Si l'on souhaite effectuer des travaux de maintenance, par exemple Migration vers un autre serveur ou effectuer des modifications de configuration importantes nécessitant un test de fonctionnement sur une autorité de certification, on souhaite que le service d'autorité de certification fonctionne, mais on veut en même temps éviter que des certificats soient automatiquement demandés à l'autorité de certification et délivrés par celle-ci pendant cette phase.
Dieser Zustand kann relativ einfach erreicht werden, indem man den Benutzern das Recht entzieht, Zertifikate von der Zertifizierungsstelle zu beantragen.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
In der Standardeinstellung ist in den Sicherheitsoptionen der Zertiifzierungsstelle ein Eintrag für die „Authenticated Users“, welche somit alle Benutzer in der Active Directory Gesamtstruktur umfassen, mit dem Recht „Request Certificates“ eingetragen.
Für die Erreichung eines Wartungsmodus ist es ausreichend, diesen Eintrag vorübergehend zu entfernen. Dies wird über die Zertifizierungsstellen-Verwaltungskonsole (certsrv.msc) vorgenommen. Die Sicherheitsoptionen für die Zertifizierungsstelle sind erreichbar mit Rechtsklick auf die Zertifizierungsstelle und Auswahl von „Properties“.
Für einen Funktionstest sollten die Konten, mit denen die Tests durchgeführt werden, hier übergangsweise das Recht „Request Certificates“ manuell eingeräumt werden.
Die Einstellungen sind direkt und ohne Neustart des Zertifizierungsstellen-Dienstes effektiv.
Besonders praktisch an dieser Vorgehensweise ist, dass die hier konfigurierten Berechtigungen auch in das pKIEnrollmentService Objekt im Active Directory übertragen sind. Clients wissen also automatisch, dass sie keine Zertifikate von der Zertifizierungsstelle beantragen können und stellen während des Wartungsmodus also auch keine Zertifikatanforderungen.
Jedoch kann dieser Umstand auch zu ungewünschten Nebeneffekten führen. Wenn man beispielsweise während der Migration einer Zertifizierungsstelle auf einen anderen Server zuerst die Sicherung der Zertifizierungsstellen-Registrierung vornimmt und anschließend in den Wartungsmodus wechselt, wird nach Wiederherstellung der Registry auf dem neuen Server das pKIEnrollmentService Objekt nicht korrekt aktualisiert. Es ist in diesem Fall also unbedingt auf die korrekte Reihenfolge zu achten.
Liens complémentaires :
- Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen neuen Server
- La demande de certificat échoue avec le message d'erreur "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted".
Français 
Deutsch 
English
Les commentaires sont fermés.