locked
Advanced certificate request RRS feed

  • Question

  • Bonjour à la communauté,


    je viens à vous, car, durant un labo,

    il m'est impossible d'obtenir ce que je veux...


    je m'explique... je voudrais creer et soumettre une requete de certificat au CA


    Pour cela,

    j'ai un DC, ou j'ai installé le ADCS (labo hein :d) avec les roles Certification Authority et Certification Authority Web Enrollment

    installé en standalone puis en root CA, j'ai configuré par défaut le restant.

    une fois installé.. je vais dans IIS activé le directory browsing sur le default site

    je lance IE et je me rends sur localhost/certsrv

    je choisis request a certificate => advanced certificate request et j'obtiens ceci :

    http://imagizer.imageshack.us/v2/800x600q90/21/ufep.jpg

    Or mon but est de creer et de soumettre et donc d'obtenir le choix de du type de certificat et la taille de clé et l'exporté...

    on obtenant ceci :

    http://imagizer.imageshack.us/v2/800x600q90/27/g3b4.jpg


    une piste de débug?

    merci d'avance

    Bonne journée

    Eric




    mardi 14 janvier 2014 00:32

Toutes les réponses

  • installé en standaloned'obtenir le choix de du type de certificat et la taille de clé et l'exporté...

    Les templates de certificats sont fournis par Active DIrectory, hors une CA standalone n'a pas accès aux templates. Il faudrait installer l'autorité en PKI intégré à l'AD pour utiliser des templates.

    Pour les autres critères, je ne sais pas vraiment comment les exposer via une standalone, je n'ai pas testé ce cas de figure.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    • Modifié Bruce JDC mardi 14 janvier 2014 10:23
    mardi 14 janvier 2014 10:10
  • Bonjour et merci de votre réponse

    j'avais pris les devant en modifiant cela, mais je reste dans l'impasse au niveau du certsrv...

    "je lance IE et je me rends sur localhost/certsrv

    je choisis request a certificate => advanced certificate request et j'obtiens ceci :

    http://imagizer.imageshack.us/v2/800x600q90/21/ufep.jpg

    Or mon but est de creer et de soumettre et donc d'obtenir le choix de du type de certificat et la taille de clé et l'exporté...

    on obtenant ceci :

    http://imagizer.imageshack.us/v2/800x600q90/27/g3b4.jpg

    "

    mardi 14 janvier 2014 10:17
  • Ce qui m'inquiète c'est cette phase :  If enabled, you can use the Advanced Certificate Request Web page to set the following options for each certificate requested (source : http://technet.microsoft.com/en-us/library/cc772158.aspx)

    Est ce que vous avez lu ceci  : http://www.microsoft.com/en-us/download/confirmation.aspx?id=1746


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mardi 14 janvier 2014 10:36
  • Merci de votre suivi.
    
    je viens de faire le tour des informations fournies et plus via google
    
    mais rien
    
    (je viens de tester en dernier lieu, pour voir, la fonction ssl qui marche parfaitement au niveau login, mais rien de plus)
    
    il est normalement possible d'avoir les deux possibilités :
    
    - Create and submit a certificate request to this CA. (ce que je cherche à obtenir)
    
    - Submit a Certificate Request or Renewal Request
    
    To submit a saved request to the CA, paste a base-64-encoded CMC or PKCS #10 certificate request or PKCS #7 renewal request generated by an external source (such as a Web server) in the Saved Request box.
    
    mais en rien je ne vois la fonction enable pour cela...
    
    je suis étonné de ne pas l'avoir, car j'ai déjà réalisé cette procédure en installant le role, pour ensuite soumettre la demande de certificat... sans activation de quoi que se soit...
    
    j'ai réalisé autrement ma requete meme si elle n'est pas totalement semblable... :/  dans un .inf
    
    [Version] 
    
    Signature="$Windows NT$ 
    
    [NewRequest]
    Subject = "CN=ca.contoso.com" ; must be the FQDN of domain controller
    Exportable = True  ; TRUE = Private key is exportable
    KeyLength = 16384    ; Common key sizes: 512, 1024, 2048, 
    			  ;    4096, 8192, 16384
    KeySpec = 1             ; Key Exchange
    KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
    MachineKeySet = True
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = CMC
    	
    ; Omit entire section if CA is an enterprise CA
    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    	
    [RequestAttributes]
    CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
    
        Save the file as Request.inf.
        Open a command prompt.
        At the command prompt, type the following command, and then press ENTER:
        certreq -new request.inf certnew.req
        This command uses the information in the Request.inf file to create a request in the format that is specified by the RequestType value in the .inf file. When the request is created, the public and private key pair is automatically generated and then put in a request object in the enrollment requests store on the local computer.
        At the command prompt, type the following command, and then press ENTER:
        certreq -submit certnew.req certnew.cer
        This command submits the certificate request to the CA. If there is more than one CA in the environment, the -config switch can be used in the command line to direct the request to a specific CA. If you do not use the -config switch, you will be prompted to select the CA to which the request should be submitted.
    
        The -config switch uses the following format to refer to a specific CA:
        computername\Certification Authority Name
        For example, assume that the CA name is Corporate Policy CA1 and that the domain name is corpca1.fabrikam.com. To use the certreq command together with the –config switch to specify this CA, type the following command:
        certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer
        If this CA is an enterprise CA and if the user who submits the certificate request has Read and Enroll permissions for the template, the request is submitted. The issued certificate is saved in the Certnew.cer file. If the CA is a stand-alone CA, the certificate request will be in a pending state until it is approved by the CA administrator. The output from the certreq -submit command contains the Request ID number of the submitted request. As soon as the certificate has been approved, it can be retrieved by using the Request ID number.
        Use the Request ID number to retrieve the certificate. To do this, type the following command, and then press ENTER:
        certreq -retrieve RequestID certnew.cer
        You can also use the -config switch here to retrieve the certificate request from a specific CA. If the -config switch is not used, you are prompted to select the CA from which to retrieve the certificate.
        At the command prompt, type the following command, and then press ENTER:
        certreq -accept certnew.cer
        After you retrieve the certificate, you must install it. This command imports the certificate into the appropriate store and then links the certificate to the private key that is created in step 4.
    
    source :http://support.microsoft.com/kb/931351
    
    info :http://technet.microsoft.com/en-us/library/cc736326%28v=ws.10%29.aspx et :http://social.technet.microsoft.com/Forums/en-US/16eb7d00-7a74-459c-9938-2010bad2a739/certificate-request-by-certreqexe-make-private-key-exportable?forum=winserversecurity
    
    mais j'ai un doute sur mon certificat... publié... mais je reste toujours dans l'impasse d'utiliser certsrv... :/
    
    Eric


    • Modifié Eric2791 mardi 14 janvier 2014 12:44 rajout
    mardi 14 janvier 2014 12:43
  • Je me permets de up, pour trouver une parade/solution autre que via certnew

    j'aurais aimé comparé mes certificats créer d'une façon et de l'autre...

    Bonne journée et merci d'avance.

    Eric

    lundi 27 janvier 2014 07:53