Gestion de l'infrastructure de clés publiques

Article
02/23/2009

Dernière mise à jour le 08 juin 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Tâches essentielles de maintenance
Rôles administratifs des services de certificats
Tâches Zone de fonctionnement
Tâches Zone de prise en charge
Tâches Zone d'optimisation
Tâches Zone de changements
Dépannage
Tableaux de configuration
Informations complémentaires

Dans ce module

Ce module présente les procédures opérationnelles requises pour gérer l'infrastructure de clés publiques (PKI) implémentée dans le cadre de la solution de sécurisation du réseau local sans fil. La structure repose sur les catégories et les concepts Microsoft® Operations Framework (MOF) présentés dans le premier module du « Operations Guide ».

Ce module vous permet de mettre en œuvre un système de gestion complet de la PKI, c'est-à-dire englobant toutes les tâches de configuration nécessaires à la surveillance et à la gestion du système, mais également les tâches opérationnelles normales requises pour assurer son bon fonctionnement ainsi que les procédures permettant de vous aider à traiter les incidents de support, à gérer les changements d'environnement et à optimiser les performances du système.

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

comprendre les tâches à exécuter pour gérer le système ;
attribuer les rôles administratifs nécessaires à l'administration du système ;
fournir un document de référence pour la gestion de votre PKI.

S'applique à

Ce module s'applique aux produits et technologies suivants :

Microsoft Windows® Server™ 2003 ;
Microsoft Certificate Services (également appelé « les services de certificats » dans le reste de ce module) ;
le service d'annuaire Microsoft Active Directory® ;
Microsoft Internet Information Server (IIS).

Comment utiliser ce module

Ce module décrit les étapes requises pour garantir une gestion correcte de l'environnement de votre PKI, puis présente des informations de référence.

Pour tirer le meilleur parti de ce module :

Lisez le module « Introduction au guide Sécurisation des opérations de réseau local sans fil ». Il vous familiarise avec le concept Microsoft Operations Framework dans la mesure où il est structuré comme un guide des opérations MOF.

Tâches essentielles de maintenance

Cette section répertorie les principales tâches à exécuter pour un bon fonctionnement de la PKI. La liste de ces tâches est présentée dans deux tableaux : des tâches de configuration uniques et des tâches opérationnelles en continu. Vous trouverez plus loin dans le document la description détaillée des noms de tâche mentionnés dans les tableaux. Les tâches sont regroupées par zone MOF et la fonction de gestion des services (SMF) MOF à laquelle appartient la tâche est indiquée en regard de chaque tâche pour vous permettre une localisation facile de la tâche requise.

Vous trouverez également dans cette section la liste des outils et technologies utilisés dans les procédures de ce module.

Tâches de configuration initiales

Le tableau 1 présente les tâches à exécuter pour mettre en fonction la PKI. Suivant vos normes et pratiques opérationnelles, vous n'aurez peut-être pas besoin d'exécuter toutes ces tâches, mais étudiez chacune d'elles en détail avant de prendre une décision. En outre, il peut être nécessaire d'exécuter certaines tâches une deuxième fois à un moment donné. Par exemple, en cas d'installation d'une nouvelle autorité de certification (CA), vous devrez configurer des travaux de sauvegarde et de surveillance adaptés.

Tableau 1 : Tâches de configuration initiales

Nom de tâche	Cluster de rôle	SMF MOF
Zone de fonctionnement
Préparation d'une structure d'unité d'organisation de domaine pour la gestion des services de certificats	Infrastructure	Administration des services d'annuaire
Publication sur le serveur Web des listes de révocation de certificats d'une autorité de certification émettrice	Sécurité	Administration de la sécurité
Configuration de la sauvegarde de la base de données de l'autorité de certification émettrice	Infrastructure	Gestion du stockage
Configuration de la base de données de l'autorité de certification racine	Infrastructure	Gestion du stockage
Test des sauvegardes de la base de données de l'autorité de certification	Opérations	Gestion du stockage
Test des sauvegardes des clés de l'autorité de certification	Opérations	Gestion du stockage
Classification des alertes de surveillance	Infrastructure	Surveillance et contrôle des services
Surveillance des contraintes de capacité des services de certificats	Infrastructure	Surveillance et contrôle des services
Surveillance de l'intégrité et de la disponibilité des services de certificats	Infrastructure	Surveillance et contrôle des services
Configuration d'alertes SMTP (Simple Mail Transfer Protocol) pour les demandes de certificat en attente	Infrastructure	Surveillance et contrôle des services
Planification des travaux dans une autorité de certification émettrice	Infrastructure	Planification des travaux
Zone d'optimisation
Détermination de la charge maximale d'une autorité de certification émettrice	Infrastructure	Gestion de capacité
Détermination des besoins en stockage et sauvegarde pour une autorité de certification émettrice	Infrastructure	Gestion de la capacité
Zone de changements
Gestion des correctifs du système d'exploitation	Infrastructure	- Gestion des modifications - Gestion des versions

Bien qu'il n'existe pas de tâche explicative pour l'installation d'un système de gestion de la configuration pour la PKI, étudiez les procédures de la section « Gestion de la configuration ». Elles décrivent les types d'informations à collecter et à conserver dans un système de ce type.

Tâches de maintenance

Le tableau 2 présente les tâches à exécuter régulièrement pour garantir un fonctionnement correct de la PKI. Vous pouvez y avoir recours pour planifier les ressources nécessaires et le calendrier opérationnel en vue de l'administration du système.

Vous n'aurez peut-être pas besoin d'exécuter toutes ces tâches, mais étudiez chacune d'elles en détail avant de prendre une décision. D'autre part, vous devrez peut-être exécuter ces tâches aussi bien de façon occasionnelle que sur une base planifiée. Par exemple, en cas de renouvellement d'un certificat de l'autorité de certification racine, vous devrez effectuer une sauvegarde de l'autorité racine même si elle n'est pas planifiée. Dans ce cas, cette contrainte apparaît dans la colonne Fréquence. Les dépendances de ce type sont également notées dans les détails relatifs à la tâche.

Tableau 2 : Tâches de maintenance

Nom de tâche	Cluster de rôle	Fréquence	SMF
Zone de fonctionnement
Vérification des requêtes en attente	Sécurité	Journalière	Administration de la sécurité
Renouvellement du certificat de l'autorité racine	Sécurité	Tous les huit ans	Administration de la sécurité
Renouvellement du certificat de l'autorité émettrice	Sécurité	Tous les quatre ans	Administration de la sécurité
Publication d'un certificat d'autorité de certification et d'une liste de révocation de certificats hors connexion	Sécurité	Tous les six mois	Administration de la sécurité
Sauvegarde des clés et des certificats de l'autorité de certification	Opérations	– Annuelle – A chaque renouvellement du certificat de l'autorité de certification (selon la première date)	Gestion du stockage
Test des sauvegardes de la base de données de l'autorité de certification	Opérations	Mensuelle	Gestion du stockage
Test des sauvegardes des clés de l'autorité de certification	Opérations	Tous les six mois	Gestion du stockage
Archivage et suppression des données anciennes de la base de données des certificats	Opérations	Annuelle	Gestion du stockage
Archivage des données d'audit de sécurité provenant d'une autorité de certification	Opérations	Mensuelle (CA émettrice)	Gestion du stockage
Archivage des données d'audit de sécurité provenant d'une autorité de certification	Opérations	Tous les six mois (autorité racine)	Gestion du stockage

Technologie requise dans le guide de sécurisation des opérations

Les tableaux 3 et 4 répertorient les outils ou technologies utilisés dans les procédures décrites dans ce guide.

Tableau 3 : Technologie requise

Nom de l'élément	Source
Console Utilisateurs et ordinateurs Active Directory	Microsoft Windows Server 2003
Console Autorité de certification	Windows Server 2003
Console Modèles de certificat	Windows Server 2003
Certutil.exe	Windows Server 2003
Certreq.exe	Windows Server 2003
Scripts MSS	Cette solution
Éditeur de texte	Bloc-notes – Windows Server 2003
Service Planificateur de tâches de Windows	Windows Server 2003
SchTasks.exe	Windows Server 2003
Sauvegarde Windows	Windows Server 2003
Cipher.exe	Windows Server 2003
Observateur d'événements	Windows Server 2003
Analyseur de performances	Windows Server 2003
Net.exe	Windows Server 2003
DSquery.exe	Windows Server 2003
Ldifde.exe	Windows Server 2003
DCDiag.exe	Windows Server 2003
Console d'alertes opérationnelles	Microsoft Operations Manager (MOM)
Support amovible pour la sauvegarde de l'autorité racine	CD-RW ou bande
Sauvegarde du serveur de l'autorité de certification émettrice	Service de sauvegarde d'entreprise ou périphérique de sauvegarde local
Console Stratégie de groupe	Téléchargement Web à partir de Microsoft.com
PKI Health	Kit de ressources de Windows Server 2003

Tableau 4 : Technologie recommandée

Nom de l'élément	Source
Console d'alertes opérationnelles	Microsoft Operations Manager ou autre système de surveillance de service
Infrastructure de messagerie électronique – pour alertes opérationnelles (alternative à MOM)	Serveur et client SMTP/POP3 (Post Office Protocol 3)/ IMAP (Internet Message Access Protocol), comme Microsoft Exchange Server et Microsoft Outlook®
Eventquery.vbs	Windows Server 2003
Outils de planification de capacité	Microsoft Operations Manager ou autres outils de planification de capacité
Système de distribution de correctifs	SMS (Systems Management Server) Microsoft ou SUS (Software Update Services) Microsoft

Rôles administratifs des services de certificats

Il existe un certain nombre de rôles impliqués dans la gestion d'une PKI. Les deux sections suivantes les répartissent entre rôles principaux et rôles de support.

Rôles principaux des services de certificats

Les rôles principaux des services de certificats sont essentiels à la gestion d'une PKI. Ils correspondent presque tous au cluster du rôle de sécurité MOF. Un grand nombre d'entre eux correspondent aux rôles de sécurité Common Criteria définis pour Certificate Services. Dans ce cas, ceci est indiqué entre parenthèses à la suite du nom du rôle.

Tableau 5 : Rôles principaux des services de certificats

Nom du rôle	Cluster de rôle MOF	Étendue	Description
Enterprise PKI Administrator	Sécurité	Entreprise	Responsable de l'ensemble de la PKI – définit les types de certificat, les stratégies d'application, les chemins d'accès approuvés, etc., pour l'entreprise.
Enterprise PKI Publisher	Sécurité	Entreprise	Responsable de la publication dans l'annuaire des certificats racine approuvés, des certificats de l'autorité de certification secondaire et de listes de révocation de certificats.
CA Administrator (rôle CC)	Sécurité	Autorité de certification	CA Administrator – responsable de la configuration à l'échelle d'un serveur (comme l'installation de l'autorité de certification). Il s'agit souvent des personnes qui appartiennent aussi au groupe Enterprise PKI Admins. Il est possible que différents administrateurs d'autorité de certification s'occupent de différentes autorités de certification si l'usage du certificat le définit ainsi.
Administrateur (rôle CC)	Sécurité	Autorité de certification	Administrateur du système d'exploitation du serveur de l'autorité de certification – responsable de la configuration à l'échelle d'un serveur (comme l'installation de l'autorité de certification). Il s'agit souvent des personnes qui appartiennent aussi au groupe CA Admins. Il est possible que différents administrateurs s'occupent de différentes autorités de certification si l'usage du certificat le définit ainsi.
CA Auditor (rôle CC)	Sécurité	Autorité de certification	Gère les événements d'audit ainsi que la stratégie, etc., des événements susceptibles d'être audités à partir d'autorités de certification.
Gestionnaire de certificats (rôle CC)	Sécurité	Autorité de certification	Approuve les demandes de certificat nécessitant une approbation manuelle et révoque les certificats. Il est possible que plusieurs gestionnaires de certificats soient responsables des approbations sur différentes autorités de certification si l'usage du certificat le définit ainsi.
Autorité d'inscription	Sécurité	Profil de certificat	Il s'agit d'une extension du rôle de Gestionnaire de certificats. Responsable de l'approbation et de la signature des demandes de certificat suivant la vérification de l'identificateur (ID) hors bande. Il peut s'agir d'une personne ou d'un périphérique de processus informatique (par exemple associé à un scanner d'empreinte digitale et une base de données). Différentes autorités d'enregistrement peuvent être spécifiées pour différents profils de certificat (modèles) et peuvent couvrir plusieurs autorités de certification.
Agent de récupération de clé	Sécurité	Autorité de certification	Conserve la clé permettant de décrypter des clés privées archivées dans la base de données de l'autorité de certification.
Opérateur de sauvegarde de CA (rôle CC)	Opérations	Autorité de certification	Responsable de la sauvegarde et de la récupération des serveurs d'autorité de certification et du stockage sécurisé des supports de sauvegarde.

Rôles de support des services de certificats

Il s'agit des rôles opérationnels qui ne sont pas essentiels pour la gestion de la PKI, mais qui assurent des fonctions de support aux rôles principaux.

Tableau 6 : Rôles de support des services de certificats

Nom du rôle	Cluster de rôle MOF	Étendue	Description
Monitor Operator	Opérations	Entreprise	Responsable de la surveillance des événements.
Capacity Planner	Infrastructure	Entreprise	Responsable de l'analyse des performances et du chargement pour la prévision des futurs besoins en capacité.
Active Directory Administrator	Infrastructure et Support	Entreprise	Responsable de la configuration et de la prise en charge de l'infrastructure Active Directory.
Active Directory Operations	Opérateur	Entreprise	Responsable de la maintenance journalière de l'annuaire, comme la maintenance du groupe de sécurité, la création de compte, etc.
Change Approvals Board	Version	Entreprise	Représentants commerciaux et techniques requis pour approuver les changements d'infrastructure.

Mappage des rôles Certificate Services à des groupes de sécurité

Le tableau 7 répertorie les groupes de sécurité qui sont définis pour cette solution et décrit brièvement les capacités ou les autorisations de chaque groupe.

Pour les autorités de certification hors connexion, il n'existe que des groupes de sécurité locaux. Dans ce cas, des comptes locaux individuels sont créés dans l'autorité de certification elle-même et servent à peupler les groupes locaux. Il est acceptable que des comptes individuels soient membres de plusieurs, voire de tous les groupes de rôles locaux si ce choix permet de prendre en charge la sécurité de votre organisation et les stratégies informatiques.

Pour les autorités de certification connectées, les groupes de sécurité de domaine sont utilisés pour appliquer des autorisations à chaque rôle. Les comptes de domaine servent à peupler les groupes de rôles. Dans ce cas aussi, il est acceptable pour des comptes uniques d'être membres de plusieurs groupes de rôles si cela permet la prise en charge de la sécurité et des stratégies informatiques de votre organisation.

Tableau 7 : Mappage des rôles Certificate Services à des groupes de sécurité

Nom du rôle	Groupe de sécurité de domaine	Groupe de sécurité local	Fonctions
Enterprise PKI Administrator	Enterprise PKI Admins	-	Contrôle sur le conteneur des services de clé publique Active Directory. Contrôle donc les modèles, la publication approuvée et les autres éléments de configuration à l'échelle de l'entreprise (forêt).
CA Administrator	CA Admins	CA Admins (autorité racine uniquement)	Possède des droits de gestion d'autorité de certification sur l'autorité de certification. Contrôle l'attribution des rôles sur l'autorité de certification. Est également autorisé à changer les propriétés de l'autorité de certification. En général, ce rôle correspond également à un administrateur local du serveur de l'autorité de certification, sauf si une séparation des rôles est adoptée.
CA Auditor	CA Auditors	CA Auditors (autorité racine uniquement) Administrators	Possède des droits d'utilisateur de gestion de la sécurité et de journaux d'audit sur une autorité de certification. Ce rôle correspond également à un membre du groupe Administrateurs locaux sur l'autorité de certification (requis pour accéder aux journaux d'audit).
Gestionnaire de certificats	Gestionnaires de certificats	Gestionnaires de certificats	Possède des droits d'émission et de gestion des certificats sur la CA. Il est possible de configurer plusieurs gestionnaires de certificats sur chaque autorité de certification – chacun d'eux gérant des certificats pour un sous-ensemble d'utilisateurs ou d'autres entités finales.
Autorité d'inscription	-	-	Conserve le certificat et la clé requis pour signer la demande de certificat avant approbation.
Agent de récupération de clé	-	-	Conserve le certificat et la clé requis pour décrypter les clés privées archivées stockées dans la base de données des certificats.
Opérateur de sauvegarde de CA	Opérateurs de sauvegarde de CA	Opérateurs de sauvegarde de CA (CA racine uniquement)	Possède des droits de sauvegarde et de restauration sur un serveur de CA.

Tâches Zone de fonctionnement

Cette section détaille les informations relatives aux tâches de maintenance associées à la zone de fonctionnement MOF.

La zone de fonctionnement MOF comprend les normes, processus et procédures de fonctionnement informatique, qui sont régulièrement appliqués aux solutions de service pour obtenir et conserver des niveaux de service avec des paramètres prédéterminés. L'objectif de la zone de fonctionnement est d'avoir une grande visibilité sur l'exécution des tâches journalières manuelles ou automatisées.

La tâche Zone de fonctionnement contient les fonctions de gestion de service (SMF) suivantes :

Administration des services d'annuaire
Administration de la sécurité
Gestion du stockage
Surveillance et contrôle des services
Planification des travaux

Il n'existe pas de tâches pour les autres fonctions SMF :

Gestion du système
Gestion du réseau
Gestion des impressions et des sorties

Administration des services d'annuaire

Les services d'annuaire permettent aux utilisateurs et aux applications de trouver des ressources réseau (utilisateurs, serveurs, applications, outils, services et autres informations) sur le réseau. L'administration des services d'annuaire gère les opérations journalières, la maintenance et la prise en charge de l'annuaire de l'entreprise. Son objectif est de garantir que ces informations sont accessibles via le réseau, de façon simple et structurée, à tout demandeur autorisé.

Préparation d'une structure d'unité d'organisation de domaine pour la gestion des services de certificats

L'objectif de cette tâche est de créer une structure d'unité d'organisation appropriée à la gestion des groupes de sécurité et des comptes utilisateur Certificate Services.

Cluster de rôle responsable :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	Compte disposant des droits de création d'unités organisationnelles dans la partie indiquée d'Active Directory
Dépendances :	Aucune
Technologie requise :	Console Utilisateurs et ordinateurs Active Directory

Détails de la tâche

Cette tâche n'est pas normative dans la mesure où elle dépend largement de votre structure d'unité organisationnelle existante et des stratégies et procédures de gestion actuelles. Le tableau suivant contient un exemple de sous-arborescence d'unité organisationnelle simple pouvant vous aider à organiser les groupes de sécurité créés et mentionnés dans ce guide.

Tableau 8 : Emplacement des groupes de sécurité au sein de la structure d'unité organisationnelle

Unité organisationnelle	Groupes	Objectif
Certificate Services
Administration des services de certificats	Enterprise PKI Admins Enterprise PKI Publishers CA Admins CA Auditors Gestionnaires de certificats Opérateurs de sauvegarde d'autorité de certification	Contient les groupes administratifs de gestion des autorités de certification et de configuration de la PKI d'entreprise.
Gestion de modèle de certificat	Exemples : Modèle de gestion d'utilisateur Modèle de gestion d'ouverture de session par carte à puce	Contient les groupes ayant le contrôle total sur le modèle du même nom. Permet la délégation du contrôle par type de modèle.
Inscription de modèle de certificat	Exemples : Inscription de certificat utilisateur Inscription automatique de certificat utilisateur Inscription de certificat de signature de messagerie électronique	Contient les groupes détenant des autorisations d'inscription ou d'inscription automatique sur les modèles du même nom. Le contrôle des groupes peut ensuite être délégué au personnel approprié pour permettre un système d'inscription flexible sans action sur les modèles eux-mêmes.

Création de groupes de gestion de modèle de certificat

Les groupes de gestion de modèle permettent de déléguer le contrôle sur les modèles et paramètres de modèle à différents administrateurs. Sinon, seuls les groupes Administrateurs de l'entreprise et Enterprise PKI Admins ont le droit de modifier les modèles. Si vous n'avez pas une grande organisation informatique, vous n'aurez pas nécessairement besoin de ce type de délégation. Dans ce cas, seuls les membres du groupe Enterprise Admins (le groupe intégré) et du groupe Enterprise PKI Admins (créé dans le cadre de cette solution) pourront administrer les modèles de certificat.

Attention : N'utilisez cette fonction qu'avec la plus grande prudence. La délégation de contrôle sur un type de modèle implique une confiance totale dans la ou les personnes auxquelles vous déléguez le contrôle. Les utilisateurs dotés de droits en écriture peuvent modifier tous les paramètres d'un modèle pour créer un type de certificat de leur choix. Il peut être plus judicieux de créer le modèle pour eux afin de réserver le contrôle sur les types de certificat au groupe Enterprise PKI Admins.

Cluster de rôle responsable :	Infrastructure
Fréquence :	Selon les besoins
Sécurité requise :	Enterprise PKI Admins
Dépendances :	Une structure d'unité organisationnelle des groupes de gestion de certificats doit exister.
Technologie requise :	- Console Utilisateurs et ordinateurs Active Directory - Console Modèles de certificat

Détails de la tâche

Pour chaque modèle de certificat que vous créez ou voulez activer dans votre environnement, exécutez les procédures suivantes.

Pour créer des groupes de gestion de modèle de certificat
1. Connectez-vous en tant que membre du groupe Enterprise PKI Admins.
2. Dans l'unité organisationnelle de gestion de modèle de certificat, créez un groupe de sécurité global de domaine nommé Gestion du modèle modèle_certificat (où modèle_certificat est le nom du modèle de certificat à gérer.)
3. Chargez le composant logiciel enfichable Modèles de certificats dans une console MMC.
4. Ouvrez les propriétés du modèle requis, puis cliquez sur l'onglet Sécurité.
5. Ajoutez le groupe Gestion du modèle modèle_certificat, puis accordez-lui le droit en écriture.

Création de groupes d'inscription de modèle de certificat

Les groupes d'inscription de modèle facilitent la gestion des personnes susceptibles d'être inscrites ou inscrites automatiquement pour un type de certificat, en ajoutant et en supprimant des utilisateurs ou des ordinateurs dans un groupe de sécurité. Vous pouvez également accorder le contrôle sur l'appartenance à ces groupes à du personnel administratif qui n'a pas le droit de modifier directement les propriétés des modèles de certificat.

Cluster de rôle responsable :	Infrastructure
Fréquence :	Selon les besoins
Sécurité requise :	Enterprise PKI Admins
Dépendances :	Une structure d'unité organisationnelle du groupe de gestion de certificats doit exister.
Technologie requise :	- Console Utilisateurs et ordinateurs Active Directory - Console Modèles de certificat

Détails de la tâche

Créez un groupe d'inscription pour chaque type de modèle de certificat, ou du moins, pour tous ceux pour lesquels l'approbation de certificat est automatique. (Lorsqu'un autre processus d'inscription est utilisé pour un type de certificat donné, ce mécanisme n'est plus aussi pratique.) Dans les cas où l'inscription automatique est adaptée au type de certificat, vous pouvez créer un groupe indépendant qui contrôle quels utilisateurs et périphériques inscrivent automatiquement le certificat.

Pour créer un groupe d'inscription de modèle de certificat :
1. Ouvrez une session en tant que membre du groupe Enterprise PKI Admins, puis ouvrez la console Utilisateurs et ordinateurs Active Directory de Microsoft.
2. Dans l'unité organisationnelle d'inscription de modèle de certificat, créez des groupes de sécurité globale de domaine nommés :
  
  Inscription du certificat modèle_certificat
  
  Inscription automatique du certificat modèle_certificat (si besoin est)
3. Chargez le composant logiciel enfichable Modèles de certificat dans une console MMC.
4. Ouvrez les propriétés du modèle pour modifier la sécurité.
5. Ajoutez le groupe Inscription du certificat modèle_certificat et accordez-lui des droits en lecture et en inscription.
6. Ajoutez le groupe Inscription automatique du certificat modèle_certificat et accordez-lui des droits en lecture, inscription et inscription automatique.

Remarque : vous pouvez facultativement déléguer le contrôle sur ces groupes de sécurité pour permettre au propriétaire de l'application de spécifier l'identité de ceux qui peuvent ou non s'inscrire pour ce type de certificat.

Activation de l'inscription (ou inscription automatique) d'un type de certificat pour un utilisateur ou un ordinateur

Cette tâche configure l'annuaire pour permettre l'inscription manuelle ou lancer l'inscription automatique d'un type de certificat pour un utilisateur, un ordinateur ou un groupe de sécurité contenant des utilisateurs et/ou des ordinateurs.

Cluster de rôle	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Modifier les autorisations d'appartenance pour le groupe d'inscription de certificat.
Dépendances :	Le groupe de modèle de certificat doit exister.
Technologie requise :	Console Utilisateurs et ordinateurs Active Directory

Détails de la tâche

Pour activer l'inscription ou l'inscription automatique pour un utilisateur ou un ordinateur
1. Dans la console Utilisateurs et ordinateurs Active Directory, localisez le groupe de sécurité d'inscription de modèle de certificat (ou le groupe d'inscription automatique) correspondant au type de certificat à inscrire. Vous devez être connecté en tant qu'utilisateur avec les autorisations de modification d'appartenance pour ce groupe.
2. Ajoutez l'utilisateur, l'ordinateur ou le groupe de sécurité au groupe de sécurité de modèle sélectionné.

Désactivation de l'inscription (ou inscription automatique) d'un type de certificat pour un utilisateur ou un ordinateur

L'émission d'un certificat pour un utilisateur ou un ordinateur active généralement certaines fonctionnalités pour le détenteur du certificat. Il peut se révéler nécessaire de désactiver cette fonctionnalité ultérieurement.

Cluster de rôle	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Modifier les autorisations d'appartenance pour le groupe d'inscription de certificat.
Dépendances :	Le groupe de modèle de certificat doit exister.
Technologie requise :	- Console Utilisateurs et ordinateurs Active Directory - Console Autorité de certification

Détails de la tâche

Pour désactiver l'inscription ou l'inscription automatique pour un utilisateur ou un ordinateur
1. Dans la console Utilisateurs et ordinateurs Active Directory, localisez le groupe de sécurité d'inscription de modèle de certificat (ou d'inscription automatique) correspondant au type de certificat à désactiver. Vous devez vous connecter comme utilisateur détenant les droits de modification d'appartenance pour ce groupe.
2. Supprimez l'utilisateur, l'ordinateur ou le groupe de sécurité du modèle de groupe de sécurité.
  
  Remarque : vous devez également révoquer le certificat de chaque utilisateur de certificat que vous désactivez.
3. Connectez-vous en tant que membre du groupe Gestionnaires de certificats et localisez le ou les certificats existants de l'utilisateur dans la base de données Autorité de certification (dans la console Autorité de certification). Pour localiser les certificats, dans le dossier Certificats délivrés de l'autorité de certification, cliquez sur le menu Affichage, puis sur l'option Filtrer.
4. Cliquez sur le certificat, puis dans le menu Tâches, cliquez sur Révoquer.
5. Sélectionnez un code de raison approprié à la révocation. Si la raison de la révocation ne correspond pas à l'un des codes de raison prédéfinis, sélectionnez Non spécifié.
  
  Remarque : seule la raison Certificat en attente permet de réactiver ultérieurement le certificat. Toutes les autres raisons conduisent à la désactivation permanente du certificat. Toutefois, ne faites pas appel à Certificat en attente en tablant sur la possibilité de réactivation ultérieure du certificat. N'utilisez ce code que lorsque vous avez réellement besoin de suspendre temporairement le certificat.

Administration de la sécurité

L'administration de la sécurité permet de maintenir un environnement informatique sécurisé. La sécurité constitue une partie importante de l'infrastructure d'une organisation. Un système d'informations avec une base de sécurité peu solide risque de connaître une violation de sa sécurité.

Vérification des requêtes en attente

Il est possible d'envoyer des demandes de certificat à tout moment aux autorités de certification émettrices. La plupart des certificats seront automatiquement émis, soit à l'aide d'Active Directory comme autorité d'inscription (RA), soit à l'aide d'un jeu prédéfini de signatures provenant d'autorités d'enregistrement nommées. Si vous avez défini que certains types de certificat exigent une approbation manuelle par un Gestionnaire de certificats, les requêtes seront placées en file d'attente jusqu'à ce qu'elles soient approuvées ou refusées.

Cluster de rôle	Sécurité
Fréquence :	Journalière
Sécurité requise :	Gestionnaires de certificats
Dépendances :	Aucune
Technologie requise :	Console Autorité de certification

Détails de la tâche

Vérifiez tous les jours si des demandes en attente se trouvent dans le dossier Requêtes. Avant d'émettre un certificat, contrôlez soigneusement la demande afin de vérifier son contenu et son demandeur. Vérifiez que les informations nécessaires sont indiquées (nom du sujet, autre nom du sujet, utilisations de clé, stratégies et extensions). Si l'une de ces informations vous paraît douteuse, n'approuvez pas la demande.

Vous pouvez également configurer l'autorité de certification afin qu'elle envoie des alertes par messagerie électronique pour les différents événements. Il peut s'agir de l'arrivée d'une demande en attente. Reportez-vous à la procédure « Configuration d'alertes SMTP pour les demandes de certificats en attente ».

Pour vérifier les demandes en attente
1. Connectez-vous à l'autorité de certification émettrice en tant que membre du groupe Gestionnaires de certificats. (Vous pouvez exécuter cette tâche à distance en recentrant la console Autorité de certification.)
2. Ouvrez la console Autorité de certification et ouvrez le dossier Requêtes.
3. Pour afficher les détails relatifs à une requête se trouvant dans le dossier, cliquez dessus avec le bouton droit de la souris, puis cliquez sur Afficher les attributs/extensions dans le sous-menu Affichage.
  
  Remarque : l'onglet Attributs présente les attributs de la demande reçus dans le cadre de la demande tandis que l'onglet Extensions présente les extensions de certificat qui seront utilisées dans le certificat. L'origine de chaque entrée d'extension est précisée : inclusion dans la demande, valeur fournie par le serveur ou définition par le module de stratégie d'autorité de certification. (Cette dernière origine indique généralement qu'il s'agit d'une extension définie dans le modèle de certificat.)
4. Suivant les stratégies de votre organisation, vous pouvez également obtenir certaines informations supplémentaires relatives à la demande, auprès d'une personne, par téléphone, par messagerie électronique ou par d'autres moyens similaires.
5. Une fois que vous êtes convaincu que la demande est valide, vous pouvez l'approuver en cliquant dessus avec le bouton droit de la souris, puis en cliquant sur Délivrer dans le sous-menu Tâches. Si la demande ne vous satisfait pas, vous pouvez la refuser en cliquant sur Refuser dans le même menu.

Renouvellement du certificat de l'autorité racine

Vous devez renouveler régulièrement le certificat d'autorité de certification pour permettre aux autorités de certification et aux entités finales subordonnées de s'inscrire auprès de cette autorité. Les certificats émis par cette autorité et ses subordonnées ne peuvent pas avoir une date d'expiration ultérieure à celle de ce certificat d'autorité de certification. Le renouvellement de ce certificat peut également se justifier par les raisons suivantes :

changer la clé utilisée par l'autorité de certification (en cas de compromission réelle ou suspectée) ;
ajouter des stratégies de certificat à l'autorité de certification (subordination qualifiée) ;
changer les chemins d'accès CDP ou AIA (Accès aux Informations de l'Autorité) ;
partitionner la liste de révocation de certificats.

Il est recommandé de changer la clé de l'autorité de certification à chaque renouvellement. Si vous voulez conserver la même clé lors du renouvellement, reportez-vous à la procédure « Renouvellement du certificat de l'autorité de certification racine avec la même clé ».

Cluster de rôle :	Sécurité
Fréquence :	Tous les 8 ans
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	Aucune
Technologie requise :	- Certutil.exe - Scripts MSS - Console Autorité de certification - Éditeur de texte

Attention : Le renouvellement d'un certificat de l'autorité de certification est un événement majeur. N'oubliez pas d'informer tous les propriétaires d'application concernés du nouveau certificat racine au cas où ils doivent configurer cette nouvelle racine dans leur application.

Détails de la tâche

Pour renouveler le certificat de l'autorité de certification racine
1. Connectez-vous à l'autorité de certification racine en tant que membre du groupe Administrateurs locaux.
2. Pour changer la taille de la clé, vous devez modifier le fichier CAPolicy.inf stocké dans le répertoire %systemroot%. Changez la valeur RenewalKeyLength pour obtenir la taille de bits voulue. Dans l'exemple suivant, cette valeur est 8192.
```
[Certsrv_Server]
RenewalKeyLength=8192
```
  Attention : La taille de clé de 8192 bits n'est indiquée que pour illustrer comment changer la taille de la clé. L'utilisation d'une clé de cette taille demande beaucoup d'attention. Bien que Certificate Services prenne en charge des tailles de clé jusqu'à 16 384 bits, certaines applications et certains systèmes n'acceptent pas de clés dont la taille dépasse 2048 bits dans un certificat de la chaîne de certificats de l'autorité racine.
  
  Si un changement est nécessaire dans la période de validité ou dans les stratégies du certificat de l'autorité de certification, spécifiez-le dans le fichier CAPolicy.inf (dans %systemroot% ) avant de commencer cette procédure.
3. Ouvrez la console Autorité de certification, puis dans le menu Tâches de l'objet de l'autorité de certification, cliquez sur Renouveler le certificat d'Autorité de certification. Vous êtes averti par les services de certificats que vous devez mettre fin à l'autorité de certification pour réaliser cette opération.
4. Sélectionnez l'option de nouvelle clé. Certificate Services va redémarrer.
5. Affichez le certificat à partir des propriétés de l'autorité de certification et vérifiez que la date Début de validité du certificat le plus récent est la date du jour.
6. Délivrez une liste de révocation de certificats et copiez-la ainsi que le nouveau certificat de l'autorité de certification sur disque à l'aide de la commande de script suivante :
```
Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf
Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf
```
7. Transmettez le disque à l'autorité de certification émettrice. (À strictement parler, le serveur doit uniquement être un membre du domaine dans lequel sont installés certutil.exe et les scripts fournis avec cette solution – il n'est pas nécessaire qu'il s'agisse de l'autorité de certification émettrice.)
8. Connectez-vous en tant que membre du groupe Enterprise PKI Admins, puis exécutez les scripts suivants :
```
Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf
```
  Remarque : même si ce n'est pas nécessaire, renouveler simultanément toutes les autorités de certification est une bonne pratique. (Reportez-vous à la section suivante « Renouvellement du certificat de l'autorité de certification émettrice ».)
9. Sauvegardez le certificat et la clé de l'autorité de certification racine. (Reportez-vous à Sauvegarde des clés et des certificats de l'autorité de certification.)
10. Sauvegardez la base de données des certificats de l'autorité racine et l'état du système. (Reportez-vous à la procédure « Sauvegarde de la base de données de l'autorité de certification racine ».)

Renouvellement du certificat de l'autorité émettrice

Vous devez renouveler régulièrement le certificat d'autorité de certification pour permettre aux autorités de certification et aux entités finales subordonnées de continuer à inscrire des certificats auprès de cette autorité. Les certificats émis par cette autorité et ses subordonnées ne peuvent pas avoir une date d'expiration ultérieure à celle de ce certificat d'autorité de certification. Le renouvellement de ce certificat peut également se justifier par les raisons suivantes :

changer la clé utilisée par l'autorité de certification (en cas de compromission réelle ou suspectée) ;
ajouter des stratégies de certificat à l'autorité de certification (subordination qualifiée) ;
changer les chemins d'accès CDP ou AIA ;
partitionner la liste de révocation de certificats.

Cluster de rôle :	Sécurité
Fréquence :	Tous les quatre ans
Sécurité requise :	Administrateurs locaux sur l'autorité de certification émettrice Gestionnaires de certificats sur l'autorité racine Enterprise PKI Admins
Dépendances :	Aucune
Technologie requise :	- Certutil.exe - Scripts MSS - Console Autorité de certification - Éditeur de texte

Important : pour pouvoir renouveler le certificat de l'autorité de certification et le publier dans le magasin NTAuth d'Active Directory (qui identifie l'autorité de certification comme une Autorité de certification d'entreprise), vous devez procéder à son installation à l'aide d'un compte qui est à la fois membre des groupes Enterprise PKI Admins et Administrateurs locaux. Le premier groupe possède les droits de publication du certificat dans l'annuaire et le second, les droits d'installation du certificat sur l'autorité de certification.

Détails de la tâche

Pour renouveler le certificat de l'autorité de certification émettrice
1. Connectez-vous à l'autorité de certification émettrice en tant que membre du groupe des administrateurs locaux.
2. Pour changer la taille de la clé, vous devez modifier le fichier CAPolicy.inf stocké dans le répertoire %systemroot%. Changez la valeur RenewalKeyLength pour obtenir la taille de bits voulue.
```
[Certsrv_Server]
RenewalKeyLength=4096
```
  Important : si un changement est nécessaire dans la période de validité ou dans les stratégies du certificat de l'autorité de certification, spécifiez-le dans le fichier CAPolicy.inf (dans %systemroot% ) avant de commencer cette procédure.
3. Ouvrez la console Autorité de certification, et dans le menu Tâches de l'objet de l'autorité de certification, cliquez sur Renouveler le certificat d'Autorité de certification.
4. Sélectionnez l'option de nouvelle clé.
5. Lorsque vous êtes invité à spécifier une autorité de certification à laquelle envoyer le renouvellement, cliquez sur Annuler pour enregistrer la demande sur le disque. Certificate Services redémarre ensuite.
6. Copiez le fichier de demande de certificat sur le disque. La demande de certificat est créée et enregistrée dans le chemin des dossiers partagés (C:\CAConfig ). Copiez le fichier HQ-CA-02.woodgrovebank.com_Woodgrove Bank Issuing CA 1.req sur le disque (remplacez le texte en italiques par les détails relatifs à l'autorité de certification).
7. Transmettez le disque à l'autorité de certification racine et connectez-vous en tant que membre du groupe local Gestionnaires de certificats.
8. Dans la console Autorité de certification, dans le menu Tâches de l'autorité de certification, cliquez sur Soumettre une nouvelle demande, puis soumettez la demande transférée à partir de l'autorité de certification émettrice (sur le disque Sub CA Request).
9. L'autorité de certification racine exige que toutes les demandes soient approuvées manuellement. Localisez la demande dans le conteneur Demandes en attente, vérifiez que le champ Nom commun contient le nom de l'autorité de certification émettrice, puis approuvez (émettez) la demande.
10. Localisez le certificat qui vient d'être émis dans le conteneur Certificats délivrés et ouvrez-le.
11. Vérifiez que les détails sur le certificat sont corrects, puis cliquez sur Copier dans un fichier pour exporter le certificat dans un fichier, en le sauvegardant comme un fichier PKCS#7 sur le disque (pour le transférer à nouveau sur l'autorité de certification émettrice).
12. Connectez-vous à nouveau à l'autorité de certification émettrice avec un compte qui est membre des deux groupes Enterprise PKI Admins et Administrateurs locaux, puis insérez le disque.
13. Dans la console Autorité de certification, dans le menu Tâches de l'autorité de certification, cliquez sur Installer le certificat. Installez le certificat de l'autorité émettrice à partir du disque. L'autorité de certification redémarre.
14. Affichez le certificat à partir des propriétés de l'autorité de certification et vérifiez que la date Début de validité du certificat le plus récent est la date du jour.
15. Publiez le nouveau certificat de l'autorité de certification à l'emplacement CDP de publication sur le Web. (Voir la procédure « Publication du certificat de l'autorité de certification émettrice sur le serveur Web ».)
16. Sauvegardez le certificat et la clé de l'autorité de certification émettrice. (Voir la procédure « Sauvegarde des clés et des certificats de l'autorité de certification ».)
17. Sauvegardez la base de données des certificats de l'autorité racine et l'état du système. (Reportez-vous à la procédure « Sauvegarde de la base de données de l'autorité de certification racine ».)
18. Sauvegardez la base de données du certificat de l'autorité de certification émettrice ainsi que l'état du système. (Voir la procédure « Configuration de la sauvegarde de la base de données de l'autorité de certification émettrice ».) C'est une opération qui se produit généralement lors de la sauvegarde quotidienne normale.

Renouvellement du certificat de l'autorité de certification racine avec la même clé

Changez la clé de l'autorité de certification racine à chaque renouvellement planifié du certificat de l'autorité de certification (voir la tâche « Renouvellement du certificat de l'autorité racine »). Il est possible que vous soyez amené à renouveler le certificat de l'autorité de certification sans renouveler la clé de l'autorité de certification si vous devez modifier les stratégies de l'autorité, prolonger la durée de vie du certificat, etc., tout en conservant la même paire de clés.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	Renouvellement du certificat de l'autorité racine
Technologie requise :	- Certutil.exe - Scripts MSS - Éditeur de texte

Détails de la tâche

Pour renouveler le certificat de l'autorité de certification racine sans changer la clé de l'autorité de certification
- Suivez la procédure de « Renouvellement du certificat de l'autorité racine », mais lorsque vous êtes invité à effectuer le renouvellement avec une nouvelle clé, cliquez sur Non. Toute modification apportée à la valeur RenewalKeyLength du fichier CAPolicy.inf restera sans effet.

La procédure est identique à « Renouvellement du certificat de l'autorité racine », sauf que vous ne choisissez pas de générer une nouvelle clé.

Renouvellement du certificat de l'autorité de certification émettrice avec la même clé

Changez la clé d'une autorité de certification à chaque renouvellement planifié du certificat de l'autorité de certification. (Voir la procédure « Renouvellement du certificat de l'autorité émettrice »). Il est possible que vous soyez amené à renouveler le certificat de l'autorité de certification sans renouveler la clé de l'autorité de certification si vous devez modifier les stratégies de l'autorité, prolonger la durée de vie du certificat, etc., tout en conservant la même paire de clés.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	Renouvellement du certificat de l'autorité émettrice
Technologie requise :	- Certutil.exe - Scripts MSS - Console Autorité de certification - Éditeur de texte

Détails de la tâche

Pour renouveler le certificat de l'autorité de certification émettrice sans changer la clé de l'autorité de certification
- Suivez la procédure de « Renouvellement du certificat de l'autorité racine », mais lorsque vous êtes invité à effectuer le renouvellement avec une nouvelle clé, cliquez sur Non. Toute modification apportée à la valeur RenewalKeyLength du fichier CAPolicy.inf restera sans effet.

La procédure est identique à « Renouvellement du certificat de l'autorité émettrice », sauf que vous ne choisissez pas de générer une nouvelle clé.

Publication d'un certificat d'autorité de certification et d'une liste de révocation de certificats hors connexion

Vous devez publier la liste de révocation de certificats d'une autorité de certification hors connexion sur un emplacement connecté pour que les utilisateurs de certificats puissent vérifier le statut de révocation de l'ensemble de la chaîne de l'autorité de certification.

Cluster de rôle :	Sécurité
Fréquence :	Tous les six mois ou selon les besoins
Sécurité requise :	- Administrateurs locaux sur l'autorité de certification - Enterprise PKI Publishers
Dépendances :	- Le groupe Enterprise PKI Publishers a besoin des droits de modification des fichiers dans le dossier publié par IIS. - Configuration correcte des droits sur le conteneur Public Key Services dans Active Directory (voir Build Guide ) - Configuration correcte du répertoire de publication IIS (voir Build Guide )
Technologie requise :	- Certutil.exe - Scripts MSS

Détails de la tâche

Pour publier la liste de révocation de certificats racine hors connexion dans Active Directory et dans l'URL Web
1. Connectez-vous à l'autorité de certification racine en tant que membre du groupe CA Admins.
2. Délivrez une liste de révocation de certificats et copiez-la ainsi que le nouveau certificat de l'autorité de certification sur disque à l'aide de la commande de script suivante :
  
  Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf
  
  Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf
3. Transmettez le disque à l'autorité de certification émettrice. (À strictement parler, il n'est pas nécessaire que le serveur soit l'autorité de certification émettrice – il doit uniquement être un membre du domaine dans lequel sont installés certutil.exe et Scripts MSS.)
4. Connectez-vous en tant que membre de Enterprise PKI Publishers et exécutez les scripts suivants :
```
Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf
```

Forcer l'émission d'une liste de révocation de certificats connectée

Les listes de révocation de certificats d'une autorité de certification d'entreprise connectée sont émises et publiées automatiquement. Il n'est donc généralement pas nécessaire de forcer leur émission. Une telle opération peut se révéler néanmoins nécessaire en cas de révocation critique (par exemple, révocation de tous les certificats émis par l'autorité de certification), lorsqu'une nouvelle liste de révocation de certificats doit être publiée dans les plus brefs délais.

Remarque : il n'est pas possible d'envoyer une liste de révocation de certificats à des clients – ils conservent leurs copies cachées existantes jusqu'à expiration des copies. Toutefois, dès qu'une nouvelle liste est publiée, tout client demandant une liste de révocation de certificats recevra cette nouvelle liste – sans compter les délais de propagation.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	Une structure d'unité organisationnelle pour les groupes de gestion a été créée.
Technologie requise :	Console Autorité de certification

Détails de la tâche

Pour émettre et publier la liste de révocation de certificats de l'autorité de certification dans Active Directory
1. Connectez-vous à l'autorité de certification en tant que membre du groupe CA Admins et chargez la console Autorité de certification.
2. Émettez une nouvelle liste de révocation de certificats à partir du menu Tâches du dossier Certificats révoqués en cliquant sur Publier.
3. Sélectionnez Nouvelle liste de révocation de certificats pour délivrer une liste de révocation de certificats de base ou delta uniquement pour une nouvelle CRL delta.

Publication du certificat de l'autorité de certification émettrice sur le serveur Web

Le ou les certificats de l'autorité de certification émettrice doivent être publiés à l'emplacement AIA HTTP (Hypertext Transfer Protocol).

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Enterprise PKI Publishers
Dépendances :	- Le groupe Enterprise PKI Publishers doit détenir les droits de modification des fichiers dans le dossier publié par IIS. - Configuration correcte du répertoire de publication IIS (voir Build Guide ) - Mise à jour du fichier PKIParams.vbs pour qu'il indique le chemin de destination correct pour les listes de révocation de certificats
Technologie requise :	- Scripts MSS - Certutil.exe

Détails de la tâche

Il est techniquement possible de configurer l'autorité de certification pour une publication directe dans le dossier du serveur Web. Toutefois, cette procédure n'est pas toujours pratique pour des raisons de sécurité et de connectivité réseau. La méthode présentée ici utilise une technique de simple copie de fichier, mais peut être développée pour convenir à la plupart des configurations.

Remarque : cette méthode n'est pas adaptée à la publication directe sur un serveur Web connecté à Internet puisqu'elle repose sur l'utilisation du partage de fichiers par bloc de message serveur (SMB). Pour effectuer une publication sur un serveur Internet, utilisez la technique suivante pour publier sur un emplacement intermédiaire, puis utilisez vos méthodes normales de publication sécurisée de contenu sur le serveur Web. Vous devez prendre en compte le temps de latence que cette approche implique.

Le certificat de l'autorité de certification étant très rarement mis à jour, vous pouvez publier manuellement sur AIA dès son renouvellement.

Pour publier le certificat de l'autorité de certification émettrice
1. Connectez-vous à l'autorité de certification émettrice en tant que membre du groupe Enterprise PKI Publishers ou en tant que compte détenant des droits en écriture sur le dossier du serveur Web publié.
2. Si le serveur Web se trouve sur un serveur distant, vérifiez que le dossier du serveur Web est partagé. Enregistrez le chemin UNC au dossier partagé.
3. Si le serveur Web se trouve sur le même serveur que l'autorité de certification, enregistrez le chemin local dans le dossier.
4. Mettez à jour le paramètre WWW_REMOTE_PUB_PATH dans
  C:\MSSScripts\PKIParams.vbs pour le faire correspondre au chemin de destination du dossier du serveur Web (la valeur par défaut est le chemin local C:\CAWWWPub).
5. Pour publier le certificat de l'autorité de certification dans le serveur Web, exécutez la commande suivante :
```
Cscript //job:PublishIssCertsToIIS
C:\MSSScripts\CA_Operations.wsf
```
  Remarque : cette commande est présentée sur 2 lignes pour l'impression ; entrez-la sur une seule ligne.

Publication des listes de révocation de certificats de l'autorité de certification émettrice sur le serveur Web

Vous devez publier les listes de révocation de certificats de l'autorité de certification émettrice à l'emplacement CDP (CRL Distribution Point) HTTP.

Cluster de rôle :	Sécurité
Fréquence :	Tâche de configuration
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	- Configuration correcte du répertoire de publication IIS (voir Build Guide ) - Mise à jour du fichier PKIParams.vbs pour qu'il indique le chemin de destination correct pour les listes de révocation de certificats
Technologie requise :	- Scripts MSS - Certutil.exe - Service Planificateur de tâches de Windows - SchTasks.exe

Détails de la tâche

Il est techniquement possible de configurer l'autorité de certification pour une publication directe dans le dossier du serveur Web. Toutefois, cette procédure n'est pas toujours pratique pour des raisons de sécurité et de connectivité réseau. La méthode présentée ici utilise une technique de simple copie de fichier, mais peut être développée pour convenir à la plupart des configurations.

L'autorité de certification émettrice délivre fréquemment (tous les jours ou toutes les heures pour les listes de révocation delta) des listes de révocation de certificats. Par conséquent, une méthode automatisée de réplication des listes de révocation sur le serveur Web est nécessaire.

Pour automatiser la publication des listes de révocation de certificats
1. Connectez-vous à l'autorité de certification émettrice avec un compte qui est membre du groupe Administrateurs locaux.
2. Vérifiez que le dossier du serveur Web est accessible (en tant que chemin local ou partagé à distance) à partir de ce serveur.
3. Si le serveur Web est distant, accordez au compte ordinateur de l'autorité de certification émettrice l'accès en écriture au dossier du système de fichiers (accès en modification ) et au partage (accès en changement ) correspondant au dossier publié du serveur Web. Si le serveur Web est membre de la forêt, vous pouvez utiliser le groupe Cert Publishers pour accorder l'accès ; vous êtes ainsi assuré que toute autorité de certification de l'entreprise possède les droits requis de publication de certificats et de listes de révocation de certificats dans ce dossier. Vous n'avez pas besoin de changer les droits d'accès du serveur Web.
4. Créez un travail planifié pour copier les listes de révocation de certificats à l'aide de la commande suivante :
```
schtasks /create /tn "Publish CRLs" /tr "cscript.exe
//job:PublishIssCRLsToIIS \"C:\MSSScripts\CA_Operations.wsf\""
/sc Hourly /ru "System"
```
  (Cette commande est présentée sur 3 lignes pour l'impression ; entrez-la sur une seule ligne.)

Remarque : cette opération crée un travail planifié qui publie toutes les heures les listes de révocation de certificats provenant de l'autorité de certification sur le serveur Web. Elle suffit pour gérer un calendrier de publication quotidienne, voire bi-quotidienne, de listes de révocation delta. Si vous voulez planifiez plus fréquemment des listes de révocation de certificats, multipliez le travail de copie à titre de compensation. Nous recommandons une planification du travail de copie qui correspondrait de 5 à 10 % à celle de la liste de révocation de certificats delta.

Gestion du stockage

La tâche de gestion du stockage concerne le stockage des données sur site et hors site dans un but de restauration des données et d'archivage historique. L'équipe chargée de la gestion du stockage doit garantir la sécurité physique des sauvegardes et des archives. Le but de ce type de gestion consiste à définir, suivre et maintenir les données et leurs ressources dans l'environnement informatique de production.

Configuration de la sauvegarde de la base de données de l'autorité de certification émettrice

Cette tâche permet de sauvegarder une copie des certificats et des clés privées de l'autorité de certification, de la base de données des certificats et des informations de configuration des services de certificats. Ces dernières englobent les informations relatives à la configuration du système d'exploitation et autres informations d'état dont dépend l'autorité de certification.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	Les installations ou processus suivants doivent être en place : - sauvegarde sur fichier/disque de Corporate Server - emplacements de stockage sécurisés - système de surveillance et d'escalade des alertes (comme MOM)
Technologie requise :	- Sauvegarde Windows - Système de sauvegarde d'entreprise - Service Planificateur de tâches de Windows - SchTasks.exe

Détails de la tâche

Cette tâche configure une tâche planifiée pour qu'elle exécute une sauvegarde de l'état du système d'un serveur d'autorité de certification pendant la nuit. On suppose que vous disposez d'un système de sauvegarde du serveur d'entreprise – dans cette procédure, la sauvegarde génère un fichier de sauvegarde que, à son tour, le système de sauvegarde d'entreprise peut sauvegarder. Il peut s'agir d'une sauvegarde en réseau ou sur un périphérique local. Il est en outre implicite que le système de sauvegarde du serveur d'entreprise s'exécute la nuit pour sauvegarder les disques du serveur de l'autorité de certification.

Remarque : si vous utilisez un HSM, il est possible que cette procédure sauvegarde le matériel de clé crypté (selon le fonctionnement du HSM), mais cette sauvegarde sera normalement inutilisable sur un ordinateur restauré sans HSM et clés d'accès HSM équivalentes. Suivez les instructions du fournisseur HSM en matière de sauvegarde et autres procédures de protection du matériel de clé et des clés d'accès.

Pour configurer une sauvegarde d'autorité de certification
1. Créez un répertoire dans lequel stocker les fichiers de sauvegarde temporaires – C:\CABackup – et protégez-le à l'aide de la commande suivante :
```
cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup
Operators":C
```
  (notez qu'il s'agit d'une commande sur une ligne présentée sur des lignées séparées pour une meilleure lisibilité)
2. Si vous choisissez un autre dossier pour enregistrer la sauvegarde, vous devez mettre à jour le paramètre associé dans pkiparams.vbs. Changez le chemin pour celui indiqué à la ligne suivante, selon vos besoins.
```
CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   'chemin utilisé par NTBackup
```
  Remarque : comme la même fonction de script est utilisée pour sauvegarder les autorités de certification connectées et hors connexion, vous devez effectuer des copies séparées des scripts si vous devez utiliser différents chemins pour différentes autorités.
3. Planifiez le travail de sauvegarde pour qu'il s'exécute pendant la nuit à l'aide de la commande suivante, qui définit une exécution du travail toutes les nuits à 2 heures du matin.
```
SCHTASKS /Create /RU system /SC Daily /TN "CA Backup" /TR "cscript.exe
//job:BackupCADatabase \"C:\MSSScripts\ca_operations.wsf\"" /ST 02:00
```
  Remarque : cette commande est présentée sur plusieurs lignes pour l'impression ; entrez-la sur une seule ligne.
  
  En outre, les barres obliques inversées qui encadrent le nom du script C:\MSSScripts\ca_operations.wsf ne sont nécessaires que si le nom du chemin contient des espaces. Vous pouvez les omettre si ce nom ne contient pas d'espaces.
4. Configurez le système de sauvegarde de votre serveur d'entreprise pour qu'il sauvegarde chaque nuit le contenu du dossier de sauvegarde temporaire (C:\CABackup) sur un support amovible. Si possible, définissez un script de condition préalable qui vérifie le fichier de verrouillage (fichier BackupRunning.lck enregistré dans le dossier de sauvegarde temporaire) créé par le fichier de script de sauvegarde pendant son exécution. L'existence de ce fichier indique que la sauvegarde précédente a échoué ou est toujours en cours. Une autre solution consiste à ce que le système de sauvegarde d'entreprise lance le script de sauvegarde de l'autorité de certification comme un travail préalable à l'exécution.
  
  Remarque :
  Le script de sauvegarde BackupCADatabase recherche le fichier de verrouillage et, s'il existe, consigne un événement d'erreur dans le journal des applications :
  
  Source : CA Operations
  
  ID d'événement : 30
  
  Type d'événement : Erreur
  
  The CA backup could not start because the lockfile C:\CABackup\BackupRunning.lck from a previous job is still present. This could mean that the previous backup is still running.
  
  Si le système de sauvegarde du serveur d'entreprise n'a pas la capacité d'exécuter des vérifications préalables à la condition ou d'exécuter lui-même des scripts, planifiez le début de la sauvegarde du serveur à une heure appropriée après le début de la sauvegarde de l'état du système. Pour estimer la durée à autoriser, exécutez une sauvegarde de l'état du système (avec l'option de vérification activée) sur le serveur en arrêtant le service Certificate Services. (L'arrêt de l'autorité de certification évite la troncature des journaux de cette autorité pour cette sauvegarde test.) Cette opération sauvegarde environ 500 méga-octets (Mo) de données de l'état du système. Chronométrez-la, puis calculez le temps approximatif d'une sauvegarde de la base de données de l'autorité de certification plus celle de l'état du système :
```
Ttotal = TSysStateOnly x (500 + Nusers) + 500
```
  Si la durée de sauvegarde de l'état du système seul est de 10 minutes, accordez 70 minutes pour une autorité de certification avec 3 000 utilisateurs (soit cinq certificats par utilisateur et ordinateur, par année, enregistrés pour 5 ans). Il s'agit d'une indication grossière ; ajoutez-y une certaine quantité pour la base de données des certificats – 1 giga-octet (Go) pour 50 000 certificats.
5. Enregistrez le support de sauvegarde comme il convient.

Attention : Ces données de sauvegarde sont très sensibles car elles contiennent le matériel de clé privée pour l'autorité de certification elle-même. Vous devez les transporter et les enregistrer avec autant d'attention et de sécurité que s'il s'agissait de l'autorité de certification. Stockez les données de sauvegarde sur un site physique différent de celui de l'autorité de certification. Vous pourrez ainsi récupérer l'autorité de certification si jamais tout l'équipement informatique du site venait à être détruit ou devenait inaccessible.

Configuration de la base de données de l'autorité de certification racine

Cette tâche permet de préparer en vue d'une sauvegarde les certificats et les clés privées de l'autorité de certification, la base de données des certificats et les informations de configuration des services de certificats. Ces dernières englobent les informations relatives à la configuration du système d'exploitation et autres informations d'état dont dépend l'autorité de certification.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	- Périphérique de sauvegarde local avec une capacité de plus de 500 Mo - Emplacements de stockage sécurisés
Technologie requise :	- Sauvegarde Windows - Support amovible (comme un CD-RW ou une bande)

Détails de la tâche

L'autorité racine ne délivre en général qu'une poignée de certificats si bien que la taille des données n'est jamais très importante. Les données changent assez rarement – une fois toutes les quelques années. La procédure serait également la même pour toute autre autorité de certification déconnectée (par exemple, un intermédiaire hors connexion si vous avez choisi d'utiliser des autorités de certification intermédiaires).

L'autorité racine est déconnectée et a donc besoin d'un périphérique de sauvegarde local (comme une unité de bande ou une autorité de certification accessible en écriture) sur lequel stocker le fichier de sauvegarde.

Attention : Si vous utilisez un HSM, il est possible que cette procédure sauvegarde le matériel de clé crypté (selon le fonctionnement du HSM), mais cette sauvegarde sera normalement inutilisable sur un ordinateur restauré sans HSM et clés d'accès HSM équivalentes. Suivez les instructions du fournisseur HSM en matière de sauvegarde et autres procédures de protection du matériel de clé et des clés d'accès.

Pour configurer une sauvegarde d'autorité de certification
1. Créez un répertoire dans lequel stocker les fichiers de sauvegarde – C:\CABackup – et protégez-le à l'aide de la commande suivante :
```
cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup
Operators":C
```
  Remarque : cette commande est présentée sur 2 lignes pour l'impression ; entrez-la sur une seule ligne.
2. Si vous choisissez un autre dossier pour enregistrer la sauvegarde, vous devez mettre à jour le paramètre associé dans pkiparams.vbs. Changez le chemin pour celui indiqué à la ligne suivante, selon vos besoins.
```
CONST SYSSTATE_BACKUP_PATH = "C:\CABackup"   'chemin utilisé par NTBackup
```

Sauvegarde de la base de données de l'autorité de certification racine

Cette tâche permet de créer des copies de sauvegarde des certificats et des clés privées de l'autorité de certification, de la base de données des certificats et des informations de configuration des services de certificats. Ces dernières englobent les informations relatives à la configuration du système d'exploitation et autres informations d'état dont dépend l'autorité de certification.

Cluster de rôle :	Opérations
Fréquence :	A chaque nouvelle émission ou révocation d'un nouveau certificat.
Sécurité requise :	Opérateurs de sauvegarde de CA
Dépendances :	- Périphérique de sauvegarde local avec une capacité de plus de 500 Mo - Emplacements de stockage sécurisés
Technologie requise :	- Sauvegarde Windows - Support amovible (comme un CD-RW ou une bande)

Détails de la tâche

L'autorité de certification racine est hors connexion et a donc besoin d'un périphérique de sauvegarde local (comme une unité de bande ou une autorité de certification accessible en écriture).

Pour sauvegarder l'autorité de certification racine
1. Exécutez la commande suivante pour sauvegarder les données de l'autorité de certification dans un fichier temporaire :
```
cscript //job:BackupCADatabase C:\MSSScripts\ca_operations.wsf
```
2. Cette opération génère un fichier de sauvegarde (CABackup.bkf) dans le chemin préalablement choisi (par défaut, C:\CABackup). Copiez ce fichier sur un support amovible et stockez ce dernier de façon appropriée.

Attention : Ces données de sauvegarde sont très sensibles car elles contiennent le matériel de clé privé pour l'autorité de certification elle-même. Vous devez les transporter et les enregistrer avec autant d'attention et de sécurité que s'il s'agissait de l'autorité de certification. Stockez les données de sauvegarde sur un site physique différent de celui de l'autorité de certification. Vous pourrez ainsi récupérer l'autorité de certification si jamais tout l'équipement informatique du site venait à être détruit ou devenait inaccessible.

Sauvegarde des clés et des certificats de l'autorité de certification

Les certificats et les clés de l'autorité de certification doivent être sauvegardés indépendamment de la base de données des certificats. Ils peuvent être requis pour signer une liste de révocation de certificats ou un certificat en cas d'échec du serveur de l'autorité de certification sans récupération possible à temps.

Cluster de rôle :	Opérations
Fréquence :	- Annuelle – A chaque renouvellement du certificat de l'autorité de certification (selon la première date)
Sécurité requise :	Opérateurs de sauvegarde de CA
Dépendances :	- Sauvegarde sur fichier/disque de Corporate Server - Emplacements de stockage sécurisés
Technologie requise :	- Certutil.exe - Scripts MSS

Détails de la tâche

Les clés et certificats de l'autorité de certification consomment seulement quelques kilo-octets (Ko) de stockage et peuvent donc être sauvegardés sur disque. Cette tâche s'applique à l'autorité racine ainsi qu'à toute autorité de certification intermédiaire et émettrice de l'organisation.

Attention : Si vous utilisez un HSM, cette procédure ne fonctionnera pas comme indiqué. Suivez les instructions du fournisseur HSM en matière de sauvegarde et autres procédures de protection du matériel de clé et clés d'accès.

Pour exporter les certificats et les clés sur disque
1. Exécutez la commande suivante :
```
cscript //job:BackupCAKeys c:\MMSScripts\ca_operations.wsf
```
  Effectuez au moins deux sauvegardes séparées sur deux disques différents (les disques ne sont pas toujours fiables à 100%). Étiquetez et datez ces disques de façon claire, en tenant compte du temps qui peut s'écouler jusqu'à ce que vous en ayez à nouveau besoin.
  
  Le script précédent utilise certutil.exe pour exporter les clés et certificats de l'autorité de certification dans un fichier PKCS#12 (P12) :
  
  A :\CAKeyBackup\CAComputerName\yymmdd_hhmm\CA Common Name.p12
2. A l'invite, entrez un mot de passe.
  
  Important : enregistrez et stockez ce mot de passe à un emplacement différent (mais aussi sécurisé) de celui de sauvegarde des clés. L'enregistrement de mot de passe doit indiquer clairement à quelle sauvegarde (étiquette de disque, date et nom de l'autorité de certification) il se rapporte. Plusieurs mois ou années peuvent s'écouler avant que ces clés ne soient requises et il improbable que quelqu'un se souvienne alors du mot de passe choisi à l'époque. Pensez à détruire tous les autres enregistrements de ce mot de passe. N'utilisez pas de mot de passe connu par le personnel administratif.
3. Stockez le disque de façon appropriée. Comme avec les sauvegardes de la base de données de l'autorité de certification, appliquez la sécurité maximale aux sauvegardes de clé. Stockez au moins deux sauvegardes des certificats et des clés à deux emplacements séparés et protégés (par exemple, dans un coffre-fort).

Test des sauvegardes de la base de données de l'autorité de certification

Vérifiez les sauvegardes de l'autorité de certification pour vous assurer que la technologie et le processus de sauvegarde fonctionnent correctement.

Cluster de rôle :	Opérations
Fréquence :	- Avant la mise en service opérationnelle de l'autorité de certification - Mensuelle - Tester à nouveau en cas de modification apportée à la technologie ou au processus de sauvegarde
Sécurité requise :	Administrateurs locaux ou Opérateurs de sauvegarde sur l'ordinateur test
Dépendances :	Sauvegarde sur fichier/disque de Corporate Server
Technologie requise :	- Sauvegarde Windows - Système de sauvegarde d'entreprise - Certutil.exe - Cipher.exe

Détails de la tâche

Vous devez restaurer la sauvegarde de l'état du système sur un système ayant une structure de disque identique. Par exemple, Windows doit être installé dans le même chemin de répertoire que le système sauvegardé, et la structure de l'unité de stockage des fichiers Windows (par exemple, les fichiers d'échange), la base de données et les journaux de l'autorité de certification doivent être identiques à ceux de l'autorité d'origine à partir de laquelle a été effectuée la sauvegarde.

Important : il est recommandé de garder hors connexion le serveur test restauré entre le moment où le fichier de sauvegarde de l'état du système a été récupéré du support de sauvegarde et avant le début de la restauration de l'état du système. Cette précaution a pour but d'éviter une exposition inutile des clés restaurées de l'autorité de certification, mais aussi d'éviter des conflits d'adresses IP et de noms dupliqués entre les serveurs test et original.

Attention : Si vous utilisez un HSM, cette procédure ne suffit pas à restaurer complètement l'autorité de certification. Suivant le fonctionnement du HSM, l'ordinateur restauré est inutilisable si vous ne disposez pas d'un HSM et de clés d'accès HSM identiques. Ceci peut suffire pour un test normal, mais exécutez régulièrement une restauration totale avec récupération du HSM pour garantir un fonctionnement correct des procédures et de la technologie de sauvegarde. Suivez les instructions du fournisseur HSM en matière de sauvegarde et autres procédures de protection du matériel de clé et des clés d'accès.

Pour restaurer l'autorité de certification
1. Restaurez le fichier de sauvegarde de l'état du système à partir du support de sauvegarde dans le dossier C:\CABackup.
2. Lancez l'utilitaire de sauvegarde Windows et sélectionnez le fichier de sauvegarde restauré dans C:\CABackup. Vous devez être membre d'un groupe possédant des droits de sauvegarde et de restauration sur la machine (comme Opérateurs de sauvegarde d'autorité de certification, Opérateurs de sauvegarde ou Administrateurs).
3. Cliquez sur Restaurer.
4. Redémarrez le système.
5. Vérifiez que l'exécution se passe comme prévu.
6. Nettoyez le serveur test (ou au moins les clés) à la fin du test.

Important : Si vous choisissez de supprimer uniquement les clés, lancez la commande cipher pour effacer les parties non attribuées du disque :

Cipher /W :%AllUsersProfile%

Vous devez être membre du groupe Administrateurs locaux pour exécuter cette opération. Le chemin %allusersprofile% est utilisé pour que l'opération cipher porte sur l'unité contenant le matériel de clé.

Test des sauvegardes des clés de l'autorité de certification

Vérifiez régulièrement les sauvegardes des clés de l'autorité de certification pour vous assurer de leur validité, au cas où vous en auriez besoin.

Cluster de rôle :	Opérations
Fréquence :	- Tâche d'installation (avant la mise en service opérationnelle de l'autorité de certification) - Tous les six mois
Sécurité requise :	Administrateurs locaux sur l'ordinateur test
Dépendances :	Sauvegarde préalable des clés de l'autorité de certification
Technologie requise :	- Certutil.exe - Cipher.exe

Détails de la tâche

Vous pouvez installer les clés et les certificats de l'autorité de certification sur n'importe quel système (mais étant donné leur nature hautement sensible, un système approuvé et hors connexion est préférable, notamment dans le cas des clés de l'autorité racine déconnectée). Pour garantir la suppression de toutes les traces du matériel de clé de l'ordinateur, créez un compte temporaire séparé, dédié à cet effet.

Attention : Si vous utilisez un HSM, cette procédure ne fonctionnera pas comme indiqué. Suivez les instructions du fournisseur HSM en matière de sauvegarde, restauration et autres procédures de protection du matériel de clé et des clés d'accès.

Pour restaurer les clés de l'autorité de certification
1. Vérifiez que l'ordinateur a été déconnecté du réseau et connectez-vous en tant que membre du groupe Administrateurs locaux, puis créez le compte utilisateur local TestCAKeys.
2. Connectez-vous à l'aide de ce compte.
3. Insérez un disque contenant la sauvegarde des clés de l'autorité de certification à tester.
4. A l'aide de l'Explorateur Windows, naviguez jusqu'aux fichiers de clés P12 et double-cliquez sur Assistant Importation.
5. A l'invite, saisissez le mot de passe et n'activez pas les cases à cocher pour donner une protection élevée aux clés ou pour les rendre exportables.
6. Cliquez sur Placer tous les certificats dans le magasin suivant, puis sur Parcourir et sélectionnez Personal store comme emplacement de restauration des clés de l'autorité de certification.
7. Ouvrez la console Modèles de certificat et naviguez jusqu'au magasin personnel. Localisez le certificat de l'autorité de certification pour l'autorité de certification restaurée, puis ouvrez-le pour vérifier que vous disposez d'une clé privée correspondante.
Pour tester les clés restaurées
1. Obtenez une liste de révocation de certificats ou un certificat émis par l'autorité de certification testée.
2. Selon que vous avez choisi une liste de révocation de certificats ou un certificat à l'étape précédente, exécutez l'une ou l'autre des commandes suivantes, en remplaçant fichier_CRL ou fichier_cert par le nom du fichier obtenu précédemment :
```
Certutil -sign fichier_CRL.crl NewCRL.crl
Certutil -sign fichier_cert.cer NewCertFile.cer
```
3. A l'invite, sélectionnez le certificat de l'autorité de certification (importé lors de la procédure précédente) comme certificat de signature.
4. Vérifiez que l'opération de signature a réussi et que le résultat ressemble à ce qui suit :
  
  C:\CAConfig>certutil -sign "Woodgrove Bank Issuing CA 1.crl"
  "Woodgrove Bank Issuing CA 1xxs.crl"
  
  ThisUpdate: 2/10/2003 10:52 PM
  
  NextUpdate: 2/25/2003 3:11 PM
  
  Entrées CRL : 0
  
  Signature en cours du sujet de certificat :
  
  CN=Woodgrove Bank Issuing CA 1
  
  DC=woodgrovebank,DC=com
  
  Longueur en sortie = 970
  
  CertUtil: -sign La commande s'est terminée correctement.

Vous devez maintenant effacer les clés du système test.

Pour effacer les clés du système
1. Connectez-vous en tant que membre du groupe Administrateurs locaux et supprimez le profil utilisateur du compte TestCAKeys (à l'aide de Propriétés avancées dans Poste de travail).
2. Supprimez le compte TestCAKeys.
3. A l'aide de la commande suivante, effacez de façon sécurisée les zones non attribuées du disque pour supprimer à titre permanent les traces des clés :
```
Cipher /W:%AllUsersProfile%
```

Remarque : spécifier %allusersprofile% comme chemin garantit que Cipher.exe porte sur l'unité contenant les profils utilisateur. Toute l'unité, et pas seulement le chemin indiqué, est donc nettoyée.

Archivage et suppression des données anciennes de la base de données des certificats de l'autorité de certification émettrice

La base de données de l'autorité de certification grossit de façon régulière avec chaque délivrance de certificat et ne réduit jamais en taille. Toutefois, les certificats ayant expiré ne sont plus requis de façon stricte au sein de la base et peuvent être effacés. Plus la base de données est volumineuse, plus les opérations de démarrage et d'arrêt de l'autorité de certification ou de recherche d'un certificat sont longues. Il est donc conseillé d'effacer régulièrement les données anciennes de la base.

N'effacez pas les listes de révocation de certificats de la base de données car elles peuvent être requises pour vérifier la validité des signatures créées antérieurement. Par exemple, vous en aurez besoin pour vérifier qu'un certificat n'était pas révoqué lorsqu'il avait été utilisé pour signer un document x nombre d'années auparavant.

Cluster de rôle :	Opérations
Fréquence :	Annuelle
Sécurité requise :	Opérateurs de sauvegarde d'autorité de certification Administrateurs locaux sur l'autorité de certification
Dépendances :	Aucune
Technologie requise :	- Certutil.exe - Support amovible (comme un CD-RW ou une bande) or - Système de sauvegarde de l'entreprise

Détails de la tâche

Cette procédure ne s'applique qu'à l'autorité de certification émettrice ; comme l'autorité émettrice délivre très peu de certificats, elle ne rencontre jamais de problèmes de stockage de base de données de certificats.

Connectez-vous à l'autorité de certification comme membre du groupe Opérateurs de sauvegarde d'autorité de certification.
Archivez la base de données de l'autorité de certification existante à l'aide de la commande suivante :
```
Certutil -backupDB BackupFolder keeplog
```
Attention : Ne suivez pas la procédure de la section « Configuration de la sauvegarde de la base de données de l'autorité de certification émettrice » puisqu'elle tronque les journaux et risque d'entraîner une perte d'informations, si vous deviez restaurer une sauvegarde normale.
Copiez le contenu de la base de données BackupFolder / sur un support amovible et stockez-le dans une archive sécurisée.
Déconnectez-vous, puis reconnectez-vous comme membre du groupe Administrateurs locaux.
Effacez les demandes de certificat antérieures à la date mm/jj/aaaa à l'aide de la commande suivante :
```
CertUtil -deleterow mm/jj/aaaa Request
```
Effacez les certificats ayant expiré avant le mm/jj/aaaa à l'aide de la commande suivante (la validité maximale des certificats délivrés par cette autorité de certification étant de deux ans, une période de trois ans est une valeur sûre, mais vous pouvez indiquer cinq ans ou plus) :
```
CertUtil -deleterow mm/jj/aaaa Cert
```

Archivage des données d'audit de sécurité provenant d'une autorité de certification

Archivez et enregistrez les journaux d'audit pour qu'ils répondent aux obligations légales ou réglementaires, ou encore à la stratégie interne en matière de sécurité.

Cluster de rôle :	Opérations
Fréquence :	- Mensuelle (autorité de certification émettrice) - Tous les six mois (autorité de certification racine)
Sécurité requise :	- CA Auditors - Administrateurs locaux sur l'autorité de certification
Dépendances :	Support amovible sur lequel copier le journal des événements
Technologie requise :	- Observateur d'événements - Support amovible (comme un CD-RW ou une bande)

Détails de la tâche

Pour archiver le journal des événements de sécurité
1. Connectez-vous au serveur en tant que membre des groupes CA Auditors et Administrateurs locaux (créez un compte qui soit membre des deux groupes).
2. Ouvrez Observateur d'événements en cliquant sur Démarrer, Tous les programmes, puis Outils d'administration.
3. Cliquez sur le dossier du journal de sécurité.
4. Cliquez à l'aide du bouton droit dessus, puis cliquez sur Save log as.
5. Enregistrez le journal dans un fichier temporaire.
6. Copiez-le sur un support amovible (CD-RW), puis supprimez le fichier temporaire.

Exportation d'un modèle de certificat à partir d'Active Directory

Vous pouvez enregistrer les définitions de modèle de certificat à partir de l'annuaire pour permettre leur restauration ultérieure sans devoir effectuer une restauration complète de l'annuaire.

Cluster de rôle :	Opérations
Fréquence :	Selon les besoins
Sécurité requise :	Utilisateurs de domaines
Dépendances :	Aucune
Technologie requise :	- ldifde.exe - console Modèles de certificat

Détails de la tâche

Cette procédure décrit une méthode simple d'exportation d'un objet Active Directory de modèle de certificat dans un fichier. Cet objet peut ensuite être réimporté dans l'annuaire si besoin est. Cette méthode sauvegarde uniquement les informations LDAP (Lightweight Directory Access Protocol) de l'objet modèle. Les autres informations, notamment celles de sécurité (propriété, autorisations, etc.) ne sont pas conservées à l'aide de ce processus.

Remarque : la meilleure façon pour sauvegarder et restaurer des objets Active Directory est d'utiliser une méthode de sauvegarde d'annuaire dédiée, comme une sauvegarde de l'état du système Windows. Toutefois, pour restaurer une version antérieure d'un objet modifié, il faut une restauration d'Active Directory faisant autorité, ce qui est une opération complexe. Cette procédure décrit une façon simple de sauvegarder et restaurer un instantané d'un objet modèle de certificat.

Pour exporter un objet modèle de certificat
1. Déterminez le nom du modèle à sauvegarder. Il n'est pas nécessairement identique à celui de l'affichage du modèle. Consultez les propriétés du modèle dans l'onglet Général du modèle (à l'aide de la console Modèles de certificat) pour voir les informations Nom du modèle et Nom complet du modèle.
2. Connectez-vous à un serveur membre du domaine ou à un contrôleur de domaine à l'aide du compte utilisateur de domaine.
3. Exécutez la commande suivante pour enregistrer les détails relatifs au modèle dans le fichier nom_modèle.ldif, en remplaçant nom_modèle par le nom du modèle du certificat et DC=woodgrovebank,DC=com par le nom de domaine (DN) de votre forêt :
```
ldifde -f nom_modèle.ldif -d "cn=nom_modèle, cn=Certificate
Templates,cn=Public Key
Services,cn=Services,cn=Configuration,DC=woodgrovebank,DC=com"
```
  (Cette commande est présentée sur plusieurs lignes pour l'impression ; entrez-la sur une seule ligne.)
4. Le fichier nom_modèle.ldif est enregistré dans le répertoire en cours. Stockez-le à l'abri.

Importation d'un modèle de certificat dans Active Directory

Dans les instances où vous devez restaurer un modèle depuis une sauvegarde, par exemple, pour annuler une modification non voulue au niveau d'un modèle, vous pouvez réimporter une définition de modèle de certificat précédemment sauvegardée dans Active Directory.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Enterprise PKI Admins
Dépendances :	Il peut être nécessaire que vous restauriez un modèle depuis une sauvegarde pour annuler une modification non voulue sur un modèle.
Technologie requise :	ldifde.exe

Détails de la tâche

Cette procédure explique comment restaurer une définition de modèle de certificat à partir d'un fichier. Ce dernier doit avoir été préalablement créé à l'aide de la procédure « Exportation d'un modèle de certificat à partir d'Active Directory ». Cette méthode restaure uniquement les informations LDAP de l'objet modèle. Les autres informations, notamment celles relatives à la sécurité (appartenance, autorisations, etc.) ne sont pas conservées au cours du processus.

Remarque : la seule et unique façon pour sauvegarder et restaurer des objets Active Directory est d'utiliser une méthode de sauvegarde d'annuaire dédiée, comme une sauvegarde de l'état du système Windows. Toutefois, pour restaurer une version antérieure d'un objet modifié, il faut une restauration Active Directory faisant autorité, opération complexe. Cette procédure décrit une façon simple de sauvegarder et restaurer un instantané d'un objet modèle de certificat.

Ne considérez pas cette procédure comme une méthode de remplacement pour une sauvegarde et restauration d'Active Directory et n'y ayez recours que dans les circonstances spécifiques décrites.

Pour importer un objet modèle de certificat
1. Récupérez le fichier de définition du modèle exporté, créé par la procédure « Exportation d'un modèle de certificat à partir d'Active Directory ».
2. Connectez-vous au serveur membre du domaine ou au contrôleur de domaine en tant que membre du groupe Enterprise PKI Admins.
3. Si vous remplacez un modèle existant, effectuez une sauvegarde du modèle non voulu (à l'aide de la procédure précédente). Notez les droits d'accès du modèle, puis supprimez-le.
4. Ouvrez le fichier à l'aide du Bloc-notes ou d'un éditeur de texte similaire, puis recherchez la ligne commençant par « objectGUID: » : elle doit ressembler à ce qui suit (même si les caractères suivant le signe deux-points sont différents) :
  
  objectGUID:: b/pVt//+I0i9hp8aJ7IWRg==
5. Supprimez cette ligne, en prenant bien garde à ne pas modifier par ailleurs le fichier, puis sauvegardez ce dernier.
6. Exécutez la commande suivante pour importer le modèle dans Active Directory à partir du fichier nom_modèle.ldif, en remplaçant nom_modèle par le nom du modèle de certificat :
```
ldifde -f nom_modèle.ldif -i
```
7. Vérifiez le succès de la procédure en ouvrant le composant logiciel enfichable Modèles de certificats et en affichant le modèle restauré.
8. Appliquez au modèle restauré les droits d'accès que vous avez enregistrés à l'étape 3 ou qui sont adaptés à ce modèle.

Surveillance et contrôle des services

La surveillance des services permet au personnel des opérations de contrôler en temps réel l'intégrité d'un service informatique.

La mention de MOM dans cette section implique que vous disposiez d'un déploiement MOM qui réponde aux instructions du MOM Operations Guide.

MOM n'est pas requis, mais est utilisé à titre d'exemple uniquement. Reportez-vous à la section « Informations complémentaires » à la fin de ce module pour en savoir plus sur le MOM Operations Guide.

Classification des alertes de surveillance

Votre système de surveillance ne doit signaler que les alertes les plus importantes au personnel des opérations. Si toutes les erreurs mineures sont grossies pour générer des alertes d'incident, le personnel des opérations sera vite perdu quant à ce qui est urgent ou non.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	Aucune
Dépendances :	- Processus de planification de la capacité en place dans l'organisation - Outils d'analyse pour prendre en charge le processus
Technologie requise :	Console d'alertes opérationnelles (comme MOM)

Détails de la tâche

Les catégories d'alerte suivantes sont utilisées dans ce document. Seules les trois premières doivent générer des alertes sur la console de l'opérateur. Il y sera fait référence dans les descriptions de tâche qui suivent.

Tableau 9 : Catégories d'alerte

Catégorie d'alerte	Description
Service non disponible	Lorsque l'application ou le composant est indisponible à 100%.
Violation de la sécurité	Lorsque l'application est piratée ou a fait l'objet d'une compromission.
Erreur critique	Lorsque l'application a rencontré une erreur critique nécessitant une intervention administrative rapide (mais pas nécessairement immédiate). L'application ou le composant fonctionne à un niveau de performances moindre, mais est toujours capable d'exécuter les opérations les plus stratégiques.
Erreur	Lorsque l'application rencontre un problème transitoire ne nécessitant aucune intervention ou résolution administrative, ou du moins pas dans l'immédiat. L'application ou le composant fonctionne à un niveau de performances acceptable et est toujours capable d'effectuer toutes les opérations stratégiques.
Avertissement	Lorsque l'application génère un message d'avertissement ne nécessitant aucune intervention ou résolution administrative, ou du moins pas dans l'immédiat. L'application ou le composant fonctionne à un niveau de performances acceptable et est toujours capable d'effectuer toutes les opérations stratégiques. Si le problème persiste, cette situation peut toutefois évoluer jusqu'à Erreur, Erreur critique ou Service non disponible.
Information	Lorsque l'application génère un événement d'informations. L'application ou le composant fonctionne à un niveau de performances acceptable et exécute toutes les opérations stratégiques et non stratégiques.
Réussite	Lorsque l'application génère un événement de réussite. L'application ou le composant fonctionne à un niveau de performances acceptable et exécute toutes les opérations stratégiques et non stratégiques.

Surveillance des contraintes de capacité des services de certification

La détection des contraintes de capacité potentielles est essentielle pour maintenir le service à un niveau optimal. Lorsque les sous-systèmes approchent des limites de leurs capacités de fonctionnement, les performances se dégradent rapidement (généralement, de façon non linéaire). Il est donc important de surveiller les tendances de capacité, et d'identifier et de gérer au plus tôt les tendances s'orientant vers des contraintes futures.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	Autorisation requise dictée par la solution de surveillance.
Dépendances :	La sortie est générée dans la fonction SMF de gestion de la capacité.
Technologie requise :	- Moniteur de performances - Système compteur de performances (comme MOM) - Console d'alertes opérationnelles (comme MOM) - Outils de planification de la capacité

Détails de la tâche

Les compteurs de performances suivants sont les plus pratiques pour identifier les contraintes de capacité dans les services de certificats. En tant que ressources les plus lourdement sollicitées par les services de certificats, le processeur et le disque sont plus susceptibles que le réseau ou la mémoire d'indiquer les contraintes à un stade plus précoce.

Tableau 10 : Compteurs principaux de surveillance de capacité pour les services de certificats

Objet de performance	Compteur de performances	Instance
Processeur	% temps du processeur	_Total
Disque physique	% temps du disque	_Total
Disque physique	Longueur moyenne de file d'attente de lecture de disque	_Total
Disque physique	Longueur moyenne de file d'attente d'écriture de disque	D: (CA - DB) C: (CA - Log)
Interface réseau	Total octets/sec.	NW adapter
Mémoire	% octets validés utilisés	- - -

Pour des informations plus générales sur les contraintes de capacité et les compteurs de performances associés, reportez-vous à la Base de connaissances de Microsoft Q146005, « Optimizing Windows NT for Performance » sur le site : https://support.microsoft.com/default.aspx?scid=324744.

Il est également fondamental de surveiller les indicateurs de capacité sur toute infrastructure de support. Les éléments principaux sont les suivants :

Communications des services de certificats avec Active Directory. (Les autorités de certification de l'entreprise utilisent Active Directory pour les services d'authentification et d'autorisation, pour lire et stocker les informations de configuration de PKI et d'autorité de certification et, en fonction du type de certificat, pour publier les certificats délivrés dans l'annuaire.)
Communications de client relatives au certificat avec Active Directory. (Les clients lisent les informations d'autorité de certification et de PKI provenant d'Active Directory – ceci peut impliquer le téléchargement de listes de révocation de certificats de plusieurs méga-octets, par client, par semaine.)
Communications de client relatives au certificat avec des serveurs Web. (Les clients peuvent récupérer des listes de révocation de certificats et des certificats d'autorité de certification à partir du serveur Web, même si la charge ainsi générée est peu susceptible d'entraîner des contraintes de capacité, sauf si le serveur est déjà lourdement chargé.)

Surveillance de l'intégrité et de la disponibilité des services de certification

Les autorités de certification ne fournissent généralement pas de services en ligne ou en temps réel (par comparaison avec des services tels que Active Directory ou Microsoft SQL Server™, par exemple, qui doivent être continuellement en ligne pour assurer un service utile.) Toutefois, plusieurs aspects du fonctionnement d'une autorité de certification sont critiques et exigent une réponse en ligne :

Disponibilité des informations de révocation – Une liste de révocation de certificats doit être disponible pour tout utilisateur de certificat voulant vérifier l'état de révocation d'un certificat.
Validité du certificat de l'autorité de certification – Une autorité de certification doit disposer d'un certificat en cours de validité. Un certificat d'autorité de certification non valide empêche la validation de tout certificat délivré par l'autorité de certification ou par ses enfants. Il empêche également l'émission de nouveaux certificats.
Disponibilité du service d'inscription de certificats – Personne ne peut inscrire ou renouveler un certificat en cas d'indisponibilité du service de l'autorité de certification.

La non disponibilité de l'un des deux éléments a généralement un plus grand impact que celle du dernier.

Cluster de rôle :	Opérations
Fréquence :	Tâche de configuration
Sécurité requise :	Administrateur MOM (ou système de surveillance)
Dépendances :	Journal de gestion des modifications et des versions
Technologie requise :	- Scripts MSS - Console d'alertes opérationnelles (comme MOM ou une infrastructure de messagerie électronique) - Agents MOM ou service Planificateur de tâches de Windows pour exécution

Détails de la tâche

Les événements décrits dans le tableau suivant sont les plus importants des services de certificats. Surveillez-les et assurez-vous que les alertes adaptées sont émises s'ils se produisent.

Tableau 11 : Caractère critique des principaux événements des services de certificats

Statut des services de certificats	Importance	Caractère critique
Expiration de la liste de révocation de certificats	Une liste de révocation de certificats valide n'est pas accessible – ce qui cause une perte de service.	Service non disponible
Liste de révocation de certificats en retard	La liste de révocation de certificats est toujours valide, mais la publication d'une nouvelle liste est en retard.	Critique
Liste de révocation de certificats non disponible Événements secondaires : - Récupération impossible de la liste de révocation de certificats dans Active Directory - Récupération impossible de la liste de révocation de certificats dans le serveur Web	Une liste de révocation de certificats n'est pas disponible au point de distribution des listes publiées.	Critique
Échec du serveur d'autorité de certification	Le serveur n'est pas visible sur le réseau	Service non disponible
Intégrité du système d'exploitation de l'autorité de certification à l'état critique	Problème majeur sous-jacent au niveau du matériel du serveur ou de Windows	Critique
Intégrité du système d'exploitation de l'autorité de certification à l'état erreur/avertissement	Problèmes sous-jacents au niveau du matériel du serveur ou de Windows, qui ne sont pas critiques	Erreur ou Avertissement (tel que défini par les règles MOM)
Services de certificats non connectés Événements secondaires : Interface cliente hors connexion Interface d'administration hors connexion	L'interface d'appel de procédure à distance (RPC) des services de certificats est hors connexion – émission impossible des certificats.	Critique
Expiration du certificat de l'autorité de certification Événements secondaires : Ce certificat d'autorité de certification a expiré Ce certificat d'autorité de certification parent a expiré	Le certificat de l'autorité de certification a expiré – une perte de service en découle.	Service non disponible
Il reste moins d'un mois de validité au certificat de l'autorité de certification	Le certificat de l'autorité de certification va bientôt expirer, conduisant à une perte de service, si aucune correction n'est apportée. Seuls les certificats à très courte durée de vie sont actuellement en cours d'émission.	Erreur
Validité du certificat de l'autorité de certification de moins d'une demi-durée de vie	Un certificat d'autorité de certification doit être renouvelé lorsqu'il a atteint la moitié de sa période de validité. Il peut s'ensuivre que des certificats d'une durée de vie inférieure à celle qui est attendue sont émis.	Avertissement
Échec de la sauvegarde de l'autorité de certification	Échec de la sauvegarde de l'état du système de l'autorité de certification – possible perte d'informations.	Critique ou Erreur

Vous pouvez utiliser les scripts fournis, indiqués dans le tableau 13 pour vérifier la présence de ces événements. La logique intégrée à ces scripts permet de consigner les événements dans le journal des applications Windows lorsqu'une erreur est détectée. Ces événements peuvent être choisis par des agents MOM ou par une autre solution de surveillance. Les scripts déclenchent également l'envoi de messages électroniques en réponse aux conditions d'alerte. Lorsque MOM (ou un autre système de surveillance basé sur un agent) est utilisé, les scripts ci-dessous doivent être exécutés par l'agent client MOM. Lorsque aucun agent de gestion n'est capable d'exécuter cette opération, utilisez le Planificateur de tâches Windows pour exécuter ces vérifications au moins une fois par heure. Les scripts sont conçus pour être exécutés sur l'autorité de certification émettrice connectée, bien qu'ils exécutent également des vérifications au niveau des certificats et des listes de révocation de certificats à partir d'autorités parentes hors connexion jusqu'à l'autorité racine. Le cas échéant, les ID d'événement générés par les scripts de surveillance sont présentés dans le tableau 13.

Tableau 12 : Scripts de surveillance des services de certificats

Événement	Script ou méthode de détection	Source et ID d'événement
Expiration de la liste de révocation de certificats	Script : Ca_monitor.wsf Travail : CheckCRLs	CA Operations 20
Liste de révocation de certificats en retard	Script : Ca_monitor.wsf Travail : CheckCRLs	CA Operations 21
Liste de révocation de certificats non disponible Événements secondaires : - Récupération impossible de la liste de révocation de certificats dans Active Directory - Récupération impossible de la liste de révocation de certificats dans le serveur Web	Script : Ca_monitor.wsf Travail : CheckCRLs	CA Operations 22 23
Échec du serveur d'autorité de certification	Détection d'échec du serveur MOM natif
Intégrité du système d'exploitation de l'autorité de certification à l'état critique	Surveillance de l'intégrité du serveur MOM natif
Intégrité du système d'exploitation de l'autorité de certification à l'état erreur/avertissement	Surveillance de l'intégrité du serveur MOM natif
Service Certificate Services actif Événements secondaires : Interface cliente hors connexion Interface d'administration hors connexion	Script : Ca_monitor.wsf Travail : IsCAAlives	CA Operations 1 2
Expiration du certificat de l'autorité de certification Événements secondaires : Ce certificat d'autorité de certification a expiré Ce certificat d'autorité de certification parent a expiré	Script : Ca_monitor.wsf Travail : CheckCACerts	CA Operations 10
Il reste moins d'un mois de validité au certificat de l'autorité de certification	Script : Ca_monitor.wsf Travail : CheckCACerts	CA Operations 11
Validité du certificat de l'autorité de certification de moins d'une demi-durée de vie	Script : Ca_monitor.wsf Travail : CheckCACerts	CA Operations 12
Verrouillage de sauvegarde de l'autorité de certification (le script de sauvegarde n'a pas réussi à s'exécuter en raison de la présence d'une commande lockfile provenant de la sauvegarde précédente)	Script : Ca_operations.wsf Travail : BackupCADatabase	CA Operations 30
Échec de la sauvegarde de l'autorité de certification	Le code d'échec de NTBackup.exe est indiqué ici, mais comptez sur les capacités de MOM ou de tout autre système de surveillance pour prévenir de problèmes de sauvegarde. (Notez que vous devez vérifier à la fois la sauvegarde de l'état du système et la sauvegarde de l'entreprise.)	Ntbackup 8019
Autre événement	Échec d'exécution de Ca_monitor.wsf	CA Operations 100

Avant de déployer les scripts, mettez à jour le fichier constants.vbs en indiquant les paramètres d'alerte corrects. Les sections appropriées du fichier sont présentées ci-dessous :

'Alerting parameters
CONST ALERT_EMAIL_ENABLED   = FALSE 'set to true/false to enable/disable email 
CONST ALERT_EVTLOG_ENABLED  = TRUE  'set to true/false to enable/disable event
'log entries
' set to comma-separated list of recipients to get email alerts
CONST ALERT_EMAIL_RECIPIENTS    = "Admin@woodgrovebank.com,Ops@woodgrovebank.com"
'SMTP host to use
CONST ALERT_EMAIL_SMTP      = "mail.woodgrovebank.com"

'String used as the Source in event log events
CONST EVENT_SOURCE      = "MSS Tools"
CONST CA_EVENT_SOURCE       = "CA Operations"

'CA Event IDs
CONST CA_EVENT_CS_RPC_OFFLINE           =   1
CONST CA_EVENT_CS_RPC_ADMIN_OFFLINE     =   2
CONST CA_EVENT_CA_CERT_EXPIRED      =   10
CONST CA_EVENT_CA_CERT_NEARLY_EXPIRED       =   11
CONST CA_EVENT_CA_CERT_RENEWAL_DUE      =   12
CONST CA_EVENT_CRL_EXPIRED          =   20
CONST CA_EVENT_CRL_OVERDUE          =   21
CONST CA_EVENT_CRL_NOT_AVAILABLE_LDAP       =   22
CONST CA_EVENT_CRL_NOT_AVAILABLE_HTTP       =   23
CONST CA_EVENT_BACKUP_LOCKED            =   30
CONST CA_EVENT_CA_OTHER         =   100

Vous devez indiquer si vous voulez que les erreurs génèrent une alerte par messagerie électronique et/ou dans le journal des événements. Si vous avez spécifié des alertes par messagerie électronique, vous devez fournir une liste de destinataires (séparés par une virgule) valide, ainsi que le nom d'hôte du serveur SMTP ou l'adresse IP. Ces deux chaînes doivent se trouver entre guillemets simples.

Si vous avez spécifié une alerte dans le journal des événements, vous pouvez modifier les paramètres CA_EVENT_SOURCE (pour tous les événements associés à l'autorité de certification) ou EVENT_SOURCE (pour les événements non associés à l'autorité de certification).

Vous trouverez la description de la syntaxe et de l'utilisation des scripts de surveillance dans la section suivante :

Pour vérifier l'expiration d'un certificat de l'autorité de certification

Cette opération vérifie les certificats de l'autorité de certification émettrice (emplacement d'exécution du script) ainsi que ceux de l'autorité parente, jusqu'à l'autorité racine.
```
Cscript //job:CheckCACerts C:\MSSScripts\ca_monitor.wsf
```
Des alertes sont émises pour les conditions suivantes :
- Le certificat de l'autorité de certification a expiré (ID d'événement 12.)
- Le certificat de l'autorité de certification doit expirer dans moins d'un mois (ID d'événement 11.)
- Le certificat de l'autorité de certification a dépassé la mi-temps de sa période de validité (ID d'événement 12.)
Pour vérifier l'expiration de la liste de révocation de certificats

Cette opération vérifie la liste de révocation de certificats de l'autorité de certification émettrice ainsi que les listes de révocation de certificats de toutes les autorités parentes jusqu'à l'autorité racine.
```
Cscript //job:CheckCRLs C:\MSSScripts\ca_monitor.wsf
```
Des alertes sont émises pour les conditions suivantes :
- La liste de révocation de certificats a expiré (ID d'événement 20.)
- La liste de révocation de certificats a dépassé sa date « Publication de la liste de révocation de certificats suivante CRL » et doit expirer (ID d'événement 21.)
- Il n'est pas possible de récupérer la liste de révocation de certificats à l'emplacement du CDP LDAP (ID d'événement 22.)
- Il n'est pas possible de récupérer la liste de révocation de certificats à l'emplacement du CDP HTTP (ID d'événement 23.)
  
