none
Migration Autorité de certification Windows vers serveur ayant un autre nom RRS feed

 > 

  • Discussion générale

  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Je viens vers vous car nous allons migrer l'autorité de certification Windows vers un serveur ayant un autre nom.

    J'ai lu la procédure microsoft : https://technet.microsoft.com/fr-fr/library/ee126140%28v=ws.10%29.aspx

    Malgré cette procédure je n'arrive pas à bien cerner les impacte du fait que le nom du serveur de destination est différent. Chez nous elle est surtout utilisée pour Exchange 2013. Devra t'on redéployer un nouveau certificat sur Exchange après migration ? Y a t'il une astuce pour éviter cela ?

    J'ai cru voir ceci dans la procédure Microsoft :

        • Cliquez sur Démarrer, tapez regedit.exe dans la zone Rechercher les programmes et fichiers et appuyez sur ENTRÉE pour ouvrir l'Éditeur du Registre.
        • Dans l'arborescence de la console, trouvez la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration et cliquez sur Configuration.
        • Dans le volet d'informations, double-cliquez sur DBSessionCount.
        • Cliquez sur Hexadécimale. Dans Données de valeur, tapez 64, puis cliquez sur OK.
        • Vérifiez que les emplacements spécifiés dans les paramètres suivants sont corrects pour votre serveur de destination et modifiez-les au besoin de façon à indiquer l'emplacement des fichiers de base de données et journaux de l'autorité de certification.
      • DBDirectory
      • DBLogDirectory
    1. DBSystemDirectory
    2. DBTempDirectory

    ImportantImportant

    N'effectuez les étapes 6 à 8 que si le serveur de destination n'a pas le même nom que le serveur source.

    6 Dans l'arborescence de la console de l’éditeur de registre, développez Configuration et cliquez sur le nom de votre autorité de certification.

    Modifiez les valeurs des paramètres de Registre suivants en remplaçant le nom du serveur source par celui du serveur de destination.

    CACertFileName

    ConfigurationDirectory

    Modifiez les valeurs des paramètres de Registre suivants en remplaçant %1 par le nom de domaine complet du serveur de destination et %2 par le nom NetBIOS du serveur de destination.

    CACertPublicationURLs

    CRLPublicationURLs

    Puis :

    Pour vérifier les extensions à l'aide du composant logiciel enfichable Autorité de certification

    1. Passez en revue et modifiez l'extension de point de distribution de liste de révocation de certificats, l'extension d'accès aux informations de l'autorité et les options de publication en suivant les procédures décrites dans Spécifier les points de distribution de la liste de révocation de certificats (http://go.microsoft.com/fwlink/?LinkID=145848)..
    2. Si le nom du serveur de destination est différent du nom du serveur source, ajoutez une URL LDAP spécifiant un emplacement qui fait référence au nom NetBIOS du serveur de destination avec la variable de substitution <NomCourtServeur> ; par exemple, ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

    Puis :

    Octroi d'autorisations sur les conteneurs AIA et CDP

    Si le serveur de destination et le serveur source n'ont pas le même nom, il convient d'accorder au serveur de destination des autorisations sur les conteneurs CDP et AIA dans les services de domaine Active Directory pour la publication de listes de révocation de certificats et de certificats d'autorité de certification. Effectuez la procédure suivante en cas de changement de nom d'un serveur.

    Pour accorder des autorisations sur les conteneurs AIA et CDP

    1. Ouvrez une session en tant que membre du groupe Administrateurs de l'entreprise sur un ordinateur où est installé le composant logiciel enfichable Sites et services Active Directory.
    2. Cliquez sur Démarrer, pointez sur Exécuter, tapez dssite.msc, puis cliquez sur OK.
    3. Dans l'arborescence de la console, cliquez sur le nœud supérieur.
    4. Dans le menu Affichage, cliquez sur Afficher le nœud des services.
    5. Dans l'arborescence de la console, développez Services et Public Key Services, puis cliquez sur AIA.
    6. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'autorité de certification source, puis cliquez sur Propriétés.
    7. Cliquez sur l'onglet Sécurité, puis sur Ajouter.
    8. Cliquez sur Types d'objets, sur Ordinateurs, puis sur OK.
    9. Tapez le nom du serveur de destination, puis cliquez sur OK.

    10.  Dans la colonne Autorisation, cliquez sur Contrôle total, puis sur Appliquer.

    11.  Si l’objet de serveurs source est affiché dans Noms de groupes ou d'utilisateurs, cliquez sur le nom du serveur source, sur Supprimer, puis sur OK.

    12.  Dans l'arborescence de la console, développez CDP, puis cliquez sur le nom du serveur source.

    13.  Dans le volet d'informations, cliquez avec le bouton droit sur l'élément cRLDistributionPoint en haut de la liste, puis cliquez sur Propriétés.

