Déployer une infrastructure PKI multi-sites sous Windows Server 2016

  • Windows Server
  • AD CS
  • 4/5

12. Informations des autorités de certifications secondaires d'entreprise dans l'Active Directory

Si vous réouvrez la console "Sites et services Active Directory", vous verrez que des données concernant vos autorités de certification d'entreprise ont été stockées automatiquement dans votre infrastructure Active Directory.

Si vous allez dans le dossier "Services -> Public Key Services -> Certification Authorities", vous ne verrez que votre autorité de certification racine autonome.

Par contre, si vous allez dans le dossier "Services -> Public Key Services -> AIA", vous verrez que votre autorité de certification racine apparaitra, ainsi qu'une autorité de certification secondaire.
Néanmoins, comme vous pouvez le voir, nous ne voyons que les autorités de certification situées à Bruxelles (dans notre cas), car nous avons ouvert cette console sur notre serveur "brux-dc1".

Etant donné que la réplication des données de l'Active Directory n'est pas instantanée entre différents sites Active Directory, il est normal que l'autorité de certification du site distant (Paris dans notre cas) n'apparaisse pas pour le moment.

Dans le dossier "Services -> Public Key Services -> CDP", vous trouverez 2 dossiers :

  • un dossier "brux-root-ca" contenant la liste de révocation de notre autorité de certification racine située à Bruxelles
  • un dossier "brux-sub-ca" contenant la liste de révocation de notre autorité de certification secondaire située à Bruxelles

Si nous ouvrons cette console sur un contrôleur de domaine du site distant, nous pouvons voir que notre autorité de certification racine est présente dans le dossier "Certification Authorities".

Dans le dossier "AIA", nous pouvons voir notre autorité de certification racine de Bruxelles et l'autorité de certification secondaire de Paris.
Par contre, l'autorité de certification secondaire de Bruxelles n'apparait pas pour le moment, car les données n'ont pas encore été répliquées par Active Directory depuis Bruxelles.

Dans le dossier "CDP", nous pouvons voir :

  • brux-root-ca : la liste de révocation des certificats de notre autorité de certification racine
  • paris-sub-ca : la liste de révocation des certificats de notre autorité de certification secondaire

13. Forcer la réplication des données Active Directory entre différents sites

Comme vous l'avez vu précédemment :

  • ce qui concerne l'autorité de certification secondaire de Bruxelles n'est présent pour le moment qu'à Bruxelles
  • ce qui concerne l'autorité de certification secondaire de Paris n'est présent pour le moment qu'à Paris

Pour que les données concernant vos 2 autorités de certifications secondaires soient présentes peu importe le site Active Directory où vous vous trouvez, il suffit d'attendre ou de forcer la réplication des données d'un site Active Directory vers un autre.

Pour cela, ouvrez la console "Sites et services Active Directory" et sélectionnez :

  • à gauche : le noeud "NTDS Settings" du contrôleur de domaine à mettre à jour
  • à droite : la ligne correspondant au contrôleur de domaine source qui contient les données qu'il vous manque sur le contrôleur de domaine sélectionné à gauche.

Dans notre cas, nous allons mettre à jour notre contrôleur de domaine "brux-dc1" depuis le contrôleur de domaine "paris-dc1".
Pour cela, faites un clic droit sur l'objet de connexion situé à droite et cliquez sur : Répliquer maintenant.

Comme vous pouvez le voir, les services de domaine Active Directory vont essayer de répliquer ces connexions.

Faites de même pour répliquer également les données dans l'autre sens.

Ainsi, ce qui se trouve uniquement à Paris sera copié à Bruxelles et ce qui se trouve uniquement à Bruxelles sera copié à Paris.
Au final, vous aurez les informations de Paris et de Bruxelles sur vos 2 sites physiques.

Important : la réplication n'est pas instantanée. Il est possible que vous deviez attendre jusqu'à 1 minute pour que les données soient complètement répliquées d'un site Active Directory à l'autre.

Une fois les données Active Directory répliquées, vous verrez votre autorité de certification racine apparaitre dans le dossier "Certification Authorities".

Dans le dossier "Services -> Public Key Services -> AIA", vous verrez apparaitre :

  • votre autorité de certification racine.
    Dans notre cas : InformatiWeb Root CA (Brux).
  • vos autorités de certification secondaires.
    Dans notre cas : InformatiWeb Sub CA (Brux) et InformatiWeb Sub CA (Paris).

Dans le dossier "Services -> Public Key Services -> CDP", vous trouverez 3 dossiers :

  • un pour l'autorité de certification racine.
    Dans notre cas : brux-root-ca.
  • 2 autres pour vos autorités de certification secondaires.
    Dans notre cas : brux-sub-ca et paris-sub-ca.

Dans le dossier "brux-root-ca", nous trouvons la liste de révocation des certificats de notre autorité de certification racine située à Bruxelles.

Dans le dossier "brux-sub-ca", nous trouvons la liste de révocation des certificats de notre autorité de certification secondaire située à Bruxelles.

Et pour finir, dans le dossier "paris-sub-ca", nous trouvons la liste de révocation des certificats de notre autorité de certification secondaire située à Paris.

14. Autorités de certification reconnues par vos PCs clients

Maintenant que toutes les informations concernant votre autorité de certification se trouvent sur tous les sites Active Directory de votre infrastructure, redémarrez vos PCs clients si nécessaire, puis ouvrez une console "mmc".
Dans cette console "mmc", ajoutez le composant "Certificats" pour l'ordinateur local ou l'utilisateur actuel (en fonction de vos droits sur ce PC client) et allez dans le dossier "Autorités de certification racines de confiance".

Comme vous pouvez le voir, le certificat de votre autorité de certification racine autonome se trouve dans cette liste de certificats.

Si vous allez dans le dossier "Autorités de certification intermédiaires", vous trouverez le certificat de votre autorité de certification racine autonome, ainsi que ceux de vos autorités de certification secondaires d'entreprise.

Vos PCs clients et vos serveurs font donc confiance aux certificats qui émanent de vos différentes autorités de certification.

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.