Les noms de domaine internationalisés (IDN) sont officiellement pris en charge depuis Windows Server 2012 dans le cadre de l'autorité de certification et des composants associés.
Si vous souhaitez les utiliser dans vos certificats d'organisme de certification, vous devez toutefois tenir compte de certaines particularités.
L'utilisation de trémas et d'autres caractères spéciaux dans les certificats d'autorité de certification peut entraîner des problèmes de compatibilité. Par exemple Contrôle des applications Windows Defender (WDAC) compatible uniquement avec ASN.1 PrintableString. Il est donc fortement recommandé de renoncer à tout caractère spécial dans les certificats d'autorité de certification.
Caractères accentués dans le nom du demandeur (Subject) du certificat d'autorité de certification
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
D'un point de vue technique, les trémas dans le nom du demandeur sont utilisables sans problème. Toutefois, dans ce cas, le codage du nom Subject / Issuer sera effectué en UTF-8 au lieu de ASN.1 PrintableString, car ce dernier jeu de caractères ne peut pas représenter les trémas.
Installation par le gestionnaire de serveur
Lors de l'installation de l'autorité de certification, vous recevrez un message d'avertissement si vous souhaitez utiliser un nom commun (Common Name, CN) ou un suffixe de nom distingué (Distinguished, DN) qui contient un tréma.
The CA information contains characters that require extended name encoding in the certificate. Certificates containing this name encoding conform to accepted standards, but may be incompatible with non-compliant applications. Do you want to use these fields?
Comme l'indique le message d'avertissement, l'utilisation de trémas présente toujours le risque de ne pas être comprise par toutes les applications. Le nom du demandeur n'est pas codé en PrintableString, mais en UTF-8, lorsque des trémas sont utilisés. Il convient donc soit de vérifier soigneusement la compatibilité de toutes les applications qui utiliseront l'ICP, soit de mieux renoncer à l'utilisation des trémas.
Installation via Windows PowerShell
Si l'on installe l'autorité de certification via Windows PowerShell, il faut toutefois noter que le même message se déclenche ici aussi et peut entraîner l'interruption de la configuration des rôles.
Pour la commande Install-AdcsCertificationAuthority, il existe le commutateur -IgnoreUnicode, qui est l'équivalent de la confirmation de l'avertissement dans l'interface graphique.
Install-AdcsCertificationAuthority [...] -IgnoreUnicode
Installation par script Windows Powershell
Si l'on installe l'autorité de certification par script, il faut en outre faire attention à la manière dont le fichier de script est codé.
Les fichiers PowerShell sont généralement (lorsqu'ils sont générés avec PowerShell ISE) codés en UTF-8 avec Byte Order Mark (BOM). Ce n'est que dans cet encodage que les rotations sont correctement appliquées dans le nom du demandeur.
L'avertissement ci-dessus ne se déclenche pas si le fichier est codé en UTF-8 sans BOM, mais les trémas ne sont pas non plus transmis correctement dans la demande de certificat.
Accents dans les directives du certificat de l'autorité de certification
Les politiques de certificat (Certificate Policies) peuvent également contenir des trémas (exemple : „Déclaration relative au fonctionnement de l'autorité de certification“).
Ici aussi, il faut que les applications qui doivent utiliser l'ICP comprennent également les trémas. Si l'on ne sait pas si toutes les applications peuvent les gérer, il faut renoncer à l'utilisation des trémas.
Pour que de telles directives apparaissent dans la demande de certificat de l'autorité de certification, elles sont inscrites dans le fichier capolicy.inf dans la zone „PolicyStatementExtension“, qui est appliquée pendant l'installation du rôle d'autorité de certification.
Le fichier capolicy.inf peut gérer les trémas dans la PolicyStatementExtension si le fichier est codé en ANSI. S'il est encodé en UTF-8 sans BOM, les trémas sont altérés. Si le fichier est codé en UTF-8 avec BOM, cela signifie que le capolicy.inf n'est plus compris par la routine d'installation et n'est donc pas appliqué.
Dans l'écosystème Windows, la désignation „ANSI“ correspond au code de caractères Windows-1252 (Latin-1, Europe de l'Ouest).
Français 
Deutsch 
English
Les commentaires sont fermés.