Lorsqu'une autorité de certification est installée, le module de sortie "Windows Default" est automatiquement activé. Celui-ci permet d'envoyer des messages électroniques lors de certains événements de l'autorité de certification. La plupart des entreprises n'utilisent cependant pas du tout cette fonction.
Mais même si le module Exit n'est pas utilisé du tout, il génère des sessions dans la base de données de l'autorité de certification (voir Événement n° 46). Sur les autorités de certification à forte charge cela peut être problématique.
Si les fonctions qu'il offre ne sont pas du tout utilisées (Sous Windows Server Core, le module de sortie „ Windows Default “ ne fonctionne en principe pas.), il peut aussi être complètement désactivé.
Un exemple de projet pour la création de son propre module de sortie se trouve dans l'article "Créer un module de sortie pour l'autorité de certification dans C#". Il est ainsi possible de développer un module de sortie avec des fonctionnalités adaptées à ses besoins.
Procédure
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Désactiver le module Exit (console de gestion des autorités de certification)
Pour désactiver le module de sortie, il suffit de le supprimer de la configuration de l'autorité de certification.
Ensuite, il faut à nouveau redémarrer le service d'autorité de certification pour appliquer les modifications.
Dans le registre de l'autorité de certification, la configuration du module de sortie actif est enregistrée dans le chemin suivant :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{Common-Name-der-Zertifizierungsstelle}\ExitModules
Si aucun module de sortie n'est configuré, la valeur "Active" est vide.
Désactiver le module Exit (PowerShell)
L'objectif peut également être atteint très facilement via PowerShell :
$Root = "HKLM:\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration"
$CaName = (Get-ItemProperty -Path $Root -Name Active).Active
Clear-ItemProperty -Path "$Root\$CaName\ExitModules" -Name Active
Réactiver le module Exit
Contrairement aux modules Policy, il est également possible - si disponible - d'activer plusieurs modules Exit en même temps.
Ensuite, il faut à nouveau redémarrer le service d'autorité de certification pour appliquer les modifications.
Dans le registre, la valeur "Active" est à nouveau remplie en conséquence.
Liens complémentaires :
- Le module SMTP Exit ne fonctionne pas sur Windows Server Core
- L'émission de certificats ou de listes de révocation échoue avec le code d'erreur CERTSRV_E_NO_DB_SESSIONS
- Créer un module de sortie pour l'autorité de certification dans C#
Sources externes
- Modules de sortie - Win32 apps (Microsoft)
- Écriture de modules de sortie personnalisés - Win32 apps (Microsoft)
- Gestion de la politique et des modules de sortie (Microsoft)
- Sélectionner un module de sortie différent (Microsoft)
- Architecture des services de certification (Microsoft)
Français 
Deutsch 
English
Les commentaires sont fermés.