Il arrive parfois que la base de données de l'autorité de certification devienne extrêmement volumineuse. Il se peut qu'un grand nombre de demandes de certificats soient arrivées sans que l'on s'en aperçoive et qu'elles aient été refusées, il se peut aussi que la base de données contienne de nombreux certificats qui ont été émis en double. Après que les entrées correspondantes ont été supprimées de la base de données des organismes de certificationSi l'espace de stockage est déjà utilisé, il faut (peut) encore libérer l'espace ainsi gagné en le comprimant dans le système de fichiers du serveur.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Identification de l'emplacement de la base de données des autorités de certification
Par défaut, la base de données des autorités de certification se trouve dans C:\Windows\System32\CertLog. Si la base de données des autorités de certification se trouve à un autre emplacement, il est possible de l'identifier à l'aide de la commande suivante :
certutil -getreg DB*
Mettre l'organisme de certification en mode maintenance
Tout d'abord, si ce n'est pas déjà fait, mettre l'autorité de certification en mode maintenance. Cela évite que le contenu de la base de données de l'autorité de certification ne soit modifié jusqu'à la fin des travaux de maintenance et permet également de restaurer une sauvegarde effectuée au début des travaux.
Création d'une sauvegarde de la base de données des autorités de certification
Il convient ensuite de procéder à une sauvegarde de la base de données de l'autorité de certification. La sauvegarde a pour effet d'autoriser la reprise des journaux de transactions (en anglais Transaction Logs) de la base de données dans le fichier de la base de données.
certutil -backupdb {Pfad-zum-Backup-Ordner}
Arrêter le service d'autorité de certification
Si le service d'autorité de certification est maintenant arrêté, les journaux de transactions sont transférés dans le fichier de base de données.
Ce processus permet à lui seul de gagner beaucoup d'espace de stockage.
Compactage de la base de données des organismes de certification
ImportantLe compactage de la base de données doit se faire sur les données en direct. Il n'est pas possible de compacter une sauvegarde de la base de données de l'autorité de certification et de la restaurer ensuite.
L'autorité de certification peut maintenant être compactée (défragmentée) à l'aide de la commande suivante.
esentutl /d {Pfad-zur-Datenbankdatei}
Maintenant que le compactage du fichier de la base de données est terminé, celui-ci devrait être nettement plus petit qu'auparavant.
Remise en service de l'organisme de certification
Ensuite, le service d'autorité de certification peut être redémarré.
Il convient maintenant de créer une nouvelle sauvegarde de la base de données compactée.
certutil -backupdb {Pfad-zum-Backup-Ordner}
De même, il ne faut pas oublier de sortir à nouveau l'autorité de certification du mode de maintenance.
Français 
Deutsch 
English
Les commentaires sont fermés.