Utilisation de noms distinctifs relatifs (RDN) non définis dans les certificats délivrés

Auteur Uwe GradeneggerPublié le Catégories Utilisation du certificat, Autorité de certificationÉtiquettes , , ,

Il est parfois nécessaire d'autoriser les noms distinctifs relatifs (RDN) dans les certificats délivrés qui ne sont pas définis et qui ne sont donc pas inclus dans le certificat. SubjectTemplate valeur de l'enregistrement de l'autorité de certification pourraient être configurés.

Un exemple est l'identifiant d'organisation avec l'identifiant d'objet 2.5.4.97, qui est par exemple nécessaire pour les certificats utilisés pour la eIDAS sont conformes au règlement.

Étapes de configuration des certificats d'autorité de certification racine

Aucune étape de configuration spéciale n'est nécessaire pour les certificats des autorités de certification racines. Étant donné que leurs attributs sont définis lors de l'installation du rôle d'autorité de certification, ils peuvent facilement être utilisés avec le -CADistinguishedNameSuffix (en cas d'installation via une interface utilisateur graphique, il existe un champ de saisie correspondant).

Install-AdcsCertificationAuthority `
-CAType "StandaloneRootCA" `
-KeyLength 4096 `
-HashAlgorithm SHA256 `
-CryptoProviderName "RSA#Microsoft Software Key Storage Provider" `
-CACommonName "ADCS Labor Test Root CA 1" `
-CADistinguishedNameSuffix "O=ADCS Labor,L=Munich,S=Bavaria,C=DE,2.5.4.97=12345678" `
-ValidityPeriod Years `
-ValidityPeriodUnits 16 `
-OverwriteExistingDatabase `
-OverwriteExistingKey `
-Force

Étapes de configuration pour tous les autres types de certificats

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Concerne le comportement des autorités de certification lors de la délivrance de certificats et donc tous les types d'autorités de certification :

  • Organismes de certification racine
  • Organismes de certification intermédiaires
  • Organismes de certification émetteurs

Pour que les autorités de certification ne reforment pas le sujet à l'aide des règles définies dans la valeur de registre „SubjectTemplate“ lors de l'émission du certificat, la commande de ligne de commande suivante peut être lancée :

certutil -setreg CA\CRLFlags +CRLF_REBUILD_MODIFIED_SUBJECT_ONLY

Le service d'autorité de certification doit ensuite être redémarré pour que les modifications soient appliquées.

Si ce paramètre est activé, l'autorité de certification ne vérifie plus la syntaxe et la conformité aux RFC applicables. La demande de certificat doit dans tous les cas être vérifiée manuellement par un gestionnaire de certificats. Comme ce paramètre s'applique globalement à l'autorité de certification, il convient d'utiliser une autorité de certification émettrice dédiée pour ces exigences afin d'éviter toute interaction.

Les paramètres de Codage des caractères au sein des RDN (ForceTeletex) sont également annulées par l'activation de ce drapeau, c'est-à-dire que le Subject DN est repris 1:1 de la demande de certificat, même en ce qui concerne le codage des caractères.

Demande de certificats

Ce paramètre n'a d'effet que si le modèle de certificat est configuré pour que le demandeur puisse indiquer le sujet dans la demande de certificat.

Informations complémentaires

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais