L'autorité de certification Microsoft signe toujours les certificats avec la clé associée au certificat d'autorité de certification le plus récent. Le certificat de signature pour une réponse OCSP doit être conforme à RFC 6960 mais être signés par la même clé que le certificat à vérifier :
L'autorité de certification DEVRAIT utiliser la même clé d'émission pour émettre un certificat de délégation que celle utilisée pour signer le certificat dont la révocation est vérifiée.
https://tools.ietf.org/html/rfc6960#section-4.2.2.2
Si le certificat de l'autorité de certification est renouvelé et qu'une nouvelle paire de clés est utilisée, il est toutefois nécessaire que le répondeur en ligne conserve les certificats de signature valides pour les certificats délivrés avec le certificat précédent de l'autorité de certification, car ceux-ci restent valides et doivent être vérifiés pour voir s'ils ont été bloqués.
Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Pour garantir cela, il est donc nécessaire que le répondeur en ligne conserve une configuration de blocage correspondante pour chaque clé d'autorité de certification pour laquelle il existe des certificats valides délivrés et demande des certificats de signature.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Afin que le certificat de signature demandé soit signé par l'autorité de certification avec la clé appropriée, la demande de certificat correspondante comprend une extension appelée „ Authority Key Identifier “ (AKI), qui permet à l'autorité de certification de demander la signature avec cette clé.
Cependant, par défaut, l'autorité de certification Microsoft ignorera l'extension AKI et signera la demande de certificat avec la clé la plus récente.
Pour que l'autorité de certification prenne en compte l'extension AKI, la commande suivante doit être exécutée sur l'autorité de certification :
certutil -setreg CA\UseDefinedCACertInRequest 1
Le service de l'autorité de certification doit ensuite être redémarré pour que les modifications apportées à la configuration soient prises en compte.
Liens complémentaires :
- La demande de certificat échoue avec le message d'erreur „ Le système ne trouve pas le fichier spécifié. 0x80070002 (WIN32 : 2 ERROR_FILE_NOT_FOUND) “.“
- Inspecter une demande de certificat (CSR)
Sources externes
- RFC 6969 – Infrastructure à clé publique Internet X.509 – Protocole OCSP (Online Certificate Status Protocol) (Internet Engineering Task Force)
Français 
Deutsch 
English
Les commentaires sont fermés.