Avec l'introduction des modèles de certificats de la version 2 avec Windows XP et Windows Server 2003, une option a été ajoutée permettant à un modèle de certificat d'en remplacer un ou plusieurs autres.
Cela permet de remplacer les certificats émis par ceux d'un autre modèle de certificat ou de regrouper plusieurs modèles de certificats en un seul.
Ce mécanisme ne fonctionne que pour les certificats qui sont soit manuellement ou automatiquement via l'inscription automatique être demandé.
La configuration des modèles de certificat à remplacer est définie dans l'onglet „ Superseded Templates “ (Modèles remplacés) du nouveau modèle de certificat.
Dès que le processus d'inscription automatique reçoit un certificat du nouveau modèle de certificat, les certificats des modèles remplacés sont archivés, c'est-à-dire qu'ils sont toujours disponibles sur le client, mais ne sont plus proposés à la sélection.
Sur le client, le Événement avec l'ID 10 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll sont consignées.
Il est également possible de configurer la suppression des certificats remplacés du magasin de certificats local. Ce paramètre est défini dans l'onglet „ Request Handling “ (Traitement des demandes) du modèle de certificat de remplacement, mais n'est possible que si l'objectif (Purpose) est défini sur „ Signature “.
Si une suppression est configurée, pas la clé privée du certificat est supprimée.
Questions et réponses sur Superseding
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
La demande de certificat est-elle effectuée immédiatement ou seulement lorsque 80% de la validité du certificat du modèle de certificat remplacé ont expiré ?
Contrairement au renouvellement d'un certificat à partir du même modèle de certificat, la demande d'un certificat à partir du nouveau modèle de certificat ne se fait pas uniquement après expiration de la validité du certificat 80% du modèle de certificat remplacé, mais immédiatement (c'est-à-dire dès qu'un client se connecte avec succès à Active Directory et que le processus d'auto-inscription a été déclenché).
Le modèle de certificat remplacé doit-il encore être publié ?
Non. Il n'est pas nécessaire de continuer à le publier. Si tous les utilisateurs sont autorisés à demander un certificat pour le nouveau modèle de certificat, aucune demande de certificat ne sera effectuée pour le modèle de certificat remplacé, même si celui-ci continue d'être publié par une autorité de certification.
Si je ne suis pas autorisé à utiliser le nouveau modèle de certificat, vais-je recevoir un nouveau certificat issu du modèle remplacé ?
Oui. La condition préalable est que le modèle de certificat remplacé ait encore été publié sur une autorité de certification.
Les certificats d'un modèle de certificat remplacé sont-ils également supprimés de l'attribut du compte utilisateur (UserCertificate) ?
Non, une telle suppression doit être mise en œuvre en dehors des mécanismes PKI.
Liens complémentaires :
Sources externes
- Administration des modèles de certificats (Microsoft Corporation),
- Modèles de certificats remplacés et impact sur le magasin AD de l'utilisateur (Microsoft Corporation)
Français 
Deutsch 
English