Restauration d'une autorité de certification à partir d'une sauvegarde (backup)

Auteur Uwe GradeneggerPublié le Catégories Sauvegarder et restaurer, Autorité de certification, Base de données des organismes de certificationÉtiquettes , , ,

La procédure de restauration d'une autorité de certification à partir de la sauvegarde est décrite ci-dessous. Outre les situations de catastrophe, cette procédure fait également partie de la Migration d'une autorité de certification vers un nouveau serveur.

Aperçu

La restauration d'une autorité de certification se divise en plusieurs étapes qui doivent être effectuées dans l'ordre indiqué :

Mise en œuvre

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Restauration du certificat de l'autorité de certification

La restauration du certificat de l'autorité de certification diffère selon qu'un module de sécurité matériel est utilisé ou non. Elle est décrite dans les deux articles suivants :

Si vous avez l'intention de supprimer ultérieurement d'anciens certificats d'autorité de certification de la configuration de l'autorité de certification, il n'est pas nécessaire de les importer. Seuls les certificats d'autorité de certification qui seront encore utilisés activement ultérieurement doivent être importés.

Installation du rôle d'autorité de certification sur le serveur cible

Une fois les certificats de l'autorité de certification installés avec les clés privées sur le serveur cible, le rôle de l'autorité de certification est installé. La différence essentielle par rapport à l'installation d'une nouvelle autorité de certification réside dans le fait qu'aucune nouvelle paire de clés n'est générée dans ce cas, mais que la paire existante continue d'être utilisée.

L'autorité de certification est à nouveau en ligne immédiatement après l'installation, équipée des modèles de certificats configurés et prête à recevoir les demandes de certificats. Cependant, comme la configuration de l'autorité de certification et la base de données de l'autorité de certification font encore défaut, le risque d'émettre des certificats „ erronés “ est élevé. C'est pourquoi il est essentiel d'activer le mode maintenance sur l'autorité de certification immédiatement après l'étape suivante afin d'empêcher les demandes des requérants jusqu'à la fin de la restauration et du test de fonctionnement.

Depuis Windows Server 2008, l'installation du rôle d'autorité de certification se fait en deux étapes :

  • Installation des fichiers roll. Cette étape est décrite dans cet article décrites.
  • Configuration du rôle d'autorité de certification. Cette étape est décrite ci-dessous.

Une fois le rôle d'autorité de certification installé, la configuration du rôle peut être lancée via le gestionnaire de serveur. Un point d'exclamation devrait apparaître en haut à droite. L'assistant de configuration du rôle peut être lancé via l'option „ Configure Active Directory Certificate Services… “ (Configurer les services de certificats Active Directory).

Dans la boîte de dialogue suivante, vous devez saisir les informations d'identification du compte utilisateur avec lequel la configuration des rôles sera effectuée. Le compte utilisateur doit être membre du groupe „ Enterprise Administrators “ ou disposer des autorisations appropriées. autorisations déléguées disposer.

Il est recommandé de se connecter de manière interactive (c'est-à-dire directement sur la console ou via Remote Desktop) avec le compte prévu pour l'installation de l'autorité de certification et de ne pas apporter de modifications dans cette boîte de dialogue. La sélection d'un autre compte utilisateur peut entraîner des interactions imprévues (par exemple, en liaison avec Gemalto / SafeNet HSMs, le compte doit également être autorisé sur la partition).

Dans la boîte de dialogue suivante, sélectionnez l'option „ Certification Authority “.

Selon le type d'autorité de certification, sélectionnez „ Enterprise CA “ ou „ Standalone CA “. Les instructions suivantes décrivent la restauration d'une autorité de certification intégrée à Active Directory, c'est-à-dire une Enterprise CA.

Selon le type d'autorité de certification, on distingue entre une autorité de certification racine (Root CA) et une autorité de certification subordonnée (Subordinate CA).

