Renouvellement certificats utilisateurs

Le
Fab
Bonjour,

Nous avons installé une PKI à partir du service de certificats fourni en
standard dans Windows 2003. Dans l'AD, certains utilisateurs disposent donc
de certificats de type "utilisateur".
Sur 1 de nos serveurs, nous avons l'autorité de certification et la console
d'administration de la CA.
J'aimerais savoir si quelques temps avant l'expiration des certificats
utilisateurs, le renouvellement peut se faire directement à partir de la
console d'administration (car l'utilisateur ne peut pas le faire de
l'extérieur).

Merci bien pour votre aide.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry MILLE [MVP]
Le #792165
"Fab" news:
Bonjour,

Nous avons installé une PKI à partir du service de certificats fourni en
standard dans Windows 2003. Dans l'AD, certains utilisateurs disposent
donc
de certificats de type "utilisateur".
Sur 1 de nos serveurs, nous avons l'autorité de certification et la
console
d'administration de la CA.
J'aimerais savoir si quelques temps avant l'expiration des certificats
utilisateurs, le renouvellement peut se faire directement à partir de la
console d'administration (car l'utilisateur ne peut pas le faire de
l'extérieur).


S'il n'est pas possible d'accéder à l'autorité de certification emettrice
depuis l'extérieur : l'utilisateur ne pourra renouveler son certificat.

L'utilisateur peut donc
=> soit se connecter au réseau pour renouveler le certificat (connexion
temporaire VPN/modem par exemple)
=> soit attendre l'expiration du certificat et faire une nouvelle demande
=> soit communiquer son login/mot de passe pour qu'une personne digne de
confiance puisse réaliser la demande en son nom. Le certificat obtenu étant
alors exporté dans un fichier PFX (format PKCS#12) puis envoyé par courrier
électronique (le fichier PFX devrait être protégé par un mot de passe).

Cordialement

--
Thierry MILLE [MVP]

Fab
Le #791900
Bonjour et merci pour ces infos,

Le renouvellement du certificat veut obligatoirement dire changement du
certificat ? il n'est pas possible de se limiter à la reconduction de la
durée de validité du certificat existant ? Et s'il est nécessaire d'en
délivrer un différent, ne peut-on pas fixer la durée de validité des
certificats utilisateurs à 2 ans ou 3 ans ?

- Concernant la première solution "soit se connecter au réseau pour
renouveler le certificat (connexion temporaire VPN/modem par exemple)", on
peut peut-être envisager de publier temporairement le serveur hébergeant l'AC
en https ? Le serveur hébergent l'AC est aussi controleur de domaine.

- Concernant la troisième solution "soit communiquer son login/mot de passe
pour qu'une personne digne de confiance puisse réaliser la demande en son
nom. Le certificat obtenu étant alors exporté dans un fichier PFX (format
PKCS#12) puis envoyé par courrier électronique (le fichier PFX devrait être
protégé par un mot de passe).", dans notre cas, cela implique : sur le réseau
interne se logger au nom de l'utilisateur, demander un nouveau certificat,
envoyer par mail le .pfx protégé par mdp, prendre la main sur le poste
extérieur avant que le certificat actuel n'expire, installer le nouveau
certificat (l'intérêt ici serait de se limiter à la reconduction de la durée
de validité du certificat existant.)

Cordialement et merci encore.



"Fab" news:
Bonjour,

Nous avons installé une PKI à partir du service de certificats fourni en
standard dans Windows 2003. Dans l'AD, certains utilisateurs disposent
donc
de certificats de type "utilisateur".
Sur 1 de nos serveurs, nous avons l'autorité de certification et la
console
d'administration de la CA.
J'aimerais savoir si quelques temps avant l'expiration des certificats
utilisateurs, le renouvellement peut se faire directement à partir de la
console d'administration (car l'utilisateur ne peut pas le faire de
l'extérieur).


S'il n'est pas possible d'accéder à l'autorité de certification emettrice
depuis l'extérieur : l'utilisateur ne pourra renouveler son certificat.

L'utilisateur peut donc
=> soit se connecter au réseau pour renouveler le certificat (connexion
temporaire VPN/modem par exemple)
=> soit attendre l'expiration du certificat et faire une nouvelle demande
=> soit communiquer son login/mot de passe pour qu'une personne digne de
confiance puisse réaliser la demande en son nom. Le certificat obtenu étant
alors exporté dans un fichier PFX (format PKCS#12) puis envoyé par courrier
électronique (le fichier PFX devrait être protégé par un mot de passe).

Cordialement

--
Thierry MILLE [MVP]






Thierry MILLE [MVP]
Le #791899
"Fab" news:
Bonjour et merci pour ces infos,

Le renouvellement du certificat veut obligatoirement dire changement du
certificat ? il n'est pas possible de se limiter à la reconduction de la
durée de validité du certificat existant ?


C'est le client qui soumet la demande, cette demande est ensuite approuvée
par l'autorité de certification qui signe le certificat délivré.

Et s'il est nécessaire d'en
délivrer un différent, ne peut-on pas fixer la durée de validité des
certificats utilisateurs à 2 ans ou 3 ans ?


Vous pouvez créer des modèles de certificats si votre autorité est de type
entreprise : dans ce cas vous pourrez fixer la durée de vie des certificats
utilisateurs comme vous le désirez (néanmoins 1 an est une bonne valeur pour
des certificats utilisateur compte tenu de leur exposition et faible
protection). Vous pourriez même en profiter pour prévoir un agent de
récupération de clés (KRA) au niveau de l'autorité et du nouveau modèle de
certificat.

- Concernant la première solution "soit se connecter au réseau pour
renouveler le certificat (connexion temporaire VPN/modem par exemple)", on
peut peut-être envisager de publier temporairement le serveur hébergeant
l'AC
en https ? Le serveur hébergent l'AC est aussi controleur de domaine.


Oui, ce n'est pas un problème si le site Web ne possède pas de faille de
sécurité liée à des composants supplémentaires comme des extensions PHP ou
jenesaisquoi (si c'est un serveur Windows 2003 SP2 avec les correctifs et
IIS installé par défaut : sans problème même si les bonnes pratiques ne le
recommande pas).

- Concernant la troisième solution "soit communiquer son login/mot de
passe
pour qu'une personne digne de confiance puisse réaliser la demande en son
nom. Le certificat obtenu étant alors exporté dans un fichier PFX (format
PKCS#12) puis envoyé par courrier électronique (le fichier PFX devrait
être
protégé par un mot de passe).", dans notre cas, cela implique : sur le
réseau
interne se logger au nom de l'utilisateur, demander un nouveau certificat,
envoyer par mail le .pfx protégé par mdp, prendre la main sur le poste
extérieur avant que le certificat actuel n'expire, installer le nouveau
certificat (l'intérêt ici serait de se limiter à la reconduction de la
durée
de validité du certificat existant.)

En fait il faudra dans ce cas révoquer l'ancien certificat (et rendre

accessible la liste de révocation des certificats).

Cordialement

--
Thierry MILLE [MVP]

Fab
Le #791898
Rebonjour,

Si vous aviez un livre à me conseiller qui traite de la gestion d'une PKI
sous windows 2003 jusqu'à la duplication et modification d'un modèle
certificat, je serai très intéressé (j'en ai un mais qui ne parle pas en
détail de ces paramètres).

Merci et bon réveillon.



"Fab" news:
Bonjour et merci pour ces infos,

Le renouvellement du certificat veut obligatoirement dire changement du
certificat ? il n'est pas possible de se limiter à la reconduction de la
durée de validité du certificat existant ?


C'est le client qui soumet la demande, cette demande est ensuite approuvée
par l'autorité de certification qui signe le certificat délivré.

Et s'il est nécessaire d'en
délivrer un différent, ne peut-on pas fixer la durée de validité des
certificats utilisateurs à 2 ans ou 3 ans ?


Vous pouvez créer des modèles de certificats si votre autorité est de type
entreprise : dans ce cas vous pourrez fixer la durée de vie des certificats
utilisateurs comme vous le désirez (néanmoins 1 an est une bonne valeur pour
des certificats utilisateur compte tenu de leur exposition et faible
protection). Vous pourriez même en profiter pour prévoir un agent de
récupération de clés (KRA) au niveau de l'autorité et du nouveau modèle de
certificat.

- Concernant la première solution "soit se connecter au réseau pour
renouveler le certificat (connexion temporaire VPN/modem par exemple)", on
peut peut-être envisager de publier temporairement le serveur hébergeant
l'AC
en https ? Le serveur hébergent l'AC est aussi controleur de domaine.


Oui, ce n'est pas un problème si le site Web ne possède pas de faille de
sécurité liée à des composants supplémentaires comme des extensions PHP ou
jenesaisquoi (si c'est un serveur Windows 2003 SP2 avec les correctifs et
IIS installé par défaut : sans problème même si les bonnes pratiques ne le
recommande pas).

- Concernant la troisième solution "soit communiquer son login/mot de
passe
pour qu'une personne digne de confiance puisse réaliser la demande en son
nom. Le certificat obtenu étant alors exporté dans un fichier PFX (format
PKCS#12) puis envoyé par courrier électronique (le fichier PFX devrait
être
protégé par un mot de passe).", dans notre cas, cela implique : sur le
réseau
interne se logger au nom de l'utilisateur, demander un nouveau certificat,
envoyer par mail le .pfx protégé par mdp, prendre la main sur le poste
extérieur avant que le certificat actuel n'expire, installer le nouveau
certificat (l'intérêt ici serait de se limiter à la reconduction de la
durée
de validité du certificat existant.)

En fait il faudra dans ce cas révoquer l'ancien certificat (et rendre

accessible la liste de révocation des certificats).

Cordialement

--
Thierry MILLE [MVP]




Thierry MILLE [MVP]
Le #791897
"Fab" news:
Rebonjour,

Si vous aviez un livre à me conseiller qui traite de la gestion d'une PKI
sous windows 2003 jusqu'à la duplication et modification d'un modèle
certificat, je serai très intéressé (j'en ai un mais qui ne parle pas en
détail de ces paramètres).



Une bonne approche pour ces points inmportants et les opérations s'y
rapportant est le cours officiel Microsoft 2304 Implémentation et
administration de la sécurité notamment les chapitres 2 & 3 (gestion des
autorités et des certificats).

Cordialement

--
Thierry MILLE [MVP]

Fab
Le #791643
Bonjour,

Pouvez-vous me confirmer qu'il est nécessaire d'avoir la version Entreprise
de Windows Server 2003 pour pouvoir activer les modèles de certificats que
l'on créé soi-même ?

Merci,


"Fab" news:
Rebonjour,

Si vous aviez un livre à me conseiller qui traite de la gestion d'une PKI
sous windows 2003 jusqu'à la duplication et modification d'un modèle
certificat, je serai très intéressé (j'en ai un mais qui ne parle pas en
détail de ces paramètres).



Une bonne approche pour ces points inmportants et les opérations s'y
rapportant est le cours officiel Microsoft 2304 Implémentation et
administration de la sécurité notamment les chapitres 2 & 3 (gestion des
autorités et des certificats).

Cordialement

--
Thierry MILLE [MVP]




Thierry MILLE [MVP]
Le #791642
"Fab" news:
Bonjour,

Pouvez-vous me confirmer qu'il est nécessaire d'avoir la version
Entreprise
de Windows Server 2003 pour pouvoir activer les modèles de certificats que
l'on créé soi-même ?


Non contrairement à ce qui est écrit dans support de cours 2304 qui indique
que seules les éditions Entreprise et Datacenter permettent d'éditer les
modèles de certificats :-)

Cordialement

--
Thierry MILLE [MVP]

Fab
Le #791641
Pourtant, j'ai créé un nouveau modèle de certificat (en dupliquant le modèle
"utilisateur" dans "Modèles de certificats" puis"Gérer") et il n'apparaît pas
dans la fenêtre "Activer les modèles de certificats" ?

Merci,


"Fab" news:
Bonjour,

Pouvez-vous me confirmer qu'il est nécessaire d'avoir la version
Entreprise
de Windows Server 2003 pour pouvoir activer les modèles de certificats que
l'on créé soi-même ?


Non contrairement à ce qui est écrit dans support de cours 2304 qui indique
que seules les éditions Entreprise et Datacenter permettent d'éditer les
modèles de certificats :-)

Cordialement

--
Thierry MILLE [MVP]




Fab
Le #793425
Bonjour,

Je ne demande pas mieux que de pouvoir le faire avec une version standard
car je n'ai pas de version entreprise. Je disais cela par rapport au fait que
j'ai peut-être mal effectué une action ce qui expliquerait pourquoi mon
modèle n'apparaît pas dans la fenêtre "Activer les modèles de certificats" ?

Cordialement et encore merci.



Pourtant, j'ai créé un nouveau modèle de certificat (en dupliquant le modèle
"utilisateur" dans "Modèles de certificats" puis"Gérer") et il n'apparaît pas
dans la fenêtre "Activer les modèles de certificats" ?

Merci,


"Fab" news:
Bonjour,

Pouvez-vous me confirmer qu'il est nécessaire d'avoir la version
Entreprise
de Windows Server 2003 pour pouvoir activer les modèles de certificats que
l'on créé soi-même ?


Non contrairement à ce qui est écrit dans support de cours 2304 qui indique
que seules les éditions Entreprise et Datacenter permettent d'éditer les
modèles de certificats :-)

Cordialement

--
Thierry MILLE [MVP]






Thierry MILLE [MVP]
Le #793204
"Fab" news:
Bonjour,

Je ne demande pas mieux que de pouvoir le faire avec une version standard
car je n'ai pas de version entreprise. Je disais cela par rapport au fait
que
j'ai peut-être mal effectué une action ce qui expliquerait pourquoi mon
modèle n'apparaît pas dans la fenêtre "Activer les modèles de certificats"
?

Bonsoir,


En effet, vous avez raison : il faut une édition entreprise pour publier des
modèles de certificats personnalisés. L'édition standard ne permet de
publier que des modèles de certificats préexistants (éditables via la
console certtmpl.msc).

Je n'ai pas trouvé de fiche dans la KB publique confirmant cette obligation
mais test réalisé ce jour le confirme (mêmes opérations entre une édition
entreprise et une édition standard).

Cordialement

--
Thierry MILLE [MVP]

Publicité
Poster une réponse
Anonyme