[AD CS] Configuration des extensions et distribution des fichier

 

Nous avons déjà vu dans un chapitre précédent comment configurer les extensions pour l'autorité racine. Comme pour l'autorité racine, les informations à publier sont le certificat de l'autorité ainsi que les listes de révocation. Dans une autorité d'entreprise, il est possible de stocker ces informations sur plusieurs emplacements.

Par défaut, ces informations sont enregistrées dans l'annuaire Active Directory avec des liens LDAP.

Selon votre usage, cela pourrait être suffisant, mais la publication des informations sur un site Web au format http est une solution sans doute plus facilement compatible avec un maximum d'usage.

Dans notre exemple, nous allons désactiver la publication sur LDAP, afin de monter la démarche, mais l'étape n'est pas obligatoire. Il est tout à fait possible de publier les informations à plusieurs emplacements.

Ces informations seront publiées sur un serveur différent joint au domaine ou nous avons installé les services IIS. Nous utilisons un serveur différent pour l'exemple, mais il est possible d'héberger les informations sur le même serveur en http. Ce serveur WEB IIS héberge déjà les informations de l'autorité racine.

Contrairement à l'autorité racine (généralement Offline), il est possible de configurer l'autorité de certification pour qu'elle génère automatiquement les listes de révocations. Nous avons donc deux éléments à configurer :

  • Les paramètres de publications automatiques de la liste de révocation sur un partage de fichier qui sera également le dossier publié par le site IIS sur le serveur dédié
  • L'ajout du lien http dans les certificats émis par l'autorité.

 

L'URL de base du serveur Web que nous allons utiliser est : http://pki-adcs.htrab.lan/subca/

Le nom pki-adcs.htrab.lan est un alias DNS du nom de serveur réel. L'utilisation d'un alias facilitera les mises à niveau futur, les autorités de certification pouvant avoir un cycle de vie supérieur au système qui l'héberge.

Ce qui nous donne par exemple comme URL pour le téléchargement du certificat de l'autorité de certification : http://pki-adcs.htrab.lan/subca/CA-ADCSSUB-CA.crt

L'URL pour la liste de révocation utilise le format suivant :

\\lab-IIS.htrab.lan\CRL\Subca\adcssub-ca.crl(+)

Elle comprend la liste de révocation et la liste de révocation delta.

Theme: 

Systeme: 

Annee: