Exporter (0) Imprimer
Développer tout

Migration des services de certificats Active Directory (AD CS) : migration de l'autorité de certification

Mis à jour: janvier 2011

S'applique à: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Server 2008, Windows Server 2008 R2

Passez en revue toutes les procédures de cette rubrique et effectuez uniquement celles qui sont requises pour votre scénario de migration.

Sauvegarde de la base de données et de la clé privée d'une autorité de certification

Vous pouvez sauvegarder la base de données et la clé privée de l'autorité de certification en utilisant le composant logiciel enfichable Autorité de certification ou en utilisant Certutil.exe à une invite de commandes. Effectuez l'une des procédures de sauvegarde décrites dans cette section.

noteRemarque
Si un module de sécurité matériel (HSM) est utilisé par l'autorité de certification, sauvegardez les clés privées en suivant les procédures du fournisseur du HSM.

Une fois les étapes de sauvegarde effectuées, le service Services de certificats Active Directory (Certsvc) doit être arrêté pour empêcher l'émission de certificats supplémentaires. Avant d'être ajouté au serveur de destination, le service de rôle Autorité de certification doit être supprimé du serveur source.

Les fichiers de sauvegarde créés au cours de ces procédures doivent être stockés au même emplacement pour simplifier la migration. Cet emplacement doit être accessible à partir du serveur de destination ; il peut s'agir, par exemple, d'un média amovible ou d'un dossier partagé sur le serveur de destination ou un autre membre du domaine.

Sauvegarde de la base de données et de la clé privée d'une autorité de certification à l'aide du composant logiciel enfichable Autorité de certification

La procédure suivante décrit les étapes permettant de sauvegarder la base de données et la clé privée de l'autorité de certification à l'aide du composant logiciel enfichable Autorité de certification en étant connecté à l'autorité de certification source.

Vous devez utiliser un compte administrateur de l'autorité de certification. Sur une autorité de certification d'entreprise, la configuration par défaut pour les administrateurs d'autorité de certification inclut le groupe Administrateurs local, le groupe Administrateurs de l'entreprise et le groupe Admins du domaine. Sur une autorité de certification autonome, la configuration par défaut pour les administrateurs d'autorité de certification inclut le groupe Administrateurs local.

Pour sauvegarder la base de données et la clé privée d'une autorité de certification à l'aide du composant logiciel enfichable Autorité de certification

  1. Choisissez un emplacement de sauvegarde et raccordez le média, si nécessaire.

  2. Connectez-vous à l'autorité de certification source.

  3. Ouvrez le composant logiciel enfichable Autorité de certification.

  4. Cliquez avec le bouton droit sur le nœud portant le nom de l'autorité de certification, pointez sur Toutes les tâches, puis cliquez sur Sauvegarder l'autorité de certification.

  5. Dans la page Bienvenue de l'Assistant Sauvegarde d'autorité de certification, cliquez sur Suivant.

  6. Dans la page Éléments à sauvegarder, activez les cases à cocher Clé privée et certificat d'autorité de certification et Base de données de certificats et journal de la base de données de certificats, spécifiez l'emplacement de sauvegarde, puis cliquez sur Suivant.

  7. Dans la page Sélectionnez un mot de passe, tapez un mot de passe pour protéger la clé privée de l'autorité de certification et cliquez sur Suivant.

    securitySécurité Remarque
    Utilisez un mot de passe fort ; par exemple, d'une longueur d'au moins huit caractères et combinant des majuscules et des minuscules, des chiffres et des signes de ponctuation.

  8. Dans la page Fin de l'Assistant, cliquez sur Terminer.

  9. Une fois la sauvegarde terminée, vérifiez les fichiers suivants à l'emplacement que vous avez spécifié :

    • NomAutoritéCert.p12 contenant le certificat et la clé privée de l'autorité de certification

    • Dossier Database contenant les fichiers certbkxp.dat, edb#####.log et NomAutoritéCert.edb

  10. Ouvrez une fenêtre d'invite de commandes et tapez net stop certsvc pour arrêter le service Services de certificats Active Directory.

