Exporter (0) Imprimer
Développer tout
Développer Réduire
3 sur 4 ont trouvé cela utile - Évaluez ce sujet

Nouveautés des services de certificats Active Directory

Mis à jour: août 2009

S'applique à: Windows Server 2008 R2

Quels sont les principaux changements ?

Les services de certificats Active Directory® (AD CS) dans Windows Server® 2008 R2 introduisent des fonctionnalités et des certificats qui permettent des déploiements d’infrastructure à clé publique (PKI) plus souples, de réduire les coûts d’administration et de mieux prendre en charge les déploiements de protection d’accès réseau (NAP).

Les fonctionnalités et services AD CS dans le tableau suivant sont nouveaux dans Windows Server 2008 R2.

 

Fonctionnalité Avantage

Service Web Inscription de certificats et Service Web Stratégie d’inscription de certificats

Permet l’inscription de certificats par le biais du protocole HTTP.

Prise en charge de l’inscription de certificats sur plusieurs forêts

Permet la consolidation des autorités de certification lors de déploiements sur plusieurs forêts.

Prise en charge améliorée des autorités de certification à volume élevé.

Réduction de la taille de la base de données de l’Autorité de certification pour quelques déploiements NAP et d’autres autorités de certification à volume élevé.

Service Web Inscription de certificats et Service Web Stratégie d’inscription de certificats

Les services Web d’inscription de certificats sont de nouveaux services de rôle AD CS qui permettent l’inscription de certificats basés sur des stratégies par le biais du protocole HTTP et au moyen de méthodes existantes telles que l’inscription automatique. Les services Web font office de proxy entre un ordinateur client et une autorité de certification, ce qui rend inutiles les communications directes entre l’ordinateur client et l’autorité de certification, et permet l’inscription de certificats sur Internet et dans les forêts.

À qui cette fonctionnalité s’adresse-t-elle ?

Les organisations avec des infrastructures à clé publique nouvelles et existantes peuvent bénéficier de l’accessibilité étendue de l’inscription de certificats fournie par les services Web d’inscription de certificats dans les scénarios de déploiement suivants :

  • Dans les déploiements sur plusieurs forêts, les ordinateurs clients peuvent s’inscrire pour obtenir des certificats des autorités de certification dans une forêt différente.

  • Dans les déploiements sur extranet, les travailleurs mobiles et les partenaires commerciaux peuvent s’inscrire sur Internet.

Existe-t-il des considérations particulières ?

Le service Web Inscription de certificats envoie des demandes de la part d’ordinateurs clients et doit être approuvé pour la délégation. Les déploiements sur extranet de ce service Web augmentent la menace des attaques réseau et certaines organisations peuvent choisir de ne pas approuver le service pour la délégation. Le cas échéant, le service Web Inscription de certificats et l’autorité de certification émettrice peuvent être configurés pour accepter uniquement les demandes de renouvellement signées avec des certificats existants, ce qui ne requiert pas de délégation.

Les services Web d’inscription de certificats requièrent également les éléments suivants :

  • Une forêt Active Directory avec un schéma Windows Server 2008 R2.

  • Une autorité de certification d’entreprise exécutant Windows Server 2008 R2, Windows Server 2008 ou Windows Server 2003.

  • L’inscription de certificats sur plusieurs forêts requiert l’exécution d’une autorité de certification d’entreprise exécutant l’édition Entreprise ou Datacenter de Windows Server.

  • Les ordinateurs clients exécutant Windows® 7.

Quelles éditions incluent cette fonctionnalité ?

Les services Web d’inscription de certificats sont disponibles dans toutes les éditions de Windows Server 2008 R2.

Prise en charge de l’inscription de certificats sur plusieurs forêts

Avant l’introduction de l’inscription sur plusieurs forêts, les autorités de certification pouvaient émettre des certificats uniquement aux membres de la même forêt et chaque forêt avait sa propre infrastructure à clé publique. Grâce à la nouvelle prise en charge des références LDAP, les autorités de certification Windows Server 2008 R2 peuvent émettre des certificats dans plusieurs forêts présentant des relations d’approbation bidirectionnelles.

À qui cette fonctionnalité s’adresse-t-elle ?

Les organisations avec plusieurs forêts Active Directory et des déploiements d’infrastructure à clé publique par forêt peuvent bénéficier de la consolidation des autorités de certification en activant l’inscription des certifications sur plusieurs forêts.

Existe-t-il des considérations particulières ?

  • Les forêts Active Directory requièrent un niveau fonctionnel de forêt Windows Server 2003 et une approbation transitive bidirectionnelle.

  • Les ordinateurs clients exécutant Windows XP, Windows Server 2003 et Windows Vista® ne requièrent aucune mise à jour pour prendre en charge l’inscription de certificats sur plusieurs forêts.

Quelles éditions incluent cette fonctionnalité ?

Cette fonctionnalité est disponible sur les autorités de certification d’entreprise exécutant Windows Server 2008 R2 Enterprise ou Windows Server 2008 R2 Datacenter.

Prise en charge améliorée des autorités de certification à volume élevé

À qui cette fonctionnalité s’adresse-t-elle ?

Les organisations qui ont déployé NAP avec la contrainte IPsec ou d’autres autorités de certification à volume élevé peuvent choisir d’ignorer certaines opérations de la base de données de l’Autorité de certification pour réduire la taille de la base de données de l’Autorité de certification.

Généralement, les certificats d’intégrité expirent quelques heures après leur émission et l’autorité de certification peut émettre plusieurs certificats par ordinateur chaque jour. Par défaut, un enregistrement de chaque demande et de chaque émission de certificat est stocké dans la base de données de l’Autorité de certification. Un volume élevé de demandes augmente le taux de croissance de la base de données de l’Autorité de certification et les coûts d’administration.

Existe-t-il des considérations particulières ?

Étant donné que les certificats émis ne sont pas stockés dans la base de données de l’Autorité de certification, la révocation des certificats n’est pas possible. Toutefois, la maintenance d’une liste de révocation des certificats pour un volume élevé de certificats à court terme n’est souvent pas pratique ou bénéfique. Par conséquent, certaines organisations peuvent choisir d’utiliser cette fonctionnalité et d’accepter les limites de la révocation.

Quelles éditions incluent cette fonctionnalité ?

Cette fonctionnalité est disponible sur les autorités de certification d’entreprise exécutant toute édition de Windows Server 2008 R2.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft. Tous droits réservés.