    14.  Cliquez sur l'onglet Sécurité, puis sur Ajouter.

    15.  Cliquez sur Types d'objets, sur Ordinateurs, puis sur OK.

    16.  Tapez le nom du serveur de destination, puis cliquez sur OK.

    17.  Dans la colonne Autorisation, cliquez sur Contrôle total, puis sur Appliquer.

    18.  Si l’objet de serveurs source est affiché dans Noms de groupes ou d'utilisateurs, cliquez sur le nom du serveur source, sur Supprimer, puis sur OK.

    19.  Répétez les étapes 13 à 18 pour chaque élément cRLDistributionPoint.

    Enfin :

    Récupération de certificats après le changement de nom d'un hôte

    Si le nom du serveur de destination est différent du nom du serveur source, vous devrez peut-être récupérer manuellement les certificats qui ont été émis par l'autorité de certification source et n'ont pas été récupérés avant la migration.

    Effectuez cette procédure sur l'ordinateur qui a été utilisé pour envoyer la demande de certificat à l'autorité de certification source.

    Pour récupérer un certificat à l'aide de Certreq.exe

    1. Ouvrez une fenêtre d'invite de commandes.
    2. Tapez certreq –retrieve -config "<NomServeurDestination\NomAutoritéCert>" <IDDemande> <SortieRéponseCertificat> et appuyez sur ENTRÉE.
    Tapez certreq –accept <SortieRéponseCertificat> et appuyez sur ENTRÉE.

    Malgré cela, je n'arrive pas à savoir si je prévois le déploiement d'un nouveau certificat ou non sur Exchange. Si c'est le cas, autant que je crée une nouvelle autorité et que je crée un nouveau certificat ce sera peut être plus simple.

    Quen pensez vous ? Avez vous déjà vécu l'expérience ?

    merci d'avance

    vendredi 26 février 2016 08:55
    |

Toutes les réponses

  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Petite relance. Personne n'a déjà migré d’autorité de certification Windows sur un serveur ayant un  nom différent ? J'aurais juste besoin de connaitre les impacts potentiels (principalement Exchange chez nous).

    Bonne journée,

    lundi 29 février 2016 10:21
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    dans la plupart des cas, il est possible de garder le même nom de serveur... ce qui évite tous les risques.

    Les étapes supplémentaires à réaliser si l'on veut vraiment changer le nom:

    - Donner les droits sur les conteneurs pour la nouvelle machine.

    - Modifier les chemins d'accès aux CRLs pour pointer sur les nouveaux emplacements prévus.

    Pour Exchange, cela ne devrait pas changer chose, surtout si l'on garde l'ancienne autorité dans les registres. Au besoin, désactiver (temporairement) la vérification des certificats!

    Dans la plupart des cas, c'est le certificat public (indépendant de la PKI interne) utilisé par Exchange qui est prépondérant.

    A bientôt,

    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    lundi 29 février 2016 15:13
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour Thierry,

    merci de votre réponse. Désolé je n'ai installé l'autorité il y a longtemps que pour le certificat Exchange afin de permettre aux Outlook de fonctionner ainsi que Forefront TMG pour la publication d'Outlook Anywhere, ActiveSync, OWA, Autodiscover et EWS. Je ne suis donc pas très aguerri sur l'outil.

    - Pour donner les droits sur les conteneurs de la nouvelle machines, cela se fait bien depuis sites et services AD ? (afficher noeuds services => services => public key services => AIA et CDP)

    -Pour modifier les chemins d'accès aux CRL, on est bien d'accord qu'il s'agit du paramétrage sur le nouveau serveur dans la mmc autorité de certification ? (extension => AIA et CDP)

    -Quand vous dites : "Au besoin, désactiver (temporairement) la vérification des certificats!", Comment fait on cela ?

    merci d'avance.

    mardi 1 mars 2016 16:05
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Dernière chose :

    Si on restore l'AC sur un autre serveur ayant un nom différent, devra t'on redéployer sur tous les clients le certificat de l'autorité de certification (à mettre dans le magasin autorité racine de confiance) ?

    merci d'avance

    jeudi 3 mars 2016 10:58
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Normalement, le certificat ne change pas!

    La procédure demande au préalable de réinstaller l'ancien certificat. En revanche, si l'on a modifié les chemins de CRL (Vérification de révocation), ces (nouveaux) chemins ne seront accessibles que pour les machines qui téléchargent et mettent à jour les autorités depuis AD.

    => Vérifier la stratégie qui déploient les autorités.

    A l'usage, cela a peu d'impact, car peu de logiciels font la vérification de toute la chaine.

    A bientôt,

    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 3 mars 2016 13:14
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    L'outil idéal (mais plus sensible) pour modifier les droits sur les conteneurs est ADSIEDIT.MSC.

    => Charger la partition de "configuration"...

    A+

    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 3 mars 2016 13:16
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Merci Thierry,

    Je me lance ce soir, je donnerais le résultat demain en début d'après midi sur ce post.

    A demain

    jeudi 3 mars 2016 14:44
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour Thierry,

    A première vue la migration c'est bien passé. Aucun impact sur les Outlook, les téléphone avec active sync, owa, etc...

    Par contre j'ai un souci en me loguant depuis mon PC au remote powershell Exchange (EMS à distance). Il ne retrouve pas la liste de révocation publié par l'ancien serveur AC donc il m'interdit l'accès car ne peut vérifier la validité du certificat. Il me semble pourtant avec scrupuleusement suivi la procédure Microsoft ici : https://technet.microsoft.com/fr-fr/library/ee126140%28v=ws.10%29.aspx.

    Qu'ai je oublié svp ?

    voici le message exacte :

    New-PSSession : [exchange.mondomaine.fr] La connexion au serveur distant
    exchange.mondomaine.fr a échoué avec le message d'erreur suivant: Le
    certificat serveur de l'ordinateur de destination
    (exchange.mondomaine.fr:443) comporte les erreurs suivantes:
    Le certificat SSL n'a pas pu être vérifié pour la révocation. Il se peut que
    le serveur utilisé pour vérifier la révocation ne soit pas accessible. Pour
    plus d'informations, voir la rubrique d'aide about_Remote_Troubleshooting.
    Au caractère C:\monscriptdeconnection.ps1:2 : 14
    + $SessionEX = New-PSSession -ConfigurationName Microsoft.Exchange
    -ConnectionUri  ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    ~~~
        + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:Re
       moteRunspace) [New-PSSession], PSRemotingTransportException
        + FullyQualifiedErrorId : 12175,PSSessionOpenFailed
    Import-PSSession : Impossible de valider l'argument sur le paramètre «Session
    ». L'argument est Null. Spécifiez une valeur valide pour l'argument, puis
    réessayez.
    Au caractère C:\monscriptdeconnection.ps1:3 : 18
    + Import-PSSession $SessionEX
    +                  ~~~~~~~~~~
        + CategoryInfo          : InvalidData : (:) [Import-PSSession], ParameterB
       indingValidationException
        + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.Power
       Shell.Commands.ImportPSSessionCommand

    merci d'avance

    vendredi 4 mars 2016 14:15
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Le certificat Exchange a conservé les anciens chemins de vérification de révocation.

    L'option la plus simple avec une PKI interne est de générer un nouveau certificat.

    L'onglet "OCSP" permet de désactiver la vérification de révocation... mais cela n'est pas recommandé.

    A+

    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    samedi 5 mars 2016 14:44
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,


    Du coup la solution à mon problème a été de créer une redirection IIS sur l'ancien serveur qui fait que quand tu veux accèder à http://ancienserveur/certenroll, tu es redirigé vers http://nouveauserveur/certenroll.Le jour où  l'ancien serveur sera éteint, je ferais une redirection DNS de type CNAME.

    Puis quand ce sera possible effectivement je génèrerai un nouveau certificat pour Exchange.

    Dernière chose, je souhaites juste donner la solution à un problème que j'ai rencontré pendant la soirée de maintenance pendant laquelle l'autorité de certification a été migrée. Il m'a été impossible d'installer la page web de l'AC, permettant de signer les certificats. Voici le message (V anglaise trouvée sur internet, j'ai oublié de faire un screenshot quand c'est arrivé) :

    Certification Authority Web Enrollment: Configuration Failed Active Directory Certificate Services setup failed with the following error: The parameter is incorrect. 0x80070057 (WIN32: 87)

    CAUSE :

    The likely issue is that the value of SetupStatus at HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration is configured to hexidecimal 6003, but should be configured to hexidecimal 6001. This is because 6003 indicates that CA Web Enrollment is already installed and 6001 indicates that it is not yet installed.

    RESOLUTION :

    Modify the registry SetupStatus to read 6001

    Et ça a fonctionné nickel ;)

    Voilà en espérant que cela aide quelqun ;)

    Bonne journée,


    mercredi 9 mars 2016 15:39
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Sinon j'ai fait une vidéo et un article a ce sujet ici

    https://www.frbmg.com/migration-dune-autorite-de-certification/

    j'espere que ca peux vous aidez

    Francis Bonnamour
      

    jeudi 10 mars 2016 02:36
    |
  • Discussion
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour Francis,

    J'ai vu votre vidéo qui montre comment migrer basiquement une AC. Cela ne m'aide en rien pour le problème rencontré (ci dessus).

    Surtout qu'elle ne correspond pas du tout au cas ici. En effet le nom de la nouvelle AC diffère ici, ce qui change la donne (droits d'accès aux conteneurs des CRL + AIA au niveau de l'AD) + modifs de clés de registres.

    Bonne journée,


    jeudi 10 mars 2016 10:45
    |