Déployer les certificats d'une CA Root interne et une CA intermédiaire via GPO

Toutes les réponses

• 

  

  2

  Connectez-vous pour voter

  Bonjour,

  Nous venons de déployer une PKI a deux niveau CA-Root et CA-Intermédiaire moyen les services AD DS sous Windows Server 2012 R2.

  Afin d’insérer de façon automatique les certificats de ces deux CA dans le magasin des certificats des postes client, nous avons créer un GPO appliquée sur les ordinateurs de notre domaine AD.

  Configuration Ordinateur ---> Paramètres Windows ---> Paramètres de Sécurité ---> Stratégie de Clé Publique ---> Autorité de certification racine de confiance: Import du certificat de CA-Root

  Configuration Ordinateur ---> Paramètres Windows ---> Paramètres de Sécurité ---> Stratégie de Clé Publique ---> Autorité de certification intermédiaire: Import du certificat de CA-intermédiaire.

  Initialement les certificat en question existe au niveau du magasin du client.

  mmc --> ajouter un composant logiciel enfichable ---> Certificats ---> Ordinateur (Local).

  Quand nous voulons tester la GPO en question, nous avons supprimer manuellement les deux certificat du magasin et nous avons redémarrer la machine, le System n'a pu récupérer les deux certificats (n'apparaissent pas au niveau du magasin du client) l'observateur indique que les GPO sont exécutées correctement. Nous avons attendu plus de 24h toujours pareil.

  Par contre, si nous exécutons gpupdate /force les certificats en question réapparaissent.

  Nous vous demandons des explications de ce phénomène.

  Merci.

  • Fusionné Nedeltcho PopovMicrosoft contingent staff mardi 17 décembre 2019 06:22 doublon, deux fois même question

  lundi 16 décembre 2019 14:52
• 

  

  2

  Connectez-vous pour voter

  Bonjour,

  Ceci est un comportement plus ou moins normale, afin d'ouvrir les sessions plus rapidement, les ordinateurs utilisent un cache pour les stratégies de groupe.

  Il est possible de forcer directement la mise à jour des stratégies par la console d'administration des GPO en faisant un clic droit sur OU puis de cliquer sur Mise à jour de la stratégie de groupe.

  Romain

  lundi 16 décembre 2019 15:22
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Nous avons forcer directement la MAJ des GPO comme indiquer dans votre réponse, cependant, aucun changement n'est effectué. En d'autre terme, nous avons pris un ordinateurs figurant dans la liste "Réussit" et nous avons redémarré cette machine a deux reprise, les deux certificats des CA ne sont pas descendues au niveau du magasin des certificats de ce poste. alors que si nous exécutons "gpupdate /force" ça marche.

  Marci.

  mardi 17 décembre 2019 08:45
• 

  

  2

  Connectez-vous pour voter

  Bonjour,

  Tout d'abord, il est normalement inutile de créer une GPO pour les autorités intégrées de PKI intégrée à AD. Celles-ci doivent apparaitre automatiquement sur les postes clients.

  Pour l'application des GPOs, beaucoup ne sont appliquées qu'une fois. Dès qu'elles sont appliquées, elles n'ont plus besoin d'être appliquées, sauf cas particulier.

  Par exemple, si l'on a un script appliqué par GPO, modifier le script N'EST PAS une modification de la stratégie, donc pas de lancement du nouveau script, MEME avec un GPUPDATE /Force. On a pourtant un événement qui dit que l'application de la GPO a été refait.

  => Il faut modifier la GPO elle-même (son nom, par exemple), pour que la GPO change de version. Dans ce cas, le système VOIT une nouvelle version de la GPO qu'il n'a pas encore appliqué, et là le GPUpdate /force fonctionne.

  Dans votre cas, la suppression directe des certificats n'est pas un changement détecté par la GPO qui ne voit pas de raison de se réappliquer.

  A bientôt,

  ---

  Thierry DEMAN-BARCELO. Offce Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

  mardi 17 décembre 2019 08:56
• 

  

  1

  Connectez-vous pour voter

  Bonjour,

  Je vous remercie pour la réponse, je voulais préciser que mon soucis est au niveau du magasin des certificats des postes Clients.

  En effet, il s'agit de CA intégrées a AD ou les attributs AIA et Point de Distribution de la Liste de Révocation sont publiés au niveau ldap.

  De même, il est vraie que les certificats des CA apparaissent automatiquement au niveau des postes clients.

  Cependant, durant la phase pré-prod il m'a été signalé que certain poste intégrés au domaine n'ont pas pu récupérer les certificats des CA interne. Pour palier au problème, j'ai créer une GPO permettant de faire un push systématique de ces certificats. Donc mon test consiste à:

  1-supprimer les certificats du magasin du poste client.

  2-redémarrer le poste client du fait que la GPO porte sur la partie "ordinateur"

  3-Apres redémarrage voir même une attente d'une journée, les certificats des CA ne figure pas dans le magasin ce qui empêche le client d’accéder au applications sécurisées vu que les certificats utilisés par ces applications ont été émis par des autorités non approuvées (pour lui).

  PAR CONTRE, SI J'EXECUTE GPUPDATE / FORCE les certificats sont descendus immédiatement.

  la problématique c'est que je dois executer cette commande sur l'ensemble des postes clients alors qu'un redémarrage est censé faire la même.

   Pour ce qui est de la mise a jour de la GPO comme vous l'avez recommandé, j'ai effectué une modification de la GPO tout en assurant le changement de la version mais le problème persiste toujours.

  Merci encore pour votre aide.

  mardi 17 décembre 2019 09:53