Depuis l'apparition des outils d'administration des services de certificats dans Windows Server 2012, il est possible de sélectionner la compatibilité souhaitée pour l'autorité de certification et les destinataires du certificat lors de la configuration d'un modèle de certificat.
Cette fonction est décrite plus en détail ci-dessous, ainsi que ses effets possibles dans la pratique.
Pour un aperçu des options disponibles en cas de modification des différents paramètres de compatibilité, voir l'article „Aperçu de la disponibilité des options lors de la modification des paramètres de compatibilité d'un modèle de certificat„ .
Les paramètres de compatibilité sont définis sous forme de masque de bits dans l'attribut Drapeau de clé privée msPKI représentée dans le modèle de certificat.
Le site Drapeau de clé privée msPKI deux attributs subordonnés :
- CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT
- CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT
Valeurs possibles pour CTPRIVATEKEY_FLAG_SERVERVERSION_SHIFT
| Système d'exploitation | Drapeau | Valeur |
|---|---|---|
| Réglage par défaut | TEMPLATE_SERVER_VER_NONE | 0 |
| Windows Server 2003 | TEMPLATE_SERVER_VER_2003 | 10000 (65536) |
| Windows Server 2008 | TEMPLATE_SERVER_VER_2008 | 20000 (131072) |
| Windows Server 2008 R2 | TEMPLATE_SERVER_VER_2008R2 | 30000 (196608) |
| Windows Server 2012 | TEMPLATE_SERVER_VER_WIN8 | 40000 (262144) |
| Windows Server 2012 R2 | TEMPLATE_SERVER_VER_WINBLUE | 50000 (327680) |
| Windows Server 2016 | TEMPLATE_SERVER_VER_THRESHOLD | 60000 (393216) |
Valeurs possibles pour CTPRIVATEKEY_FLAG_CLIENTVERSION_SHIFT
| Système d'exploitation | Drapeau | Valeur |
|---|---|---|
| Réglage par défaut | EMPLATE_CLIENT_VER_NONE | 0 |
| Windows XP | TEMPLATE_CLIENT_VER_XP | 1000000 (16777216) |
| Windows Vista | TEMPLATE_CLIENT_VER_VISTA | 2000000 (33554432) |
| Windows 7 | TEMPLATE_CLIENT_VER_WIN7 | 3000000 (50331648) |
| Windows 8 | TEMPLATE_CLIENT_VER_WIN8 | 4000000 (67108864) |
| Windows 8.1 | TEMPLATE_CLIENT_VER_WINBLUE | 5000000 (83886080) |
| Windows 10 | TEMPLATE_CLIENT_VER_THRESHOLD | 6000000 (100663296) |
Demande d'attribut pour un modèle de certificat
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
La commande de ligne de commande suivante permet d'interroger les valeurs actuellement configurées pour un modèle de certificat pour les deux drapeaux :
certutil -v -template {Name-der-Vorlage} | findstr VERSION_SHIFT
Le nom du modèle correspond au nom de l'objet Active Directory, pas au nom d'affichage.
Il est également possible d'utiliser le Drapeau de clé privée msPKI d'interroger et d'évaluer directement l'objet pKICertificateTemplate dans Active Directory.
certutil -v -ds "{DN-des-Template-Objekts}"
exemple :
certutil -v -ds "CN=ADCSLaborBenutzer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de"
Si l'on vérifie directement après une modification du modèle de certificat, il faut actualiser le cache côté client avec certutil -pulse afin d'obtenir les informations les plus récentes.
Français 
Deutsch 
English
Les commentaires sont fermés.