Après l'installation ou la migration d'une autorité de certification vers un nouveau serveur, il n'est plus possible de publier ses propres modèles de certificats

Supposons le scénario suivant :

Une autorité de certification intégrée à Active Directory (Enterprise CA) est intégrée au réseau.
L'autorité de certification a été migrée vers un nouveau serveur (voir aussi l'article "Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un autre serveur„ ).
En publiant les modèles de certificats, on constate que seuls les Modèles de certificats standard pour la publication. Les modèles de certificats personnels ne sont pas affichés.

L'organisme de certification va Événement n° 126 enregistrer.

Current information about advanced features supported by this Certification Authority is not available from the domain controller. Stop and restart Certificate Services in order to update this information. Element not found. 0x80070490 (WIN32: 1168 ERROR_NOT_FOUND)

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Jusqu'à Windows Server 2008 R2, il fallait distinguer si l'on avait installé la „ Standard Edition “ ou l„“ Enterprise Edition „ (pour Windows 2000 : Advanced Server) du système d'exploitation. Ce n'est que si l'autorité de certification était installée sur l“« Enterprise Edition » du système d'exploitation que l'on pouvait utiliser ses propres modèles de certificats.

Ne confondez pas les termes „ Enterprise Edition “ et „ Enterprise Certification Authority “. Le premier désigne la variante du système d'exploitation, tandis que le second désigne le type d'installation de l'autorité de certification.

La distinction entre „ Standard Edition “ et „ Enterprise Edition “ est réalisée à l'aide d'un indicateur sur l'objet pKIEnrollmentService. Une autorité de certification Active Directory Enterprise CA doit avoir les indicateurs suivants activés :

CA_FLAG_SUPPORTS_NT_AUTHENTICATION (0x2)
CA_FLAG_CA_SERVERTYPE_ADVANCED (0x8)

La valeur résultante dans l'attribut „ flags “ de l'objet pKIEnrollmentService de l'autorité de certification doit donc être „ 10 “. Si la valeur est définie sur „ 2 “, par exemple, le CA_FLAG_CA_SERVERTYPE_ADVANCED Drapeau non défini.

Il est également possible d'afficher les valeurs à l'aide de la commande suivante :

certutil -v -ds "{CA-Common-Name}" flags

Même lors d'une migration de l'autorité de certification (qui implique une réinstallation du rôle d'autorité de certification sur le nouveau serveur), il peut arriver que l'indicateur CA_FLAG_CA_SERVERTYPE_ADVANCED ne soit plus défini.

Vous pouvez modifier la valeur directement dans l'éditeur ADSI ou à l'aide de la commande suivante sur l'autorité de certification, qui actualise l'attribut „ flags “ au prochain démarrage du service d'autorité de certification :

certutil -setreg CA\SetupStatus +SETUP_UPDATE_CAOBJECT_SVRTYPE

Dans les deux cas, le service de l'organisme de certification doit être redémarré afin que les paramètres modifiés soient pris en compte.

Le drapeau devrait désormais être correctement résolu et vos propres modèles de certificat devraient pouvoir être sélectionnés pour publication.

Après l'installation ou la migration d'une autorité de certification sur un nouveau serveur, il n'est plus possible de publier ses propres modèles de certificats.

Cause

Liens complémentaires :

Sources externes