Supposons le scénario suivant :
- L'autorité de certification est configurée uniquement pour utiliser le module de sortie SMTP afin d'envoyer des notifications par e-mail sur les événements survenus sur l'autorité de certification.
- Le serveur SMTP configuré n'est pas toujours accessible de manière fiable, par exemple parce qu'il n'est pas conçu pour être hautement disponible.
- En cas de panne du serveur SMTP, l'autorité de certification ne fonctionnera que très lentement, car les notifications par e-mail ne pourront pas être délivrées. Dans certaines circonstances, le service de l'autorité de certification ne pourra plus démarrer.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Le problème sous-jacent est que la fonction de notification par courrier électronique de l'autorité de certification ne dispose pas de fonctions permettant de compenser une défaillance du serveur SMTP.
Ce problème peut être contourné en installant un serveur SMTP local sur l'autorité de certification. Le serveur SMTP local reçoit les e-mails de l'autorité de certification et les met en cache lorsque le serveur SMTP du réseau n'est pas accessible.
Attention : cette option présente également quelques inconvénients - le serveur SMTP de Windows Server 2019 est un très, très vieux composant IIS 6.0, et en tant que dépendance, un serveur web est toujours installé avec, ce qui n'est pas recommandé sur une autorité de certification en raison de la surface d'attaque accrue. Une meilleure solution serait d'implémenter une base de données centrale pour l'analyse des journaux d'événements (par exemple Microsoft Azure Log Analytics), et de mettre en place une notification par e-mail à cet endroit.
Le rôle de serveur SMTP peut être installé à l'aide de la commande Windows PowerShell suivante :
Add-WindowsFeature SMTP-Server -IncludeManagementTools
Le serveur SMTP est administré avec IIS 6.0 Manager.
Un clic droit sur l'entrée standard puis un clic sur Propriétés permettent d'ouvrir la configuration.
Il faut définir quels hôtes sont autorisés à envoyer des e-mails via ce serveur SMTP. Cela ne devrait être que l'hôte lui-même. Dans l'onglet Access, les paramètres se trouvent dans les restrictions de relais.
Le serveur SMTP ne peut malheureusement pas être lié à l'adresse de bouclage locale 127.0.0.1, mais seulement soit à toutes les adresses IP, soit à certaines adresses IP présentes sur une carte réseau. En raison des restrictions décrites précédemment, il faut absolument s'assurer que le pare-feu local n'autorise pas les connexions aux ports 25 (SMTP) et 80 (HTTP).
Pour les restrictions de relais, il est défini que seul l'hôte local (l'adresse IP de la carte réseau doit être saisie, pas l'adresse de bouclage) peut envoyer des e-mails.
Le partage après authentification est désactivé.
Pour que la redirection vers la passerelle de messagerie interne fonctionne, un Mail Exchanger (MX) Record doit être configuré dans le DNS interne pour le domaine du destinataire, car on ne peut pas définir de règles de redirection dans le serveur IIS SMTP.
Il est maintenant possible de configurer le module SMTP Exit de l'autorité de certification pour qu'il envoie les notifications par e-mail au serveur SMTP installé localement.
certutil -setreg exit\smtp\SMTPServer {Ip-Adresse-der-Zertifizierungsstelle}
Pour que les modifications prennent effet, le service d'autorité de certification doit être redémarré.
La file d'attente (queue) du serveur SMTP local se trouve sous C:\inetpub\mailroot\Queue et peut y être consultée.
Français 
Deutsch 
English
Les commentaires sont fermés.