Au cours de la vie d'une autorité de certification, les certificats d'autorité de certification sont renouvelés conformément à la planification de leur cycle de vie. A cette occasion, une nouvelle paire de clés peut être utilisée en option. Les certificats d'autorité de certification précédents expirent ou sont révoqués.
Les certificats d'autorité de certification expirés peuvent poser problème dans certaines circonstances, par exemple lorsque les clés privées correspondantes sont stockées sur d'anciens modules de sécurité matériels (HSM) et qu'il est très difficile de les migrer vers un nouveau matériel.
Dans un tel cas, il peut être utile de supprimer les anciens certificats d'autorité de certification de la configuration de l'autorité de certification.
Cette opération n'a aucun effet sur la récupération des clés archivées des certificats émis par l'un des anciens certificats d'autorité de certification ou chiffrés avec un certificat Key Recovery Agent émis par l'un des anciens certificats d'autorité de certification.
Dans l'exemple suivant, l'autorité de certification dispose de quatre certificats d'autorité de certification, dont trois ont déjà été révoqués. L'objectif est qu'après l'opération, seul le certificat actuel et sa clé privée soient utilisés par l'autorité de certification. Le compteur de la version de l'autorité de certification (CA Version, dans ce cas „3“) doit cependant être conservé.
Mise en œuvre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Pour ce faire, la configuration des certificats d'autorité de certification doit être éditée dans le registre. L'entrée de configuration se trouve sous la clé suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{CA-Name}
Il y a ici une valeur appelée CACertHash, Le certificat d'autorité de certification est un fichier de données qui contient les empreintes digitales (thumbprints) des certificats d'autorité de certification.
Les certificats d'autorité de certification sont inscrits dans l'ordre chronologique exact. Ainsi, dans l'exemple, les trois premières valeurs seraient supprimées.
Il est toutefois important ici de ne pas simplement supprimer les valeurs, mais de les remplacer par un caractère de remplacement sous la forme d'un tiret „-“, afin que le compteur soit conservé pour la version de l'autorité de certification.
Supprimez les valeurs au lieu de les remplacer par un tiret, puis essayez de démarrer le service d'autorité de certification, cela échouera et générera le message d'erreur ERROR_INVALID_DATA.
Ensuite, le service d'autorité de certification doit être redémarré pour que les modifications soient acceptées.
Français 
Deutsch 
English
Les commentaires sont fermés.