Supposons le scénario suivant :
- Un modèle de certificat est configuré pour la demande et l'émission automatiques (AutoEnrollment).
- Les utilisateurs ou les ordinateurs demandent régulièrement de nouveaux certificats, bien avant la période de renouvellement définie.
Dans le magasin de certificats de l'utilisateur ou de l'ordinateur concerné, on remarque qu'aucune information sur les modèles de certificats des certificats concernés n'est affichée.
Cause
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Les déclencheurs d'une demande automatique de certificat par le processus d'auto-enrollment sont
- à l'ouverture de session de l'utilisateur (sur les ordinateurs, lorsque le compte de l'ordinateur se connecte, c'est-à-dire au démarrage du système)
- Par minuterie toutes les 8 heures.
- Lors d'une mise à jour de la stratégie de groupe, à condition qu'il y ait eu un changement.
Les certificats font l'objet d'une nouvelle demande, car ils ne contiennent pas l'extension „Certificate Template Information“. Celle-ci est fournie par le Client à défilement automatique afin de déterminer si un certificat existe déjà ou s'il faut en demander un nouveau. Si l'extension n'existe pas, une nouvelle demande de certificat est effectuée à chaque appel du processus d'auto-enrollment.
La plupart du temps, la cause est que l'extension de certificat correspondante a été désactivée dans le module Policy de l'autorité de certification.
Cela peut être déterminé à l'aide de la commande de ligne de commande suivante.
certutil -getreg policy\DisableExtensionList
Si l'identificateur d'objet 1.3.6.1.4.1.311.21.7 (szOID_CERTIFICATE_TEMPLATE) apparaît dans la liste, l'autorité de certification ne l'inscrit pas dans les certificats délivrés.
L'entrée peut être supprimée à l'aide de la commande de ligne de commande suivante.
certutil -setreg policy\DisableExtensionList -1.3.6.1.4.1.311.21.7
Le service d'autorité de certification doit ensuite être redémarré pour que les modifications prennent effet.
Maintenant, l'extension de certificat devrait à nouveau être inscrite dans les certificats émis.
Liens complémentaires :
- Bases de la demande manuelle et automatique de certificats via Lightweight Directory Access Protocol (LDAP) et Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)
- Renouveler automatiquement tous les certificats émis pour un modèle de certificat par les titulaires de certificats
- Suppression des extensions spécifiques à ADCS des certificats
- Le répondeur en ligne (OCSP) demande de nouveaux certificats de signature toutes les quatre heures
Sources externes :
- IDs d'objets associés à la cryptographie Microsoft (Microsoft, lien archive)
- Traitement de l'extension de requête dans l'Autorité de Certification Active Directory (PKI Solutions, Inc.)
Français 
Deutsch 
English