Planification de la validité des certificats et de la période de renouvellement des certificats d'entité finaux avec auto-enrollment

Si l'auto-enrollment est utilisé, les participants demandent eux-mêmes des certificats et les renouvellent également de manière autonome.

En ce qui concerne la validité des certificats et la période de leur renouvellement automatique, il existe deux valeurs qui peuvent être configurées dans l'onglet „General“ d'un modèle de certificat :

• Période de validité (Validity period) : Décrit la durée de validité totale du certificat délivré.
• Période de renouvellement (Renewal period) : Décrit à partir de quelle fenêtre, considérée à rebours de la date d'expiration du certificat, le renouvellement automatique est tenté pour la première fois (par ex. 6 semaines avant l'expiration).

La valeur de la période de validité configurée dans le modèle de certificat peut être remplacée par d'autres facteurs. Pour plus d'informations, voir l'article „Configurer la période de validité maximale des certificats délivrés par une autorité de certification.„ .

La „Renewal period“ n'a d'effet que sur les modèles de certificats qui sont demandés ou renouvelés avec Autoenrollment. Les modèles de certificats dont les demandes de certificats sont faites manuellement, comme c'est par exemple le cas pour les serveurs web, ne peuvent pas utiliser cette valeur. Elle n'est donc pas pertinente pour de tels modèles de certificats.

Pour les certificats clients, par exemple, la première question à se poser concernant la validité des certificats est la suivante : quelle période puis-je garantir aux utilisateurs en les empêchant de contacter l'autorité de certification ? Cette période détermine à quel moment (par rapport à l'expiration imminente du certificat) le renouvellement doit commencer. Les ordinateurs clients ne sont pas toujours connectés en permanence au réseau - les utilisateurs partent en vacances, travaillent peut-être souvent sans VPN, ou l'appareil est disponible comme matériel de remplacement.

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Le site documentation officielle concernant la période de renouvellement (Renewal Period) stipule en effet ce qui suit :

La période minimale de renouvellement est de 80% de la durée de vie du certificat ou de six semaines, la plus longue des deux.

Cela signifie qu'il faut toujours que 80% de la validité du certificat se soient écoulés avant qu'un renouvellement du certificat ne soit tenté.

La période de renouvellement doit donc correspondre au moins à la période qui peut être garantie pour une utilisation hors ligne. Comme cette valeur représente au maximum 20% de la durée de validité totale du certificat, elle détermine également la valeur minimale de la durée de validité totale d'un certificat.

Si l'on souhaite par exemple garantir le renouvellement pendant trois mois, le certificat doit avoir une validité totale de 15 mois.

Veuillez toutefois noter que la période de renouvellement ne devrait pas être inférieure à huit heures, même pour les certificats à courte durée de vie. En effet, dans le pire des cas, le déclenchement d'une nouvelle demande n'intervient que toutes les huit heures. Voir à ce sujet l'article „Bases de la demande manuelle et automatique de certificats via Lightweight Directory Access Protocol (LDAP) et Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)„ .

Une longue durée de validité du certificat signifie également que certificats révoqués doivent être conservés plus longtemps sur la liste de révocation, ce qui augmente leur taille et peut donc éventuellement signifier une charge réseau et des temps de chargement plus élevés pour les ressources protégées par des certificats. Le principe devrait toujours être le suivant : aussi court que possible, aussi long que nécessaire.

Liens complémentaires :

• Les clients connectés via un réseau privé virtuel (VPN) ne renouvellent pas automatiquement leurs certificats
• Configurer la période de validité maximale des certificats délivrés par une autorité de certification.
• Bases de la demande manuelle et automatique de certificats via Lightweight Directory Access Protocol (LDAP) et Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)

Sources externes

• Administration des modèles de certificats (Microsoft)