On souhaite souvent vérifier une demande de certificat avant de la transmettre à une autorité de certification - ou avant d'émettre le certificat - pour s'assurer qu'elle contient les valeurs souhaitées.
La manière d'y parvenir est décrite ci-dessous.
Il existe deux façons d'inspecter une demande de certificat :
- Inspecter une demande de certificat avant de la soumettre
- Inspecter une demande de certificat après sa transmission
Inspecter une demande de certificat avant de la soumettre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Supposons qu'une demande de certificat se présente sous la forme d'un fichier texte. Si on l'ouvre, on tombera soit sur des données binaires, soit sur la variante codée en BASE64 comme le montre l'image.
Dans chaque version actuelle de Windows se trouve l'utilitaire certutilqui permet de décoder et de rendre lisible un tel fichier. Voici un exemple :
certutil -dump {Dateiname-Zertifikatanforderung}
Inspecter une demande de certificat après sa transmission
Supposons que la demande de certificat ait déjà été transmise à l'autorité de certification, mais que le certificat n'ait pas été émis directement, mais configuré pour être approuvé par un gestionnaire de certificats, comme cela est par exemple recommandé pour les certificats de serveur web.
Dans ce cas, un gestionnaire de certificats peut vérifier la demande de certificat en attente via la console de gestion des autorités de certification (certsrv.msc). Sous "Pending Requests", il faut faire un clic droit sur la demande de certificat et sélectionner "All Tasks" - "Export Binary Data...".
Dans la sélection qui suit, on choisit la colonne de base de données "Binary Request" et l'option "View formatted text version of data".
On obtient ensuite la même vue que la commande certutil précédente, mais exportée dans un fichier texte.
Inspecter une demande de certificat après l'émission du certificat
Si le certificat a déjà été délivré, la demande de certificat correspondante est néanmoins enregistrée dans la base de données de l'autorité de certification et peut donc encore être consultée après la délivrance.
Pour cela, il faut naviguer vers "Issued Certificates" et sélectionner dans le menu l'option "View" - "Add/Remove Columns...".
On ajoute la colonne "Binary Request" en la sélectionnant et en cliquant sur "Add ->".
Ensuite, la demande de certificat peut être inspectée de la même manière que la procédure précédente.
Quelles informations un gestionnaire de certificats doit-il rechercher ?
Outre le nom commun, il faut absolument rechercher le Subject Alternative Name (SAN). Selon la RFC2818, celui-ci doit être utilisé de préférence, du moins pour HTTPS, afin de représenter l'identité. Si un SAN est disponible, il se trouve plus bas dans les extensions de certificat (Certificate Extensions).
Si une demande de certificat ne contient pas de Subject Alternative Name (SAN), ce dernier peut être utilisé. être ajoutés ultérieurement par le gestionnaire de certificatsCe qui est recommandé pour les certificats de serveur web.
Dans certaines circonstances, le sujet d'une demande de certificat peut être modifié par un gestionnaire de certificats. Comment y parvenir, dans l'article "Modifier ultérieurement le sujet (demandeur) d'une demande de certificat (CSR)" décrit.
Il convient de vérifier la conformité de ces deux informations avec sa propre politique de certification. Les demandes de certificat qui contiennent par exemple des noms de domaine non autorisés doivent être refusées.
Français 
Deutsch 
English
Les commentaires sont fermés.