Microsoft Active Directory Certificate Services reprend les sujets des demandes de certificats pour les modèles dans lesquels leur spécification par le demandeur est autorisée, pas 1:1 dans le certificat délivré.
Au lieu de cela, est défini à la fois, quels noms distinctifs relatifs (RDN) sont autorisés, L'ordre dans lequel elles sont inscrites dans les certificats délivrés est également défini. Cet ordre peut toutefois être modifié. La manière de procéder est expliquée ci-dessous.
Il existe des applications qui comparent le Subject du certificat émis avec la demande de certificat soumise. Si l'ordre des Relative Distinguished Names est modifié, il se peut que les demandes de certificat échouent. Un exemple en est le Client SSCEP pour Linux, qui est souvent utilisé, entre autres, dans les clients légers. De même, la Signature des paquets Appx concernés.
Déterminer les paramètres actuels
L'ordre actuellement configuré peut être vérifié sur l'autorité de certification à l'aide de la commande de ligne de commande suivante :
certutil -v -getreg CA\SubjectTemplate
Par défaut, l'ordre est le suivant :
- Nom commun
- OrganizationalUnit
- Organisation
- Localité
- État
- DomainComponent
- Country
Si l'autorité de certification dessert un service d'enregistrement de périphériques réseau (Service d'inscription des périphériques réseau, NDES), les RDN suivants sont également définis :
- UnstructuredName
- UnstructuredAddress
- DeviceSerialNumber
Changer l'ordre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
En cas de modification par copier/coller avec l'éditeur de registre, il se peut que la valeur du registre ne soit plus lisible et que l'autorité de certification ne démarre plus. Dans ce cas, elle va supprimer le Événement n° 19 enregistrer.
La modification de l'ordre s'effectue de préférence via la ligne de commande. Pour ce faire, toutes les valeurs sont inscrites les unes à la suite des autres sur une seule ligne, séparées par le caractère de retour à la ligne.
exemple :
certutil -setreg CA\SubjectTemplate "EMail\nCommonName\nOrganizationalUnit\nOrganization\nLocality\nState\nDomainComponent\nCountry"
Le service d'autorité de certification doit ensuite être redémarré pour que les modifications soient appliquées.
Alternative : désactiver la reconstitution du sujet lors de la délivrance du certificat
L'autorité de certification peut également être configurée pour reprendre les RDN demandés sans les modifier. Voir à ce sujet l'article „Utilisation de noms distinctifs relatifs (RDN) non définis dans les certificats délivrés„ .
Français 
Deutsch 
English
Les commentaires sont fermés.