Information de la CA d’entreprise stocké dans l'annuaire AD

 

Dans cet article nous allons présenter les éléments d'une autorité de certificat d'entreprise (intégré à Active Directory Domain Services). Dans les propriétés de l'autorité de certification, dans la partie stockage, il est possible de vérifier que l'autorité est bien liée à Active Directory. Dans les autorités de certificats d'entreprise la configuration est stockée dans l'annuaire dans la partition de configuration unique dans l'ensemble de la forêt.

Néanmoins toutes les données ne sont pas dans l'annuaire et il y a une base de données locale par défaut dans le dossier « c:\Windows\system32\certlog ». Il est possible de choisir un autre dossier lors de l'installation.

Le dossier « c:\windows\system32\cersrv\CertEnroll » et le dossier contenant par défaut la liste de révocation des certificats(CRL). Ce dossier est partagé sous le nom « CertEnroll » et il peut également être utilisé pour la publication « http » si vous avez installé IIS et la fonction d'inscription par les services WEB. Vous trouverez plus d'information sur la publication de la liste de révocation avec IIS dans l'article : Ajouter la publication de la CRL en http .

 

Nous allons ouvrir une console MMC qui n'est pas présent par défaut dans les outils d'administration. Il s'agit de la console « PKI d'entreprise » qui permettent de voir les éléments de configurations de l'autorité stocké dans Active Directory.

 

L'outil effectue automatiquement des vérifications sur les différents services.

 

En regardant en détail le chemin LDAP vous pouvez déjà constaté qu'il s'agit bien de la partition de configuration d'Active Directory.

Dans le menu contextuel sur « PKI d'entreprise » vous pouvez sélectionner «  gérer les conteneurs Active Directory » ce qui vous permettra de vous familiariser avec les différents éléments.

 

 

Un autre endroit où vous pouvez voir les informations concernant les autorités de certification d'entreprise et la console « site et services Active Directory ». Par défaut seul la partie site est visible. Pour afficher les services il faut l'activer en sélectionner à gauche « sites et services AD » puis dans affichage « Afficher le nœud des services ».

Une fois l'option sélectionnée, vous pouvez vous rendre dans « Services » puis « Public Key Services » et vous retrouverez les différents éléments.

Enfin vous pouvez vous connecter à la partition de configuration avec un outil LDAP comme par exemple « modification ADSI »(adsiedit.msc).

Vous retrouvez dans la partie « configuration », « services » les éléments dans « CN=Public Key Services ».

 

Tags: 

Theme: 

Systeme: 

Annee: 

Type: