[AD CS] Approuver ou refuser un certificat

 

Selon votre politique d'émission de certificat, il peut être intéressant de mettre en place un processus d'approbation avant de délivrer un certificat. La demande d'approbation est une option définit au niveau du modèle de certificat. Une autorité peut donc émettre certains certificats sans approbation alors que d'autres modèles l'exigent. L'approbation doit être réalisée par une personne ayant les permissions de gestion des certificats sur AD CS.

[AD CS] Révoquer un certificat

 

La révocation d'un certificat consiste à ajouter le numéro de série d'un certificat dans une liste de révocation qui est publié et disponible aux différents systèmes qui ont besoin de vérifier la validité du certificat. Un certificat révoqué ne devrait donc plus être utilisable si l'application gère la consultation des listes de révocations ou si elle interroge un répondeur OCSP.

Il existe des situations dans lesquelles le certificat doit être révoqué. La liste suivante, non-exhaustive illustre des motifs devant entraîner la révocation d'un certificat :

[AD CS] Extraire information #PKCS12 (.pfx) avec OpenSSL

 

OpenSSL est un outil pratique permettant de créer des demandes et de manipuler des certificats. Il est largement utilisé dans les environnements Linux/ Apache, mais il est également possible de l'installer sur Windows.

Dans cet exemple, nous allons extraire la clé privée et le certificat d'un fichier #PKCS12 avec une extension .pfx.

La première commande avec l'option « -nokeys » permet d'exclure la clé privée de la ligne d'export. 

 

[AD CS] Demander un certificat avec OpenSSL sur Windows

OpenSSL est un outil très utilisé sous Linux ou Apache qui permet de manipuler des certificats et générer des clés et de demande de certificat.

Nous verrons dans cet exemple l'utilisation d' OpenSSL afin de générer une demande de certificat ainsi que la clé privée correspondante.

Vous avez également la possibilité d'installer les outils OpenSSL sur votre poste de travail Windows sans disposer d'un serveur Apache.

https://www.tbs-certificats.com/FAQ/fr/openssl-windows.html

[AD CS] Exporter des certificats : les différents types de fichiers

Il est possible d'exporter un certificat depuis l'autorité de certification sans la clé privée. La clé privée n'est pas enregistrée dans la base de données de l'autorité de certification. Sous Windows, elle est enregistrée avec le certificat dans le magasin personnel du compte utilisateur ou ordinateur dans la session.

Si vous exportez le certificat sans la clé privée, vous pouvez le transmettre à n'importe qui sans corrompre votre environnement.

Selon les paramètres du modèle de certificat utilisé, la clé privée peut être enregistrée comme non-exportable.

[AD CS] Migrer une autorité vers un nouveau serveur (Partie 2)

Jusque-là, nous avons installé une nouvelle autorité de certification qui utilise le même nom et le même certificat que l'ancienne autorité (voir 1ère partie), mais avec un serveur et un OS plus récent (Windows Server 2022 dans notre exemple). Il nous faut encore restaurer la base de données de l'autorité provenant d'une sauvegarde récente de l'ancien serveur. Pour restaurer la base de données, il faut d'abord arrêter le service.

[AD CS] Migrer une autorité vers un nouveau serveur (Partie 1)

 

Il est possible de migrer une autorité de certificat vers un nouveau serveur. Le nouveau serveur devra utiliser le même nom que l'ancien. Pour remplacer votre autorité vous devez au préalable vous assurez que vous disposez de :

 

[AD CS] Sauvegarder les sites IIS

 

Les autorités de certification AD CS peuvent utiliser IIS pour certains rôles comme le service d'inscription en ligne que nous avons installé précédemment.

Le service d'inscription Web peut être hébergé sur le même serveur ou sur un serveur différent. Dans notre exemple, ce service est hébergé sur l'autorité de certification. Nous avons un autre service IIS installé sur un autre serveur « LAB-IIS » sur lequel sont publié en « http », les listes de révocations et les informations de l'autorité.

Les commandes ci-dessous permettent de sauvegarder les sites IIS.

[AD CS] Sauvegarder les paramètres de l’autorité de certification

 

Nous avons vu comment sauvegarder la base de données de l'autorité AD CS. La base de données contient les informations sur les certificats émis, révoqués, mais n'inclut pas les paramètres de l'autorité de certification. Ces paramètres se trouvent dans le registre Windows, sous la clé :

HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

 

[Azure AD] RBAC rôle personnalisé pour les applications

Une évolution sur la gestion des contrôles d'accès basés sur les rôles permet de créer des rôles personnalisés pour la gestion des applications.

La création de rôle personnalisé nécessite des licences Azure AD Premium P1 ou P2. Ces dernières sont respectivement dans EMS E3 / Microsoft 365 E3 et EMS E5 Microsoft E5.

