[AD CS] Planification d’une autorité AD CS

 

Avant de débuter, il faudra répondre à quelques questions. Le premier élément est d'identifier les types de certificats et l'utilisation qui en sera faites.

Il faudra définir si vous devez publier en format web, la liste de révocation et les informations de l'autorité (AIA), ou si la publication dans l'AD, existant par défaut est suffisante pour votre usage.

Vous devrez définir le nombre de niveaux d'autorité. Il est recommandé d'utiliser une autorité racine autonome déconnectée du réseau. Cette autorité a pour but de distribuer des certificats pour les autorités secondaires.

Il vous faudra définir les noms des serveurs, les adresses des services Web de votre autorité. Il vous faudra éventuellement créer des alias DNS.

Au niveau des serveurs hébergeant le rôle AD CS, il n'y pas vraiment d'exigence spéciale. Les serveurs doivent disposer d'une IP Fixe. Il est possible d'installer la base de données de l'autorité sur un autre disque que le système.

 

Voici une liste de sujets que vous devriez prendre en compte avant l'installation :

  • Voir si vous devez mettre en œuvre une politique de sécurité. La RFC3647 représente une référence en termes de rédaction d'une politique de certification
  • Planifier les autorités racines, intermédiaires et les subordonnées
  • Déterminer la durée de vie des certificats des autorités ainsi que la longueur des clés
  • Etablir la liste des URL ou les autres méthodes que vous utiliserez pour distribuer la liste de révocation et les informations de l'autorité
  • Etablir la liste des noms et alias DNS pour votre environnement, par exemple pour la publication de la CRL Offline, pour les services d'inscriptions Web
  • Préparer selon vos besoins un fichier CAPolicy.inf et le copier dans C:\WINDOWS.

Le fichier CAPolicy permet de configurer une autorité de certification. Il n'est pas indispensable, même si fortement recommandé par Microsoft. Certains paramètres peuvent être configurés ou modifier sans utiliser le fichier de configuration. D'autres paramètres comme la longueur des clés pour le certificat de l'autorité racine lors du renouvellement du certificat dépende de ce fichier (la valeur définit lors de l'installation n'est pas utilisé lors du renouvellement). Vous trouverez plus d'information dans ce lien .

 

  • Planifier les opérations manuelles de copie des informations de l'autorité racine (CRL + AIA) et les opérations des autorités secondaires (souvent automatisées).
  • Planifier les modèles de certificats comme les certificats de vos serveurs WEB

     

 

 

Un peu de lecture : https://docs.microsoft.com/fr-fr/windows-server/networking/core-network-guide/cncg/server-certs/server-certificate-deployment-planning

 

 

 

Theme: 

Systeme: 

Annee: