Guide de l'autorité de certification

 

S'applique à: Windows Server 2012 R2, Windows Server 2012

Une autorité de certification est chargée d'attester l'identité des utilisateurs, des ordinateurs et des organisations. Elle authentifie une entité et se porte garante de cette identité en émettant un certificat signé numériquement. Elle gère, révoque et renouvelle également les certificats.

Une autorité de certification peut se rapporter aux éléments suivants :

  • une organisation qui se porte garante de l'identité d'un utilisateur final ;

  • un serveur utilisé par l'organisation pour émettre et gérer les certificats.

En installant le service de rôle Autorité de certification d'AD CS (Active Directory Certificate Services), vous pouvez configurer votre serveur Windows pour qu'il fasse office d'autorité de certification.

Avant d'installer le service de rôle Autorité de certification, vous devez :

  1. planifier une infrastructure à clé publique (PKI) appropriée pour votre organisation ;

  2. installer et configurer un module de sécurité matériel selon les instructions du fournisseur du module, si vous prévoyez d'en utiliser un ;

  3. créer un fichier CAPolicy.inf adéquat, si vous voulez modifier les paramètres d'installation par défaut.

Planifier une infrastructure à clé publique

Pour garantir que votre organisation tire pleinement parti de votre installation AD CS (Active Directory Certificate Services), vous devez planifier le déploiement de l'infrastructure à clé publique de façon appropriée. Vous devez déterminer le nombre d'autorités de certification à installer, ainsi que leur configuration, avant de procéder à la moindre installation d'autorité de certification. La création d'une conception d'infrastructure à clé publique appropriée peut nécessiter du temps, mais ce point est essentiel à la réussite de l'infrastructure.

Pour obtenir plus d’informations et de ressources, voir Guide de conception d’une infrastructure à clé publique dans Microsoft TechNet.

Utiliser un module de sécurité matériel

L'utilisation d'un module de sécurité matériel peut améliorer la sécurité de l'autorité de certification et de l'infrastructure à clé publique.

Un module de sécurité matériel est un périphérique matériel dédié, géré séparément du système d'exploitation. Ces modules fournissent un magasin matériel sécurisé pour les clés d'autorité de certification, en plus d'un processeur cryptographique dédié pour accélérer les opérations de signature et de chiffrement. Le système d'exploitation utilise le module de sécurité matériel via les interfaces CryptoAPI et le module de sécurité matériel fonctionne comme un périphérique de fournisseur de services de chiffrement.

Les modules de sécurité matériel sont généralement des cartes PCI, mais sont également disponibles comme périphériques basés sur le réseau, périphériques série et périphériques USB. Si une organisation prévoit d'implémenter deux autorités de certification ou plus, vous pouvez installer un module de sécurité matériel basé sur le réseau et le partager entre plusieurs autorités de certification.

Pour configurer une autorité de certification à l'aide d'un module de sécurité matériel, vous devez l'installer avant de configurer une autorité de certification avec des clés qui seront stockés dans le module de sécurité matériel.

Fichier CAPolicy.inf

Le fichier CAPolicy.inf n'est pas obligatoire pour installer AD CS, mais il peut servir à personnaliser les paramètres de l'autorité de certification. Le fichier CAPolicy.inf contient différents paramètres utilisés lors de l'installation d'une autorité de certification ou du renouvellement du certificat d'autorité de certification. Le fichier CAPolicy.inf doit être créé et stocké dans le répertoire %systemroot% (généralement C:\Windows) pour pouvoir être utilisé.

Les paramètres que vous incluez dans le fichier CAPolicy.inf dépendent largement du type de déploiement que vous voulez créer. Par exemple, une autorité de certification racine peut avoir un fichier CAPolicy.inf qui se présente ainsi :

[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
LoadDefaultTemplates=0

Tandis qu'un fichier CAPolicy.inf destiné à une entreprise émettant une autorité de certification peut avoir l'aspect suivant :

[Version]
Signature= "$Windows NT$"
[PolicyStatementExtension]
Policies = LegalPolicy, LimitedUsePolicy
[LegalPolicy]
OID = 1.1.1.1.1.1.1.1.1
URL = "http://www.contoso.com/pki/Policy/USLegalPolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLegalPolicy.txt"
[LimitedUsePolicy]
OID = 2.2.2.2.2.2.2.2.2
URL = "http://www.contoso.com/pki/Policy/USLimitedUsePolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLimitedUsePolicy.txt"
LoadDefaultTemplates=0

Note

  1. Les OID du fichier CAPolicy.inf ne sont proposés ici qu'à titre d'exemple. Chaque organisation doit obtenir son propre OID. Pour plus d’informations sur les OID, voir Obtention d’un OID racine auprès d’une autorité d’inscription de noms ISO.

  2. Pour plus d’informations, voir Syntaxe CAPolicy.inf.

Sélectionner les paramètres de configuration de l'autorité de certification

Les sections suivantes décrivent les options de configuration que vous sélectionnez après avoir installé les fichiers d'installation binaires de l'autorité de certification.

Sélectionner le type d'installation

Les autorités de certification d'entreprise sont intégrées aux services AD DS. Elles publient les certificats et les listes de révocation de certificats sur AD DS. Les autorités de certification d'entreprise utilisent les informations stockées dans AD DS, y compris les comptes d'utilisateur et les groupes de sécurité, pour approuver ou refuser les demandes de certificat. Les autorités de certification d'entreprise utilisent des modèles de certificats. Quand un certificat est émis, l'autorité de certification d'entreprise utilise les informations du modèle de certificat pour générer un certificat avec les attributs appropriés pour ce type de certificat.

Si vous voulez activer l'approbation automatique des certificats, ainsi que l'inscription automatique des certificats utilisateur, choisissez les autorités de certification d'entreprise pour émettre les certificats. Ces fonctionnalités sont disponibles uniquement lorsque l'infrastructure d'autorité de certification est intégrée à Active Directory. En outre, seules les autorités de certification d'entreprise peuvent émettre des certificats qui permettent la connexion par carte à puce, parce que cette procédure nécessite que les certificats de carte à puce soient mappés automatiquement aux comptes d'utilisateur d'Active Directory.

Note

Par défaut, vous devez être membre du groupe Administrateurs de l'entreprise pour installer et configurer une autorité de certification d'entreprise. Si vous voulez qu’un administrateur de domaine à faibles privilèges installe et configure une autorité de certification d’entreprise, voir Installation déléguée pour une autorité de certification d’entreprise.

Les autorités de certification autonomes ne nécessitent pas les services AD DS et n'utilisent pas les modèles de certification. Si vous utilisez les autorités de certification autonomes, toutes les informations sur le type de certificat demandé doivent être incluses dans la demande de certificat. Par défaut, toutes les demandes de certificats envoyées aux autorités de certification autonomes demeurent dans une file d'attente en attente jusqu'à ce qu'un administrateur d'autorité de certification les approuve. Vous pouvez configurer les autorités de certification autonomes pour émettre les certificats automatiquement sur demande, mais cette option est moins sécurisée et n'est généralement pas recommandée parce que les demandes ne sont pas authentifiées.

Du point de vue des performances, l'utilisation d'autorités de certification autonomes avec émission automatique vous permet d'émettre des certificats à un rythme plus rapide que si vous utilisiez les autorités de certification d'entreprise. Cependant, à moins que vous n'utilisiez l'émission automatique, l'emploi des autorités de certification autonomes pour émettre d'importants volumes de certificats se traduit généralement par un coût administratif élevé, parce qu'un administrateur doit vérifier manuellement chaque demande de certificat, puis l'approuver ou la refuser. Pour cette raison, il est préférable d'utiliser les autorités de certification avec des applications de sécurité de clé publique sur un extranet ou sur Internet, quand les utilisateurs n'ont pas un compte et que le volume de certificats à émettre et à gérer est relativement bas.

Vous devez utiliser les autorités de certification autonomes pour émettre les certificats lorsque vous utilisez un service d'annuaire autre que ceux de Microsoft ou qu'AD DS n'est pas disponible. Vous pouvez utiliser à la fois les autorités de certification d'entreprise et les autorités de certification autonomes dans votre organisation, conformément aux explications du tableau suivant.

Option

Autorité de certification d'entreprise

Autorité de certification autonome

Publier les certificats dans Active Directory et utiliser Active Directory pour valider les demandes de certificats.

Oui

Non

Mettre l'autorité de certification hors ligne.

Non recommandé

Oui

Configurer l'autorité de certification pour émettre les certificats automatiquement.

Oui

Non recommandé

Permettre aux administrateurs d'approuver les demandes de certificats manuellement.

Oui

Oui

Permettre l'utilisation de modèles de certificats.

Oui

Non

Authentifier les demandes sur Active Directory.

Oui

Non

Choisir un type d'autorité de configuration

Les autorités de certification d'entreprise et les autorités de certification autonomes peuvent être configurées comme autorités de certification racine ou comme autorités de certification secondaires. Les autorités de certification secondaires peuvent être par la suite configurées comme autorités de certification intermédiaires (aussi appelées autorités de certification de stratégie) ou autorités de certification émettrices

Définir une autorité de certification racine

Une autorité de certification racine est l'autorité de certification qui se trouve au sommet d'une hiérarchie de certification. Elle doit être approuvée de manière inconditionnelle par les clients de votre organisation. Toutes les chaînes de certificats se terminent à une autorité de certification racine. Que vous utilisiez les autorités de certification d'entreprise ou les autorités de certification autonomes, vous devez définir une autorité de certification racine.

Comme l'autorité de certification racine est l'autorité de certification la plus haute de la hiérarchie de certification, le champ Objet du certificat émis par une autorité de certification racine a la même valeur que le champ Émetteur du certificat. De même, comme la chaîne de certificats se termine quand elle atteint une autorité de certification auto-signée, toutes les autorités de certification auto-signées sont des autorités de certification racine. La décision de définir une autorité de certification comme autorité de certification racine approuvée peut être prise au niveau de l'entreprise ou localement par l'administrateur informatique.

Une autorité de certification racine fait office de fondation sur laquelle vous basez votre modèle d'approbation de l'autorité de certification. Elle garantit que la clé publique de l'objet correspond aux informations d'identité présentes dans le champ Objet des certificats qu'elle émet. Différentes autorités de certification vérifient aussi cette relation à l'aide de différentes normes ; par conséquent, il est important de comprendre les stratégies et les procédures de l'autorité de certification racine avant de choisir d'approuver cette autorité pour vérifier les clés publiques.

L'autorité de certification racine est la plus importante autorité de certification de votre hiérarchie. Si votre autorité de certification racine n'est pas fiable, aucune autorité de certification de la hiérarchie et aucun certificat émis à partir de cette autorité ne seront considérés comme fiables. Vous pouvez optimiser la sécurité de l'autorité de certification racine en la maintenant déconnectée du réseau et en utilisant les autorités de certification secondaires pour émettre les certificats d'autres autorités de certification secondaires ou d'utilisateurs finaux.

Autorités de certification secondaires

Les autorités de certification qui ne sont pas des autorités de certification racine sont considérées comme secondaires. La première autorité de certification secondaire d'une hiérarchie obtient son certificat d'autorité de certification à partir de l'autorité de certification racine. La première autorité de certification secondaire peut utiliser cette clé pour émettre les certificats qui vérifient l'intégrité d'une autre autorité de certification secondaire. Ces autorités de certification secondaires supérieures sont appelées autorités de certification intermédiaires. Une autorité de certification intermédiaire est subordonnée à une autorité de certification racine, mais fait office d'autorité de certification supérieure pour une ou plusieurs autorités de certification secondaires.

Une autorité de certification intermédiaire est souvent appelée autorité de certification de stratégie, car elle est généralement utilisée pour séparer les classes de certificats que les stratégies peuvent distinguer. Par exemple, la séparation de stratégie inclut le niveau d'assurance qu'une autorité de certification fournit ou l'emplacement géographique de l'autorité de certification pour distinguer différentes populations d'entités de fin. Une autorité de certification de stratégie peut être en ligne ou hors ligne.

Avertissement

Il n'est pas possible de convertir une autorité de certification racine en une autorité de certification secondaire, ou inversement.

Stocker une clé privée

La clé privée fait partie de l'identité de l'autorité de certification et doit être protégée afin de demeurer fiable. De nombreuses organisations protègent les clés privés de l'autorité de certification à l'aide d'un module de sécurité matériel. Si aucun module de sécurité matériel n'est utilisé, la clé privée est stockée sur l'ordinateur de l'autorité de certification. Pour plus d’informations, voir Module de sécurité matériel (HSM) dans Microsoft TechNet.

Les autorités de certification hors ligne doivent être stockées dans des emplacements sécurisés et non connectés au réseau. Comme les autorités de certification émettrices utilisent leurs clés privées lors de l'émission des certificats, la clé privée doit être accessible (en ligne) pendant que l'autorité de certification est en activité. Dans tous les cas, l'autorité de certification et sa clé privée sur l'autorité de certification doivent être physiquement protégées.

Rechercher une clé existante

Si vous avez déjà une clé privée que vous voulez utiliser pendant l'installation, vous pouvez utiliser l'écran Clé existante pour rechercher cette clé. Vous pouvez utiliser le bouton Modifier pour modifier le fournisseur de services de chiffrement et, le cas échéant, l'autorité de certification que vous voulez explorer pour rechercher la clé existante.

Rechercher un certificat existant

Si vous avez déjà un certificat qui contient la clé privée de l'autorité de certification, vous pouvez utiliser l'écran Certificat existant pour le rechercher. Vous pouvez utiliser le bouton Importer pour ouvrir la boîte de dialogue Importer un certificat existant, puis rechercher votre fichier PKCS #12.

Sélectionner les options de chiffrement

La sélection des options de chiffrement d'une autorité de certification peut avoir d'importantes implications en matière de sécurité, de performances et de compatibilité pour cette autorité de certification. Même si les options de chiffrement par défaut peuvent convenir à la plupart des autorités de certification, la possibilité d'implémenter des options personnalisées peut être utile pour les administrateurs et les développeurs d'application ayant une plus grande maîtrise du chiffrement et un tel besoin de souplesse. Les options de chiffrement peuvent être implémentées à l'aide des fournisseurs de services de chiffrement ou des fournisseurs de stockage de clés.

Important

Lors de l'utilisation d'un certificat RSA pour une autorité de certification, vérifiez que la longueur soit au moins égale à 2 048 bits. Vous ne devez pas tenter d'utiliser un certificat RSA inférieur à 1 024 bits pour l'autorité de certification. Le service de l'autorité de certification (certsvc) ne démarrera pas en cas d'installation d'une clé RSA inférieure à 1 024 bits.

Les fournisseurs de services de chiffrement sont des composants matériels et logiciels des systèmes d'exploitation Windows qui fournissent des fonctions de chiffrement génériques. Les fournisseurs de services de chiffrement peuvent être créés pour fournir une grande variété d'algorithmes de chiffrement et de signature.

Les fournisseurs de stockage de clés peuvent offrir une protection élevée par clé pour les ordinateurs exécutant une version serveur minimale correspondant à Windows Server 2008 R2 et une version client minimale correspondant à Windows Vista.

Important

Lorsque vous sélectionnez le fournisseur, l’algorithme de hachage et la longueur de clé, vous devez soigneusement considérer les options de chiffrement prises en charge par les applications et les périphériques que vous prévoyez d’utiliser. Bien qu’il soit recommandé de sélectionner les options de sécurité les plus élevées, ces dernières ne sont pas prises en charge par toutes les applications et par tous les appareils.

Si les conditions requises pour la prise en charge changent et que vous pouvez ensuite utiliser des options de sécurité renforcées, telles que la migration vers un fournisseur de stockage de clé et un algorithme de hachage plus puissant, voir Migration d’une clé d’autorité de certification d’un fournisseur de services de chiffrement (CSP) vers un fournisseur de stockage de clés (KSP).

L'option Autoriser l’interaction de l’administrateur lorsque l’autorité de certification accède à la clé privée est généralement utilisée avec le module de sécurité matériel. Cela permet au fournisseur de services de chiffrement de demander à l'utilisateur une authentification supplémentaire quand l'autorité de certification accède à la clé privée. Cette option permet d'empêcher l'utilisation non approuvée de l'autorité de certification et de sa clé privée en demandant à l'administrateur d'entrer un mot de passe avant chaque opération de chiffrement.

Les fournisseurs de chiffrement intégrés prennent en charge des longueurs de clés et des algorithmes de hachage spécifiques comme décrit dans le tableau suivant.

Fournisseur de chiffrement

Longueurs de clé

Algorithme de hachage

Microsoft Base Cryptographic Provider v1.0

  • 512

  • 1 024

  • 2 048

  • 4 096

  • SHA1

  • MD2

  • MD4

  • MD5

Microsoft Base DSS Cryptographic Provider

  • 512

  • 1 024

SHA1

Microsoft Base Smart Card Crypto Provider

  • 1 024

  • 2 048

  • 4 096

  • SHA1

  • MD2

  • MD4

  • MD5

Microsoft Enhanced Cryptographic Provider v1.0

  • 512

  • 1 024

  • 2 048

  • 4 096

  • SHA1

  • MD2

  • MD4

  • MD5

Microsoft Strong Cryptographic Provider

  • 512

  • 1 024

  • 2 048

  • 4 096

  • SHA1

  • MD2

  • MD4

  • MD5

RSA#Microsoft Software Key Storage Provider

  • 512

  • 1 024

  • 2 048

  • 4 096

  • SHA1

  • SHA256

  • SHA384

  • SHA512

  • MD2

  • MD4

  • MD5

DSA#Microsoft Software Key Storage Provider

  • 512

  • 1 024

  • 2 048

SHA1

ECDSA_P256#Microsoft Software Key Storage Provider

256

  • SHA1

  • SHA256

  • SHA384

  • SHA512

ECDSA_P384#Microsoft Software Key Storage Provider

384

  • SHA1

  • SHA256

  • SHA384

  • SHA512

ECDSA_P521#Microsoft Software Key Storage Provider

521

  • SHA1

  • SHA256

  • SHA384

  • SHA512

RSA#Microsoft Smart Card Key Storage Provider

  • 1 024

  • 2 048

  • 4 096

  • SHA1

  • SHA256

  • SHA384

  • SHA512

  • MD2

  • MD4

  • MD5

ECDSA_P256#Microsoft Smart Card Key Storage Provider

256

  • SHA1

  • SHA256

  • SHA384

  • SHA512

ECDSA_P384#Microsoft Smart Card Key Storage Provider

384

  • SHA1

  • SHA256

  • SHA384

  • SHA512

ECDSA_P521#Microsoft Smart Card Key Storage Provider

521

  • SHA1

  • SHA256

  • SHA384

  • SHA512

Définir un nom d'autorité de certification

Avant de configurer les autorités de certification de votre organisation, vous devez définir une convention d'affectation de noms pour les autorités de certification.

Vous pouvez créer un nom en utilisant n'importe quel caractère Unicode, mais il se peut que vous souhaitiez utiliser le jeu de caractères ANSI si l'interopérabilité est un problème. Par exemple, certains types de routeurs ne pourront pas utiliser le service NDES pour s'inscrire aux certificats si le nom de l'autorité de certification contient des caractères spéciaux tels que le trait de soulignement.

Important

Si vous utilisez des caractères autres que les caractères latins, comme les caractères cyrilliques, arabes ou chinois), le nom de votre autorité de certification doit contenir moins de 64 caractères. Si vous utilisez uniquement des caractères autres que les caractères latins, le nom de votre autorité de certification ne peut pas dépasser 37 caractères de long.

Dans AD DS, le nom que vous spécifiez lorsque vous configurez un serveur comme autorité de certification devient le nom courant de l'autorité de certification et ce nom est reproduit dans chaque certificat émis par l'autorité de certification. Pour cette raison, il est important que vous n'utilisiez pas le nom de domaine complet comme nom courant de l'autorité de certification. Ainsi, les utilisateurs malveillants qui obtiennent une copie d'un certificat ne peuvent pas identifier et utiliser le nom de domaine complet de l'autorité de certification pour créer une faille de sécurité potentielle.

Avertissement

Le nom de l'autorité de certification ne doit pas être identique au nom de l'ordinateur (nom NetBIOS ou DNS). De même, vous ne pouvez pas modifier le nom du serveur après l'installation d'AD CS sans rendre non valides tous les certificats émis par l'autorité de certification. Pour plus d'informations sur les noms des autorités de certification, voir l'article TechNet Wiki : Considérations sur les noms d’autorité de certification.

Pour modifier le nom du serveur après l'installation d'AD CS, vous devez désinstaller l'autorité de certification, modifier le nom du serveur, réinstaller l'autorité de certification à l'aide des mêmes clés et modifier le Registre afin d'utiliser la base de données et les clés de l'autorité de certification existantes. Vous n'avez pas à réinstaller une autorité de certification si vous renommez un domaine ; cependant, vous devrez reconfigurer l'autorité de certification pour prendre en charge la modification du nom.

Obtenir une demande de certificat

Après l'installation d'une autorité de certification racine, de nombreuses organisations installent une ou plusieurs autorités de certification secondaires pour implémenter les restrictions de stratégie sur l'infrastructure de clé publique et émettre les certificats pour les utilisateurs finaux. L'utilisation d'au moins une autorité de certification secondaire peut aider à protéger l'autorité de certification racine contre les expositions superflues. Lorsque vous installez une autorité de certification secondaire, vous devez obtenir un certificat auprès de l'autorité de certification parente.

Si l’autorité de certification parente est en ligne, vous pouvez utiliser l’option Envoyer une demande de certificat à une autorité de certification parente et sélectionner l’autorité de certification parente par son nom ou par le nom de l’ordinateur.

Si l'autorité de certification parente est hors ligne, vous devez utiliser l'option Enregistrer une demande de certificat dans un fichier sur l'ordinateur cible. La procédure associée sera spécifique à l'autorité de certification parente. Au minimum, l'autorité de certification parente doit fournir un fichier qui contient le certificat nouvellement émis de l'autorité de certification secondaire, de préférence son chemin de certification complet.

Si vous obtenez un certificat de l'autorité de certification secondaire qui n'inclut pas le chemin de certification complet, la nouvelle autorité de certification secondaire que vous installez doit pouvoir créer une chaîne d'autorité de certification valide au démarrage. Exécutez la procédure suivante pour créer un chemin de certification valide :

  • Installez le certificat de l'autorité de certification parente dans le magasin de certificats Autorités de certification intermédiaires si l'autorité de certification parente n'est pas une autorité de certification racine.

  • Installez les certificats de n'importe quelle autre autorité de certification intermédiaire de la chaîne.

  • Installez le certificat de l'autorité de certification racine dans le magasin des autorités de certification racine de confiance.

Note

Ces certificats doivent être installés dans le magasin de certificats avant que vous n'installiez le certificat de l'autorité de certification sur l'autorité de certification secondaire que vous venez de configurer.

Vérifier la période de validité

Le chiffrement basé sur les certificats utilise le chiffrement à clé publique pour protéger les données et les signer. Au fil du temps, les personnes malveillantes pourraient obtenir les données protégées par la clé publique et tenter d'en déduire la clé privée. Avec assez de temps et de ressources, cette clé privée pourrait être en danger et toutes les données protégées pourraient alors ne plus l'être. De même, les noms garantis par un certificat peuvent avoir besoin d'être modifiés au fil du temps. Comme un certificat lie un nom et une clé publique, en cas de modification de l'un des deux, le certificat doit être renouvelé.

Chaque certificat possède une période de validité. À la fin de la période de validité, le certificat n'est plus considéré comme une information d'identification acceptable ou utilisable.

Les autorités de certification ne peuvent pas émettre de certificats valides au-delà de leur propre période de validité. Une meilleure pratique consiste à renouveler le certificat de l'autorité de certification quand il est parvenu à la moitié de sa période de validité. Lors de l'installation d'une autorité de certification, vous devez planifier cette date et vous assurer qu'elle est enregistrée comme tâche future.

Choisir une base de données de l'autorité de certification

Comme dans de nombreuses bases de données, la base de données de l'autorité de certification est un fichier du disque dur. En dehors de ce fichier, d'autres fichiers font office de journaux de transactions et reçoivent toutes les modifications apportées à la base de données avant qu'elles ne soient effectuées. Comme il est possible d'accéder fréquemment et simultanément à ces fichiers, il est préférable de conserver les journaux de bases de données et les journaux de transactions sur des disques durs distincts ou sur des configurations de disques hautes performances, tels que les volumes agrégés par bande.

L'emplacement de la base de données des certificats et celui des fichiers journaux sont conservés aux endroits suivants du Registre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Le Registre contient les valeurs suivantes :

  • DBDirectory

  • DBLogDirectory

  • DBSystemDirectory

  • DBTempDirectory

Note

Vous pouvez déplacer la base de données des certificats et les fichiers journaux après l'installation. Pour plus d’informations, voir l’article 283193 dans la Base de connaissances Microsoft.

Configurer l'autorité de certification

Après l'installation d'une autorité de certification racine ou secondaire, vous devez configurer les extensions de l'accès aux informations de l'autorité et du point de distribution CRL avant que l'autorité de certification n'émette un certificat. L'extension de l'accès aux informations de l'autorité indique où trouver les certificats à jour de l'autorité de certification. L'extension du point de distribution CRL indique où trouver les listes de révocation de certificats à jour signées par l'autorité de certification. Ces extensions s'appliquent à tous les certificats émis par cette autorité de certification.

La configuration de ces extensions garantit que ces informations sont incluses dans chaque certificat que l'autorité de certification émet afin qu'elles soient accessibles à tous les clients. Il s'ensuit que les clients de l'infrastructure à clé publique sont confrontés à très peu de défaillances consécutives à des chaînes de certificats non vérifiées ou à des révocations de certificats, ce qui peut entraîner l'échec des connexions VPN, ainsi que celui des connexions de cartes à puce, ou la non-vérification de signatures électroniques.

En tant qu'administrateur de l'autorité de certification, vous pouvez ajouter, supprimer ou modifier les points de distribution CRL et les emplacements d'émission de certificats CDP et AIA. La modification de l'URL d'un point de distribution de la liste de révocation de certificats n'affecte que les certificats nouvellement émis. Les certificats précédemment émis continueront à faire référence à l'emplacement original, raison pour laquelle vous devez définir ces emplacements avant que votre autorité de certification ne distribue les certificats.

Prenez en compte les instructions suivantes lorsque vous configurez les URL d'extension CDP :

  • Évitez de publier les listes de révocation de certificats delta sur les autorités de certification racine hors ligne. Comme vous ne pouvez pas révoquer beaucoup de certificats sur une autorité de certification racine hors ligne, une liste de révocation de certificats delta n'est probablement pas nécessaire.

  • Ajustez les valeurs par défaut LDAP :/// et HTTP:// des emplacements URL sous l’onglet Extensions de l’onglet Extension de propriétés de l’autorité de certification selon vos besoins.

  • Publiez une liste de révocation de certificats sur un emplacement HTTP Internet ou extranet de telle sorte que les utilisateurs et les applications en dehors de l'organisation puissent effectuer la validation de certificats. Vous pouvez publier les URL LDAP et HTTP des emplacements CDP afin de permettre aux clients d'extraire les données avec les protocoles HTTP et LDAP.

  • N'oubliez pas que les clients Windows extraient toujours la liste des URL selon un ordre séquentiel jusqu'à ce qu'une liste de révocation de certificats valide soit extraite.

  • Utilisez les emplacements CDP HTTP pour fournir des emplacements CRL accessibles aux clients qui exécutent des systèmes d'exploitation autres que Windows.

Note

Pour plus d’informations sur les listes de révocation de certificats et les listes de révocation de certificats delta, voir Configuration de la révocation de certificats.

Windows PowerShell et certutil prennent en charge les variables numériques, précédées du signe pourcentage (%), pour aider à la publication des emplacements CDP et AIA. L'onglet Extension de propriétés de l'autorité de certification prend en charge les variables entre crochets. Le tableau suivant met en correspondance les variables entre les interfaces et décrit leurs significations.

Variable

Nom de l'onglet Extensions

Description

%1

<ServerDNSName>

Nom DNS de l'ordinateur de l'autorité de certification. En cas de connexion à un domaine DNS, il s'agit du domaine complet ; sinon, c'est le nom d'hôte de l'ordinateur.

%2

<ServerShortName>

Nom NetBIOS du serveur de l'autorité de certification

%3

<CaName>

Nom de l'autorité de certification

%4

<CertificateName>

Chaque révision supplémentaire du certificat peut ainsi avoir un suffixe unique.

%4

Aucune

Non utilisé

%6

<ConfigurationContainer>

Emplacement du conteneur de configuration dans AD DS

%7

<CATruncatedName>

Nom de l'autorité de certification tronqué à 32 caractères avec un code de hachage à la fin

%8

<CRLNameSuffix>

Ajoute un suffixe au nom de fichier lors de la publication d'une liste de révocation de certificats sur un emplacement fichier ou URL.

%9

<DeltaCRLAllowed>

Lors de la publication d'une liste de révocation de certificats delta, la variable SuffixeNomCRL est remplacée par un suffixe distinct pour différencier la liste de révocation de certificats delta de la liste de révocation de certificats elle-même.

%10

<CDPObjectClass>

Identificateur de classe d'objet pour les points de distribution de liste de révocation de certificats, utilisé lors de la publication sur une URL LDAP.

%11

<CAObjectClass>

Identificateur de classe d'objet d'une autorité de certification, utilisé lors de la publication sur une URL LDAP.

Publier l'extension AIA

L'extension AIA indique aux ordinateurs clients où ils peuvent trouver les certificats à vérifier. Le client peut ainsi confirmer si le certificat est digne de confiance.

Vous pouvez configurer l’extension AIA à l’aide de l’interface de l’autorité de certification, de Windows PowerShell ou de la commande certutil. Le tableau suivant décrit les options que vous pouvez utiliser avec l'extension AIA à l'aide de ces méthodes.

Nom de case à cocher d'interface

Paramètre Windows PowerShell

Valeur certutil

Inclure dans l'extension AIA du certificat émis

-AddToCertificateAia

2

Inclure dans l'extension OCSP (Online Certificate Status Protocol)

-AddToCertificateOcsp

32

Les exemples de cette section sur la publication de l'extension AIA représentent le scénario suivant :

  • Le nom de domaine est corp.contoso.com.

  • Il existe un serveur web nommé App1 dans le domaine.

  • App1 possède un dossier partagé nommé PKI qui accepte les autorisations Lecture et Écriture de l'autorité de certification.

  • App1 a www comme DNS CNAME et un répertoire virtuel partagé intitulé PKI.

  • Le premier protocole que les ordinateurs clients doivent utiliser pour les informations AIA est HTTP.

  • Le second protocole que les ordinateurs clients doivent utiliser pour les informations AIA est LDAP.

  • L'autorité de certification configurée est une autorité de certification émettrice en ligne.

  • Le protocole OCSP n'est pas utilisé.

Utiliser l'interface pour publier l'extension AIA

L’interface utilise les variables et les noms de case à cocher qui sont décrits dans les précédents tableaux. Vous pouvez accéder à l'interface via l'interface de l'autorité de certification. Dans le volet Contenu, cliquez avec le bouton droit sur l'autorité de certification, cliquez sur Propriétés, puis sur Extensions. Dans Sélectionner l'extension, cliquez sur Accès aux informations de l'autorité (AIA).

Propriétés AIA

Figure 1   Menu de l'extension AIA

Les emplacements et paramètres configurés dans l'interface utilisateur sont les suivants :

  • C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt

  • http://www.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt

    • Inclure dans l'extension AIA des certificats émis
  • file://\\App1.corp.contoso.com\pki\<ServerDNSName>_<CaName><CertificateName>.crt

  • ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>

    • Inclure dans l'extension AIA des certificats émis

Utiliser Windows PowerShell pour publier l'extension AIA

Les commandes Windows PowerShell suivantes permettent de configurer l'extension AIA pour le scénario fourni :

$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force};
Add-CAAuthorityInformationAccess -AddToCertificateAia http://www.contoso.com/pki/%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia file://\\App1.corp.contoso.com\pki\%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia "ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Note

  • Si vous utilisez Windows PowerShell pour ajouter les chemins AIA, les chemins d'accès existants demeurent en place. La première commande Windows PowerShell de l'exemple supprime tous les chemins existants. Pour plus d’informations sur la suppression des chemins AIA avec Windows PowerShell, voir Suppression de l’accès aux informations de l’autorité de l’autorité de certification.

  • Vous ne pouvez pas ajouter un chemin local à l’aide de l’applet de commande Windows PowerShell Add-CAAuthorityInformationAccess. Le certificat de l'autorité de certification sera automatiquement publié sur l'emplacement par défaut de %systemroot%\system32\CertSrv\CertEnroll.

Utiliser certutil pour publier l'extension AIA

La commande certutil suivante permet de configurer l’extension AIA pour le scénario fourni :

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://www.contoso.com/pki/%1_%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Note

  • Après avoir modifié ces chemins, assurez-vous de redémarrer le service CertSvc. Vous pouvez le redémarrer en exécutant la commande Windows PowerShell suivante : restart-service certsvc

  • Dans une commande certutil, entrez tous les chemins comme une seule chaîne continue entre guillemets. Chaque chemin est séparé par \n.

Publier l'extension CDP

L'extension CDP indique aux ordinateurs clients où ils peuvent trouver la liste de révocation de certificats la plus récente, afin que le client puisse confirmer qu'un certificat particulier n'a pas été révoqué.

Vous pouvez configurer l’extension CDP à l’aide de l’interface de l’autorité de certification, de Windows PowerShell ou de la commande certutil. Le tableau suivant décrit les options que vous pouvez utiliser avec l'extension CDP lorsque vous utilisez ces méthodes.

Nom de case à cocher d'interface

Paramètre Windows PowerShell

Valeur certutil

Publier les listes de révocation de certificats sur cet emplacement

-PublishToServer

1

Inclure dans toutes les listes de révocation de certificats.

(Spécifie où publier dans Active Directory en cas de publication manuelle.)

-AddToCrlCdp

8

Inclure dans les listes de révocation de certificats.

(Les clients l'utilisent pour retrouver les emplacements des listes de révocation de certificats delta.)

-AddToFreshestCrl

4

Inclure dans l'extension CDP des certificats émis.

-AddToCertificateCdp

2

Publier les listes de révocation de certificats delta sur cet emplacement.

-PublishDeltaToServer

64

Inclure dans l'extension IDP des listes de révocation de certificats émises.

-AddToCrlIdp

128

Note

L'extension IDP (Issuing Distribution Point, point de distribution d'émission) est utilisée par les clients non-Windows pour vérifier la révocation de certificats. L'extension IDP permet aux listes de révocation de certificats partitionnées d'être déployées lors de l'utilisation d'autorités de certification tierces. Les listes de révocation de certificats partitionnées permettent à une autorité de certification tierce de publier les listes de révocation de certificats avec seulement certains types de certificats spécifiques au sein de chaque liste de révocation de certificats. Par exemple, vous pouvez avoir des listes de révocation de certificats pour les certificats finaux par opposition aux certificats d'autorité de certification. Plus particulièrement, les options suivantes peuvent être définies dans l'IDP :

  1. onlyContainUserCerts. Cette option de l'IDP autorise uniquement les certificats qui n'ont pas les valeurs cA dans les extensions de contraintes de base. Si le certificat ne comporte pas d'extension de contraintes de base, il est considéré comme n'étant pas une autorité de certification.

  2. onlyContainsCACerts. Cette option de l'IDP autorise uniquement les certificats ayant une extension de contraintes de base avec les valeurs cA définies comme devant être incluses dans la liste de révocation de certificats.

Si vous autorisez la publication des listes de révocation de certificats delta sur un serveur web IIS (Internet Information Services), vous devez modifier la configuration IIS par défaut en définissant allowDoubleEscaping=true pour l’élément requestFiltering de la section system.web de la configuration IIS. Par exemple, si vous voulez autoriser le double-échappement pour le répertoire virtuel de l’infrastructure à clé publique du site web par défaut sur IIS, exécutez la commande suivante sur le serveur web IIS : appcmd set config "Default Web Site/pki" -section:system.webServer/security/requestFiltering -allowDoubleEscaping:true. Pour plus d’informations, voir AD CS : Le serveur web doit autoriser l’URI contenant le caractère « + » pour permettre la publication des listes de révocation de certificats delta.

Les exemples de cette section pour la publication de l'extension CDP représentent le scénario suivant :

  • Le nom de domaine est corp.contoso.com.

  • Il existe un serveur web nommé App1 dans le domaine.

  • App1 possède un dossier partagé nommé PKI qui accepte les autorisations Lecture et Écriture de l'autorité de certification.

  • App1 a www comme DNS CNAME et un répertoire virtuel partagé intitulé PKI.

  • Le premier protocole que les ordinateurs clients doivent utiliser pour les informations CDP est HTTP.

  • Le second protocole que les ordinateurs clients doivent utiliser pour les informations CDP est LDAP.

  • L'autorité de certification configurée est une autorité de certification émettrice en ligne.

  • IDP n'est pas utilisé.

Utiliser l'interface pour publier l'extension CDP

L'interface utilise les variables et les noms de case à cocher qui sont décrits dans les précédents tableaux. Vous pouvez accéder à l'interface via l'interface de l'autorité de certification. Dans le volet Contenu, cliquez avec le bouton droit sur l'autorité de certification, cliquez sur Propriétés, puis sur Extensions. Dans Sélectionner l'extension, cliquez sur Points de distribution de liste de révocation de certificats (CDP).

Propriétés CDP

Figure 2   Menu de l'extension CDP

Les emplacements et paramètres configurés dans l'interface sont les suivants :

  • C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    • Publier les listes de révocation de certificats sur cet emplacement

    • Publier les listes de révocation de certificats delta sur cet emplacement

  • http://www.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    • Inclure dans les listes de révocation de certificats. Les clients l'utilisent pour trouver les emplacements des listes de révocation de certificats delta.

    • Inclure dans l'extension CDP des certificats émis

  • file://\\App1.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    • Publier les listes de révocation de certificats sur cet emplacement

    • Publier les listes de révocation de certificats delta sur cet emplacement

  • ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>

    • Inclure dans toutes les listes de révocation de certificats. Spécifie où publier dans Active Directory en cas de publication manuelle.

    • Inclure dans l'extension CDP des certificats

Utiliser Windows PowerShell pour publier l'extension CDP

Les commandes Windows PowerShell permettent de configurer l'extension CDP pour le scénario fourni :

$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-CACrlDistributionPoint $crl.uri -Force};
Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\%3%8%9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri http://www.contoso.com/pki/%3%8%9.crl -AddToCertificateCDP -AddToFreshestCrl
Add-CACRLDistributionPoint -Uri file://\\App1.corp.contoso.com\pki\%3%8%9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri "ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10" -AddToCrlCdp -AddToCertificateCdp

Note

Si vous utilisez Windows PowerShell pour ajouter les chemins CDP, les chemins existants demeurent en place. La première commande Windows PowerShell de l'exemple supprime tous les chemins existants. Pour plus d’informations sur l’utilisation de Windows PowerShell pour supprimer les chemins CDP, voir Supprimer le point de distribution des listes de révocation de certificats de l’autorité de certification.

Utiliser certutil pour publier l'extension CDP

La commande certutil suivante configure l’extension CDP pour le scénario fourni :

certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n6:http://www.contoso.com/pki/%3%8%9.crl\n65:file://\\App1.corp.contoso.com\pki\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"

Note

  • Après avoir modifié ces chemins, veillez à redémarrer le service de l'autorité de certification. Depuis Windows PowerShell, vous pouvez redémarrer le CertSvc en exécutant la commande suivante : restart-service certsvc

  • Dans une commande certutil, entrez tous les chemins comme une seule chaîne continue entre guillemets, mais séparez chaque chemin par \n.

Pour publier la liste de révocation de certificats, vous pouvez exécuter la commande certutil -crl sur l’autorité de certification depuis Windows PowerShellou une invite de commandes exécutée en tant qu’administrateur. Pour plus d’informations sur la configuration et la publication des listes de révocation de certificats, voir Configuration de la révocation de certificats.

Vérifier la configuration

Pour vérifier la configuration de l'autorité de certification, vous pouvez exécuter les commandes suivantes depuis Windows PowerShell ou depuis une fenêtre d'invite de commandes :

Commande

Description

Certutil -CAInfo

Affiche le statut des noms, paramètres régionaux, identificateurs d'objet et listes de révocation de certificats pour l'autorité de certification.

Certutil -getreg

Affiche la configuration du Registre de l'autorité de certification.

Certutil -ADCA

Confirme la configuration des autorités de certification d'entreprise.

Vous pouvez utiliser l'outil PKIView.msc pour vérifier vos configurations de publication AIA et CDP. Pour plus d’informations, voir PKI d’entreprise.

Vous pouvez aussi utiliser le service de rôle Répondeur en ligne pour vérifier la révocation de certificats. Pour plus d’informations sur le répondeur en ligne, voir Guide d’installation, de configuration et de dépannage du répondeur en ligne.

Contenu associé