Depuis Windows Server 2008, l'installation du rôle d'autorité de certification se fait en deux étapes :
- Installation des fichiers de rôles. Cette étape est décrite ci-dessous.
- Configuration du rôle d'autorité de certification.
Récupération d'un certificat d'autorité de certification avec le module de sécurité matériel (HSM)
La procédure suivante décrit la restauration d'un certificat d'autorité de certification à l'aide d'une clé logicielle.
La restauration du certificat de l'autorité de certification peut être nécessaire pour les raisons suivantes :
- Restauration d'une autorité de certification à partir d'une sauvegarde
- Migration de l'autorité de certification vers un nouveau serveur
- Signature d'urgence des listes de blocage sur un autre ordinateur
Récupération d'un certificat d'autorité de certification avec une clé logicielle
La procédure suivante décrit la restauration d'un certificat d'autorité de certification à l'aide d'une clé logicielle.
La restauration du certificat de l'autorité de certification peut être nécessaire pour les raisons suivantes :
- Restauration d'une autorité de certification à partir d'une sauvegarde
- Migration de l'autorité de certification vers un nouveau serveur
- Signature d'urgence des listes de blocage sur un autre ordinateur
Quelle est l'influence de l'expiration d'un certificat d'organisme de certification sur l'organisme de certification ?
Les certificats d'autorité de certification ont une date de début et une date de fin définies, de sorte qu'il est inévitable que les certificats d'autorité de certification expirent au cours du cycle de vie d'une autorité de certification.
Les conséquences de l'expiration d'un certificat d'autorité de certification pour l'autorité de certification sont décrites ci-dessous.
Continuer la lecture de « Welchen Einfluss hat der Ablauf eines der Zertifizierungsstellen-Zertifikate auf die Zertifizierungsstelle? »La demande de certificat échoue avec le message d'erreur „ 0x800b0101 (-2146762495 CERT_E_EXPIRED) “.“
Supposons le scénario suivant :
- Un utilisateur demande un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
- La demande de certificat échoue avec le message d'erreur suivant.
Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „ Les données sont invalides. 0x8007000d (WIN32 : 13 ERROR_INVALID_DATA). “
Supposons le scénario suivant :
- Une autorité de certification est mise en œuvre sur le réseau.
- Le service d'autorité de certification ne démarre pas
- Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The data is invalid. 0xd (WIN32: 13 ERROR_INVALID_DATA)Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA).“ »
Suppression d'anciens certificats d'autorité de certification de la configuration d'une autorité de certification
Au cours de la vie d'une autorité de certification, les certificats d'autorité de certification sont renouvelés conformément à la planification de leur cycle de vie. A cette occasion, une nouvelle paire de clés peut être utilisée en option. Les certificats d'autorité de certification précédents expirent ou sont révoqués.
Les certificats d'autorité de certification expirés peuvent poser problème dans certaines circonstances, par exemple lorsque les clés privées correspondantes sont stockées sur d'anciens modules de sécurité matériels (HSM) et qu'il est très difficile de les migrer vers un nouveau matériel.
Dans un tel cas, il peut être utile de supprimer les anciens certificats d'autorité de certification de la configuration de l'autorité de certification.
Continuer la lecture de « Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle »Renouveler automatiquement tous les certificats émis pour un modèle de certificat par les titulaires de certificats
Lors de l'exploitation d'une autorité de certification, il peut arriver que tous les certificats émis pour un modèle de certificat donné doivent être renouvelés, par exemple en raison de modifications importantes de la configuration ou d'un changement de l'autorité de certification émettrice. Un mécanisme permettant d'automatiser cette opération est décrit ci-dessous.
Continuer la lecture de « Alle für eine Zertifikatvorlage ausgestellten Zertifikate automatisch von den Zertifikatinhabern erneuern lassen »Créer une sauvegarde (backup) d'une autorité de certification
Une gestion professionnelle d'un organisme de certification implique également la création régulière de sauvegardes.
Vous trouverez ci-dessous une description des composants à sauvegarder et de la procédure à suivre.
Continuer la lecture de « Eine Sicherung (Backup) einer Zertifizierungsstelle erstellen »Créer une sauvegarde (backup) de la clé privée d'une autorité de certification
À une Sécurisation d'un organisme de certification comprend également la sauvegarde du matériel cryptographique privé. La sauvegarde de ce matériel est décrite séparément, car elle doit être effectuée séparément et les sauvegardes doivent être conservées séparément de celles de l'autorité de certification.
Continuer la lecture de « Eine Sicherung (Backup) des privaten Schlüssels einer Zertifizierungsstelle erstellen »Exécution de la signature d'urgence des listes de révocation de certificats
Le composant le plus important d'une PKI en termes de disponibilité n'est pas, comme on le suppose souvent, l'autorité de certification, mais les points de distribution des listes de révocation. Si une autorité de certification n'est pas disponible, seuls les nouveaux certificats ne peuvent être délivrés, mais les certificats déjà délivrés peuvent continuer à être utilisés sans restriction tant que leur statut de révocation peut être vérifié. Outre la simple disponibilité des points de distribution des listes de révocation, les informations de révocation doivent bien sûr également être valides en termes de signature. Les listes de révocation ont une date d'expiration définie, après laquelle elles ne peuvent plus être utilisées. Si une autorité de certification est hors service, elle ne peut plus publier de nouvelles listes de révocation. Dans ce cas, le processus de signature d'urgence des listes de révocation est prévu.
Continuer la lecture de « Durchführen der Notfallsignierung von Zertifikatsperrlisten »Quelle est l'influence de l'expiration de la liste de révocation d'une autorité de certification supérieure sur l'autorité de certification ?
Malheureusement, il arrive parfois dans la pratique que la liste de blocage d'une autorité de certification supérieure expire et ne soit pas renouvelée. Cela peut également se produire de manière planifiée, par exemple lors de la mise hors service d'une ancienne hiérarchie.
Continuer la lecture de « Welchen Einfluss hat der Ablauf der Sperrliste einer der übergeordneten Zertifizierungsstellen auf die Zertifizierungsstelle? »Quelle est l'influence de l'importation d'un certificat racine dans le magasin „ Certificats non approuvés “ sur l'autorité de certification ?
Les conséquences sur le fonctionnement de l'autorité de certification sont décrites ci-dessous lorsqu'un certificat racine, qui a délivré l'un des certificats d'autorité de certification d'une autorité de certification, est importé dans la mémoire des certificats non fiables (Untrusted Certificates) de l'autorité de certification.
Ce cas peut se produire de manière planifiée, par exemple lorsqu'une ancienne hiérarchie d'autorités de certification doit être mise hors service.
Continuer la lecture de « Welchen Einfluss hat der Import eines Stammstellenzertifikats in den „Untrusted Certificates“ Speicher auf die Zertifizierungsstelle? »Les requêtes adressées à la base de données des autorités de certification échouent avec le message d'erreur „ 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED) “.“
Supposons le scénario suivant :
- Une requête est effectuée dans la base de données des autorités de certification.
- La requête échoue avec le message d'erreur suivant :
CertUtil: -view command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)Continuer la lecture de « Abfragen gegen die Zertifizierungsstellen-Datenbank schlagen fehl mit Fehlermeldung „0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“ »
Exportation des clés privées archivées depuis la base de données de l'autorité de certification
Si l'archivage des clés privées a été activé, il peut être nécessaire, dans certaines circonstances, d'exporter ces clés depuis la base de données de l'autorité de certification et de les convertir dans un autre format (PKCS#12, PFX), par exemple pour un archivage à long terme.
Vous trouverez ci-dessous une description de la procédure à suivre pour exporter certaines ou toutes les clés archivées et obtenir les métadonnées nécessaires.
Continuer la lecture de « Exportieren archivierter privater Schlüssel aus der Zertifizierungsstellen-Datenbank »
Français 
Deutsch 
English