- Windows Server
- AD CS
- 15 décembre 2023 à 10:36
-
Lorsque vous déployez une autorité de certification racine autonome (certainement mise hors connexion, si vous respectez les bonnes pratiques de Microsoft), ainsi que plusieurs autorités de certification secondaires, il se peut que votre infrastructure s'arrête subitement de fonctionner d'un jour à l'autre.
En effet, lorsque vous mettez hors connexion votre autorité de certification racine autonome, vous devez publier et mettre à jour manuellement la liste de révocation de cette autorité de certification dans votre infrastructure Active Directory.
Si vous oubliez de le faire, toutes vos autorités de certification secondaire dépendant de cette autorité de certification racine autonome cesseront de fonctionner lorsque la liste de révocation de votre autorité de certification racine aura expiré.
- Problème rencontré
- Liste de révocation de l'autorité de certification racine expirée
- Changer la durée de validité de la liste de révocation de certificats de votre CA racine
- Mettre à jour la liste de révocation des certificats dans votre Active Directory
- Démarrer votre autorité de certification secondaire
1. Problème rencontré
Sur une de vos autorités de certification secondaires, vous remarquez que celle-ci n'est pas démarrée.
Donc, vous tentez de la démarrer manuellement.
Votre autorité de certification secondaire refuse de démarrer et cette erreur apparait :
Plain Text
La fonction de révocation n'a pas pu vérifier la révocation, car le serveur de révocation était déconnecté. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).
Cette erreur vous indique que votre autorité de certification secondaire n'a pas pu vérifier la révocation de son certificat, car votre autorité de certification racine autonome n'est pas accessible.
Ce qui est normal étant donné que vous la gardez hors connexion pour des raisons de sécurité.
Si votre autorité de certification secondaire tente de retélécharger la liste de révocation de votre autorité de certification racine autonome, c'est parce que la copie publiée par le passé dans votre infrastructure Active Directory a expiré.
2. Liste de révocation de l'autorité de certification racine expirée
Pour voir cette liste de révocation, vous pouvez utiliser la console "Sites et services Active Directory" de votre contrôleur de domaine.
Dans cette console, cliquer sur "Affichage -> Afficher le noeud des services" pour afficher le noeud "Services" de cette console.
Puis, allez dans : Services -> Public Key Services -> CDP -> [nom du serveur de la CA racine].
Comme vous pouvez le voir, la liste de révocation de certificats de votre autorité de certification racine s'y trouve.
Dans notre cas, cette liste de révocation a été publiée manuellement dans l'Active Directory le 16/04/2022.
Ce qui correspond au fichier ci-dessous que nous avions publié dans l'AD précédemment.
Comme vous pouvez le voir, celle-ci a été créée le 16/04/2022 et celle-ci doit être mise à jour le 24 avril.
Autrement dit, elle expire ce jour-là.
Etant donné que cette liste de révocation de certificats de votre autorité de certification racine a expiré, vous recevez une erreur concernant la vérification de la révocation sur votre autorité de certification secondaire.
3. Changer la durée de validité de la liste de révocation de certificats de votre CA racine
Pour éviter que cette erreur de révocation n'apparaisse dans le futur, vous pouvez changer la durée de validité de la liste de révocation de certificats de votre autorité de certification racine.
Pour cela, sur cette autorité racine, faites un clic droit "Propriétés" sur le dossier "Certificats révoqués".
Comme vous pouvez le voir, dans notre cas, nous avions laissé la valeur par défaut "1 semaine".
Ce qui est évidemment trop faible, car cela signifie que vous devrez démarrer votre autorité de certification racine autonome toutes les semaines (moins 1 jour) pour publier manuellement la nouvelle liste de révocation dans votre infrastructure Active Directory.
Pour régler le problème, il est conseillé d'allonger cet intervalle de publication à 6 mois ou 1 an (par exemple).
Ainsi, vous devrez démarrer cette autorité de certification racine autonome et republier manuellement sa liste de révocation qu'un ou deux fois par an.
Cliquez sur "Appliquer" pour sauvegarder ce changement.
Ensuite, si vous allez dans l'onglet "Afficher la liste de révocation des certificats", vous verrez qu'une nouvelle liste de révocation complète a déjà été générée par votre autorité de certification racine autonome étant donné que l'ancienne était expirée.
Néanmoins, celle-ci n'est valable qu'une semaine (par défaut).
Vous pouvez obtenir plus d'informations sur cette liste de révocation en cliquant sur le bouton "Afficher la liste de révocation des certificats".
Pour utiliser le nouvel intervalle de publication, vous devrez publier manuellement (une fois) la nouvelle liste de révocation de certificats.
Pour cela, faites un clic droit "Toutes les tâches -> Publier" sur "Certificats révoqués".
Sur une autorité de certification racine autonome, vous ne pouvez générer qu'une liste de révocation des certificats (CRL).
Donc, cliquez simplement sur OK.
Ensuite, faites un clic droit "Propriétés" sur "Certificats révoqués".
Dans l'onglet "Afficher la liste de révocation des certificats", vous verrez que la liste de révocation de certificat a été mise à jour.
Si vous cliquez sur le bouton "Afficher la liste de révocation des certificats", vous verrez que celle-ci est valable pendant 1 an.
Comme d'habitude, vous retrouverez cette nouvelle liste de révocation dans le dossier "C:\Windows\System32\CertSrv\CertEnroll" de votre autorité de certification racine autonome.
Si vous faites un double clic sur celle-ci, vous verrez qu'il s'agit de la même liste de révocation.
4. Mettre à jour la liste de révocation des certificats dans votre Active Directory
Maintenant que vous avez généré une nouvelle liste de révocation des certificats depuis la console de votre autorité de certification racine autonome, vous devez mettre à jour celle qui se trouve dans votre infrastructure Active Directory.
Pour cela, transférez le fichier ".crl" correspondant sur un de vos contrôleurs de domaine (grâce à une clé USB, par exemple).
Puis, utilisez la commande ci-dessous pour publier cette liste de révocation des certificats dans votre infrastructure Active Directory.
Batch
certutil -dspublish "C:\Root CA data\InformatiWeb Root CA.crl"
Retournez dans la console "Sites et services Active Directory" et allez dans le dossier : Services -> Public Key Services -> CDP -> [nom du serveur de la CA racine].
Comme vous pouvez le voir, l'objet de type "cRLDistributionPoint" est toujours présent.
Mais si vous faites un double clic sur celui-ci, vous verrez que la date de modification a été mise à jour.
Ce qui signifie que la liste de révocation présente dans l'Active Directory a bien été remplacé par la nouvelle.
5. Démarrer votre autorité de certification secondaire
Maintenant que la liste de révocation de votre autorité de certification racine autonome a été mise à jour dans votre infrastructure Active Directory, vous pouvez démarrer votre autorité de certification secondaire.
Patientez pendant son démarrage.
Comme prévu, votre autorité de certification secondaire a démarré sans problème.
Partager ce tutoriel
A voir également
-
Windows Server 3/11/2023
WS 2016 - AD CS - Comment fonctionne la révocation et publier une CRL ?
-
Windows Server 22/9/2023
WS 2016 - AD CS - Exporter ou importer un certificat avec ou sans sa clé privée
-
Windows Server 10/11/2023
WS 2016 - AD CS - Installer et configurer un répondeur OCSP
-
Windows Server 29/9/2023
WS 2016 - AD CS - Qu'est-ce qu'un modèle de certificat ?
Vous devez être connecté pour pouvoir poster un commentaire