none
Importer certificat dans autorité de certification RRS feed

  • Question

  • Bonjour,

    Nous avons un certificat issue d'une autorité de certificat (Geotrust). Celui-ci est un certificat Wildcard, donc applicable à tous les sous-domaines.

    Nous voulons installer une autorité de certification sur le contrôleur de domaine (rôle ADCS). L'installation se déroule avec succès, cependant, lorsque nous voulons configurer ce rôle en important le certificat fourni par Geotrust, nous sommes confronté à un problème. Le problème se produit lorsque nous arrivons à l'étape
    "Private Key" > "Existing Certificate".

    Il y a une fenêtre "error" qui s'affiche mais avec un contenu nul. (Malheureusement, mon compte n'a pas encore été validé, donc je ne peux pas inclure la capture d'écran..).

    [edit]

    J'ai utilisé le powershell avec la commande suivante :

    PS C:\certificates\xxxxx> Install-AdcsCertificationAuthority -CAType EnterpriseSubordinateCA -CertFile C:\certificates\xxxx\xxxxx.be.pfx -CertFilePassword (Read-Host "Set password" -AsSecureString)

    Voilà le résultat qu'elle me retourne :

    Install-AdcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error:
    Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
    At line:1 char:1
    + Install-AdcsCertificationAuthority -CAType EnterpriseSubordinateCA -CertFile c:\ ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : InvalidOperation: (:) [Install-AdcsCertificationAuthority], CertificationAuthoritySetupE
       xception
        + FullyQualifiedErrorId : SetCAProperties,Microsoft.CertificateServices.Deployment.Commands.CA.InstallADCSCertific
       ationAuthority

    [/edit]

    Quelle est la meilleure façon d'installer un certificat issue d'une autorité de certification ?

    Le certificat que nous désirons importer porte l'extension *.pfx.

    D'avance merci,

    JohnDoe



    mercredi 17 février 2016 09:57

Réponses

  • Ce n'est pas seulement un problème avec le nom du fichier, le nom de l'autorité doit figurer sur le certificat mais cela  ne suffit pas. Il faut  un certificat prévue pour le rôle autorité de certification. Le wilcard ne fournit pas ce rôle il est plutôt utilisé pour gérer des sites internet.


    Si vous voulez gérer des certificats interne vous pouvez faire une autorité d'entreprise avec un certificat auto signé.


    mercredi 17 février 2016 19:09
    Modérateur

Toutes les réponses

  • Pour créer une autorité de certification il faut déja un certificat d'autorité de certification  autorisant cet usage. 

    En plus utilisé un wildcard pour une autorité de certification cela me parait bizarre .

    mercredi 17 février 2016 11:25
    Modérateur
  • Bonjour Monsieur,

    Qu'entendez-vous par un certificat d'autorité de certification autorisant cet usage ?

    Cordialement,

    JohnDoe

    mercredi 17 février 2016 11:33
  • Chaque certificat définit le domaine auquel il s'applique (par exemple *.mondomaine.fr) ainsi que l'usage qui peut en être fait.

    Par un exemple pour un certtificat d'autorité de certification :

    Signature numérique, Signature du certificat, Signature de la liste de révocation des certificats hors connexion, Signature de la liste de révocation des certificats 

    Le certificat de l'autorité est un élément critique et il doit contenir le nom complet de l'autorité.

    mercredi 17 février 2016 12:11
    Modérateur
  • Merci pour votre réponse,

    Le certificat porte le nom suivant : "*.mondomaine.fr.pfx". C'est bien ce fichier là dont nous avons besoin ?

    En réalité, si je suis votre raisonnement, le nom du certificat de l'autorité de certificat devrait être : "DC-SERVER.mondomaine.fr-CA" ?

    Comment puis-je faire pour obtenir le nom complet du certificat ?

    Bien à vous,


    mercredi 17 février 2016 12:54
  • Ce n'est pas seulement un problème avec le nom du fichier, le nom de l'autorité doit figurer sur le certificat mais cela  ne suffit pas. Il faut  un certificat prévue pour le rôle autorité de certification. Le wilcard ne fournit pas ce rôle il est plutôt utilisé pour gérer des sites internet.


    Si vous voulez gérer des certificats interne vous pouvez faire une autorité d'entreprise avec un certificat auto signé.


    mercredi 17 février 2016 19:09
    Modérateur
  • Bonjour,

    Dans quel but souhaitez vous utiliser cette autorité de certfication : usage interne ou externe ?

    Dans le premier cas, il serait préférable d'installer une autorité de certification d'entreprise via le role AD CS

    Plus d'information sur ce lien :

    https://technet.microsoft.com/fr-fr/windowsserver/dd448615.aspx

    Bonne continuation


    JF BERENGUER MVP System Center Operations Manager MCSE, MCT, MCSA messaging, NEXTEC SYSTEMS http://actelia.spaces.live.com/

    mercredi 17 février 2016 21:58
  • Bonjour,

    Merci pour vos réponses.

    Pour répondre à votre question, nous souhaitons utiliser cette autorité de certification en interne (pour l'instant).

    Merci pour le lien.


    jeudi 18 février 2016 09:18
  • Bonjour,

    un certificat WildCard peut servir à beaucoup de chose, mais je n'ai encore jamais vu ce type de certificat utilisé comme autorité racine pour une entreprise... S'il était utilisé comme émetteur de certificats, ceux-ci ne seraient de toute façon pas vérifiable depuis Internet (sauf configuration assez complexe).

    Installer une autorité interne dont on gère toutes les propriétés (durée, etc...) est beaucoup plus prudent.

    Le certificat WildCard sera utilisé sur tous les serveurs ou services (en bordure) accessibles depuis Internet.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 18 février 2016 09:36