Il est possible d'activer une version d'essai d'Azure AD Premium ou de EMS E5.

Vous trouverez plus d'information sur la gestion des rôles personnalisés pour les applications dans l'article suivant :

[Azure AD] Gestion des évolutions et des retraits

 

Microsoft a annoncé des modifications dans le cycle de vie et une simplification de la gestion du changement sur la partie Azure AD. Des nouvelles fonctions peuvent continuer d'apparaître tout au long de l'année, mais les annonces des fonctionnalités dépréciées ou de retrait de produit se feront au mois de mars et septembre de chaque année.

L''API Azure AD Graph sera prolongé jusqu'à la fin de l'année contrairement à l'annonce initiale du 30/06/2022. Les API de gestion des licences sur Azure / Office 365.

[PowerShell] Tailles des dossiers et sous dossiers

Il y a un peu plus de 3 ans, j'avais publié un article sur un script PowerShell permettant de rechercher la taille des dossiers si un ou plusieurs niveaux ici.

Le lien n'étant plus valide, vous trouverez un exemple de script ci-dessous :

L'exemple de script est téléchargeable ici.

<#

[MCEM/SCCM] Problème de découverte sur la mise à jour de janvier

 

Un article intéressant de Jean-Sébastien DUCHENE sur un problème dans les services de découvertes Active Directory sur SCCM/ MCEM de janvier 2022 :

Afficher l'article...

Pour rappel, MCEM (Microsoft Endpoint Configuration Manager) est le nouveau nom de SCCM (System Center Configuration Manager).

 

 

[ AD CS] Restauration la base de données de l’autorité

Pour restaurer une autorité de certification AD CS, vous pouvez utiliser la console de gestion de l'autorité de certification (%windir%\system32\certsrv.msc) .

Cliquez sur « OK » lors du message d'avertissement vous indiquant que les services AD CS doivent être arrêté pendant la restauration.

 

 

[AD CS] Sauvegarde la base de données de l’autorité

Le dossier contenant la base de données d'une autorité de certification est indiqué dans la partie stockage des propriétés de l'autorité.

 

Le chemin par défaut est « c:\windows\system32\certlog ».

Il s'agit par défaut d'une base de données Microsoft avec une extension « .edb ». La base de données JET utilise des journaux de transactions afin de fournir une protection lors de la restauration.

[AD CS] Sauvegarder le certificat et la clé privée de l’autorité

Pour exporter, le certificat ainsi que la clé privée, vous pouvez utiliser la console « certlm.msc ». Sélectionnez « Certificats – ordinateur local », puis « Personnel » et « certificats ».

Sélectionnez le certificat de l'autorité, puis « toutes les tâches », puis « exporter ».

Sur la première page de l' « assistant d'exportation du certificat», cliquez sur « suivant ».

[NEWS] Azure AD Connect : synchroniser avec plusieurs locataires Azure AD

 

Un nouveau scénario de synchronisation est disponible en préversion depuis quelques jours.

Il est maintenant possible de synchroniser son environnement sur site avec plusieurs locataires Azure AD et donc vers plusieurs environnement Office 365.

L'architecture comprendra une installation d'Azure AD Connect pour chaque locataire Azure AD.

[News] Azure AD CBA : Authentification base sur les certificats en preview

Microsoft a rendu publique la pré-version de la solution d'authentification basée sur des certificats avec Azure AD / Office 365.

La solution permet de d'utiliser une infrastructure à clé public d'entreprise et des certificats X.509.

Avant la mise à disposition en mode natif dans Azure AD de l'authentification par certificat, il fallait configurer une infrastructure de fédération d'identité comme AD FS pour utiliser des certificats.

[AD CS] Configurer IIS avec https

Dans cet article nous allons configurer les services IIS du rôle serveur d'inscription Web AD CS.

Vous pouvez consulter l'article suivant : [AD CS] Créer un nouveau modèle, pour créer un modèle de certificat Web.

Après avoir créé le modèle, vous pouvez générer un certificat pour les services Web IIS utilisé par le service d'inscription Web en suivant le lien [AD CS] Demander un certificat.

[AD CS] Demander un certificat pour l’utilisateur ou l’ordinateur

Il existe plusieurs méthodes pour soumettre une demande de certificat à une autorité AD CS. Une des méthodes consistes à utiliser la console « mmc » du magasin de certificat de l'utilisateur « certmgr.msc » ou de l'ordinateur « certlm.msc ». Dans notre exemple, nous allons demander un certificat de type « serveur Web-2 ans » pour le compte de l'ordinateur. Ouvrez la console « certmgr.msc », puis sélectionnez « personnel » et faites un clic droit sur « certificats ». Sélectionnez « toutes les tâches » et « demander un nouveau certificat ».

[AD CS] Créer un nouveau modèle

 

Vous pouvez gérer et créer les modèles de certificats stockés dans la partition de configuration d'un annuaire Active Directory depuis la console « MMC.exe », « modèle de certificat ».

 

Vous pouvez également accéder à cette console depuis la console de gestion de l'autorité de certification. Sur le volet de gauche, faites un clic droit sur « modèles de certificats » puis cliquez sur « gérer ».

[AD CS] Modèle de certificat délivré par défaut

 

Lors de l'installation d'une autorité de certification d'entreprise (intégrée dans un domaine Active Directory), des modèles de certificat sont proposés par défaut. Si vous disposez de plusieurs Autorités dans la même forêt Active Directory, vous pourrez constater que les modèles sont disponibles sur l'ensemble de vos autorités. En effet, les modèles sont enregistrés dans la partition de configuration unique au sein d'une forêt Active Directory. Dans une autorité de certification autonome, donc non lié à un domaine Active Directory, vous n'aurez pas de modèle.

[AD CS] Modèle de certificats

 

Les modèles de certificat vont dépendre des usages qui en sont fait. Les certificats peuvent être utilisés pour une ou plusieurs finalités comme l'authentification, la signature ou le chiffrement.

Les certificats possèdent un certain nombre de valeur comme par exemple, l'usage du certificat, la date de fin de validité, le lien vers la liste de révocation.

Le contenu des informations présent dans les certificats est décrit dans la norme X509.

Cet article n'a pas pour but de détailler la norme en question.

[AD CS] Configuration du service d’inscription Web

Nous venons d'ajouter le rôle d'inscription via le Web sur notre autorité de certification. L'étape suivante consiste à configurer IIS afin de créer le site. Le gestionnaire de serveur nous propose de lancer la configuration post installation.

La configuration du site ne demande pas de paramétrage particulier, mais il est conseillé de réaliser les étapes suivantes, notamment la configuration de IIS pour utiliser https avec un certificat de serveur WEB.

[AD CS] Installation du rôle d’inscription Web

 

L'installation du rôle d'inscription Web se déroule en deux étapes. La première étape est l'ajout du rôle depuis le gestionnaire de serveur ou avec PowerShell.

Ouvrez le gestionnaire de serveur, puis cliquez sur « gérer » puis « ajouter des rôles et fonctionnalités ». Sur la page « avant de commencer » cliquez sur « suivant ».

 

[AD CS] Configurer la publication la liste de révocation

Nous avions déjà vu comment publier la liste de révocation sur un serveur racine autonome, généralement conservé hors ligne. Dans le cas d'une autorité secondaire d'entreprise, nous avons vu dans les paragraphes précédents, comment donner accès au serveur directement sur un partage à la source de la diffusion de la CRL. Il n'y a donc pas besoin de la copier manuellement sur le point de diffusion.

Depuis la console de l'autorité de certification ou « certsrv.msc », faites un clic droit sur « certificats révoqués » puis « toutes les tâches » et « publier».

[AD CS] Configurer la durée de vie de la liste de révocations

 

Nous avions déjà vu dans l'article précédent comment gérer la durée de vie des listes de révocation sur l'autorité de certification racine autonome. Le principe de configuration reste identique, dans le cas de l'autorité secondaire d'entreprise. Cependant, dans le cas de l'autorité secondaire intégré dans Active Directory, nous allons publier les informations automatiquement sur un partage de fichier.

Pour configurer l'autorité secondaire, ouvrez la console « Autorité de certification » ou « certsrv.msc ».

[AD CS] Configuration des extensions et distribution des fichier

 

Nous avons déjà vu dans un chapitre précédent comment configurer les extensions pour l'autorité racine. Comme pour l'autorité racine, les informations à publier sont le certificat de l'autorité ainsi que les listes de révocation. Dans une autorité d'entreprise, il est possible de stocker ces informations sur plusieurs emplacements.

Par défaut, ces informations sont enregistrées dans l'annuaire Active Directory avec des liens LDAP.

[AD CS] Importer le certificat de l’autorité secondaire

 

Nous allons revenir sur la session sur le serveur « CA-ADCSSub », hébergeant l'autorité secondaire d'entreprise. Nous ouvrons la console de l'autorité de certification « certsrv.msc ». Faites un clic droit sur le nom de l'autorité, puis « toutes les tâches » et « installer un certificat d'autorité de certification ».

 

Sélectionner le certificat de l'autorité secondaire que vous avez créé puis cliquez sur « ouvrir ».

 

Pages

S'abonner à Philippe BARTH RSS