Si l'on souhaite effectuer des travaux de maintenance, par exemple Migration vers un autre serveur ou effectuer des modifications de configuration importantes nécessitant un test de fonctionnement sur une autorité de certification, on souhaite que le service d'autorité de certification fonctionne, mais on veut en même temps éviter que des certificats soient automatiquement demandés à l'autorité de certification et délivrés par celle-ci pendant cette phase.
Cette situation peut être atteinte assez facilement en retirant aux utilisateurs le droit de demander des certificats à l'autorité de certification.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Par défaut, les options de sécurité de l'autorité de certification contiennent une entrée pour les „Authenticated Users“, qui comprennent donc tous les utilisateurs de la structure globale d'Active Directory, avec le droit „Request Certificates“.
Pour atteindre un mode de maintenance, il suffit de supprimer temporairement cette entrée. Cela se fait via la console de gestion des autorités de certification (certsrv.msc). Les options de sécurité pour l'autorité de certification sont accessibles par un clic droit sur l'autorité de certification et en sélectionnant „Properties“.
Pour un test fonctionnel, les comptes avec lesquels les tests sont effectués devraient se voir attribuer ici manuellement le droit „Request Certificates“ de manière transitoire.
Les réglages sont effectifs directement et sans redémarrage du service d'autorité de certification.
Ce qui est particulièrement pratique dans cette procédure, c'est que les autorisations configurées ici sont également transmises à l'objet pKIEnrollmentService dans l'Active Directory. Les clients savent donc automatiquement qu'ils ne peuvent pas demander de certificats à l'autorité de certification et ne font donc pas de demandes de certificats pendant le mode de maintenance.
Cependant, cette situation peut aussi avoir des effets secondaires indésirables. Par exemple, si l'on est en train de Migration d'une autorité de certification vers un autre serveur effectue d'abord la sauvegarde de l'enregistrement de l'autorité de certification, puis passe en mode maintenance, l'objet pKIEnrollmentService n'est pas correctement mis à jour après la restauration du registre sur le nouveau serveur. Dans ce cas, il faut donc absolument veiller à respecter l'ordre correct.
Liens complémentaires :
- Migration d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) vers un nouveau serveur
- La demande de certificat échoue avec le message d'erreur "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted".
Français 
Deutsch 
English
Les commentaires sont fermés.