Le dossier contenant la base de données d'une autorité de certification est indiqué dans la partie stockage des propriétés de l'autorité.
Le chemin par défaut est « c:\windows\system32\certlog ».
Il s'agit par défaut d'une base de données Microsoft avec une extension « .edb ». La base de données JET utilise des journaux de transactions afin de fournir une protection lors de la restauration.
Pour exporter, le certificat ainsi que la clé privée, vous pouvez utiliser la console « certlm.msc ». Sélectionnez « Certificats – ordinateur local », puis « Personnel » et « certificats ».
Sélectionnez le certificat de l'autorité, puis « toutes les tâches », puis « exporter ».
Sur la première page de l' « assistant d'exportation du certificat», cliquez sur « suivant ».
Dans ce chapitre, nous parlerons de la sauvegarde, de la restauration des migrations d'une autorité de certification. Nous verrons comment supprimer une autorité qui n'est plus utilisée, ainsi que la migration vers un serveur plus récent.
Après avoir créé le modèle, vous pouvez générer un certificat pour les services Web IIS utilisé par le service d'inscription Web en suivant le lien [AD CS] Demander un certificat.
Il existe plusieurs méthodes pour soumettre une demande de certificat à une autorité AD CS. Une des méthodes consistes à utiliser la console « mmc » du magasin de certificat de l'utilisateur « certmgr.msc » ou de l'ordinateur « certlm.msc ». Dans notre exemple, nous allons demander un certificat de type « serveur Web-2 ans » pour le compte de l'ordinateur. Ouvrez la console « certmgr.msc », puis sélectionnez « personnel » et faites un clic droit sur « certificats ». Sélectionnez « toutes les tâches » et « demander un nouveau certificat ».
Vous pouvez gérer et créer les modèles de certificats stockés dans la partition de configuration d'un annuaire Active Directory depuis la console « MMC.exe », « modèle de certificat ».
Vous pouvez également accéder à cette console depuis la console de gestion de l'autorité de certification. Sur le volet de gauche, faites un clic droit sur « modèles de certificats » puis cliquez sur « gérer ».
Lors de l'installation d'une autorité de certification d'entreprise (intégrée dans un domaine Active Directory), des modèles de certificat sont proposés par défaut. Si vous disposez de plusieurs Autorités dans la même forêt Active Directory, vous pourrez constater que les modèles sont disponibles sur l'ensemble de vos autorités. En effet, les modèles sont enregistrés dans la partition de configuration unique au sein d'une forêt Active Directory. Dans une autorité de certification autonome, donc non lié à un domaine Active Directory, vous n'aurez pas de modèle.
Les modèles de certificat vont dépendre des usages qui en sont fait. Les certificats peuvent être utilisés pour une ou plusieurs finalités comme l'authentification, la signature ou le chiffrement.
Les certificats possèdent un certain nombre de valeur comme par exemple, l'usage du certificat, la date de fin de validité, le lien vers la liste de révocation.
Le contenu des informations présent dans les certificats est décrit dans la norme X509.
Cet article n'a pas pour but de détailler la norme en question.
Dans ce chapitre, nous verrons différentes opérations de gestion de l'autorité de certification. Nous verrons entre autres comment gérer les modèles de certificats. Nous verrons également comment demander un certificat depuis la console mmc ou depuis un navigateur. Nous parlerons également de l'enregistrement des certificats et de la clé privée dans Active Directory. La gestion des permissions sur les certificats et sur l'autorité de certification sera également au présenté. Enfin, nous verrons l'utilisation d'agent d'inscription.
Nous venons d'ajouter le rôle d'inscription via le Web sur notre autorité de certification. L'étape suivante consiste à configurer IIS afin de créer le site. Le gestionnaire de serveur nous propose de lancer la configuration post installation.
La configuration du site ne demande pas de paramétrage particulier, mais il est conseillé de réaliser les étapes suivantes, notamment la configuration de IIS pour utiliser https avec un certificat de serveur WEB.
L'installation du rôle d'inscription Web se déroule en deux étapes. La première étape est l'ajout du rôle depuis le gestionnaire de serveur ou avec PowerShell.
Ouvrez le gestionnaire de serveur, puis cliquez sur « gérer » puis « ajouter des rôles et fonctionnalités ». Sur la page « avant de commencer » cliquez sur « suivant ».
Les services d'inscription Web d'AD CS permettent d'offrir un accès aux utilisateurs pour soumettre et récupérer des certificats à travers un portail Web. Le service d'inscription Web utilise IIS comme solution de serveur Web. Il est possible d'installer le service Web directement sur le serveur ayant le rôle d'autorité de certification. Il est également possible de l'installer sur un serveur différent. Dans notre exemple, l'installation sera sur l'autorité de certification.
Nous avions déjà vu comment publier la liste de révocation sur un serveur racine autonome, généralement conservé hors ligne. Dans le cas d'une autorité secondaire d'entreprise, nous avons vu dans les paragraphes précédents, comment donner accès au serveur directement sur un partage à la source de la diffusion de la CRL. Il n'y a donc pas besoin de la copier manuellement sur le point de diffusion.
Depuis la console de l'autorité de certification ou « certsrv.msc », faites un clic droit sur « certificats révoqués » puis « toutes les tâches » et « publier».
Nous avions déjà vu dans l'article précédent comment gérer la durée de vie des listes de révocation sur l'autorité de certification racine autonome. Le principe de configuration reste identique, dans le cas de l'autorité secondaire d'entreprise. Cependant, dans le cas de l'autorité secondaire intégré dans Active Directory, nous allons publier les informations automatiquement sur un partage de fichier.