  (Les emplacements CDP FTP et FILE ne sont actuellement pas vérifiés dans le script.)
Pour vérifier l'activité du service de l'autorité de certification

Cette opération vérifie uniquement l'autorité de certification sur laquelle s'exécute le script.
```
Cscript //job:IsCAAlive C:\MSSScripts\ca_monitor.wsf
```
Des alertes sont émises pour les conditions suivantes :
- L'interface cliente RPC de l'autorité de certification ne répond pas (ID d'événement 1.)
- L'interface d'administration RPC de l'autorité de certification ne répond pas (ID d'événement 2.)

Surveillance de la sécurité de l'autorité de certification

Les services de certificats produisent diverses entrées du journal d'audit en réponse à différents événements de sécurité. La plupart de ces entrées résultent de tâches opérationnelles quotidiennes. Toutefois, certains événements signalent de grands changements de configuration et vous devrez sans doute pousser vos investigations à ce niveau.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	- CA Auditors (pour étudier le journal de sécurité) - Compte de surveillance de la sécurité désigné pour la surveillance par l'intermédiaire de MOM (ou processus semblable).
Dépendances :	- Journal de gestion des modifications et des versions - Audit des paramètres effectués correctement pendant la compilation.
Technologie requise :	- Console d'alertes opérationnelles (comme MOM) - Observateur d'événements - Eventquery.vbs (outil de ligne de commande Windows)

Détails de la tâche

Le tableau suivant répertorie les événements d'audit générés par les services de certificats, avec une classification recommandée des alertes. Configurez votre système de surveillance de façon à rechercher ces événements et à émettre le niveau d'alerte approprié. En revanche, si vous ne disposez pas de système de surveillance d'événements centralisé, passez régulièrement en revue les journaux de sécurité du serveur de l'autorité de certification (idéalement, tous les jours) pour vérifier ces éléments.

La catégorie d'alerte par défaut des événements Réussite est Information. Tout événement Réussite résultant de modifications possibles de la configuration de sécurité de l'autorité de certification est traité comme un Avertissement. Tous les événements de niveau Avertissement indiquent des événements importants qui ne devraient normalement pas se produire au cours d'opérations quotidiennes. Ils doivent tous être liés à une demande de modification approuvée. En l'absence d'une telle corrélation, traitez l'événement comme une violation de sécurité possible et étudiez-le immédiatement.

Des événements d'échec ne sont généralement pas attendus au cours des opérations quotidiennes ou lors de modifications standard de l'autorité de certification. Ils sont presque tous importants et nécessitent une investigation (encore qu'il s'agisse souvent du signe d'une attribution d'autorisation incorrecte et non d'une attaque malveillante).

Remarque : il existe simplement quelques exceptions, comme l'événement 792, qui indique que les services de certificats ont refusé une demande de certificat. Des événements Réussite et Échec sont générés simultanément pour une demande qui a été refusée légitimement par un gestionnaire de certificats, et un événement Échec seul est généré lorsque la demande est refusée à un individu qui n'est pas doté d'une autorisation suffisante.

Un autre ensemble d'exceptions à la liste suivante se rapporte aux différentes façons d'apporter des modifications de configuration à l'autorité de certification. Les événements 789 (changement de filtre d'audit) ainsi que 795 et 796 (changement de propriété ou de configuration de l'autorité de certification) n'enregistrent pas d'échec d'audit lorsqu'un individu essaie d'éditer le Registre de l'autorité de certification directement ou utilise la commande certutil -setreg pour modifier les valeurs de configuration de l'autorité de certification. Ces événements sont enregistrés comme de simples échecs d'audit d'accès à un objet (Événement 560 - voir dernière entrée du tableau ci-après). L'audit est activé pour les sous-clés de configuration du Registre de l'autorité de configuration et enregistre les modifications réussies et tous les échecs d'accès. Spécifiez le paramètre Nom d'objet avec ID d'événement et Type d'événement comme filtre pour générer les alertes correctes.

Bien sûr, surveillez et générez des alertes pour les événements de sécurité du système d'exploitation standard. Le Registre, la base de données et les répertoires du journal de l'autorité de certification sont configurés pour générer des alertes pour tous les échecs d'accès et les modifications réussies. Envisagez également d'auditer le conteneur Public Key Services (dans Configuration\Services) et les groupes d'administration. Ces derniers n'ont pas été intégrés à cette solution en raison de la difficulté à surveiller des événements d'audit répartis sur plusieurs contrôleurs de domaine. Si vous disposez d'un moyen (comme MOM) pour regrouper et filtrer ces journaux, activez l'audit sur tous les objets et conteneurs de configuration et d'administration de la PKI d'annuaire.

Remarque : la surveillance de la sécurité du système d'exploitation de l'autorité de certification dépasse le cadre de ce document et peut inclure la gestion d'événements de sécurité à partir d'agents de détection d'intrusion spécialisés. Si l'une de ces sources indique une violation de la sécurité, lancez une investigation approfondie sur les événements d'audit de l'autorité de certification en conjonction avec la sortie provenant de ces sources.

Tableau 13 : Événements d'audit des services de certificats

ID d'événement	Description d'événement	Catégorie d'alerte Réussite	Catégorie d'alerte Échec
772	Le gestionnaire de certificats a refusé une demande de certificat en attente.	Avertissement	Erreur
773	Les services de certificats ont reçu une demande de certificat soumise une deuxième fois.	Avertissement	Erreur
774	Les services de certificats ont révoqué un certificat.	Information	Erreur
775	Les services de certificats ont reçu une demande de publication de la liste de révocation de certificats.	Information	Avertissement
776	Les services de certificats ont publié la liste de révocation de certificats.	Information	Erreur
777	L'extension d'une demande de certificat a changé.	Information	Erreur
778	Un ou plusieurs attributs de demande de certificat ont changé.	Information	Erreur
779	Les services de certificats ont reçu une demande d'arrêt.	Avertissement	Erreur
780	La sauvegarde des services de certificats a démarré.	Information	-
781	La sauvegarde des services de certificats s'est terminée.	Information	-
782	La restauration des services de certificats a démarré.	Avertissement	-
783	La restauration des services de certificats s'est terminée.	Avertissement	-
784	Les services de certificats ont démarré.	Information	-
785	Les services de certificats ont pris fin.	Avertissement	-
786	Les autorisations de sécurité des services de certificats ont changé.	Avertissement	Erreur
787	Les services de certificats ont récupéré une clé archivée.	Information	Erreur
788	Les services de certificats ont importé un certificat dans la base de données.	Information	Avertissement
789	Le filtre d'audit des services de certificats a changé.	Avertissement	Erreur
790	Les services de certificats ont reçu une demande de certificat.	Information	Erreur
791	Les services de certificats ont approuvé une demande de certificat et émis un certificat.	Information	Erreur
792	Les services de certificats ont refusé une demande de certificat.	Avertissement
793	Les services de certificats ont défini le statut « en attente » sur une demande de certificat.	Information
794	Les paramètres du gestionnaire de certificats pour les services de certificats ont changé.	Avertissement
795	Une entrée de configuration a changé dans les services de certificats.	Avertissement	Erreur
	Nœud : Entrée : CRLPeriod ou CRLPeriodUnits ou CRLDeltaPeriod ou CRLDeltaPeriodUnits Décrit un changement dans le calendrier de publication de la liste de révocation de certificats. La valeur 0 pour CRLDeltaPeriodUnits indique que la publication de la liste de révocation de certificats delta est désactivée
	Nœud : PolicyModules\CertificateAuthority_MicrosoftDefault.Policy Entrée : RequestDisposition Valeur : 1 Définit que l'autorité de certification délivre les demandes entrantes sauf spécification contraire.
	Nœud : PolicyModules\CertificateAuthority_MicrosoftDefault.Policy Entrée : RequestDisposition Valeur : 257 Définit que l'autorité de certification conserve en attente les demandes entrantes.
	Nœud : ExitModules\CertificateAuthority_MicrosoftDefault.Policy Entrée : PublishCertFlags Valeur : 1 Autorise la publication de certificats dans le système de fichiers.
	Nœud : ExitModules\CertificateAuthority_MicrosoftDefault.Policy Entrée : PublishCertFlags Valeur : 0 N'autorise pas la publication de certificats dans le système de fichiers.
	Nœud : ExitModules Entrée : Active Modification du module Exit actif. La valeur spécifie le nom du nouveau module. L'absence de valeur correspond à aucun module.
	Nœud : PolicyModules Entrée : Active Modification du module Policy actif. La valeur spécifie le nom du nouveau module.
	Nœud : Entrée : CRLPublicationURLs Modification des CDP ou AIA. La valeur spécifie un ensemble résultant de CDP
	Nœud : Entrée : CRLPublicationURLs Modification des AIA ou CDP. La valeur spécifie un ensemble résultant de AIA
796	Une propriété des services de certificats a changé (voir les sous-types ci-après).	Avertissement	Erreur
	Type : 4 Ajout/retrait de modèle dans/de l'autorité de certification. La valeur est la liste des modèles résultants par nom et par OID.
	Type : 3 Ajout de certificat KRA à l'autorité de certification. La valeur est la représentation en Base64 du certificat.
	Type : 1 Suppression du certificat KRA de l'autorité de certification. La valeur correspond au nombre total de certificats KRA.
	Type : 1 Ajout/suppression d'un certain nombre de certificats KRA à utiliser pour l'archivage de clé. La valeur correspond au nombre résultant de certificats à utiliser.
797	Les services de certificats ont archivé une clé.	Information	-
798	Les services de certificats ont importé et archivé une clé.	Information	-
799	Les services de certificats ont publié le certificat de l'autorité de certification dans Active Directory.	Information
800	Une ou plusieurs lignes ont été supprimées de la base de données des certificats.	Avertissement	Erreur
801	Séparation de rôle activée	Avertissement	Erreur
560	Object Access Où : Type d'objet : Key Nom d'objet : \REGISTRY\MACHINE\SYSTEM\ ControlSet001\Services\CertSvc\Configuration	Information	Erreur

Configuration d'alertes SMTP pour les demandes de certificats en attente

Si certains types de certificat sont configurés pour demander l'approbation du gestionnaire de certificats, ils restent en file d'attente dans le dossier Demandes en attente jusqu'à ce que la demande soit approuvée. Il vous est possible de configurer l'envoi d'alertes par messagerie électronique à chaque mise en file d'attente d'une demande. Les demandes approuvées automatiquement ne suscitent pas l'envoi d'alertes par messagerie électronique.

Vous pouvez également configurer ce type d'alerte par messagerie électronique pour d'autres événements. Pour savoir comment procéder, reportez-vous à l'aide en ligne de Certificate Services.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	CA Admins
Dépendances :	Tâches de référence telles que définies dans le tableau précédent.
Technologie requise :	- Éditeur de texte - Serveur SMTP et boîte à lettres du destinataire

Détails de la tâche

Le serveur SMTP et la liste des destinataires configurés dans le fichier sont également partagés par le système d'alerte SMTP décrit dans la procédure « Surveillance de l'intégrité et de la disponibilité des services de certificats ». Pour utiliser des valeurs différentes pour cette procédure, changez temporairement les valeurs de constants.vbs. Exécutez ensuite cette procédure, puis restituez les valeurs précédentes. Le paramètre d'activation des alertes par messagerie électronique dans cette procédure ( ALERT_EMAIL_ENABLED ) n'a aucune répercussion sur les alertes de cette procédure.

Pour activer les alertes par messagerie électronique pour les demandes en attente
1. Vérifiez que les valeurs correctes pour les destinataires de messagerie électronique et pour le serveur SMTP sont configurées dans le fichier de script C:\MSSScripts\constants.vbs :
```
'Alerting parameters
' set to comma-separated list of recipients to get email alerts
CONST ALERT_EMAIL_RECIPIENTS= "Admin@woodgrovebank.com,
PKIOps@woodgrovebank.com"
CONST ALERT_EMAIL_SMTP= "mail.woodgrovebank.com" 'SMTP host to use
```
  Remarque : les lignes en retrait apparaissant dans le fichier continuent la ligne précédente et ont fait l'objet d'un retour chariot pour l'impression – dans le fichier, elles doivent se trouver sur une seule ligne.
2. Exécutez la commande suivante pour activer des alertes par messagerie électronique sur les requêtes en attente qui sont placées dans la file d'attente :
```
cscript //job:SetupSMTPAlerts C:\MSSScripts\ca_monitor.wsf
```

Planification des travaux

La planification des travaux implique l'organisation continue des travaux et processus dans la séquence la plus efficace, en optimisant le débit et l'utilisation du système de façon à répondre aux exigences de niveau de service. La planification des travaux est étroitement liée à la surveillance et au contrôle de service, ainsi qu'à la gestion de capacité.

Planification des travaux dans l'autorité de certification émettrice

Il est nécessaire d'exécuter un certain nombre de tâches répétitives sur les autorités de certification pour maintenir un bon fonctionnement de l'infrastructure des services de certificats. Elles sont automatisées pour réduire la surcharge opérationnelle.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	Tâches de référence telles que définies dans le tableau précédent.
Technologie requise :	- Planificateur de tâches de Windows - MOM (si approprié)

Détails de la tâche

Le tableau suivant répertorie les tâches automatisées (définies ailleurs) s'exécutant sur l'autorité de certification émettrice.

Des tâches automatisées s'exécutent uniquement pour l'autorité de certification émettrice. L'autorité racine pouvant être désactivée pendant de longues périodes, il est impossible de maintenir une planification fiable sur cet ordinateur.

Tableau 14 : Liste des travaux planifiés sur l'autorité de certification émettrice

Description du travail	Planification	Exécuté par	Tâche de référence
Sauvegarde de l'état du système de l'autorité de certification dans un fichier	Journalière	Planificateur de tâches Windows	Configuration et exécution de la sauvegarde de la base de données d'une autorité de certification émettrice Configuration et exécution de la sauvegarde de la base de données d'une autorité de certification racine
Sauvegarde (fichier) de l'autorité de certification sur un stockage de sauvegarde	Quotidienne (après la sauvegarde de l'état du système)	Planificateur de sauvegarde de l'entreprise	Aucune (définie par votre organisation)
Publication de listes de révocation de certificats dans IIS	Toutes les heures	Planificateur de tâches Windows	Publication de l'autorité de certification émettrice et du certificat dans IIS
Surveillance de l'intégrité de l'autorité de certification en ligne	Toutes les heures	MOM ou Planificateur de tâches Windows	Surveillance de l'intégrité et de la disponibilité des services de certification
Surveillance de l'état d'émission et de publication d'une liste de révocation de certificats	Toutes les heures	MOM ou Planificateur de tâches Windows	Surveillance de l'intégrité et de la disponibilité des services de certification
Surveillance de la validité du certificat de l'autorité de certification	Journalière	MOM ou Planificateur de tâches Windows	Surveillance de l'intégrité et de la disponibilité des services de certification

Autres tâches opérationnelles

Il existe un certain nombre d'autres tâches opérationnelles impliquées dans la maintenance d'une PKI qui ne sont généralement pas nécessaires sur une base régulière, mais qui peuvent l'être occasionnellement ou dans le cadre du traitement d'un incident de support.

La documentation du produit Windows Server 2003 Certificate Services décrit certaines de ces tâches et fournit des informations contextuelles sur l'administration qui ne sont pas traitées dans ce document ni dans le Build Guide fourni (module « Implementing the Public Key Infrastructure »), ou contient des compléments d'informations utiles.

Reportez-vous à la section « Informations complémentaires » à la fin de ce module pour trouver un lien à ce document, dans lequel vous pouvez trouver des instructions sur la façon d'exécuter les tâches administratives suivantes :

démarrer ou arrêter le service d'autorité de certification ;
définir des autorisations en matière de sécurité et déléguer le contrôle d'une autorité de certification ;
visualiser le certificat de l'autorité de certification ;
définir la sécurité d'accès aux pages Web de l'autorité de certification ;
configurer les restrictions du gestionnaire de certificats ;
publier des certificats dans une forêt étrangère d'Active Directory ;
envoyer un message électronique en cas d'événement de certification ;
utiliser le composant logiciel enfichable Autorité de certification ;
gérer la révocation de certificat ;
gérer les demandes de certificat sur une autorité de certification autonome ;
gérer les modèles de certificat pour une autorité de certification de l'entreprise ;
gérer l'archivage et la récupération des clés ;
modifier les paramètres de stratégie pour une autorité de certification ;
modifier les modules de stratégie ou exit d'une autorité de certification ;
gérer l'administration basée sur rôle.

Tâches Zone de prise en charge

Les fonctions SMF de cette zone prennent en charge cet objectif en garantissant que des fonctions réactives et proactives sont définies pour gérer les niveaux de service. Les fonctions réactives dépendent de la capacité de l'organisation à réagir et à résoudre rapidement les incidents et les problèmes. Les fonctions proactives les plus intéressantes cherchent à éviter une rupture de service en identifiant et corrigeant les problèmes avant que les niveaux de service ne soient touchés. Pour cela, il faut une bonne surveillance de la solution de service par rapport à des seuils prédéfinis et laisser au personnel des opérations le temps de réagir aux problèmes potentiels avant qu'ils ne donnent naissance à des ruptures de service.

Cette section contient des informations relatives aux fonctions de gestion du service (SMF) suivantes :

Gestion des incidents

Il n'existe pas de tâches pour les autres fonctions de gestion de services :

Gestion des problèmes
Centre de service

Gestion des incidents

Les gestion des incidents est le processus qui consiste à gérer et contrôler les défaillances et les pannes dans l'utilisation ou l'implémentation des services informatiques, telles que les rapportent les clients ou partenaires concernés. Le principal objectif de la gestion des incidents vise à restaurer un fonctionnement de service normal le plus rapidement possible et à minimiser l'impact négatif sur les opérations de l'entreprise, maintenant ainsi des niveaux de service les plus fiables et les meilleurs possibles. Une opération de service normal est définie ici comme une opération de service dans les limites de l'accord sur le niveau de service (SLA).

Cette section est étroitement liée à la section « Dépannage ». Alors que cette dernière traite de l'identification et du diagnostic des problèmes, la présente section contient les tâches les plus courantes utilisées pour résoudre ces problèmes.

Voici les incidents traités dans la section « Dépannage ».

Absence de réponse du serveur
Échec de publication de la liste de révocation de certificats
Absence d'émission de la liste de révocation de certificats
Inscription impossible d'un client
Installation d'un correctif nécessitant un redémarrage
Échec permanent du serveur
Révocation nécessaire de certificat orphelin
Restauration impossible du serveur à temps pour émission de certificat ou de liste de révocation de certificats
Certificat d'entité finale compromis
Certificat de l'autorité de certification émettrice compromis
Certificat de l'autorité de certification racine compromis

La plupart de ces tâches sont liées à une ou plusieurs des procédures détaillées dans les sections suivantes. Dans d'autres cas, par exemple, l'échec d'inscription du client, le processus requis pour répondre à l'incident est plus complexe. Les réponses aux incidents de ce type sont présentées dans la section « Dépannage ».

Redémarrage du service Certificate Services

Vous devez redémarrer les services de certificats pour un certain nombre de raisons opérationnelles, par exemple, après avoir reconfiguré de nombreuses propriétés de l'autorité de certification, pour que les modifications soient validées. Dans certains cas, vous devez également redémarrer Certificate Services en cas d'arrêt de réponse de la part du service ou en cas de comportement anormal.

Cluster de rôle :	Support
Fréquence :	Selon les besoins
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	Aucune
Technologie requise :	- Console Autorité de certification - Net.exe

Détails de la tâche

Il existe de nombreuses méthodes pour redémarrer un service, qui sont toutes acceptables pour cette tâche.

Pour redémarrer le service de l'autorité de certification
1. Vérifiez que personne n'est en cours de transaction avec l'autorité de certification. Si vous avez le temps, prévenez les utilisateurs risquant d'être concernés.
2. Dans la console Autorité de certification, sélectionnez l'objet Autorité de certification.
3. Dans le menu Tâches, cliquez sur Arrêter le service ou, dans une fenêtre de commande, saisissez :
```
net stop "Certificate Services"
```
4. Dans le menu Tâches, cliquez sur Démarrer le service ou, dans une fenêtre de commande, saisissez :
```
net start "Certificate Services"
```

Remarque : lorsque l'audit est activé, il est possible que Certificate Services mette beaucoup de temps à s'arrêter puis à redémarrer – plus de 10 minutes pour une base de données très volumineuse. Tout le processus d'arrêt et de démarrage est donc prolongé. Ce délai est causé par le fait que Certificate Services calcule un hachage de toute la base de données pour créer des entrées d'audit de démarrage et d'arrêt : ce délai n'existe pas si le démarrage et l'arrêt ne sont soumis à aucun audit.

Redémarrage du serveur de l'autorité de certification

Il est possible que vous ayez besoin de redémarrer le serveur de l'autorité de certification pour un certain nombre de raisons opérationnelles, notamment celle liée à une application de correctif du système d'exploitation. Par exemple, en cas d'arrêt de réponse ou de comportement anormal du service qui nécessite l'utilisation de la procédure de redémarrage du service.

Cluster de rôle :	Support
Fréquence :	Selon les besoins
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :	Aucune
Technologie requise :	Net.exe

Détails de la tâche

Pour redémarrer le service de l'autorité de certification
1. Vérifiez que personne n'est en cours de transaction avec l'autorité de certification. Si vous avez le temps, prévenez les utilisateurs risquant d'être concernés.
2. Si possible, exécutez la commande suivante pour que le service Certificate Services n'empêche plus les utilisateurs de se connecter à l'autorité de certification :
```
net stop "Certificate Services"
```
3. Suivez les procédures normales du système d'exploitation pour redémarrer l'ordinateur. À moins qu'il ne soit évident que le processus Certificate Services a arrêté de répondre, n'essayez pas d'arrêter le processus Certificate Services ou de désactiver le serveur. Mettre fin au processus Certificate Services risque d'endommager la base de données Certificate Services et nécessite une restauration à partir de la sauvegarde.

Restauration de l'autorité de certification à partir d'une sauvegarde

Si vous ne pouvez pas démarrer une autorité de certification à cause de dommages logiciels ou matériels importants, vous devez restaurer le serveur et le matériel de clé à partir de la sauvegarde.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	- Administrateurs locaux sur l'autorité de certification - Opérateurs de sauvegarde d'autorité de certification (pour une restauration uniquement)
Dépendances :	- Un processus de sauvegarde a été précédemment configuré et exécuté correctement. - Un support de sauvegarde est disponible
Technologie requise :	- Sauvegarde Windows - Système de sauvegarde de l'entreprise

Détails de la tâche

Pour restaurer une autorité de certification à partir d'une sauvegarde, procédez comme indiqué ci-après.

Pour restaurer une autorité de certification à partir d'une sauvegarde
1. Il faut récupérer le système d'exploitation à partir du point où il est viable pour exécuter à nouveau les services de certificats. Cette récupération peut aller jusqu'à une réinstallation de Windows. Si tel est le cas, reportez-vous aux instructions du Build Guide pour installer le système d'exploitation et les composants système de base. Il n'est pas nécessaire d'appliquer des mesures de sécurité ou autres mesures de configuration.
  
  Attention : Si vous devez réinstaller Windows, ne procédez pas à un nouveau partitionnement ni à un nouveau formatage du deuxième lecteur (valable uniquement pour l'autorité de certification émettrice). Ce lecteur contient la base de données de l'autorité de certification qui est vraisemblablement intacte.
2. Si possible, conservez la base de données (dans %systemroot%\System32\CertLog sur l'autorité racine ou dans D:\CertLog sur l'autorité émettrice) ainsi que les journaux de l'autorité de certification (dans %systemroot%\System32\CertLog ). Effectuez une sauvegarde sur fichier de ces dossiers avant de restaurer l'autorité de certification. Il est possible que la base de données et les journaux n'aient pas été endommagés par la panne système. Les journaux contiennent les informations nécessaires pour réexécuter toutes les transactions s'étant produites entre la dernière sauvegarde et l'échec du serveur sur l'autorité de certification. La restauration d'une sauvegarde de l'état du système écrase les journaux et la base de données existante : il convient donc de préserver ces derniers avant de commencer une restauration du système.
3. Insérez le support de sauvegarde contenant la sauvegarde la plus récente de l'autorité de certification et restaurez le fichier de sauvegarde de l'état du système sur une zone du disque appropriée (si un deuxième lecteur est disponible, choisissez-le).
4. Démarrez le programme de sauvegarde Windows. Dans l'onglet Restaurer, cliquez à l'aide du bouton droit de la souris sur l'objet Fichier dans le volet gauche, puis cliquez sur Fichier catalogue.
5. Vérifiez que la destination de restauration des fichiers sélectionnée est Emplacement d'origine, puis cliquez sur Démarrer la restauration pour restaurer l'état du système.
6. Si les journaux de l'autorité de certification ont été conservés à l'étape 2, ils sont à nouveau exécutés par rapport à la base de données restaurée pour introduire d'éventuelles transactions ayant eu lieu après la dernière sauvegarde.
  
  Remarque : si vous avez conservé telle quelle la base de données de l'autorité de certification, vous pouvez la restaurer dans le système (en arrêtant d'abord le service Certificate Services) si l'étape 7 ne restaure pas toutes les données prévues.
7. Démarrez Certificate Services.

Restauration du certificat de l'autorité de certification et d'une paire de clés dans un ordinateur temporaire

S'il n'est pas possible de récupérer une autorité de certification défaillante à temps pour qu'elle puisse émettre une nouvelle liste de révocation de certificats (ou un certificat critique), vous devez installer le certificat et les clés de l'autorité de certification sur un ordinateur temporaire pour pouvoir utiliser les clés afin d'étendre la période de validité de la liste de révocation ou du certificat existant.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Administrateurs locaux sur l'ordinateur temporaire
Dépendances :	Sauvegarde préalable des clés de l'autorité de certification
Technologie requise :	- Certutil.exe - Cipher.exe

Détails de la tâche

Cette tâche explique comment restaurer le certificat et la clé privée de l'autorité de certification sur un ordinateur temporaire.

Important : tant que la clé de l'autorité de certification est installée sur cet ordinateur, protégez ce dernier comme vous le feriez pour l'autorité de certification. Si vous restaurez la clé d'une autorité hors connexion, vérifiez que l'ordinateur est déconnecté. Envisagez de reformater les disques de l'ordinateur une fois que vous en avez fini avec la clé.

Pour restaurer la clé et le certificat de l'autorité de certification dans un ordinateur temporaire
1. Vérifiez que l'ordinateur a été déconnecté du réseau et connecté en tant que membre du groupe Administrateurs locaux, puis créez un compte utilisateur local – CAKeySigner.
2. Connectez-vous à l'aide de ce compte.
3. Insérez un disque contenant la sauvegarde des clés de l'autorité de certification à tester.
4. A l'aide de l'Explorateur Windows, naviguez jusqu'aux fichiers de clés P12 et double-cliquez pour lancer Assistant Importation.
5. A l'invite, saisissez le mot de passe et n'activez pas les cases à cocher pour donner une protection élevée aux clés ou pour les rendre exportables.
6. Sélectionnez Personal store comme emplacement dans lequel restaurer les clés de l'autorité de certification.
7. Ouvrez la console Certificates et naviguez jusqu'au magasin personnel. Localisez le certificat d'autorité de certification pour l'autorité de certification restaurée, puis ouvrez-le pour vérifier que vous disposez d'une clé privée correspondante.

Vous pouvez maintenant exécuter les tâches de nouvelle signature requises avec les clés de l'autorité de certification restaurée. Lorsque vous avez terminé, effacez les clés de l'ordinateur à l'aide de la procédure ci-après.

Pour effacer les clés du système
1. Connectez-vous en tant que membre du groupe Administrateurs locaux et supprimez le profil utilisateur du compte CAKeySigner (à l'aide de Propriétés avancées dans Poste de travail).
2. Supprimez le compte CAKeySigner.
3. A l'aide de la commande suivante, effacez de façon sécurisée les zones non attribuées du disque pour supprimer à titre permanent les traces des clés :
```
Cipher /W:%AllUsersProfile%
```

Nouvelle signature d'un certificat ou d'une liste de révocation de certificats pour prolonger sa validité

Si une autorité de certification est indisponible suite à une défaillance quelconque du serveur, vous pouvez prolonger la durée de vie des certificats ou des listes de révocation de certificats en signant à nouveau le fichier correspondant. Il peut s'agir d'une opération essentielle dans le maintien du service.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Compte temporaire créé pendant la restauration de clé de l'autorité de certification.
Dépendances :	La clé de l'autorité de certification est disponible (voir la tâche « Restauration du certificat de l'autorité de certification et d'une paire de clés dans un ordinateur temporaire »).
Technologie requise :	Certutil.exe

Détails de la tâche

Signer à nouveau un certificat ou une liste de révocation de certificats étend sa période de validité. Par défaut, la période de validité existante est utilisée et redémarrée à partir de la date de la signature (par exemple, si la période de validité originale de la liste de révocation est d'un mois, la nouvelle période de validité sera d'un mois à compter de la nouvelle signature). Si une autre période de validité est requise, spécifiez-la dans la ligne de commande certutil.

Pour signer à nouveau une liste de révocation de certificats ou un certificat
1. Procurez-vous une copie de la liste de révocation de certificats ou du certificat à signer à nouveau.
2. Connectez-vous à un ordinateur sur lequel a été restaurée une copie de la clé ou du certificat de l'autorité de certification ayant servi à signer à l'origine la liste de révocation ou le certificat (voir la procédure précédente « Restauration du certificat de l'autorité de certification et d'une paire de clés dans un ordinateur temporaire »). Connectez-vous à l'aide du compte créé dans cette procédure.
3. Lancez la commande suivante, en remplaçant ancien_fichier.ext par le nom du fichier du certificat ou de la liste de révocation de certificats et nouveau_fichier.ext par le nom de sortie requis.
```
Certutil -sign ancien_fichier.ext nouveau_fichier.ext
```
4. Lorsque vous êtes invité à spécifier le certificat à utiliser, sélectionnez le certificat de l'autorité de certification.
5. Dans le cas d'une liste de révocation de certificats, ceci doit être publié aux emplacements CDP comme requis (voir les procédures de publication de listes de révocation de certificats.)

Révocation d'un certificat d'entité finale

Il peut être nécessaire de révoquer un certificat pour un certain nombre de raisons, telles que :

La fonctionnalité ou les privilèges associés au certificat ont été révoqués du détenteur du certificat.
La clé du certificat a été compromise.
L'autorité de certification ayant émis le certificat a été compromise.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Gestionnaires de certificats
Dépendances :	Aucune
Technologie requise :	Console Autorité de certification

Détails de la tâche

Cette procédure décrit les étapes nécessaires pour révoquer un certificat d'entité finale (par exemple, un certificat délivré à un autre destinataire qu'une autorité de certification). Suivez les procédures indiquées ailleurs pour révoquer un certificat d'autorité de certification.

Pour révoquer un certificat :
1. Connectez-vous en tant que membre du groupe Gestionnaires de certificats et localisez le ou les certificats à révoquer dans la base de données Autorité de certification (dans la console Autorité de certification). Pour ce faire, spécifiez l'option Filtre dans le menu Affichage du dossier Certificats délivrés de l'autorité de certification.
2. Sélectionnez le certificat, puis dans le menu Tâches, cliquez sur Révoquer.
3. Sélectionnez un code de raison approprié à la révocation. Si la raison de la révocation ne correspond pas à l'un des codes de raison prédéfinis, sélectionnez Non spécifié.
  
  Important : seule la raison Certificat en attente permet de réactiver ultérieurement le certificat. Toutes les autres raisons conduisent à la désactivation permanente du certificat. Toutefois, ne faites pas appel à Certificat en attente en tablant sur la possibilité de réactivation ultérieure du certificat. N'utilisez ce code que lorsque vous avez réellement besoin de suspendre temporairement le certificat.

Révocation d'un certificat orphelin

Lorsque vous restaurez une autorité de certification à partir d'une sauvegarde, après une défaillance quelconque du serveur, les certificats délivrés entre la dernière sauvegarde et la défaillance ne se trouvent pas nécessairement dans la base de données des certificats. Ils sont appelés certificats orphelins. Ils existent lorsque les journaux de l'autorité de certification sont détruits et qu'il n'est pas possible de les exécuter après la restauration. Dans ce cas, il est impossible de révoquer ces certificats orphelins selon la procédure normale.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Gestionnaires de certificats
Dépendances :	Aucune
Technologie requise :	Certutil.exe

Détails de la tâche

Pour révoquer un certificat orphelin, il est nécessaire de se procurer une copie du certificat à révoquer ou son numéro de série.

Pour révoquer un certificat orphelin
1. Connectez-vous à l'autorité de certification ayant émis le certificat à révoquer, en tant que membre du groupe Gestionnaires de certificats.
2. Si vous ne pouvez pas vous procurer une copie du certificat, exécutez la commande suivante pour créer un certificat fictif et enregistrez-le sous le nom CertToRevoke.cer. Remplacez numéro_série par le numéro de série du certificat à révoquer.
```
Certutil  -sign numéro_série CertToRevoke.cer
```
3. A l'invite, sélectionnez le certificat d'autorité de certification courant pour signer le certificat fictif.
4. Pour importer le certificat dans la base de données des certificats, exécutez la commande indiquée ci-après. CertToRevoke est une copie du certificat réel à révoquer ou un certificat fictif créé dans les étapes précédentes.
```
Certutil  -importcert CertToRevoke.cer
```
5. Suivez la procédure standard pour révoquer un certificat.

Important : certutil présente une défaillance qui fait échouer l'opération de création d'un certificat fictif sur Windows Server 2003. En attendant le correctif, cette procédure a été laissée dans le module. Entre-temps, une approche alternative consiste à prendre un certificat existant et, à l'aide d'un éditeur binaire, à remplacer le numéro de série par celui du certificat à révoquer. Il est possible de signer à nouveau ce certificat à l'aide de la syntaxe :

Certutil -sign ModifiedCert.cer CertToRevoke.cer

Le nouveau certificat peut être importé dans la base de données à l'aide de l'étape 4 mentionnée ci-dessus.

Révocation et remplacement d'un certificat de l'autorité de certification émettrice

Si la clé privée d'une autorité de certification est compromise d'une manière ou d'une autre (ou qu'il y a un simple soupçon de compromission), révoquez le certificat de l'autorité de certification et émettez-en un nouveau en utilisant une nouvelle paire de clés.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Gestionnaires de certificats
Dépendances :	Tâches de référence
Technologie requise :	Console Autorité de certification

Détails de la tâche

Comme l'autorité de certification racine possède une très longue période de publication de liste de révocation de certificats, la simple révocation du certificat de l'autorité de certification pour publication d'une nouvelle liste de révocation entraîne un très long délai entre la révocation et sa notification aux utilisateurs. Pour garantir que tous les certificats délivrés par l'autorité de certification compromise sont rejetés dès que possible, tous les certificats que cette autorité a délivrés sont également révoqués individuellement.

Important : tous les utilisateurs de certificat doivent se réinscrire pour de nouveaux certificats.

Pour révoquer un certificat de l'autorité de certification émettrice
1. Connectez-vous à l'autorité de certification émettrice en tant que membre du groupe Gestionnaires de certificats, puis ouvrez la console Autorité de certification.
2. Sélectionnez tous les certificats du dossier Certificats délivrés, puis dans le menu Toutes les tâches, cliquez sur Révoquer un certificat. Sélectionnez le code de raison Autorité de certification compromise.
3. Augmentez la valeur de l' Intervalle de publication de la liste de révocation de certificats pour qu'il corresponde à la durée de vie restante du certificat de l'autorité de certification. Vous garantissez ainsi qu'il est plus long que la durée de vie restante de tous les certificats émis par l'autorité de certification.
4. Désactivez la case à cocher Publier la liste de révocation de certificats delta si elle était activée.
5. Dans le menu Toutes les tâches du dossier Certificats révoqués, cliquez sur Publier, puis sur Nouvelle liste de révocation de certificats.
6. Connectez-vous à l'autorité de certification racine en tant que membre du groupe Gestionnaires de certificats, puis ouvrez la console Autorité de certification.
7. Localisez le certificat à révoquer dans le dossier Certificats délivrés, puis dans le menu Toutes les tâches, cliquez sur Révoquer un certificat. Sélectionnez le code de raison Clé compromise.
8. Suivez la procédure « Publication d'un certificat d'autorité de certification et d'une liste de révocation de certificats hors connexion » (vous pouvez ignorer les parties consacrées à la publication du certificat de l'autorité de certification.)
9. Revenez à l'autorité de certification émettrice et suivez la procédure « Renouvellement du certificat de l'autorité émettrice ».

Les utilisateurs de certificat peuvent maintenant s'inscrire auprès de la nouvelle autorité de certification. Les certificats à inscription automatique doivent être inscrits automatiquement.

Révocation et remplacement d'un certificat de l'autorité de certification racine

Si la clé privée d'une autorité de certification racine est compromise d'une façon ou d'une autre (ou qu'il y a un simple soupçon de compromission), révoquez le certificat de l'autorité de certification à partir du point où elle est fiable et révoquez tous les certificats délivrés par l'autorité ou ses subordonnées. Vous devez renouveler le certificat de l'autorité de certification racine et les certificats de toutes les autorités subordonnées avec de nouvelles clés, puis les publier à nouveau dans Active Directory. Il n'est généralement pas possible de révoquer un certificat de l'autorité racine en tant que tel. Souvent (comme ici), le certificat de l'autorité de certification n'inclut pas de CDP à partir duquel vérifier le statut de révocation et, de toute façon, il n'est pas vraiment légal pour une autorité de certification d'attester sa propre révocation en signant la liste de révocation de certificats avec son propre certificat.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Gestionnaires de certificats - Administrateurs locaux sur des autorités de certifications (pour les sous-tâches de renouvellement d'autorité de certification)
Dépendances :	Aucune
Technologie requise :	Console Autorité de certification

Détails de la tâche

Remarque : tous les utilisateurs de certificat doivent se réinscrire pour de nouveaux certificats après cette procédure.

Pour révoquer un certificat de l'autorité de certification racine
1. Connectez-vous à l'autorité de certification émettrice en tant que membre du groupe Gestionnaires de certificats, puis ouvrez la console Autorité de certification.
2. Sélectionnez tous les certificats du dossier Certificats délivrés, puis dans le menu Toutes les tâches, cliquez sur Révoquer un certificat. Sélectionnez le code de raison Autorité de certification compromise.
3. Augmentez la valeur de l' Intervalle de publication de la liste de révocation de certificats pour qu'il corresponde à la durée de vie restante du certificat de l'autorité de certification. Vous garantissez ainsi qu'il est plus long que la durée de vie restante de tous les certificats émis par l'autorité de certification.
4. Désactivez la case à cocher Publier la liste de révocation de certificats delta si elle était activée.
5. Dans le menu Toutes les tâches du dossier Certificats révoqués, cliquez sur Publier, puis sur Nouvelle liste de révocation de certificats.
6. Connectez-vous à l'autorité de certification racine en tant que membre du groupe Gestionnaires de certificats, puis ouvrez la console Autorité de certification.
7. Sélectionnez tous les certificats du dossier Certificats délivrés, puis dans le menu Toutes les tâches, cliquez sur Révoquer un certificat. Sélectionnez le code de raison Autorité de certification compromise.
8. Augmentez la valeur de l' Intervalle de publication de la liste de révocation de certificats pour qu'il corresponde à la durée de vie restante du certificat de l'autorité de certification. Vous garantissez ainsi qu'il est plus long que la durée de vie restante de tous les certificats émis par l'autorité de certification.
9. Désactivez la case à cocher Publier la liste de révocation de certificats delta si elle était activée.
10. Suivez la procédure « Renouvellement du certificat de l'autorité racine ».
11. Revenez à l'autorité de certification émettrice et suivez la procédure « Renouvellement du certificat de l'autorité émettrice ».

Les utilisateurs de certificat peuvent maintenant s'inscrire auprès de la nouvelle autorité de certification. Les certificats à inscription automatique doivent être inscrits automatiquement.

Important : le renouvellement d'un certificat de l'autorité de certification est un événement majeur, notamment dans ce cas impliquant la révocation d'autorités de certification enfants et de certificats délivrés. N'oubliez pas d'informer tous les propriétaires d'application concernés du nouveau certificat racine au cas où ils doivent configurer cette nouvelle racine dans leur application.

Tâches Zone d'optimisation

La tâche Zone d'optimisation comprend les fonctions SMF qui gèrent la gestion des coûts tout en maintenant ou en améliorant les niveaux de service. Elles englobent l'étude des pannes/incidents, l'examen des structures de coûts, les évaluations de personnel, la disponibilité et l'analyse des performances, ainsi que la prévision de capacité.

Cette section contient des informations relatives aux fonctions de gestion du service (SMF) suivantes :

Gestion de capacité

Il n'existe pas de tâches pour les autres fonctions de gestion de services :

Gestion des niveaux de service
Gestion financière
Gestion de la disponibilité
Gestion de la continuité des services informatiques
Gestion des effectifs

Gestion de la capacité

La gestion de la capacité est le processus qui consiste à planifier, dimensionner et contrôler la capacité de la solution de service pour qu'elle satisfasse la demande utilisateur en restant dans les niveaux de performances définis par l'accord sur le niveau de service (SLA). Elle nécessite des informations sur l'utilisation des scénarios, des modèles et des caractéristiques en charge maximale de la solution de service ainsi que sur les besoins de performances définis.

Détermination de la charge maximale d'une autorité de certification émettrice

Cette section contient des informations sur la charge maximale vraisemblable au niveau de l'autorité de certification émettrice.

Bien que les autorités de certification ne soient généralement pas soumises à une charge très élevée, des pics de charge peuvent se produire de temps en temps. La charge la plus élevée que peut subir une autorité de certification se produit généralement pendant les pics de connexion ou de démarrage à la mise en route d'un nouveau type de certificat. De même, bien que plus rarement, en cas de révocation de certificat de l'autorité de certification ou de révocation massive de certificats, un pic anormal est généré par les utilisateurs et ordinateurs s'inscrivant à nouveau.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	Aucune
Dépendances :	Aucune
Technologie requise :	Aucune

Détails de la tâche

Les tests internes Microsoft ont démontré que, pour une autorité de certification d'entreprise normale, le goulot d'étranglement des performances suite à une charge élevée provenait de l'interaction avec Active Directory. La tâche qui constitue à signer et émettre des certificats est relativement anodine en comparaison à la surcharge que représentent une consultation d'annuaire pour récupérer les informations de sujet du certificat, puis une nouvelle publication du certificat dans Active Directory.

Imaginez un scénario type de charge de pointe, avec un nouveau type de certificat activé, et tous les utilisateurs et ordinateurs devant inscrire les certificats de ce type :

Nombre d'utilisateurs :3 000
Nombre d'ordinateurs :3 000
La vitesse d'émission maximale d'une autorité de certification d'entreprise est d'environ trois certificats par seconde (ou 180 certificats par minute).

Détermination des besoins en stockage et sauvegarde pour une autorité de certification émettrice

Cette section fournit des détails de capacité pour les paramètres de stockage de l'autorité de certification. Ces informations aideront les planificateurs de capacité à calculer les futurs besoins en stockage pour le stockage de sauvegarde hors connexion ou sur disque connecté.

Cluster de rôle :	Infrastructure
Fréquence :	Selon les besoins
Sécurité requise :	Aucune
Dépendances :	Aucune
Technologie requise :	Aucune

Détails de la tâche

Vous trouverez dans les sections suivantes une liste d'affirmations et de résultats des calculs de dimensions portant sur la taille de différents éléments (la base de données de l'autorité de certification, son journal, la liste de révocation de certificats et la fenêtre de sauvegarde requise, comme le temps de sauvegarde de la base de données de l'autorité de certification).

Les calculs ci-après sont basés sur les affirmations suivantes :

Une population de 3 000 utilisateurs, 3 000 ordinateurs et 100 à 300 serveurs.
Chaque entité finale est émise avec cinq certificats par an, dont chacun avec une période de validité d'une année.
Les certificats sont conservés dans la base de données pendant cinq ans.
La base de données est sauvegardée tous les jours (avec troncature des journaux).

Taille de la base de données des certificats

Chaque entrée de certificat occupe environ 20 Ko dans la base de données.

Les résultats suivants en découlent :

Le nombre de certificats stockés simultanément dans la base de données est de 150 000.
La taille totale de la base de données est de 3 Go.

Taille moyenne du journal de la base de données des certificats

On compte 750 certificats par jour.
La taille moyenne du journal est de 5 Mo.

Taille de la liste de révocation de certificats

Une entrée de liste de révocation de certificats est d'environ 30 octets et, au plus, approximativement 10% des certificats émis seront révoqués. Les certificats révoqués en dehors de leur période de validité ne sont pas inclus dans la liste de révocation de certificats.

À un moment donné, 30 000 certificats se trouvent dans la période de validité.
3 000 certificats se trouveront dans la liste de révocation de certificats.
La taille de la liste de révocation de certificats est de 90 Ko.

Fenêtre de sauvegarde pour la base de données des certificats

Dans des conditions idéales de sauvegarde sur serveur en réseau avec un commutateur dédié de 100 Mbps (mégabits par seconde), il est possible de sauvegarder une base de données de 3 Go plus 500 Mo d'état du système en 15-20 minutes environ.

Tâches Zone de changements

Les tâches de zone de changements englobent les processus et procédures requis pour identifier, réviser, approuver et incorporer les changements apportés à un environnement informatique géré. Les changements peuvent porter sur les biens matériels et logiciels, ainsi que sur des processus et procédures spécifiques.

L'objectif du processus de changement est d'introduire dans l'environnement informatique des nouveautés (au niveau technologies, systèmes, applications, matériel, outils et processus) et des modifications dans les rôles et responsabilités, de façon rapide et avec une interruption minimale du service.

Gestion des changements

La fonction SMF de gestion des changements gère les changements dans un environnement informatique. Un objectif essentiel du processus de gestion des changements est de garantir que toutes les parties concernées par une modification donnée en sont conscientes et en comprennent l'impact. Comme la plupart des systèmes sont étroitement liés, tout changement sur une partie d'un système peut avoir de profondes répercussions sur une autre partie. Pour réduire ou éliminer les effets contraires, la tâche de gestion des changements essaie d'identifier tous les systèmes et processus affectés avant le déploiement du changement. En général, l'environnement cible ou géré est l'environnement de production, mais il doit également inclure les environnements d'intégration de clé, les environnements test et intermédiaires.

Tous les changements apportés à la PKI doivent suivre le processus de gestion des changements MOF standard présenté ci-après :

Demande de changement. L'initiation formelle d'un changement par la soumission d'une requête de modification (RFC).
Classification de changement. L'affectation d'une priorité et d'une catégorie au changement, en utilisant comme critères son urgence et son impact sur l'infrastructure ou les utilisateurs. Cette affectation a une répercussion sur la vitesse et la trajectoire d'implémentation.
Autorisation de changement. La prise en considération du changement, ainsi que son approbation ou sa désapprobation par le responsable de la modification et le conseil décidant des modifications, qui comprend des représentants commerciaux et informatiques.
Développement de changement. Planification et développement de la modification, processus dont la portée peut varier énormément et qui inclut des révisions à des étapes intermédiaires.
Version de changement. La version et le déploiement de la modification dans l'environnement de production.
Révision de changement. Processus post-implémentation qui étudie si la modification a répondu aux objectifs fixés et qui détermine s'il convient de conserver la modification ou de l'annuler.

Cette section décrit les procédures de développement de changement correspondant à quelques modifications que vous serez vraisemblablement amené à introduire dans votre environnement. Chaque procédure est accompagnée d'une procédure de version de changement qui explique comment déployer la modification en production.

Gestion des correctifs du système d'exploitation

La gestion des correctifs pour les services de certificats (puisque Certificate Services entre dans le cadre général de la gestion des correctifs Windows) est traitée dans deux guides d'opérations Microsoft Solutions for Management. Reportez-vous à la section « Informations complémentaires » à la fin de ce module pour trouver des liens à ces documents.

La gestion des correctifs comporte des composants de gestion des versions et de gestion de la configuration, ainsi qu'un composant de gestion des changements. Toutefois, ces trois fonctions SMF sont traitées dans les documents mentionnés précédemment.

Cluster de rôle :	Infrastructure
Fréquence :	Tâche de configuration
Sécurité requise :	Administrateurs locaux sur l'autorité de certification
Dépendances :
Technologie requise :	Infrastructure de distribution de correctif (comme SMS ou SUS)

Ajout d'un modèle de certificat

Un nouveau modèle de certificat est ajouté pour permettre l'émission d'un nouveau type de certificat. La raison peut être liée au déploiement d'une nouvelle application ou à une nouvelle fonctionnalité requise par une application existante. Cet ajout peut également faire partie d'un processus de mise à jour d'un type de certificat existant.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Enterprise PKI Admins
Dépendances :	Processus de gestion des changements établi et autres procédures mentionnées - Libération d'un nouveau modèle de certificat - Libération d'une nouvelle déclaration CPS
Technologie requise :	Console Modèles de certificat

Avant de soumettre une demande de nouveau type de certificat, testez-la dans un environnement test représentatif de l'environnement de production.

Étayez votre demande en indiquant :

les raisons du nouveau modèle ;
une évaluation de l'impact sur les utilisateurs et l'infrastructure ;
une évaluation de l'impact d'une absence de changement ;
les résultats du test du changement.

Vous devez également indiquer les mises à jour appropriées des stratégies de certificat et des stratégies de déclaration CPS (certificate practices statement). Il est ensuite nécessaire d'évaluer le changement en termes de priorité et d'impact. Une fois le changement approuvé, vous pouvez l'implémenter (mais pas encore le libérer).

Détails de la tâche

N'exécutez la procédure suivante que dans un environnement test. Pour savoir comment appliquer ce changement dans l'environnement de production, reportez-vous à la procédure « Libération d'un nouveau modèle de certificat ».

Pour implémenter un nouveau modèle de certificat
1. Connectez-vous en tant que membre du groupe Enterprise PKI Admins, puis ouvrez la console Modèles de certificat.
2. Sélectionnez un modèle approprié sur lequel baser le nouveau modèle.
  
  Important : faites bien correspondre le type du modèle de base – utilisateur ou ordinateur – du modèle copié avec le type de sujet du nouveau modèle. Vous ne pouvez pas modifier cet élément dans l'éditeur de modèles.
3. Éditez les détails relatifs au modèle comme nécessaire. Pour des informations détaillées, reportez-vous à la documentation produit dans le système d'aide local ou en ligne à l'adresse : https://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/ctcon_concepts_under.asp.
4. Si ce modèle remplace un modèle existant, vous devez ajouter les modèles remplacés à la liste des modèles supplantés. Vous devez veiller à ce que le modèle de remplacement fournisse la même fonctionnalité, voire une fonctionnalité supérieure à celle du modèle supplanté. Ne réduisez la fonctionnalité que si vous êtes certain qu'aucune application n'utilise la partie fonctionnelle supprimée.
5. Testez que les changements fonctionnent comme prévu et n'ont pas un impact négatif sur les applications existantes.
6. Créez les changements appropriés dans le document de stratégie de certificat et dans la déclaration CPS.
7. Suivez les procédures « Libération d'un nouveau modèle de certificat et Libération d'une nouvelle déclaration CPS » (si vous publiez la déclaration CPS).

Mise à jour d'un modèle de certificat

Cette tâche indique comment apporter des modifications mineures à des modèles de certificat. Pour effectuer des modifications importantes, dupliquez le modèle et forcez le nouveau modèle à supplanter l'existant.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Enterprise PKI Admins
Dépendances :	Aucune
Technologie requise :	Console Modèles de certificat

Détails de la tâche

N'apportez des modifications à un modèle de certificat que si elles restent relativement mineures et n'ont pas de répercussion importante sur les utilisateurs du certificat. Il est en effet beaucoup plus difficile de contrôler l'impact de modifications de modèle et infiniment plus complexe d'annuler des changements de modèles.

Exemples de modifications mineures :

modification de la période de validité ou de la période de renouvellement,
ajout (mais pas suppression) d'un type CSP autorisé.

Pour implémenter les changements affectant la fonctionnalité des certificats, comme la modification des stratégies de certificat, la suppression des types de CSP, la modification des critères d'émission, etc., créez un nouveau type de modèle et remplacez l'ancien modèle.

Évaluez et approuvez la demande de changement comme indiqué dans la procédure « Ajout d'un modèle de certificat ».

Vous pouvez ensuite implémenter et tester le changement de modèle proposé pour le libérer en production. Reportez-vous à la procédure « Libération d'une mise à jour de modèle ».

Pour mettre à jour un modèle de certificat
1. Connectez-vous en tant que membre du groupe Enterprise PKI Admins et chargez le composant logiciel enfichable Modèles de certificats dans une console MMC.
2. Ouvrez le modèle à modifier et apportez les changements nécessaires. Pour des informations détaillées, reportez-vous à la documentation produit dans le système d'aide local ou en ligne à l'adresse : https://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/ctcon_concepts_under.asp.
3. Testez la mise à jour pour vérifier qu'elle produit la fonctionnalité requise.
4. Suivez les procédures « Libération d'un nouveau modèle de certificat et Libération d'une nouvelle déclaration CPS » (si vous publiez la déclaration CPS).

Suppression d'un modèle de certificat

Lorsqu'un modèle de certificat n'est plus requis, il est possible de supprimer son statut actif ou de le supprimer complètement de l'annuaire.

Cluster de rôle :	Sécurité
Fréquence :	Selon les besoins
Sécurité requise :	Enterprise PKI Admins
Dépendances :	Aucune
Technologie requise :	- Console Modèles de certificat - Console Autorité de certification

Détails de la tâche

Ne supprimez un modèle que lorsque vous êtes sûr qu'aucune application ne dépend de la disponibilité des certificats de ce type. Évaluez et approuvez la demande de suppression du modèle comme décrit à la procédure « Ajout d'un modèle de certificat ». Suivez toujours la première procédure qui consiste à supprimer l'utilisation active d'un modèle et à en tester les effets avant de supprimer complètement un modèle de l'annuaire.

Vous pouvez ensuite implémenter et tester la suppression de modèle avant d'acheminer le changement pour une libération en production. Reportez-vous à la procédure « Libération d'une suppression de modèle ».

Pour supprimer l'utilisation active d'un modèle de certificat
1. Connectez-vous en tant que membre du groupe Enterprise PKI Admins et chargez le composant logiciel enfichable Autorités de certification dans une console MMC.
2. Dans le dossier Modèles de certificats, cliquez à l'aide du bouton droit de la souris sur le modèle à supprimer et sélectionnez Supprimer.
3. Répétez les étapes 1 et 2 pour toutes les autorités de certification émettrice qui délivrent actuellement ce type de certificat.
4. Testez les applications ayant préalablement utilisé ce modèle pour garantir qu'elles ne dépendent plus de ce type de certificat.
5. Suivez les procédures « Libération d'un nouveau modèle de certificat et Libération d'une nouvelle déclaration CPS » (si vous publiez la déclaration CPS).
Pour supprimer complètement de l'annuaire un modèle de certificat
1. Connectez-vous en tant que membre du groupe Enterprise PKI Admins et chargez le composant logiciel enfichable Modèles de certificats dans une console MMC.
2. Cliquez à l'aide du bouton droit de la souris sur le modèle à supprimer et sélectionnez Supprimer.

Gestion de la configuration

La fonction SMF de gestion de la configuration est responsable de l'identification, l'enregistrement, le suivi et les rapports sur les éléments de configuration (principaux composants informatiques). Les informations capturées et suivies dépendent des éléments de configuration spécifiques, mais incluent généralement leur description, version, composants constitutifs, relations avec les autres éléments, leur emplacement/affectation ainsi que leur statut en cours.

La gestion de la configuration d'une PKI couvre plusieurs grandes zones :

Configuration de PKI d'entreprise – informations courantes stockées dans Active Directory
Configuration de modèle de certificat – détails de configuration de tous les modèles actifs
Configuration d'autorité de certification – détails de configuration spécifiques de l'autorité de certification
Groupes de gestion de PKI et d'autorité de certification – détails relatifs aux groupes et utilisateurs de gestion de PKI, ainsi que leurs droits d'accès
Configuration cliente – configuration des paramètres d'utilisateur et d'ordinateur par l'intermédiaire d'une stratégie de groupe (ou autre méthode)

Chacune des sections suivantes décrit ces éléments de façon plus détaillée et présente, le cas échéant, des méthodes d'automatisation de collecte de ces informations.

Pour des références complémentaires sur la gestion de configuration, reportez-vous à la section « Informations complémentaires » située à la fin de ce module.

Collecte d'informations de configuration de la PKI d'entreprise

Les informations de configuration au niveau de l'entreprise sont stockées dans Active Directory. Elles portent sur la publication de l'autorité de certification racine approuvée, sur la configuration de l'autorité de certification d'entreprise et sur des informations d'annonce. Elles incluent également les modèles de certificats qui sont présentés dans la procédure suivante.

Cluster de rôle :	Version
Fréquence :	Selon les besoins
Sécurité requise :	Utilisateurs de domaines
Dépendances :	Aucune
Technologie requise :	Certutil.exe DSQuery.exe

Détails de la tâche

L'objectif de la tâche est de gérer les enregistrements des informations suivantes stockées dans Active Directory :

Autorités de certification racine approuvées
Magasin NTAuth
Services d'inscription (autorités de certification d'entreprise)
Certificats croisés
Listes de révocation de certificats publiées

Les commandes nécessaires à la collecte de ces informations sont indiquées dans les procédures suivantes.

Important : dans les commandes ci-après, vous devez remplacer le nom (DN) du domaine racine par celui de la racine de votre forêt.

Remarque : certaines des commandes ont été affichées sur plusieurs lignes pour l'impression, mais doivent être entrées sur une seule ligne.

Pour afficher les autorités de certification racine approuvées
```
certutil -store -enterprise Root
```
Pour afficher les magasins NT Auth :
```
certutil -store -enterprise NTAuth
```

Pour afficher les certificats des autorités de certification courantes :

certutil -store -enterprise "ldap:///cn=Enrollment Services,CN=Public Key
Services,CN=Services,CN=Configuration,
DC=woodgrovebank,DC=com?cACertificate?one?
objectClass=pkiEnrollmentService"

Pour afficher les certificats croisés et intermédiaires :
```
certutil -store -enterprise CA
```

Pour afficher uniquement les certificats de l'autorité de certification intermédiaire :

certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key
Services,CN=Services,CN=Configuration,
DC=woodgrovebank,DC=com?cACertificate?one?
objectClass=certificationAuthority"

Pour afficher uniquement les certificats croisés :

certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key
Services,CN=Services,CN=Configuration,
DC=woodgrovebank,DC=com?cRossCertificatePair?one?
objectClass=certificationAuthority"

Pour afficher les listes de révocation de certificats actuellement publiées :
1. Cette commande affiche les noms de serveur de toutes les autorités de certification qui ont publié des CDP dans le conteneur CDP d'Active Directory :
```
dsquery * "cn=CDP,cn=Public Key Services,cn=Services,
cn=Configuration,DC=woodgrovebank,DC=com" -attr cn -scope onelevel
```
2. Cette commande affiche les noms courants de toutes les autorités de certification ayant publié des CDP dans le conteneur CDP d'Active Directory (il s'agit d'objets enfants de la liste précédente). Sachez qu'une autorité de certification crée un nouveau CDP pour chaque version de l'autorité de certification (incrémentée à chaque renouvellement de l'autorité de certification). Ces noms sont enregistrés sous la forme « nom_courant_autorité_de_certification( X ) » où X correspond au numéro de version de l'autorité de certification :
```
dsquery * "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,
DC=woodgrovebank,DC=com" -attr cn -filter (objectclass=crlDistributionPoint)
```
3. Avec les informations précédentes, vous pouvez afficher la liste de révocation de certificats d'un CDP donné :
```
certutil -store -enterprise "ldap:///cn=Woodgrove Bank Root CA,
cn=HQ-CA-01,cn=CDP,CN=Public Key Services,CN=Services,
CN=Configuration, DC=woodgrovebank,DC=com?
certificateRevocationList?base?objectClass=cRlDistributionPoint"
```
  Important : remplacez « Woodgrove Bank Root CA » par le nom courant de l'autorité de certification, « HQ-CA-01 » par le nom d'hôte de l'autorité de certification et « DC=woodgrovebank,DC=com » par le nom du domaine (DN) racine de votre forêt.
  
  Remarque : si vous devez exécuter cette commande régulièrement, il peut être judicieux de créer un script de fichier de commandes simple pour automatiser cette procédure.

Collecte d'informations de configuration sur un modèle de certificat

Les modèles de certificat sont stockés dans Active Directory. Conservez un enregistrement de la configuration de chacun d'eux ainsi qu'un enregistrement des modèles d'inscription de certificat utilisés pour chaque modèle.

Cluster de rôle :	Version
Fréquence :	Selon les besoins
Sécurité requise :	Utilisateurs de domaines
Dépendances :	Aucune
Technologie requise :	Certutil.exe

Détails de la tâche

Les commandes de collecte de ces informations sont présentées ci-dessous.

Pour générer la liste des modèles configurés dans Active Directory
```
Certutil -template
```
Pour effacer la configuration de ces modèles
```
Certutil -dsTemplate
```

Il n'existe aucun outil pour exporter les autorisations du modèle sous forme utilisable, bien qu'il soit possible de créer un script ADSI (Active Directory Service Interfaces) à cette fin. Conservez manuellement un enregistrement de ces données.

Collecte d'informations de configuration de l'autorité de certification

Cette section traite des informations de configuration stockées localement sur chaque autorité de certification et, dans le cas des autorités de certification d'entreprise, de certaines informations stockées dans Active Directory.

Cluster de rôle :	Version
Fréquence :	Selon les besoins
Sécurité requise :	Administrateurs locaux de l'autorité de certification
Dépendances :	Aucune
Technologie requise :	Certutil.exe

Détails de la tâche

Gérer des enregistrements des informations suivantes :

Informations relatives au Registre de l'autorité de certification
Informations relatives au certificat de l'autorité de certification
Autorisations de l'autorité de certification
Modèles attribués à l'autorité de certification
Déclaration CPS de l'autorité de certification

Les commandes de collecte de ces informations sont présentées ci-dessous :

Pour afficher la configuration du Registre de l'autorité de certification
```
Certutil -getreg
Certutil -getreg CA
```

Pour afficher le certificat de l'autorité de certification en cours

certutil -f -ca.cert %temp%\CAcert.cer > nul &amp;&amp; certutil -dump
%temp%\CACert.cer

Remarque : certaines des commandes ont été affichées sur plusieurs lignes pour l'impression, mais doivent être entrées sur une seule ligne.

Il n'existe aucun outil capable de créer un vidage des autorisations de l'autorité de certification sous une forme utilisable. Conservez manuellement un enregistrement de ces données.

Pour afficher les modèles actuellement attribués à cette autorité de certification
```
Certutil -CATemplates
```

Il convient de gérer le fichier CPS de l'autorité de certification avec un contrôle de version approprié pour permettre d'identifier et de récupérer plus facilement la déclaration CPS qui était en vigueur à un moment donné.

Collecte des informations sur les groupes de gestion de la PKI et de l'autorité de certification

L'appartenance des groupes de gestion de la PKI fait partie des informations importantes puisque ces groupes possèdent le contrôle sur tous les aspects des informations des autorités de certification et de la PKI de l'entreprise.

Cluster de rôle :	Version
Fréquence :	Selon les besoins
Sécurité requise :	Utilisateur de domaine
Dépendances :	Aucune
Technologie requise :	Net.exe

Détails de la tâche

Répertoriez et enregistrez l'appartenance en cours de chacun des groupes d'administration de l'autorité de certification et de la PKI. Si certains des membres sont eux-mêmes des groupes (indiqué par un astérisque avant le nom), établissez aussi la liste de l'appartenance de ces groupes jusqu'à ce que vous ayez la liste complète par utilisateur de l'appartenance de tous les groupes de la PKI.

Les groupes par défaut sont les suivants :

Enterprise PKI Admins
Enterprise PKI Publishers
CA Admins
Gestionnaires de certificats
CA Auditors
Opérateurs de sauvegarde d'autorité de certification

Si vous avez créé des groupes de gestion supplémentaires, incluez-les également.

Pour lister l'appartenance de chaque groupe
```
Net groups nom_groupe /domain
```

Collecte des informations de configuration cliente sur un certificat

Il s'agit des informations de configuration cliente qui sont normalement déployées à l'aide de la stratégie de groupe. Si vous utilisez tout autre mécanisme, par exemple, des scripts SMS ou de connexion, pour déployer des paramètres clients associés à la PKI, indiquez-les ici également.

Cluster de rôle :	Version
Fréquence :	Selon les besoins
Sécurité requise :	Administrateur avec des droits de gestion sur les objets Stratégie de groupe
Dépendances :	Aucune
Technologie requise :	Console Stratégie de groupe

Détails de la tâche

Utilisez la console Stratégie de groupe pour collecter et lister les informations de configuration cliente de la PKI.

Gestion des versions

L'objectif de la gestion des versions est de faciliter l'introduction de versions logicielles et matérielles dans des environnements informatiques gérés (il s'agit en général de l'environnement de production et des environnements pré-production gérés). La gestion des versions constitue le point de coordination entre l'équipe de projet/développement de version et le groupe des opérations responsable du déploiement de la version en production.

Dans cette section, nous allons aborder les changements les plus courants – ajout, modification et suppression de types de certificat (avec des modèles de certificat). Il existe d'autres types de changement que vous devez libérer de façon aussi systématique :

changements de configuration de la PKI (modèles, ID d'objet (OID), etc.),
changement de configuration de l'autorité de certification – paramètres du Registre local plus d'Active Directory dans les objets d'inscription,
changement de configuration cliente – changements apportés aux objets Stratégie de groupe.

Toutes les procédures de libération suivent le processus général défini ci-dessous :

Préparez le changement de version – sauvegardez la configuration existante.
Testez le changement de façon contrôlée.
Déployez le changement d'une façon contrôlée – à des nombres limités.
Annulation des changements – configuration d'Active Directory et de l'autorité de certification.

Libération d'un nouveau modèle de certificat

L'introduction d'un nouveau type de certificat représente un changement important dans l'environnement informatique ; il convient donc que la version soit gérée d'une façon contrôlée et réversible.

Cluster de rôle :	Version
Fréquence :	Selon les besoins
Sécurité requise :	- Enterprise PKI Admins - CA Admins
Dépendances :	Autres procédures mentionnées : - Ajout d'un modèle de certificat - Exportation d'un modèle de certificat à partir d'Active Directory - Importation d'un modèle de certificat dans Active Directory.
Technologie requise :	- Console Autorité de certification - Console Modèles de certificat - Autres outils requis par les tâches dépendantes

Détails de la tâche

La libération d'un nouveau modèle de certificat dans l'environnement de production est décrite dans la procédure suivante.

Pour libérer un nouveau modèle de certificat
1. Sauvegardez la configuration du modèle de certificat existant – cette opération est possible dans le cadre de la sauvegarde Active Directory normale.
2. Créez le nouveau modèle comme indiqué dans « Ajout d'un modèle de certificat ».
3. Supprimez tous les droits existants d'inscription et d'inscription automatique accordés aux autres groupes (recherchez Utilisateurs authentifiés, Utilisateurs de domaine, etc.) Créez le groupe d'inscription de certificat (et/ou le groupe d'inscription automatique) pour le modèle comme décrit dans « Création de groupes d'inscription de modèle de certificat ».
4. Ajoutez le nouveau modèle de certificat à l'autorité de certification émettrice. Si vous n'êtes pas également membre du groupe CA Admins, vous devez vous connecter (ou utiliser la commande runas ) comme membre de ce groupe et lancer la console Autorité de certification. Cliquez avec le bouton droit de la souris sur le dossier Modèles de certificats et sélectionnez Nouveau, Modèle de certificat à délivrer. Ajoutez le modèle à partir de la liste.
5. Ajoutez des utilisateurs ou des ordinateurs test ou pilotes au groupe d'inscription de certificat comme indiqué dans « Activation de l'inscription (ou inscription automatique) d'un type de certificat pour un utilisateur ou un ordinateurcertificat ».
6. Testez l'inscription du nouveau type de certificat pour vérifier qu'elle fonctionne comme prévu.
7. Testez la fonctionnalité du certificat pour vérifier qu'elle est correcte.
8. Si le test est réussi, ajoutez les utilisateurs, ordinateurs ou groupes de sécurité finaux de production au(x) groupe(s) d'inscription de certificat comme indiqué dans « Activation de l'inscription (ou inscription automatique) d'un type de certificat pour un utilisateur ou un ordinateur ».
9. Si ce modèle remplace un ou plusieurs modèles existants, vous pouvez supprimer les modèles remplacés de l'autorité de certification émettrice (à l'aide de la console Autorité de certification) pour éviter les inscriptions de ces types de certificats supplantés. Ne supprimez pas ce modèle de l'annuaire tant que vous n'êtes pas sûr que tout le monde a adopté le nouveau type de modèle.
10. Le cas échéant, mettez à jour votre déclaration CPS pour qu'elle traduise la nouvelle fonctionnalité de certificat.

L'annulation d'un nouveau type de modèle est une opération assez simple tant que les modèles remplacés n'ont pas été supprimés. Si un modèle remplacé a été supprimé, vous devez en restaurer une copie à partir de la sauvegarde, à l'aide d'une restauration Active Directory faisant autorité ou à l'aide des procédures d'exportation et d'importation de modèles décrites à la section « Gestion du stockage ».

Pour annuler l'ajout d'un nouveau modèle
1. Si vous n'avez pas remplacé d'autres modèles par ce modèle, vous pouvez simplement le supprimer.
2. Si vous avez supprimé des modèles remplacés par ce modèle, restaurez-les préalablement à l'aide de la procédure « Importation d'un modèle de certificat dans Active Directory ». Vous devrez restaurer les droits du modèle comme indiqué dans cette procédure.

Libération d'une nouvelle déclaration CPS

Si vous publiez votre déclaration CPS, vous devez la mettre à jour pour qu'elle traduise l'évolution des pratiques et des stratégies de certificat dans votre organisation.

Cluster de rôle :	Version
Fréquence :	Selon les besoins
Sécurité requise :	Administrateur doté de droits de modification d'un fichier CPS sur le serveur Web
Dépendances :	Aucune
Technologie requise :	Éditeur de texte ou HTML selon le format de la déclaration CPS

Détails de la tâche

La déclaration CPS est généralement stockée comme un simple fichier texte ou HTML sur un serveur de fichiers ou sur un serveur Web. Si elle est partagée entre plusieurs autorités de certification, il est normal que toutes les autorités de certification se réfèrent au même fichier.

Pour libérer une nouvelle déclaration CPS :
1. Sauvegardez les déclarations CPS existantes.
2. Apportez les changements requis à une copie hors connexion.
3. Remplacez la déclaration CPS.
4. Testez que le nouveau fichier CPS est lisible à partir d'un emplacement distant.

Libération d'une mise à jour de modèle

Cette tâche décrit comment modifier la version de modèles de certificat existants de façon contrôlée et réversible.

Remarque : apportez des changements importants en dupliquant le modèle et en forçant le nouveau modèle à remplacer le modèle existant, et non en utilisant cette procédure.

Cluster de rôle :	Version
Fréquence :	Selon les besoins
Sécurité requise :	Enterprise PKI Admins
Dépendances :	Autres procédures mentionnées : - Exportation d'un modèle de certificat à partir d'Active Directory - Importation d'un modèle de certificat dans Active Directory - Mise à jour d'un modèle de certificat - Libération d'une nouvelle déclaration CPS
Technologie requise :	- Console Modèles de certificat - Autre technologie requise par les procédures mentionnées

Détails de la tâche

N'apportez des modifications à un modèle de certificat que si elles restent relativement mineures et n'ont pas de répercussion importante pour les utilisateurs du certificat. Il est en effet beaucoup plus difficile de contrôler l'impact de modifications de modèle et infiniment plus complexe d'annuler des changements de modèles.

Pour libérer la mise à jour d'un modèle de certificat
1. Exportez le modèle courant dans un fichier à l'aide de la procédure « Exportation d'un modèle de certificat à partir d'Active Directory ».
2. Connectez-vous en tant que membre du groupe Enterprise PKI Admins et chargez le composant logiciel enfichable Modèles de certificat dans une console MMC. Apportez les modifications au modèle comme indiqué dans « Mise à jour d'un modèle de certificat ».
3. Mettez à jour votre déclaration CPS et suivez les procédures de libération d'une nouvelle déclaration CPS (le cas échéant).
Pour annuler la mise à jour d'un modèle de certificat
- Suivez la procédure « Importation d'un modèle de certificat dans Active Directory » dans la section « Gestion du stockage ».

Libération d'une suppression de modèle

Lorsqu'un modèle de certificat n'est plus requis, il est possible de supprimer son utilisation active ou de le supprimer de l'annuaire.

Cluster de rôle :	Version
Fréquence :	Selon les besoins
Sécurité requise :	Enterprise PKI Admins
Dépendances :	Autres procédures mentionnées : - Suppression d'un modèle de certificat - Libération d'une nouvelle déclaration CPS - Exportation d'un modèle de certificat à partir d'Active Directory - Importation d'un modèle de certificat dans Active Directory.
Technologie requise :	- Console Autorité de certification - Autre technologie requise par les tâches mentionnées

Détails de la tâche

La procédure de libération qui consiste à supprimer l'utilisation active d'un modèle est relativement simple car elle est facile à inverser. La suppression du modèle de l'annuaire est plus problématique dans la mesure où il est nécessaire que le modèle soit réimporté pour pouvoir annuler le changement.

Pour supprimer l'utilisation active d'un modèle de certificat
1. Supprimez le modèle des autorités de certification émettrices courantes comme décrit à la procédure « Suppression d'un modèle de certificat ».
2. Mettez à jour votre déclaration CPS et suivez les procédures de « Libération d'une nouvelle déclaration CPS » (le cas échéant).
Pour annuler la suppression de l'utilisation active d'un modèle
1. Connectez-vous en tant que membre du groupe CA Admins et utilisez la console Autorité de certification pour rajouter les modèles dans les autorités de certification émettrice.
2. Mettez à jour votre déclaration CPS et suivez les procédures de « Libération d'une nouvelle déclaration CPS » (le cas échéant).
Pour supprimer complètement de l'annuaire un modèle de certificat
1. N'exécutez cette procédure qu'après suppression réussie de l'utilisation active du modèle de certificat et test des applications dépendantes, garantissant qu'elles ne subissent aucun impact négatif.
2. Exportez le modèle courant dans un fichier à l'aide de la procédure « Exportation d'un modèle de certificat à partir d'Active Directory ».
3. Suivez la procédure « Suppression d'un modèle de certificat » pour supprimer complètement de l'annuaire un modèle de certificat.
Pour annuler la suppression d'un modèle de l'annuaire
- Suivez la procédure de réimportation du modèle supprimé dans « Importation d'un modèle de certificat dans Active Directory ».

Dépannage

Le dépannage fait appel aux fonctions SMF de gestion des incidents et de gestion des problèmes. La gestion des incidents a pour but de restaurer le service dans les meilleurs délais, la gestion des problèmes est davantage centrée sur l'identification des causes profondes des incidents et sur les efforts tentés pour éviter leur survenue ultérieure.

Cette section est étroitement liée à la section « Tâches Zone de fonctionnement ». La plupart des procédures de dépannage répertoriées ici font référence à des tâches définies dans cette section.

Les incidents de support les plus courants que vous pouvez rencontrer sont identifiés dans cette section, avec les stratégies et les procédures vous permettant de les gérer. L'accent est porté sur la restauration du service dans les meilleurs délais. Dans certains cas, la procédure de dépannage est une simple référence à une procédure de support, mais dans d'autres cas, une procédure de diagnostic plus complexe est en jeu.

Le tableau suivant répertorie certains incidents importants de support et la façon de les traiter. La colonne Processus de support contient les procédures à suivre. Celles-ci sont décrites en détail à la section « Tâches Zone de fonctionnement ». Quand aucun processus n'est indiqué, vous trouverez une procédure de diagnostic adaptée au problème dans la section suivante.

Tableau 15 : Principaux incidents de support

Incident	Description	Processus de support
Absence de réponse du serveur	Le processus logiciel ne répond pas aux requêtes clientes ni aux outils administratifs.	- Redémarrage du service Certificate Services ou - Redémarrage du serveur de l'autorité de certification
Échec de publication de la liste de révocation de certificats	Une liste de révocation de certificats est émise par l'autorité de certification, mais la dernière liste de révocation n'a pas été publiée dans Active Directory et/ou sur le Web.	Voir la procédure de dépannage avancé ci-après.
Absence d'émission de la liste de révocation de certificats	Une liste de révocation de certificats mise à jour n'a pas été émise par l'autorité de certification.	Voir la procédure de dépannage avancé ci-après.
Inscription impossible d'un client pour un certificat	La requête d'inscription du client échoue.	Voir la procédure de dépannage avancé ci-après.
Inscription automatique impossible d'un client pour un certificat	La requête d'inscription automatique du client échoue.	Voir la procédure de dépannage avancé ci-après.
Installation d'un correctif nécessitant un redémarrage	Le correctif qui est installé exige le redémarrage de Windows.	Redémarrage du serveur de l'autorité de certification
Échec permanent du serveur	Corruption ou panne matérielle nécessitant une restauration.	Restauration de l'autorité de certification depuis la sauvegarde
Révocation nécessaire de certificat orphelin	Après la restauration de l'autorité de certification, les certificats délivrés après la dernière sauvegarde ne se trouveront pas dans la base de données. Ceux-ci ne pourront pas être révoqués avec la méthode normale.	Révocation d'un certificat orphelin
Restauration impossible du serveur à temps pour émission de certificat ou de liste de révocation de certificats		Séquence des tâches : Restauration du certificat de l'autorité de certification sur l'ordinateur temporaire Nouvelle signature d'un certificat ou d'une liste de révocation de certificats pour prolonger sa validité
Certificat d'entité finale compromis	La clé privée du certificat est perdue, dévoilée ou compromise d'une façon quelconque.	Révocation d'un certificat d'entité finale
Certificat de l'autorité de certification émettrice compromis	La clé privée du certificat de l'autorité de certification est perdue, dévoilée ou compromise d'une façon quelconque.	Révocation et remplacement d'une autorité de certification émettrice
Certificat de l'autorité de certification racine compromis	La clé privée du certificat de l'autorité de certification est perdue, dévoilée ou compromise d'une façon quelconque.	Révocation et remplacement d'une autorité de certification racine

Procédures de dépannage avancé

Cette section décrit quelques procédures de dépannage que vous pouvez trouver utiles pour résoudre certains des problèmes répertoriés dans le tableau précédent. Ces procédures couvrent le dépannage des problèmes courants suivants :

Problèmes de publication d'une liste de révocation de certificats
Absence d'émission de la liste de révocation de certificats
Inscription impossible d'un client
Inscription automatique impossible d'un client pour un certificat

Problèmes de publication d'une liste de révocation de certificats

Les problèmes de publication de listes de révocation de certificats seront indiqués par une alerte générée par le script CheckCRLs décrit dans la section « Surveillance et contrôle des services ». Un problème survient lorsqu'une liste de révocation de certificats est émise par l'autorité de certification, mais que la dernière liste de révocation n'a pas été publiée dans Active Directory et/ou sur le serveur Web. Les applications nécessitant des vérifications de révocation commencent à échouer si l'erreur n'est pas corrigée.

Examinez le journal des événements produit par CheckCRLs. Vous devez y trouver une indication plus précise du problème, ainsi que l'identité de l'autorité de certification à laquelle appartient le CDP ou la liste de révocation posant problème. Le problème sera l'un des suivants :

Une liste de révocation de certificats à jour n'a pas été émise par l'autorité de certification – le problème vient de l'autorité de certification elle-même.
La liste de révocation de certificats a été générée, mais n'a pas été publiée correctement dans un ou plusieurs des CDP – le problème peut provenir de l'autorité de certification, des communications entre l'autorité de certification et le CDP ou du service du CDP lui-même (Active Directory ou IIS).
La liste de révocation de certificats a été générée et publiée, mais n'est pas récupérable à partir d'un ou plusieurs emplacements du CDP. Le problème provient du service CDP lui-même.
Pour dépanner les problèmes de publication de liste de révocation de certificats
1. Connectez-vous à l'autorité de certification posant problème et vérifiez que la liste de révocation de certificats correspondant à l'autorité émettrice est à jour. Pour visualiser la liste de révocation de certificats des autorités de certifications, saisissez les commandes suivantes (vous devez être membre du groupe CA Admins pour exécuter la première de ces commandes) :
```
Certutil -getCRL %temp%\CA.crl
Certutil -dump %temp%\CA.crl
```
2. Si la liste de révocation de certificats n'est pas à jour, reportez-vous à la procédure « Absence d'émission de la liste de révocation de certificats ».
3. Ouvrez l'outil d'intégrité de la PKI et observez les entrées CDP de l'autorité de certification suspecte. L'outil signale les CDP inaccessibles et les listes de révocation de certificats expirées. (Il ne signale cependant pas les listes de révocation non encore expirées, mais en retard pour renouvellement, c'est-à-dire lorsque la date Publication de la liste de révocation de certificats suivante a été dépassée.)
4. Si des CDP sont présentés comme inaccessibles, étudiez le service de publication correspondant.
5. Si une erreur (du journal des événements) est affichée avec un CDP LDAP, vérifiez le lien entre le contrôleur de domaine d'Active Directory et l'autorité de certification à l'aide de DCDiag (outils de support Windows Server 2003). Vous constaterez ainsi si des problèmes existent au niveau du contrôleur de domaine ou au niveau de la connectivité de l'autorité de certification avec le contrôleur de domaine. Recherchez les erreurs.
6. Vérifiez les droits sur le conteneur CDP pour l'autorité de certification à l'aide de la console Sites et services Active Directory. (Dans : " cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,DC=woodgrovebank,DC=com*"* – remplacez les termes en italiques par le nom de domaine de la racine de votre propre forêt).
7. Créez un compte temporaire et ajoutez-le dans le groupe Cert Publishers. Connectez-vous avec ce compte, utilisez la liste de révocation de certificats récupérée à l'étape 1 et essayez de la publier manuellement dans l'annuaire à l'aide de la commande suivante :
```
certutil -dspublish CA.crl nom_hôte_autorité_certification nom_sujet_autorité_certification
```
8. Si une erreur (provenant du journal des événements) s'affiche avec le CDP HTTP, vérifiez si le serveur IIS est impliqué. Vérifiez la connectivité et les droits d'accès. Exécutez manuellement le script pour publier les listes de révocation de certificats dans le serveur IIS (reportez-vous à la tâche « Publication des listes de révocation de certificats de l'autorité de certification émettrice sur le serveur Web » dans la section « Tâches Zone de fonctionnement ») et recherchez les erreurs. Essayez d'utiliser la même appartenance de compte/groupe que celle de l'autorité de certification elle-même lors de l'exécution de cette tâche.
9. Si les listes de révocation de certificats sont publiées avec succès dans les services CDP, mais qu'un problème survient au niveau de l'intégrité de la PKI, il existe un problème au niveau du service CDP (Active Directory ou IIS lui-même). Le dépannage de ces services dépasse le cadre de ce document.

Absence d'émission de la liste de révocation de certificats

En fonctionnement normal, cette erreur est peu susceptible de se produire. En général, une autorité de certification peut toujours publier une liste de révocation de certificats à moins que vous ne l'ayez reconfigurée pour l'empêcher de publier les listes de révocation de certificats dans le dossier de son système local ( %windir% \system32\certsrv\certenroll). Si vous n'avez pas reconfiguré le chemin de publication local, cette erreur peut indiquer un problème sérieux au niveau de l'autorité de certification. Suivez les procédures de dépannage génériques pour déterminer la cause du problème comme indiqué ci-après. Bien que cette procédure soit ciblée sur les problèmes de liste de révocation de certificats, la plupart des étapes sont génériques et peuvent être utilisées avec tout problème de Certificate Services de bas niveau.

Pour dépanner les problèmes d'émission de liste de révocation de certificats
1. Examinez le journal des événements pour rechercher des erreurs consignées par Certificate Services.
2. Essayez de forcer manuellement une émission de liste de révocation de certificats (connectez-vous en tant que membre du groupe CA Admins) :
```
Certutil -CRL
```
3. En cas d'échec, examinez à nouveau le journal des événements à la recherche de nouvelles erreurs.
4. Examinez le certificat de l'autorité de certification et tous les certificats de la chaîne jusqu'à l'autorité racine pour détecter des problèmes éventuels au niveau des certificats (certificats expirés, révoqués, etc.).
5. Vérifiez que vous pouvez signer à nouveau un certificat ou une liste de révocation de certificats avec la clé de l'autorité de certification (reportez-vous à la procédure « Nouvelle signature d'un certificat ou d'une liste de révocation de certificats pour prolonger sa validité » dans « Tâches Zone de support »).
6. Redémarrez l'autorité de certification et exécutez à nouveau ces vérifications.
7. Si la liste de révocation de certificats n'est pas générée, activez la journalisation du débogage (Voir Journalisation des services de certificats). Essayez ensuite d'émettre la liste de révocation de certificats et recherchez les erreurs dans le journal.

Inscription impossible d'un client pour un certificat

Exécutez les étapes suivantes pour diagnostiquer des problèmes d'inscription de certificat.

Vérifiez que le modèle de certificat a été attribué à une autorité de certification.
Vérifiez que l'utilisateur ou l'ordinateur possède des droits d'inscription sur l'autorité de certification où a été attribué le modèle.
Vérifiez que le modèle correspond au type de sujet – les modèles utilisateur ne peuvent être inscrits que par des utilisateurs et les modèles ordinateur que par des ordinateurs.
Vérifiez que l'autorité de certification a accès à ses propres listes de révocation de certification publiées et à celles de ses autorités parentes. L'autorité de certification exécute toujours un contrôle de vérification avant d'émettre un certificat.
Vérifiez que le modèle de certificat n'active pas l'utilisation de fournisseurs de services cryptographiques (CSP) non disponibles pour le sujet en train de s'inscrire. Par exemple, des fournisseurs CSP par carte à puce pour un ordinateur, ou si l'utilisateur ne dispose pas de carte à puce, des fournisseurs CSP par canal sécurisé (SCChannel) RSA (Rivest-Shamir-Adleman).
Vérifiez que le modèle de certificat ne requiert pas dans les champs Nom du sujet ou Autre nom du sujet des informations n'existant pas dans Active Directory. Un problème courant est le suivant : spécifier que l'adresse de messagerie électronique doit être incluse dans le nom du sujet alors que le champ de messagerie électronique n'est pas complété dans l'objet Active Directory de l'utilisateur.

Inscription automatique impossible d'un client pour un certificat

Vous pouvez trouver un guide exhaustif permettant de comprendre et de résoudre les problèmes d'inscription automatique dans l'article « Certificate Autoenrollment in Windows XP » sur le site : https://www.microsoft.com/WindowsXP/pro/techinfo/administration/autoenroll/default.asp.

Vérifiez qu'un client peut inscrire manuellement le certificat que vous essayez d'inscrire automatiquement. Chargez la console Certificats et demandez un nouveau certificat. Si le type de certificat n'apparaît pas ou s'il apparaît mais qu'une erreur est générée lors de la tentative d'inscription, suivez la procédure de la section suivante « Inscription impossible d'un client pour un certificat ».

Si l'inscription manuelle est possible, continuez avec les étapes suivantes.

Vérifiez que la plate-forme correcte est utilisée. Seuls Windows 2000 et les versions ultérieures prennent en charge l'inscription automatique d'ordinateur. Seuls Windows XP et Windows Server 2003 prennent en charge l'inscription automatique d'utilisateur.
Vérifiez que l'utilisateur ou l'ordinateur détient des droits d' inscription automatique sur le modèle de certificat pour le type de certificat requis.
Vérifiez que le paramètre de stratégie de groupe d'inscription automatique a été correctement spécifié. Pour que l'inscription automatique fonctionne correctement, l'objet Stratégie de groupe sur lequel est configuré l'inscription automatique doit avoir priorité sur tous les autres objets Stratégie de groupe. Par exemple, si cet objet est créé au niveau du domaine, il doit détenir une priorité supérieure à la stratégie de domaine par défaut. Vous pouvez vérifier cette priorité au niveau de la console Jeu de stratégie résultant.
Vérifiez que le modèle de certification ne requiert pas d'approbation manuelle ou de signatures de l'autorité d'inscription. Les demandes de certificats qui nécessitent l'approbation du gestionnaire de certificats seront soumises à approbation, mais le certificat ne sera pas délivré à l'utilisateur avant que ce dernier ne l'ait approuvé manuellement. Les demandes nécessitant des signatures de l'autorité d'inscription seront rejetées puisqu'il n'existe pas de mécanisme d'ajout de signatures supplémentaires à une demande d'inscription automatique.
Vérifiez que le modèle de certificat n'est pas défini de façon à attendre que les informations de sujet soient fournies dans la demande. Pour les certificats à inscription automatique, le sujet (et l'autre nom du sujet) doit être défini par l'autorité de certification.

Outils et techniques de dépannage

Cette section présente un certain nombre d'outils servant à diagnostiquer et à résoudre les problèmes liés à la PKI. Elle décrit également la journalisation des services de certificats et explique comment activer une journalisation plus détaillée pour ce service et l'inscription automatique de client.

PKI Health

PKI Health est essentiellement un outil de diagnostic CDP et AIA qui permet de construire une vue de toutes les autorités de certification dans l'entreprise. Il est très pratique pour diagnostiquer les problèmes de connectivité et de publication CDP et AIA. Vous pouvez télécharger les listes de révocation de certificats ou les certificats référencés par le CDP ou l'AIA. Cet outil est disponible dans le cadre du kit de ressources Windows.

Certutil

Certutil est l'outil le plus important pour la gestion et le dépannage des autorités de certification Windows. Pour une discussion sur certaines des utilisations principales de l'outil, reportez-vous au document « Using Certutil.exe to Manage and Troubleshoot Certificate Services », sur le site :

https://www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp

Toutefois, il existe un certain nombre d'autres options disponibles à des fins variées de gestion et de diagnostic. Vous pouvez afficher la liste complète des options disponibles en tapant :

Certutil -uSAGE

Autres outils de diagnostic

Voici d'autres outils pratiques de diagnostic et de gestion :

Certreq.exe – permet de créer, soumettre et récupérer des demandes de certificat à partir de la ligne de commande.
DCDiag.exe – pratique pour diagnostiquer des problèmes Active Directory susceptibles d'affecter les autorités de certification.

Journalisation des services de certificats

Le service Certificate Services et ses outils associés produisent plusieurs journaux pouvant se révéler très précieux lors d'un dépannage.

Certificate Services consigne des informations dans %systemroot%\ certsrv.log (lorsque la journalisation du débogage est activée).
Certutil.exe consigne des informations dans %systemroot%\ certutil.log.
La console Autorité de certification consigne des informations dans %windir% \certmmc.log.
Pour activer la journalisation du débogage dans les services de certificats
1. Exécutez la commande suivante :
```
certutil -setreg CA\Debug 0xffffffe3
```

Les entrées du journal sont sauvegardées dans %windir% \certsrv.log

Pour désactiver la journalisation du débogage
1. Exécutez la commande suivante :
```
certutil -delreg CA\Debug
```

Journalisation de l'inscription automatique

Pour activer la journalisation supplémentaire des événements d'inscription automatique, vous devez ajouter une valeur de Registre. La journalisation renforcée est activée séparément pour l'inscription automatique d'utilisateur et l'inscription automatique d'ordinateur.

Pour activer la journalisation de l'inscription automatique d'un utilisateur
1. Créez une nouvelle valeur de Registre DWORD nommée AEEventLogLevel dans la clé HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment.
2. Définissez la valeur sur 0.
Pour activer la journalisation de l'inscription automatique d'un ordinateur
1. Créez une nouvelle valeur de Registre DWORD nommée AEEventLogLevel dans la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Autoenrollment.
2. Définissez la valeur sur 0.

Remarque : tous les échecs et erreurs sont automatiquement consignés. Il n'est pas nécessaire d'activer la clé de Registre pour activer la journalisation des échecs.

Tableaux de configuration

Les tableaux suivants contiennent des informations de configuration spécifiques de site et spécifiques de solution référencées par les procédures de ce module. Il s'agit d'un sous-ensemble des tableaux de configuration de planification dans la partie « Building Certificate Services » du Build Guide complet disponible pour téléchargement sur le site : https://www.microsoft.com/downloads/details.aspx?FamilyID=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en.

Tableau 16 : Éléments de configuration définis par l'utilisateur

Élément de configuration	Paramètre
Nom DNS du domaine racine de la forêt Active Directory	woodgrovebank.com
Nom de domaine (DN) de la racine de la forêt	DC=woodgrovebank,DC=com
Nom du serveur de l'autorité de certification racine	HQ-CA-01
Nom du serveur de l'autorité de certification émettrice	HQ-CA-01
CN X.500 de l'autorité de certification racine	Woodgrove Bank Root CA
CN X.500 de l'autorité de certification émettrice	Woodgrove Bank Issuing CA 1
Nom d'hôte qualifié complet du serveur Web utilisé pour publier le certificat de l'autorité de certification et les informations de révocation	www.woodgrovebank.com

Tableau 17 : Éléments de configuration définis par solution

Élément de configuration	Paramètre
Administrateurs du conteneur de configuration Public Key Services	Enterprise PKI Admins
Utilisateurs autorisés à publier des listes de révocation de certificats et des certificats de l'autorité de certification dans le conteneur de configuration de l'entreprise	Enterprise PKI Publishers
Groupe administratif qui configure et gère les autorités de certification ; contrôle également la capacité à affecter d'autres rôles de l'autorité de certification et à renouveler le certificat de l'autorité de certification	CA Admins
Groupe administratif qui approuve l'inscription de certificat et les demandes de révocation ; un rôle CA Officer	Gestionnaires de certificats
Groupe administratif qui gère les journaux d'audit et de sécurité de l'autorité de certification	CA Auditors
Groupe administratif qui gère les sauvegardes de l'autorité de certification	Opérateurs de sauvegarde d'autorité de certification
Nom de l'annuaire virtuel IIS utilisé pour publier le certificat de l'autorité de certification et les informations de liste de révocation de certificats	pki
Chemin physique sur l'autorité de certification émettrice qui effectue un mappage sur l'annuaire virtuel IIS	C:\CAWWWPub
Lecteur et chemin de stockage des fichiers de demande des services de certificats	C:\CAConfig
Lecteur et chemin de stockage de la base de données des services de certificats	%systemroot% \System32\CertLog
Lecteur et chemin de stockage des journaux de la base de données des services de certificats	D:\CertLog
Chemin des scripts d'installation	C:\MSSScripts

Informations complémentaires

Pour plus d'informations sur l'un des modèles d'équipe ou de processus Microsoft Operations Framework, reportez-vous aux références dans le premier module du Operations Guide disponible pour téléchargement sur le site : https://www.microsoft.com/downloads/details.aspx?FamilyID=cdb639b3-010b-47e7-b234-a27cda291dad&displaylang=en.

Pour plus d'informations sur le déploiement MOM, reportez-vous au MOM Operations Guide, sur le site : https://technet.microsoft.com/en-us/library/cc722557.aspx. en anglais)
Pour plus d'informations sur la gestion des correctifs à l'aide de Microsoft Systems Management Server, reportez-vous au site : https://www.microsoft.com/france/sysmans/decouvrez/securite.mspx.
Pour plus d'informations sur la gestion des correctifs à l'aide de Microsoft Software Update Services, reportez-vous au site : https://www.microsoft.com/france/technet/windowsserver/librairie/WSUS_processus_gestion_update.mspx.
Pour plus d'informations sur l'obtention et l'utilisation de la console Stratégie de groupe, reportez-vous au site : https://www.microsoft.com/windowsserver2003/gpmc/default.mspx.
Pour plus d'informations sur les problèmes de publication de listes de révocation de certificats, reportez-vous au site : https://technet.microsoft.com/en-us/library/bb457097.aspx (en anglais).
Pour plus d'informations sur les contraintes de capacité et les compteurs de performances associés des services de certificats, reportez-vous à la Base de connaissances de Microsoft Q146005, « Optimizing Windows NT for Performance » sur le site : https://support.microsoft.com/default.aspx?scid=324744.
Pour plus d'informations sur les autres tâches opérationnelles, reportez-vous à la documentation du produit Windows Server 2003 Certificate Services, sur le site : https://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_CS_procs_admin.asp.
Pour les outils de dépannage Certutil, reportez-vous au livre blanc « Using Certutil.exe to Manage and Troubleshoot Certificate Services » sur le site : https://www.microsoft.com/windows2000/techinfo/administration/security/certutil.asp.
Pour le guide exhaustif permettant de comprendre et de résoudre les problèmes d'inscription automatique, reportez-vous à l'article « Certificate Autoenrollment in Windows XP » sur le site : https://www.microsoft.com/WindowsXP/pro/techinfo/administration/autoenroll/default.asp.