none
Changer l'autorité de certification racine du serveur intermédiaire RRS feed

  • Question


  • Bonjour,

    Nous venons de changer d'autorité de certification (sur un Linux), le problème est que notre contrôleur de domaine sur Windows Server 2012 est l'autorité de certification intermédiaire/secondaire.

    Ce que nous voulons faire est de changer l'autorité de certification de notre Windows Server 2012 et mettre la nouvelle autorité de certification.

    Nous avons essayé d'importer la nouvelle autorité de certification en allant dans "Autorité de certification (locale)" -> "Toutes les tâches" -> "Installer le certificat d'autorité de certification".

    Mais il nous dit que le certificat ne correspond pas à l'ancien CA (ce qui est normal compte tenu du fait que nous voulons en mettre un nouveau et non pas simplement le renouveler).

    Nous avons également essayé de générer un nouveau certificat auprès de notre subordonné. Pour ce faire, cliquez sur "Autorité de certification (locale)" -> "Toutes les tâches" -> "Renouveler le certificat d'autorité de certification".

    Nous avons récupéré le .req sur notre nouvelle autorité de certification, puis nous avons généré un certificat; à partir de cette étape, nous ne savons pas où l'importer.

    Merci d'avance pour votre aide.

    Cordialement,

    mercredi 10 octobre 2018 15:54

Réponses

Toutes les réponses


  • Voici le message d'erreur obtenu lorsque j'essaye d'Installer le certificat d'autorité de certification (CA Racine) :

    "Une erreur a été détectée lors de la configuration des services de certificats Active directory. L'Assistant Installation des Services de certificats Active directory devra être reéxécuté pour terminer la configuration.

    Impossible de créer un contexte de certificat en utilisant le certificat d'autorité de certification : ANS1 de valeur de balise incorrecte.

    0x8009310b (ASN : 267)"

    jeudi 11 octobre 2018 16:25
  • Bonsoir,

    je ne suis pas de comprendre toutes les actions entreprises...

    Dans l'idée, je suppose qu'il s'agit d'une nouvelle autorité Linux.

    Dans ce cas, l'autorité intermédiaire installée sur Windows qui dépendait de l'ancienne autorité devient caduque...

    => Il faut donc désinstaller cette autorité secondaire (donc désinstaller le rôle est la première étape), et en créer une nouvelle à partir d'un certificat demandé et obtenu à partir de la nouvelle autorité Linux.

    => Ensuite, il faut réinstaller le service en indiquant le nouveau certificat de sous-autorité (celui que vous souhaitez importer) en tant que base de la nouvelle installation.

    Bien entendu, la nouvelle autorité racine doit être installée dans les autorités racines du serveur Windows.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    jeudi 11 octobre 2018 18:10
    Modérateur
  • Bonjour,

     

    Merci de votre réponse.

     

    L'ancienne autorité et l'autorité intermédiaire seront bientôt expiré (nous n'avons plus accès à l'ancienne autorité). Nous avons donc pris la décision de créer une nouvelle autorité de certificat Linux.

     

    => Tout d'abord nous avons créé l'autorité de certificat racine sur le Linux via openssl (CA).

     

    => Nous avons désinstallé le rôle sur le Windows 2012 (autorité secondaire ). 

     

    => Le certificats (CA) se trouve dans le magasin des certificats dans "Autorités de certification racines de confiances -> Certificats".

     

    => Par la suite nous avons réinstallé le service en lui indiquant qu'il était une autorité secondaire Windows 2012.

     

    => Nous avons fait une demande de certificat (sur l'autorité intermédiaire) "Toutes les tâches -> Demander un certificat d'autorité de certification", à ce stade un .REQ a été créé dans le C:/.

     

    => Sur le Linux (CA) nous avons généré le certificat intermédiaire (CA-Intermédiaire) grâce à la demande .REQ, toujours en openssl.

     

    => Arrivée à ce stade nous avons en possession :

    • Un certificat racine (CA)
    • Le certificat intermédiaire Windows (CA-Intermédiaire),

     

    =>Le magasin des certificats a en sa possession :

    • le CA dans "Autorités de certification racines de confiances"
    • Le CA-Intermédiaire dans "Autorités de certification intermédiaire " et dans "Autorités de certification racines de confiances"

    Plusieurs cas de figure :

     

    => Nous essayons d'installer le certificat racine "CA".p7b  sur (CA-Intermédiaire)  "Toutes les tâches -> Installer un certificat d'autorité de certification", l'import nous retourne cette erreur :

     

    "Impossible de créer un contexte de certificat en utilisant le certificat d'autorité de certification : ANS1 de valeur de balise incorrecte.

    0x8009310b (ASN : 267)"

     

    => Nous essayons aussi avec un autre format "CA".cer, l'import nous retourne cette erreur :

     

    "Le nom commun sujet du nouveau certificat ne correspond pas au nom de l'autorité de certification active : Paramètre incorrect.

    0x80070057 (WIN32: 87)"

     

    Dans le doute nous essayons d'installer le "CA-Intermédiaire".cer, l'import nous retourne cette erreur :

     

    "Le certificat n'est pas un certificat d'autorité de certification."

     

    A qu'elle étape avons-nous loupé ?



    • Modifié Ace_7x vendredi 12 octobre 2018 10:12
    vendredi 12 octobre 2018 10:09
  • Bonjour,

    J'ai réussi a trouver la solution.

    Le fichier openssl.cnf étais mal configuré.

    • Marqué comme réponse Ace_7x mardi 16 octobre 2018 12:16
    mardi 16 octobre 2018 12:16