Pour configurer l'autorité secondaire, ouvrez la console « Autorité de certification » ou « certsrv.msc ».
Ouvrez une session sur l'autorité de certification. Copiez le certificat de l'autorité secondaire qui se trouve par défaut dans « C:\Windows\System32\CertSrv\CertEnroll » vers le partage \\lab-IIS\CRL\Subca et renommez-le, en fonction de l'URL que vous avez défini :
Ouvrez la console de l'autorité de certification, soit depuis le gestionnaire de serveur ou avec la commande «certsrv.msc ». Faites un clic droit sur le nom de l'autorité de certification dans le volet de gauche et sélectionnez propriétés.
Ouvrez la page « Extensions » , et sélectionnez dans le menu déroulant « Point de distributions de la liste de révocations des certificats (CPD) ».
Ouvrez une session sur le serveur IIS (dans notre exemple « LAB-IIS »). Sur le dossier CRL que nous avons créé lors de la configuration de la publication de l'autorité racine, rechercher le dossier CRL.
Faites un clic droit propriété et accéder aux dossier partage.
Nous avons déjà vu dans un chapitre précédent comment configurer les extensions pour l'autorité racine. Comme pour l'autorité racine, les informations à publier sont le certificat de l'autorité ainsi que les listes de révocation. Dans une autorité d'entreprise, il est possible de stocker ces informations sur plusieurs emplacements.
Par défaut, ces informations sont enregistrées dans l'annuaire Active Directory avec des liens LDAP.
Nous allons revenir sur la session sur le serveur « CA-ADCSSub », hébergeant l'autorité secondaire d'entreprise. Nous ouvrons la console de l'autorité de certification « certsrv.msc ». Faites un clic droit sur le nom de l'autorité, puis « toutes les tâches » et « installer un certificat d'autorité de certification ».
Sélectionner le certificat de l'autorité secondaire que vous avez créé puis cliquez sur « ouvrir ».
Dans l'étape précédente, nous avons utilisé l'assistant de configuration des services AD CS, afin de configurer une autorité secondaire d'entreprise. Lors de la configuration, nous avons généré, un fichier de requête à soumettre à l'autorité racine afin de générer le certificat de l'autorité secondaire.
Le fichier en question se trouve sur la racine du disque « c : » de notre serveur « CA-ADCSSub ».
Par défaut, AD CS utilise des fichiers avec une extension « .req ».
Après avoir installé le rôle AD CS, il faudra exécuter l'assistant de configuration des services de certificats Active Directory, proposé dans les tâches post déploiement sur le gestionnaire de serveur.
Sur la page « Informations d'identification », conserver le compte de la session qui dispose des droits d'administrations. Par défaut, il s'agit du compte « administrateur » sur la version française. Cliquez sur « suivant ».
Nous allons configurer un serveur en tant qu'autorité de certification secondaire d'entreprise. Cette autorité sera en mesure de créer différents types de certificats, comme des certificats pour des services Web.
Le serveur qui détiendra le rôle est « CA-ADCSSub ». Il sera membre du domaine Active Directory et dispose d'une adresse IP fixe.
Dans ce chapitre, nous allons installer une autorité de certification secondaire d'entreprise. Le certificat de l'autorité secondaire sera délivré par notre autorité racine autonome AD CS. L'utilisation d'un produit tierce en tant qu'autorité racine est tout à fait possible. Ce type de configuration ne sera pas détaillé dans ces articles.
Nous avons vu dans les étapes précédentes, la mise en œuvre d'une autorité de certification racine autonome avec AD CS. Lors de l'installation, nous avons généré le certificat de l'autorité. Pour que les postes de travails et les serveurs de votre domaine Active Directory acceptent de faire confiance à cette autorité, il est nécessaire d'ajouter le certificat de l'autorité racine dans le magasin des autorités racine de confiance des différents postes.
Dans les étapes précédentes, nous avions installé une autorité de certification racine autonome. Cette autorité n'est pas accessible directement sur le réseau. Il nous faut maintenant configurer un site IIS sur un autre serveur afin de rendre disponible le certificat de l'autorité racine ainsi que la liste de révocation. Nous avions vu dans une étape précédente comment récupérer ces deux fichiers.
Pour modifier la durée de vie des certificats dans une autorité de certification Microsoft, il faut modifier une clé de registre. Avec une autorité de certification d'entreprise intégrée dans un domaine Active Directory, la durée de vie d'un certificat dépend du modèle de certificat sans pouvoir excéder la durée de vie du certificat de l'autorité ni de la durée de la clé de registre suivante.
Dans une autorité autonome, vous n'avez pas de modèle de certificats et vous ne pouvez donc pas définir de durée de certificat depuis un modèle.
Vous pouvez générer une nouvelle liste de révocation, même si la précédente n'a pas encore expiré. Il est même préférable de la renouveler et de la rendre disponible avant l'expiration.
Pour générer la liste de révocation, ouvrez la console « autorité de certificat », faites un clic droit sur « certificats révoqués », puis « toutes les tâches » et « publier ».
Parmi les éléments importants dans la configuration d'une autorité de certification, il y a les extensions. Ces extensions sont généralement présentes sur les certificats que l'autorité émet et permettent de définir un lien vers le certificat de l'autorité racine ainsi qu'un lien vers la liste des certificats révoqués. Le principe de configuration est le même pour une autorité racine autonome ou pour une autorité d'entreprise. Néanmoins certains éléments, comme la publication de la liste de révocation dans Active Directory n'est exploitable que dans une autorité d'entreprise.
