[AD CS] Configuration des extensions CA Root

 

Parmi les éléments importants dans la configuration d'une autorité de certification, il y a les extensions. Ces extensions sont généralement présentes sur les certificats que l'autorité émet et permettent de définir un lien vers le certificat de l'autorité racine ainsi qu'un lien vers la liste des certificats révoqués. Le principe de configuration est le même pour une autorité racine autonome ou pour une autorité d'entreprise. Néanmoins certains éléments, comme la publication de la liste de révocation dans Active Directory n'est exploitable que dans une autorité d'entreprise.

Dans cette étape, nous allons configurer les URL pour la publication de la liste de révocation et les informations de l'autorité de certification (AIA).

Pour configurer les extensions, ouvrez la console « Autorité de certification » depuis les outils du gestionnaire de serveurs, ou en exécutant la commande « certsrv.msc ».

Dans la console de l'autorité, faites un clic droit sur le nom à droite, puis sélectionnez « propriétés ».

Sélectionnez la page « extensions », puis vérifier que vous êtes bien sur l'extension « Point de distribution de liste de révocation des certificats (CPD) ».

Vous retrouvez 4 lignes par défaut. Selon les cas, les différentes options peuvent servir soit à définir un chemin dans lequel l'autorité va écrire la liste de révocation (.crl), soit définir le chemin qui sera inclus dans les certificats émis.

Par exemple, le chemin « c:\windows\system32\certsrv\certenroll » n'est pas écrit sur les certificats, mais est utilisé comme emplacement de dépôt de la liste de révocation.

Sur une autorité racine autonome, il vous faudra prévoir de publier ses éléments sur un emplacement « http » accessible par les postes et serveurs. Nous verrons la configuration du site http avec IIS par la suite.

Sélectionner la première ligne, en rouge ci-dessous, et vérifier que les options de publications sont bien sélectionnées. Sélectionner les 3 autres lignes (ldap, http, file) et décocher toutes les options.

 

Cliquez sur le bouton « ajouter » et insérez l'url définit lors de la planification, puis « OK ». Dans notre exemple : http://pki-adcs.htrab.lan/racine/CA-ROOT-CA.crl

Sélectionnez l'option « inclure dans l'extension CPD des certificats émis ». Les certificats qui seront créer par cette autorité incluront l'URL de la liste de révocation.

Sélectionnez les informations de l'autorité « Accès aux informations de l'autorité (AIA) » dans la liste déroulante.

 

Sélectionnez les 4 lignes une par une et vérifier que l'option « inclure dans l'extension AIA des certificats émis » n'est pas activé.

Cliquez ensuite sur ajouter.

Copier l'url qui sera utilisé pour afficher le certificat de l'autorité racine, puis cliquez sur ajouter et coller la valeur, et validez en cliquant sur « OK ». Dans notre exemple :

http://pki-adcs.htrab.lan/racine/CA-ROOT.crt

 

Cocher l'option « inclure dans l'extension AIA des certificats émis ». Cliquez sur « OK » pour valider les modifications.

 

Un redémarrage des services de l'autorité de certification sera nécessaire. Cliquez sur « oui » pour redémarrer maintenant.

 

 

 

 

Theme: 

Systeme: 

Annee: