Quelle est la différence entre „ demander “ et „ renouveler “ un certificat dans l'écosystème Windows ?

Si l'on souhaite demander ou renouveler des certificats sur un client Windows via la console de gestion Microsoft (MMC), plusieurs options s'offrent à nous ; bien qu'elles permettent toutes d'atteindre l'objectif, elles présentent toutefois des comportements différents. Nous allons aborder ces différences ci-après.

Les principes de base du fonctionnement général sont présentés dans l'article „Bases de la demande manuelle et automatique de certificats via le Lightweight Directory Access Protocol (LDAP) et Remote Procedure Call / Distributed Common Object Model (RPC/DCOM) avec le protocole MS-WCCE„ .

Le principe de fonctionnement est le même pour la demande automatique de certificats (Autoenrollment).

Option „ Demander “

Première demande

Si vous commencez la procédure sans disposer encore d'un certificat, sélectionnez l'option „ Request New Certificate… “ dans le dossier des certificats de l'utilisateur ou de l'ordinateur.

Lors de la demande de certificat, il faut indiquer…

  • quel modèle de certificat est utilisé
  • éventuellement aussi, quelles identités doivent figurer dans le certificat, dans la mesure où il s'agit d'un modèle de certificat hors ligne, c'est-à-dire d'un modèle dans lequel le demandeur est autorisé à indiquer son identité (option „ Supply in the Request “ dans le modèle de certificat)

Nouvelle demande

Si vous possédez déjà un certificat, un clic droit dessus vous offre les options supplémentaires suivantes :

  • Demander un certificat avec une nouvelle clé…
  • Demander un certificat avec la même clé…

Si l'on choisit l'une de ces deux options, le même modèle de certificat est réutilisé.

Ce serait pratique si, dans le cas d'un modèle de certificat hors ligne, les informations d'identité (Subject Distinguished Name et Subject Alternative Name) du certificat précédent étaient également transférées vers la nouvelle demande de signature de certificat (Certificate Signing Request, CSR). Mais Microsoft n'a pas prévu cette fonctionnalité. Il faut donc saisir à nouveau toutes ces informations.

La seule différence entre ces deux options réside dans le fait de savoir s'il faut utiliser une nouvelle paire de clés ou réutiliser l'ancienne.

La structure de données sous-jacente

Dans tous les cas mentionnés, le processus qui se déroule en arrière-plan est en principe toujours le même : une demande de certificat PKCS#10 (en anglais : Certificate Signing Request, CSR) est générée. Celle-ci est intégrée dans une structure CMS, qui est signée à l'aide de la clé privée de la CSR qu'elle contient.

Pas d'archivage des certificats précédents

Lorsque l'option „ Demander “ est sélectionnée, le certificat précédent (le cas échéant) est systématiquement pas marqué du bit d'archivage, afin qu'il reste visible dans la MMC.

Option „ Renouveler “

Si vous possédez déjà un certificat, un clic droit dessus vous offre les options supplémentaires suivantes :

  • Renouveler le certificat avec une nouvelle clé…
  • Renouveler le certificat avec la même clé…

La structure de données sous-jacente

C'est là que les choses deviennent intéressantes : lorsque l'option „ Renouveler “ est utilisée, une demande de certificat PKCS#10 (en anglais : Certificate Signing Request, CSR) est également générée ; celle-ci est intégrée dans le CMS, mais…

  • celui-ci contient les mêmes informations dans les champs « Subject Distinguished Name » et « Subject Alternative Name » que le certificat précédent.
  • La demande de certificat PKCS#10 interne contient une extension avec l'OID propriétaire de Microsoft 1.3.6.1.4.1.311.13.1 (szOID_RENEWAL_CERTIFICATE), qui contient le certificat précédent.

Une liaison cryptographique est ainsi établie entre le certificat précédent et la nouvelle demande de certificat. En fin de compte, la demande de certificat est authentifiée par la possession du certificat existant.

Première demande manuelle – renouvellement automatique

Ce dispositif nous permet ainsi de procéder à la première demande d'un certificat avec validation manuelle (y compris sous forme de modèle de certificat hors ligne), tout en effectuant les renouvellements de manière automatique, car il est garanti que c'est bien le même demandeur qui sollicite un certificat dont le contenu est exactement identique.

Il convient toutefois de préciser d'emblée que cela ne fonctionne qu'avec l'inscription automatique. Cliquer manuellement dans la console MMC ne fonctionne pas.

Archivage des certificats antérieurs

De plus, lorsque l'option „ Renouveler “ est sélectionnée, le certificat précédent est marqué du bit d'archivage sur le client, de sorte qu'il n'apparaît plus dans la console MMC.

Quelle option Windows utilise-t-il pour l'inscription automatique ?

Windows Autoenrollment utilise en effet les deux méthodes. Autrement dit…

  • Lors d'une première demande, la demande de certificat est intégrée dans une structure CMS et signée à l'aide de la clé privée de la CSR.
  • Lors du renouvellement ultérieur du certificat, l'option correspondante est utilisée, c'est-à-dire que la demande de certificat inclut le certificat précédent en tant qu'attribut et que la structure CMS externe est signée avec la clé privée du certificat précédent.

Ce qui peut sembler anodin fait pourtant une différence notable, par exemple pour les développeurs de logiciels – c'est pourquoi pas chaque demande de certificat est identique.

Liens complémentaires :

Sources externes

fr_FRFrançais