[AD CS] Gérer une autorité de certification

 

J'avais déjà écrit quelques articles sur le service de certificats Active Directory, comme une installation simple d'une autorité racine d'entreprise. Ce scénario peut sembler suffisant pour apprendre le produit et réaliser quelques petites opérations. Dans un environnement plus complexe et si l'on souhaite rester un peu plus dans les bonnes pratiques, il est préférable d'avoir une autorité racine autonome qui fournit un certificat à l'autorité secondaire d'entreprise.

Encore une fois, je ne suis pas sur les dernières nouveautés, mais j'ai trouvé intéressant de revenir sur ces points à une période ou http n'est plus à la mode et ou l'utilisation des certificats est devenu un passage obligatoire dans beaucoup d'environnement.

L'ensemble des articles sera présenté comme un livre reprenant une progression logique afin de permettre à ceux d'entre vous qui le souhaite de reproduire un environnement équivalent.

Dans ce LAB, nous allons donc mettre en œuvre une autorité de certification PKI composée d'une autorité Racine hors ligne et d'une autorité subordonnée d'entreprise intégrée à Active Directory.

L'autorité racine étant hors ligne, il faudra définir des emplacements pour la publication des informations de l'autorité de certification racine et de la CRL. Nous utiliserons pour cela la publication sur un site Web IIS sur un serveur dédié. Il est néanmoins possible de cumuler les rôles sur le même serveur (sauf pour la racine Offline).

Nous verrons au travers de plusieurs articles différents éléments concernant AD CS :

  • Autorité autonome racine offline
  • Autorité d'entreprise secondaire
  • Publication de liste de révocation avec IIS
  • Service enregistrement Web
  • La sauvegarde et la restauration
  • La migration d'une autorité vers un OS plus récent
  • La gestion de modèles
  • L'archivage des clés dans Active Directory
  • Les agents d'inscription
  • Répondeur OCSP
  • Un peu de PowerShell …

Theme: 

Systeme: 

Annee: