locked
PKI Microsoft Certificate Services : Durée de validité de certificats RRS feed

  • Question

  • Bonjour,

     

    Je souhaite générer des certificats via Certificate Services sur Windows 2008. J'ai généré correctement mes templates de certificats, j'ai modifié la durée de la validité et les options suivants mes besoins.

    Le problème que je rencontre est que chaque certificat générée à une durée de validité de 2 ans, même si j'indique 3, 10 ou 15 ans dans mon template la date passe à 2 ans sur le certificat.

    Il y a probablement une politique qui indique une durée maximale dans la PKI, mais je n'arrive pas à trouver ou modifier ce paramètre.

     

    Je vous remercie d'avance pour toute aide apportée.

    jeudi 10 juin 2010 08:31

Réponses

  • Je me permet de m'auto-répondre pour donner la réponse à ma 2nd Question : Pour modifier la date de validité par default des certificats il faut modifier les paramètre par défaut en registry comme l'indique la procédure suivante.

    En effet, par défaut la durée de validité des certificats émis par la PKI est de 2 ans. Pour changer cette valeur vous pouvez suivre la procédure suivante :

    1. Cliquez sur Démarrer , puis cliquez sur exécuter .
    2. Dans la zone Ouvrir , tapez regedit, puis cliquez sur OK .
    3. Recherchez et cliquez sur la clé de Registre suivante :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

    1. Dans le volet droit, double-cliquez sur ValidityPeriod .
    2. Dans la zone données de la valeur , tapez une des opérations suivantes, puis cliquez sur OK :
      • Jours
      • Semaines
      • Mois
      • Ans
    3. Dans le volet droit, double-cliquez sur ValidityPeriodUnits .
    4. Dans la zone données de la valeur , tapez la valeur numérique de votre choix, puis cliquez sur OK . Par exemple, tapez 2.
    5. Arrêtez et redémarrez les services de certificats. Pour ce faire :
    1.  
      • Cliquez sur Démarrer , puis cliquez sur exécuter .
      • Dans la zone Ouvrir , tapez cmd, puis cliquez sur OK .
      • À l'invite de commandes, tapez les lignes suivantes. Appuyez sur ENTRÉE après chaque ligne.

    net stop certsvc
    Net start certsvc

    d.      Tapez exit pour quitter l'invite.

     

    Source Microsoft : http://support.microsoft.com/kb/254632/fr

    mardi 22 juin 2010 13:33

Toutes les réponses

  • T'es en 2008 standard ou entrprise ? si c'est standard tu auras ta réponse (c'est pas possible) ... car il n'est pas possible de publier le nouveau modele de certificat.

     


    Eric Perromat - MVP Terminal Server
    jeudi 10 juin 2010 18:27
  • Je suis en 2008 R2 Standard avec une PKI Certificate Service entreprise.

    Je n'ai aucun souci pour générer de nouveau modèle de certificats, mes utilisateurs peuvent créer des certifs depuis Certsrv sans souci avec mes modèles.

    La seule chose que je ne comprend pas est la date de validité des certifs que je génère depuis mes modèles qui ne peuvent apparemment pas dépasser les 2 ans puisque si je met 3 ans ou + la date est repassée à 2 ans.

    vendredi 11 juin 2010 07:35
  • Pour information, Microsoft recommande l'usage de certificat dont l'expiration est de 2 années, car il semblerait qu'il faut 2 ans et 1 jour (j'exagère ;-) ) pour cracker le certificat. Alors, est-ce Microsoft tient compte directement de ce constat ? Je n'ai pas trouvé l'information.... Peut être une piste pour l'explication...


    -- Cédric GEORGEOT [MVP] Blog e-Novatic http://blog.e-novatic.fr
    vendredi 11 juin 2010 07:58
  • Oui je comprend ce type de recommandation et je l'applique pour des certificats d'ordre "utilisateur".

    J'ai jamais vu en entreprise un certificat d'AC avec une période de validité de 2 ans par exemple, c'est souvent 5 ans au minimum. Pourtant ces certificats ne sont pas moins vulnérables que les autres, et bien plus critique dans la sécurité du SI.

    Il faut aussi tenir compte de la taille de la clé etc dans ce type de démarche (dans mon cas 2048 pour les certifs utilisateurs)

     

    Bref j'aimerais dans la mesure du possible augmenter la date de validité de certains certificats.

     

    Ceci est-il possible avec certificats service dans mon environnement ? Peut-être une policy générale à modifier ?

     

    Merci pour vos informations.

    vendredi 11 juin 2010 08:13
  • Il me semble que la durée de validité des certificats émis doivent obligatoirement avoir une durée de validité inferieur au certificat de ton autorité de certification ... Est ce le cas ?

     


    Eric Perromat - MVP Terminal Server
    vendredi 11 juin 2010 08:32
  • Oui tout à fait , j'ai vérifié ce point.

    Dans mon cas mon AC a une durée de validité de 7 ans.

    Mes certificats avec une durée de 3 ans sont tronqués à 2 ans par exemple.

    vendredi 11 juin 2010 08:46
  • Bonjour,
     
     
    Issuing CA specifications

    If budget permits, I would highly recommend using Windows 2008 server Enterprise edition for the issuing CA.  This will allow you to create custom templates, which will provide you with much more flexibility in the end.

    exactement comme l'écrivait Eric Perromat d'ailleurs.


    --
    Cordialement,

    Yves Gourlé [MCSA - MCTS - MCITP]
    http://blog.gourle.com
    http://forums.sbsfr.org

    "Lambo-Lyon" a écrit dans le message de groupe de discussion : 34ac6667-2432-47e2-bba1-e754d098162e...

    Je suis en 2008 R2 Standard avec une PKI Certificate Service entreprise.

    Je n'ai aucun souci pour générer de nouveau modèle de certificats, mes utilisateurs peuvent créer des certifs depuis Certsrv sans souci avec mes modèles.

    La seule chose que je ne comprend pas est la date de validité des certifs que je génère depuis mes modèles qui ne peuvent apparemment pas dépasser les 2 ans puisque si je met 3 ans ou + la date est repassée à 2 ans.

    vendredi 11 juin 2010 11:24
  • Merci beaucoup pour cette réponse, en effet ce lien est très interessant.

    Par contre quand il est dit qu'il n'est pas possible de créer des templates de certificats dans la version standard (ou seulement des templates v1) je ne comprend pas trop.

    "Keep in mind : CA running on Windows server standard edition only supports v1 templates."

    Je créer sans problème des templates avec ma PKI "standard" en mode 2003 donc V2. Les certificats basés sur ces templates sont générés correctement via certsrv par exemple, seul la date de validité du certif n'est pas conforme (quand supérieur à 2 ans).

    Bref mon certificat basé sur un template v2 ne devrait donc pas être pris en compte normalement.

    Ou alors le template est bien pris en compte mais pas totalement, certaines options sont "ignorés" ?

    Merci de me confirmer ou infirmer cela.

    Si vous savez aussi concrètement la différence entre les différentes versions de certificats (V1 2000, V2 2003, V3 2008) afin d'avoir une vision clair sur cet aspect de la PKI Microsoft je suis preneur.

    En tout cas merci pour vos réponses rapides et pertinentes !!!

     

     

    vendredi 11 juin 2010 13:27
  • Bonjour,
     
    En théorie toutes les infos sont là :
     
    Remember that version 2 and 3 certificate templates can only be issued by enterprise CAs running on Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Server 2003 Enterprise Edition, or Windows Server 2003 Datacenter Edition.
     
    Je ne suis pas spécialiste de la PKI MS, mais pour ce que j'en comprends vous pouvez créer des modèles avec toutes les versions, mais pour publier ces mêmes modèles il vous faut au moins de l'enterprise.
    --
    Cordialement,
     
    Yves Gourlé [MCSA - MCTS - MCITP]
    http://blog.gourle.com
    http://forums.sbsfr.org
    "Lambo-Lyon" a écrit dans le message de groupe de discussion : 7961fb10-96b7-45dd-8ed1-98c7d5fc08cd...

    Merci beaucoup pour cette réponse, en effet ce lien est très interessant.

    Par contre quand il est dit qu'il n'est pas possible de créer des templates de certificats dans la version standard (ou seulement des templates v1) je ne comprend pas trop.

    "Keep in mind : CA running on Windows server standard edition only supports v1 templates."

    Je créer sans problème des templates avec ma PKI "standard" en mode 2003 donc V2. Les certificats basés sur ces templates sont générés correctement via certsrv par exemple, seul la date de validité du certif n'est pas conforme (quand supérieur à 2 ans).

    Bref mon certificat basé sur un template v2 ne devrait donc pas être pris en compte normalement.

    Ou alors le template est bien pris en compte mais pas totalement, certaines options sont "ignorés" ?

    Merci de me confirmer ou infirmer cela.

    Si vous savez aussi concrètement la différence entre les différentes versions de certificats (V1 2000, V2 2003, V3 2008) afin d'avoir une vision clair sur cet aspect de la PKI Microsoft je suis preneur.

    En tout cas merci pour vos réponses rapides et pertinentes !!!

     

     

    vendredi 11 juin 2010 14:32
  •  
    Je ne suis pas spécialiste de la PKI MS, mais pour ce que j'en comprends vous pouvez créer des modèles avec toutes les versions, mais pour publier ces mêmes modèles il vous faut au moins de l'enterprise.
    --

    Merci pour le lien.

     

    J'ai bien compris ce point théorique et ce que je ne comprend pas c'est que j'arrive bien a créer des templates, à les publier (ils sont visibles dans certsrv), je gère les droits sur ces modèles, mes utilisateurs peuvent en générer via certsrv par exemple.

    Si je comprend bien je ne suis pas sensé pouvoir les utiliser...

    Bref tout ceci est assez ambigu. Je vais cherché aussi de mon coté, si vous avez d'autres infos je suis toujours preneur :)

     

    Merci d'avance

    vendredi 11 juin 2010 14:45
  • Je répond a une partie des questions :

    On peut publier des templates de certificats sur toute les éditions à partir de 2008 R2 comme le prouve les prérequirs suivants :

    Template availability (V2)

    ·         Windows Server 2008 R2, all editions

    ·         Windows Server 2008, Enterprise and Datacenter editions

    ·         Windows Server 2003 R2, Enterprise and Datacenter editions

    ·         Windows Server 2003, Enterprise and Datacenter editions

     

     

    Il était bien nécessaire avant d'avoir une version entreprise, mais depuis la R2 c'est apparemment révolu. Ceci explique pourquoi j'arrive a publier mes certificats sans problème depuis ma R2 standard.

    Cette infos pourra servir à d'autres je pense.

    Par contre je ne sais toujours pas pourquoi je suis bloqué à 2 ans au niveau de la date de validité.... Une policy par default ?

    vendredi 11 juin 2010 15:37
  • Je me permet de m'auto-répondre pour donner la réponse à ma 2nd Question : Pour modifier la date de validité par default des certificats il faut modifier les paramètre par défaut en registry comme l'indique la procédure suivante.

    En effet, par défaut la durée de validité des certificats émis par la PKI est de 2 ans. Pour changer cette valeur vous pouvez suivre la procédure suivante :

    1. Cliquez sur Démarrer , puis cliquez sur exécuter .
    2. Dans la zone Ouvrir , tapez regedit, puis cliquez sur OK .
    3. Recherchez et cliquez sur la clé de Registre suivante :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

    1. Dans le volet droit, double-cliquez sur ValidityPeriod .
    2. Dans la zone données de la valeur , tapez une des opérations suivantes, puis cliquez sur OK :
      • Jours
      • Semaines
      • Mois
      • Ans
    3. Dans le volet droit, double-cliquez sur ValidityPeriodUnits .
    4. Dans la zone données de la valeur , tapez la valeur numérique de votre choix, puis cliquez sur OK . Par exemple, tapez 2.
    5. Arrêtez et redémarrez les services de certificats. Pour ce faire :
    1.  
      • Cliquez sur Démarrer , puis cliquez sur exécuter .
      • Dans la zone Ouvrir , tapez cmd, puis cliquez sur OK .
      • À l'invite de commandes, tapez les lignes suivantes. Appuyez sur ENTRÉE après chaque ligne.

    net stop certsvc
    Net start certsvc

    d.      Tapez exit pour quitter l'invite.

     

    Source Microsoft : http://support.microsoft.com/kb/254632/fr

    mardi 22 juin 2010 13:33
  • J'ai exactement le même problème.

    Je suis en 2008R2 entreprise, le certificat root a une validité de 20 ans, mes duplicats de modèles sont en V2 (donc acceptable pour un XP).

    Faisant une requetes via un des mes modèles personnaliés dont la durée est de 10 ans, j'obtiens un certificat valable 2 ans (client XP, seven ou requete Web).

    Je ne comprends pas.

    jeudi 24 février 2011 14:00
  • J'ai fini par opter pour ta solution.
    jeudi 24 février 2011 20:01
  • Je n'avais peut-être pas compris ton auto-réponse.

    Donc le paramètre ValidityPeriodUnits dans la base de registre défini la durée max d'un certificat.

    La durée de vie pour un modèle personnalisé est donc bornée par cette valeur.

    J'ai donc défini 10 Years dans le registre et suis donc autorisé à aller jusqu'à 10 ans dans mes certificats.

    Si je définis 5 ans dans mon modèle j'aurai bien 5 ans de validité mais ne pourrais jamais dépasser 10 ans même si j'indique plus.

    Ce changement n'impacte pas les modèle de certificat initialement proposé.

    En espérant que cela aide d'autre personne.

     

    • Proposé comme réponse Pierre LEA vendredi 25 février 2011 12:48
    vendredi 25 février 2011 12:46