Dans le cas d'infrastructures à clé publique existantes, il se peut que l'on constate que la validité du certificat de l'autorité de certification racine n'a pas fait ses preuves. Par exemple, il se peut qu'elle soit trop courte (le paramètre par défaut de Microsoft ADCS est de cinq ans seulement), voire trop longue, ce qui n'est peut-être pas optimal du point de vue de la sécurité.
Si l'on renouvelle le certificat d'autorité de certification, on souhaite peut-être obtenir une autre durée de validité.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
L'autorité de certification racine se signe elle-même. C'est pourquoi la configuration concernant son renouvellement ne se trouve pas dans le registre, mais dans le fichier capolicy.infLe système d'authentification de l'autorité de certification, qui est également utilisé lors de l'installation d'une autorité de certification.
Il se trouve dans le répertoire Windows, donc en général sous "C:\Windows\capolicy.inf".
Si elle n'existe pas, il faut d'abord la créer.
Le fichier doit être enregistré avec l'encodage ANSI. Dans l'écosystème Windows, la désignation "ANSI" correspond au code de caractères Windows-1252 (Latin-1, Europe de l'Ouest).
| Option | Description | Exemple de valeur |
|---|---|---|
| RenewalKeyLength | La longueur de la clé, si le renouvellement doit se faire avec une nouvelle paire de clés. | 4096 |
| RenewalValidityPeriod | L'unité de temps pour la validité du nouveau certificat d'autorité de certification. | Years |
| RenewalValidityPeriodUnits | Le nombre d'unités de temps pour la validité du nouveau certificat d'autorité de certification. | 10 |
Un fichier de configuration minimal pourrait donc se présenter comme suit :
[Version]
Signature= "$Windows NT$"
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
Les paramètres "RenewalValidityPeriod" et "RenewalValidityPeriosUnits" permettent ainsi de contrôler la durée de validité du nouveau certificat d'autorité de certification. Ainsi, lors de son renouvellement, un certificat d'autorité de certification peut avoir une validité plus longue ou plus courte qu'auparavant.
Il y a toutefois une particularité à prendre en compte : Un certificat d'autorité de certification suivant ne peut jamais avoir une validité plus courte que le précédent. Un raccourcissement est donc tout à fait possible, mais pas si la date de fin du nouveau certificat est antérieure à celle du précédent.
Français 
Deutsch 
English