L'option „ Subordinate CA “ (Autorité de certification subordonnée) comprend tous les types d'autorités de certification qui ne sont pas des autorités de certification racines, y compris les autorités de certification intermédiaires.

Dans la boîte de dialogue suivante, contrairement à une nouvelle installation, ce n'est pas une nouvelle paire de clés qui est utilisée, mais une paire existante. Les certificats de l'autorité de certification ayant déjà été restaurés, l'option „ Select a certificate and use its associated private key “ (Sélectionner un certificat et utiliser sa clé privée associée) est sélectionnée.

Dans la boîte de dialogue suivante, sélectionnez le certificat de l'autorité de certification. Si l'autorité de certification dispose de plusieurs certificats, sélectionnez le plus récent.

Si l'autorité de certification dispose de plusieurs certificats d'autorité de certification, ceux-ci sont réintégrés dans la configuration de l'autorité de certification lors de l'étape suivante via la restauration du registre.

Si la liste des certificats est vide alors que le certificat de l'autorité de certification a été correctement restauré, consultez l'article „Lors de la restauration d'une autorité de certification, le certificat d'autorité de certification ne peut pas être sélectionné lors de l'installation des rôles.„ .

La commande Windows PowerShell suivante peut être utile pour identifier le dernier certificat de l'autorité de certification :

Get-ChildItem Cert:\LocalMachine\My | Sort-Object NotBefore | Select-Object -Property Thumbprint,NotBefore,NotAfter

La boîte de dialogue suivante permet de définir l'emplacement de stockage de la base de données des autorités de certification.

La base de données des autorités de certification peut être déplacée ultérieurement vers un autre lecteur ou un autre dossier sans grande difficulté. La procédure à suivre est décrite dans l'article „Déplacer la base de données de l'autorité de certification dans un autre répertoire ou sur un autre lecteur" décrit.

Tous les paramètres pertinents sont désormais configurés et l'installation du rôle d'autorité de certification peut être terminée.

La réussite de l'installation des rouleaux est confirmée en conséquence.

Mettre l'organisme de certification en mode maintenance

Une fois le rôle d'autorité de certification installé, celui-ci est immédiatement disponible pour les demandes de certificats et peut directement délivrer à nouveau des certificats. Cependant, comme la configuration et la base de données de l'autorité de certification n'ont pas encore été restaurées, il est nécessaire de mettre l'autorité de certification en mode maintenance. La procédure est décrite dans l'article „Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance" décrit.

Restauration du registre de l'autorité de certification

Le registre de l'autorité de certification contient tous les paramètres relatifs au serveur de l'autorité de certification, notamment :

  • Configuration du point de distribution CRL (CDP) et de l'accès aux informations d'autorité (AIA) pour les certificats émis
  • Configuration des points de publication pour les listes de blocage
  • Durée maximale de validité des certificats délivrés
  • Configuration de la validité et Périodes de chevauchement des listes de blocage
  • Paramètres relatifs à l'archivage des clés privées (agents de restauration et génération de clés pour les certificats d'échange d'autorité de certification (CA Exchange))
  • Autorisations de sécurité pour l'autorité de certification

Les différents paramètres de configuration doivent être sélectionnés ou supprimés manuellement dans le fichier de registre pour la restauration. La procédure exacte pour importer les valeurs de registre est décrite dans l'article „Restauration du registre d'une autorité de certification" décrit.

Restauration de la base de données des autorités de certification

Avant que l'autorité de certification puisse être remise en service, la base de données de l'autorité de certification doit être restaurée.

Pour ce faire, ouvrez la console d'administration de l'autorité de certification (certlm.msc) et cliquez avec le bouton droit sur l'autorité de certification. Dans le menu contextuel, sélectionnez „ All Tasks “ – „ Restore CA… “.

Étant donné que le service d'autorité de certification ne doit pas être démarré pour la restauration de l'autorité de certification, un message vous en informe. Cliquez sur „ OK “ pour arrêter le service d'autorité de certification.

L'assistant de restauration de l'autorité de certification s'ouvre alors. Cliquez sur „ Next “ pour passer à la boîte de dialogue suivante.

Dans la boîte de dialogue suivante, sélectionnez l'option „ Certificate database and certificate database log “ (Base de données de certificats et journal de base de données de certificats). Le certificat de l'autorité de certification et les clés ont déjà été restaurés, cette option n'est donc pas nécessaire ici. Cliquez sur „ Browse “ (Parcourir) pour sélectionner l'emplacement de stockage de la base de données de l'autorité de certification à restaurer.

Lors de la sélection du dossier, il est important que la routine de restauration s'attende à trouver un sous-dossier nommé „ DataBase “. Il faut donc sélectionner le dossier parent correspondant.

L'assistant peut maintenant être fermé.

Il vous est alors demandé si vous souhaitez redémarrer le service d'autorité de certification. S'il existe des sauvegardes incrémentielles à restaurer, vous devez sélectionner „ Non “ et restaurer les sauvegardes incrémentielles dans l'ordre chronologique croissant selon le même schéma.

Restauration du delta entre la sauvegarde et la panne

L'autorité de certification doit être en mesure de révoquer des certificats. Pour cela, chaque certificat (valide) jamais émis doit être enregistré dans la base de données de l'autorité de certification. Il existe généralement un écart entre le moment de la dernière sauvegarde et la défaillance effective d'un système.

Microsoft prévoit donc que, lors de chaque délivrance de certificat à l'aide du protocole SMTP Module Exit une copie de chaque certificat délivré est envoyée à une boîte postale.

Des méthodes alternatives pourraient être les suivantes Développement d'un module de sortie propre qui enregistre les certificats délivrés, par exemple, sur un partage réseau ou les télécharge vers un point de terminaison API.

La procédure de restauration des données sur le module SMTP Exit est décrite dans l'article „Récupération des certificats à partir des données du module de sortie SMTP" décrit.

Facultatif : compactage (défragmentation) de la base de données des autorités de certification

Il est recommandé de compacter la base de données de l'autorité de certification avant de la remettre en service. Cela n'a toutefois de sens que si un grand nombre d'entrées de la base de données de l'autorité de certification a été supprimé ou est supprimé avant la compression, sinon aucun espace mémoire ne peut être récupéré. La procédure est décrite dans l'article „Compactage (défragmentation) de la base de données de l'autorité de certification" décrit.

Facultatif : suppression des anciens certificats d'autorité de certification de la configuration d'une autorité de certification

Si l'autorité de certification est en service depuis un certain temps, il se peut que certains certificats d'autorité de certification aient expiré depuis longtemps. Ceux-ci peuvent être supprimés de la configuration de l'autorité de certification à cette occasion, afin que celle-ci démarre sans importer les certificats.

La procédure est décrite dans l'article „Suppression des anciens certificats d'autorité de certification de la configuration d'une autorité de certification“ décrites.

Facultatif : personnalisation des services connectés

Si des services supplémentaires fonctionnent avec l'autorité de certification et que le nom du serveur a changé au cours de la restauration, leur configuration doit être ajustée si nécessaire.

Pour le service d'enregistrement des périphériques réseau (NDES), voir l'article „Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification„ .

Effectuer un test de fonctionnement

Avant la mise en service de l'autorité de certification, il est impératif de procéder à un test fonctionnel approfondi afin de s'assurer que l'autorité de certification fonctionne comme prévu. Une liste de contrôle et la procédure à suivre sont disponibles dans l'article „Réaliser un test de fonctionnement pour un organisme de certification“.

Sortir l'organisme de certification du mode maintenance

Une fois tous les tests terminés, l'organisme de certification peut quitter le mode maintenance. La procédure est décrite dans l'article „Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance. Veuillez vous assurer que la configuration de l'autorité de certification et d'Active Directory sont synchronisées, sinon aucun certificat ne peut être demandé.

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais