Une fois qu'une politique d'enregistrement des certificats (Enrollment Policy) a été configurée et utilisée par un participant, les résultats sont mis en cache localement (Enrollment Policy Cache).
Si l'on procède maintenant à des modifications de l'infrastructure, par exemple en publiant ou en supprimant un nouveau modèle de certificat sur une autorité de certification accessible via le Certificate Enrollment Web Service (CES), ces modifications ne sont pas immédiatement visibles pour les participants en raison de la mise en mémoire tampon.
C'est pourquoi il peut être utile, dans certaines circonstances, de consulter ou d'effacer la mémoire tampon.
Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .
Quand la mémoire cache est-elle créée ?
La mise en mémoire tampon a lieu au moment où le CEP est contacté pour la première fois afin d'obtenir des informations.
La commande de ligne de commande suivante permet de consulter le cache de la politique d'affiliation pour le compte de l'ordinateur :
certutil -policyserver * -policycache
La commande de ligne de commande suivante permet de consulter le cache de la politique d'affiliation pour l'utilisateur connecté :
certutil -user -policyserver * -policycache
Où est stocké le cache ?
Le cache de la politique d'affiliation est stocké dans un fichier local :
- Pour le compte d'ordinateur sous %ProgramData%\Microsoft\NWindows\X509Enrollment.
- Pour l'utilisateur actuellement connecté sous %USERPROFILE%\AppData\Local\Microsoft\Windows\X509Enrollment.
Si l'on supprime les fichiers se trouvant dans les dossiers, cela entraîne la suppression du cache.
Quelle est la durée de validité de la cache ?
Les fichiers sont formatés en XML et peuvent être consultés avec un éditeur de texte. Dans la structure XML, il y a un élément appelé nextUpdateHours, qui indique la période de validité de l'entrée de cache.
Effacer le cache de la politique d'affiliation
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Il suffit de supprimer les fichiers du cache de la politique d'affiliation. Il est également possible de procéder à une suppression par ligne de commande.
La commande de ligne de commande suivante permet d'effacer le cache de la politique d'affiliation pour le compte de l'ordinateur :
certutil -f -policyserver * -policycache delete
La commande de ligne de commande suivante permet d'effacer le cache de la politique d'affiliation pour l'utilisateur connecté :
certutil -f -user -policyserver * -policycache delete
Le service de politique d'enregistrement des certificats (CEP) stocke également les informations de manière intermédiaire. Ainsi, si l'on a apporté une modification à un modèle de certificat, publié un nouveau modèle de certificat ou supprimé un modèle de certificat, le CEP continuera dans un premier temps à fournir les informations antérieures obsolètes. Une mise à jour du cache côté serveur peut être forcée en redémarrant le pool d'applications WSEnrollmentPolicyWebService ou le service du serveur web.
Si le cache ne contient aucune entrée et que l'on exécute la commande, celle-ci échoue avec le message d'erreur suivant :
CertUtil: -PolicyCache command FAILED: 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
CertUtil: The parameter is incorrect.
Français 
Deutsch 
English
Les commentaires sont fermés.