, etc.), ces objets ne sont pas couverts par vos CAL internes. Deux options : CAL individuelles (User/Device) adaptées au cas d’usage, ou licence « External Connector » par serveur exposé. |
| RDS CAL ≠ AD CS | Les CAL RDS concernent exclusivement les services Bureau à distance. Elles ne s’appliquent pas à AD CS. |
Pourquoi aucune CAL spécifique à AD CS n’est requise ?
Dans le modèle de licence Windows Server, une CAL autorise un utilisateur ou un appareil à accéder aux services du serveur (authentification, annuaire, fichiers, impression, etc.). AD CS n’est pas un service « à part » du point de vue de l’octroi des droits : il s’appuie sur Active Directory et sur des GPO pour l’auto‑inscription, et expose des points d’émission et de validation (AIA/CDP/OCSP) opérés par Windows Server. Si vos utilisateurs/appareils sont déjà correctement licenciés pour accéder au domaine, l’acte d’émettre un certificat ne consomme pas une licence supplémentaire.
Device CAL ou User CAL : comment choisir intelligemment
Le dilemme n’a rien de spécifique à AD CS, mais l’auto‑inscription peut révéler un mauvais choix si vous l’avez pris « par habitude ». Utilisez la logique suivante :
| Profil d’organisation | Symptômes | CAL recommandées | Pourquoi |
|---|---|---|---|
| Bureaux avec collaborateurs multi‑postes (PC + mobile + VDI) | Un même utilisateur accède à plusieurs appareils et services (SSO, VPN, Wi‑Fi 802.1X) | User CAL | Optimise le coût lorsque le ratio appareils/utilisateur > 1 |
| Ateliers / kiosques partagés en 3 × 8 | Beaucoup d’utilisateurs se relaient sur peu de postes | Device CAL | Licencier par appareil minimise la facture |
| Parc mixte (PC joints au domaine + flotte mobile BYOD) | Certificats pour VPN/802.1X sur appareils non joints | User CAL (souvent) | Chaque employé utilise plusieurs terminaux personnels vers les mêmes services |
| Équipements non-humains (imprimantes, scanners réseau, IoT) | 802.1X ou certificats client pour s’authentifier | Device CAL | Chaque équipement « consomme » l’accès serveur indépendamment d’un utilisateur |
Mise en garde : le modèle de licence Microsoft ne repose pas sur la notion de « connexion simultanée ». Chaque utilisateur ou appareil qui accède aux services Windows Server doit être couvert, que l’accès soit direct (Kerberos/LDAP) ou encapsulé (certificats, SCEP/NDES, proxy, etc.). Les mécanismes de « multiplexage » ou de « pooling » n’autorisent pas à réduire le nombre de CAL.
Cas d’usage AD CS et impacts licence
| Scénario | Accès serveur impliqué | Couverture de CAL | Point d’attention |
|---|---|---|---|
| Auto‑inscription de certificats utilisateur et ordinateur (GPO) | DC/AD, CA Enterprise, RPC/DCE, LDAP | Couvert par vos CAL Windows Server existantes | Vérifier que tous les utilisateurs/appareils du domaine sont bien décomptés |
| Authentification Wi‑Fi/filaires 802.1X (EAP‑TLS) via NPS | NPS (RADIUS), AD, CA pour la chaîne de confiance | CAL Windows Server requises (User ou Device selon choix) | Les imprimantes/capteurs 802.1X sont des « appareils » à licencier |
| VPN d’entreprise basé sur certificats | Serveur VPN sur Windows Server et AD pour l’identité | Couvert par CAL Windows Server | Le certificat client n’exonère pas de CAL |
| NDES/SCEP pour mobiles gérés MDM | NDES (rôle AD CS), AD pour autorisations | Employés : CAL (souvent User). Externes : CAL ou External Connector | Le fait de ne pas être joint au domaine ne dispense pas de CAL si l’utilisateur est interne |
| Distribution de CRL/AIA/OCSP publiquement | IIS/HTTP(s), service OCSP | Généralement hors périmètre « utilisateur identifié » ; valider selon votre usage | Évitez d’exposer inutilement l’AC : utilisez des relais/DMZ |
| Certificats pour partenaires/tiers (B2B) | Accès à un serveur Windows (web enrollment, NDES, etc.) | CAL par utilisateur/appareil externe ou licence External Connector par serveur | Un « utilisateur externe » n’est pas un employé ni un sous‑traitant placé sous votre contrôle |
Arbre de décision (résumé opérationnel)
- L’objet est‑il un utilisateur ou un appareil interne ? Oui → couvrez‑le avec vos CAL Windows Server (User ou Device). Non → passez à l’étape 2.
- S’agit‑il d’un partenaire/tiers non employé ? Oui → choisissez soit des CAL individuelles, soit un External Connector pour chaque serveur auquel ces externes accèdent.
- Le service est‑il purement public (ex. CRL sur site web public sans identification) ? Traitez‑le comme une publication d’infrastructure, distincte des accès utilisateurs. Documentez l’architecture et l’absence d’accès authentifié.
Exemples chiffrés pour se décider
| Organisation (exemple) | Inventaire | Modèle CAL | Raisonnement |
|---|---|---|---|
| Société A – services « knowledge workers » | 600 employés, 450 PC, 300 mobiles, VPN + Wi‑Fi EAP‑TLS | 600 User CAL | Chaque employé utilise 1–2 terminaux. L’auto‑inscription émet pour PC et mobiles (via NDES/MDM). User CAL = plus économique et simple. |
| Usine B – kiosques partagés | 200 terminaux pour 950 opérateurs, authentification par badge/carte à puce | 200 Device CAL | Beaucoup d’utilisateurs pour peu d’appareils. Les certificats sur kiosques restent couverts par les Device CAL. |
| Campus C – IoT & imprimantes | 300 imprimantes + 800 capteurs 802.1X | 1 100 Device CAL (ou External Connector si exposé aux externes) | Chaque équipement s’authentifie (certificat client). Ce sont des « appareils » qui accèdent aux services. |
| Portail partenaires D | 400 partenaires B2B accèdent à un serveur Windows interne pour récupérer/renouveler des certificats | External Connector par serveur | Évite d’acheter 400 CAL individuelles et simplifie la conformité côté tiers. |
Informations complémentaires utiles
- Auto‑inscription : repose sur les GPO et les droits intrinsèques des comptes de domaine ; aucune licence spéciale n’est requise au‑delà des CAL Windows Server.
- Suivi des licences : maintenez un inventaire fiable de vos CAL (User/Device) et rapprochez‑le des objets pour lesquels l’auto‑inscription est activée.
- Bonne pratique conformité : documentez que l’AC émet uniquement pour des objets couverts par vos CAL internes. Ajoutez une note spécifique pour les tiers/externe (voir modèle ci‑dessous).
- Service accounts : les comptes de service utilisés par NDES, autoenrollment ou OCSP n’ajoutent pas de CAL. La licence vise l’utilisateur ou l’appareil accédant au service, pas le compte technique.
- RDS CAL : sans rapport avec AD CS. Ne les confondez pas avec les CAL Windows Server standards.
- Product Terms : les termes produits stipulent qu’AD CS n’impose pas de CAL dédiées ; seules les CAL Windows Server générales couvrent les accès aux services d’authentification/annuaire.
FAQ (questions fréquentes)
Faut‑il une CAL juste parce qu’un certificat est émis ?
Non. La CAL est liée à l’accès aux services Windows Server. L’émission de certificat pour un objet déjà licencié ne consomme pas une licence additionnelle.
Les connexions simultanées comptent‑elles ?
Non. La mesure se fait par utilisateur ou par appareil, indépendamment du nombre de sessions ouvertes.
Un smartphone BYOD d’un employé qui obtient un certificat via NDES nécessite‑t‑il une CAL ?
Oui, car l’utilisateur interne accède à des services Windows Server. En pratique, on privilégie les User CAL pour couvrir l’ensemble de ses terminaux.
Des partenaires externes qui récupèrent des certificats via un portail certsrv/NDES ?
Ce sont des « utilisateurs externes ». Couvrez‑les avec des CAL individuelles ou optez pour une licence External Connector par serveur exposé.
Publier des CRL/OCSP sur Internet déclenche‑t‑il des CAL ?
La distribution de données de validation est généralement considérée comme un service d’infrastructure. Évitez l’authentification côté public et documentez l’architecture pour la conformité.
Quid des serveurs en lecture seule ou des proxys (reverse‑proxy, WAP) devant AD CS ?
Le « multiplexage » ne réduit pas le nombre de CAL. C’est l’utilisateur/appareil final qui doit être couvert.
Checklist de conformité (prête à l’emploi)
- Inventoriez tous les utilisateurs et appareils qui accèdent aux services Windows Server (AD, NPS, VPN, fichiers, etc.).
- Choisissez un modèle User CAL ou Device CAL aligné sur vos usages (voir tableaux).
- Vérifiez l’activation de l’auto‑inscription : quelles GPO, quels modèles, quelle population ?
- Identifiez les objets non joints au domaine (NDES/SCEP, IoT, imprimantes, BYOD).
- Pour les externes, décidez : CAL individuelles ou External Connector par serveur.
- Consignez une note de conformité dans votre dossier de gouvernance (exemple ci‑dessous).
- Révisez votre inventaire CAL à chaque campagne de renouvellement ou changement d’architecture (ex. nouveau VPN).
Bonnes pratiques opérationnelles liées à AD CS
- Modèles de certificats : limitez les droits d’inscription/auto‑inscription aux groupes réellement concernés.
- NDES : isolez le rôle et appliquez des politiques strictes (rate‑limiting, enregistrement MDM préalable, certificats courts).
- Publication AIA/CDP/OCSP : séparez l’AC de l’exposition Internet via des relais/DMZ, pour limiter la surface d’attaque.
- Renouvellement : planifiez les fenêtres de renouvellement pour éviter les pics opérationnels (aucun rapport avec les CAL, mais crucial pour éviter les interruptions d’accès).
Erreurs courantes à éviter
- Compter les certificats au lieu des utilisateurs/appareils.
- Oublier les équipements « muets » (imprimantes, bornes, capteurs) qui accèdent en 802.1X.
- Confondre RDS CAL et CAL Windows Server.
- Supposer qu’un proxy ou un MDM « absorbe » les besoins de CAL.
- Négliger la population externe alors qu’elle consomme un service Windows Server (web enrollment/NDES).
Modèle de paragraphe pour votre dossier de conformité
Notre autorité de certification AD CS émet des certificats uniquement pour des utilisateurs et appareils internes couverts par nos CAL Windows Server (modèle : User/Device). Les tiers/partenaires qui accèdent aux services Windows Server associés sont couverts par des CAL spécifiques ou par une licence External Connector par serveur exposé. Aucun mécanisme de multiplexage n’est utilisé pour réduire artificiellement le nombre de CAL.
Glossaire express
- CAL (Client Access License) : droit d’accès pour un utilisateur ou un appareil aux services de Windows Server.
- AD CS : rôle Windows Server qui fournit une PKI d’entreprise (AC, modèles, CRL, OCSP, NDES).
- Auto‑inscription : émission automatique de certificats via GPO aux objets du domaine.
- NDES/SCEP : mécanisme d’émission pour appareils non joints au domaine (souvent via MDM).
- External Connector : licence permettant un accès illimité d’utilisateurs externes à un serveur Windows déterminé.
Conclusion
En résumé : déployer AD CS pour l’auto‑inscription n’exige pas de CAL supplémentaires. Concentrez‑vous sur l’inventaire des utilisateurs et appareils qui accèdent à vos services Windows Server, sur le choix User CAL vs Device CAL, et sur la gestion des cas externes (CAL individuelles ou External Connector). En procédant ainsi, vous restez conforme tout en maîtrisant vos coûts de licences — sans freiner votre projet PKI.