Supposons le scénario suivant :
- Un nouveau certificat d'autorité de certification est demandé pour une autorité de certification subordonnée et délivré par l'autorité de certification supérieure.
- Le site Subject Distinguished Name (DN de sujet) est identique à celui du certificat d'autorité de certification précédent.
- Néanmoins, l'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services. The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration. The new certificate subject name does not exactly match the active CA name. Renew with a new key to allow minor subject name changes: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER).
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Lors de l'installation d'un certificat d'autorité de certification, l'autorité de certification compare le Subject Distiguished Name (Subject DN) avec celui du certificat d'autorité de certification précédent.
Cette comparaison n'est toutefois pas effectuée sous forme de comparaison de chaînes de caractères, mais sous forme de comparaison des sommes de contrôle (Name Hashes), qui sont à leur tour formées à partir de la représentation binaire du Subject DN.
Ainsi, si le codage des caractères est différent, par exemple parce que l'autorité de certification de niveau supérieur n'a pas le même système de codage, l'autorité de certification de niveau inférieur ne peut pas utiliser le même système de codage. Comportement pour le codage des caractères a été modifié entre-temps, l'installation du certificat d'autorité de certification échoue avec le message d'erreur ci-dessus.
Le comportement de l'autorité de certification correspond exactement à celui adopté lors du Création d'une chaîne de certificats (correspondance de nom). Si un codage de caractères différent était autorisé, des problèmes pourraient survenir lors de l'établissement de la chaîne de certificats. Il est donc indispensable que le codage des caractères reste identique au certificat d'autorité de certification précédent.
La solution consiste donc à émettre le certificat d'autorité de certification avec le même codage de caractères pour le Subject DN que précédemment.
Une autre solution (non testée/confirmée) peut être de procéder au renouvellement du certificat d'autorité de certification en utilisant une nouvelle paire de clés.
Français 
Deutsch 
English
Les commentaires sont fermés.