    ImportantImportant
    Ce service doit être arrêté pour empêcher l'émission de certificats supplémentaires. Si des certificats sont émis par l'autorité de certification source alors qu'une sauvegarde de la base de données a été effectuée, répétez la procédure de sauvegarde de la base de données de l'autorité de certification pour que la sauvegarde de la base de données contienne tous les certificats émis.

  11. Copiez tous les fichiers de sauvegarde à un emplacement accessible à partir du serveur de destination ; par exemple, un partage réseau ou un média amovible.

    securitySécurité Remarque
    La clé privée doit être mise à l'abri du danger. Protégez un dossier partagé en limitant sa liste de contrôle d'accès aux administrateurs d'autorité de certification autorisés. Protégez le média amovible de tout accès non autorisé et de tout dommage.

Sauvegarde de la base de données et de la clé privée d'une autorité de certification à l'aide de Certutil.exe

La procédure suivante décrit les étapes permettant de sauvegarder la base de données et la clé privée de l'autorité de certification à l'aide de Certutil.exe en étant connecté à l'autorité de certification source.

Vous devez utiliser un compte administrateur de l'autorité de certification. Sur une autorité de certification d'entreprise, la configuration par défaut pour les administrateurs d'autorité de certification inclut le groupe Administrateurs local, le groupe Administrateurs de l'entreprise et le groupe Admins du domaine. Sur une autorité de certification autonome, la configuration par défaut pour les administrateurs d'autorité de certification inclut le groupe Administrateurs local.

Pour sauvegarder la base de données et la clé privée d'une autorité de certification à l'aide de Certutil.exe

  1. Ouvrez une session avec les informations d'identification d'administration locales sur l'ordinateur de l'autorité de certification.

  2. Ouvrez une fenêtre d'invite de commandes.

  3. Tapez Certutil.exe –backupdb <RépertoireSauvegarde> et appuyez sur ENTRÉE.

  4. Tapez Certutil.exe –backupkey <RépertoireSauvegarde> et appuyez sur ENTRÉE.

    noteRemarque
    RépertoireSauvegarde spécifie le répertoire dans lequel les fichiers de sauvegarde sont créés. La valeur spécifiée peut être un chemin d'accès relatif ou absolu. S'il n'existe pas, le répertoire spécifié est créé. Les fichiers de sauvegarde sont créés dans un sous-répertoire nommé Database.

  5. À l'invite, tapez un mot de passe et appuyez sur ENTRÉE. Vous devez conserver une copie du mot de passe pour accéder à la clé pendant l'installation de l'autorité de certification sur le serveur de destination.

    securitySécurité Remarque
    Utilisez un mot de passe fort ; par exemple, d'une longueur d'au moins huit caractères et combinant des majuscules et des minuscules, des chiffres et des symboles.

  6. Tapez net stop certsvc et appuyez sur ENTRÉE pour arrêter le service Services de certificats Active Directory. Ce service doit être arrêté pour empêcher l'émission de certificats supplémentaires.

  7. Une fois la sauvegarde terminée, vérifiez les fichiers suivants à l'emplacement que vous avez spécifié :

    • NomAutoritéCert.p12 contenant le certificat et la clé privée de l'autorité de certification

    • Dossier Database contenant les fichiers certbkxp.dat, edb#####.log et NomAutoritéCert.edb

  8. Copiez tous les fichiers de sauvegarde à un emplacement accessible à partir du serveur de destination ; par exemple, un partage réseau ou un média amovible.

    securitySécurité Remarque
    La clé privée doit être mise à l'abri du danger. Protégez un dossier partagé en accordant l'autorisation aux seuls administrateurs d'autorité de certification autorisés. Protégez le média amovible de tout accès non autorisé et de tout dommage.

Sauvegarde des paramètres de Registre de l'autorité de certification

Effectuez l'une des procédures suivantes pour sauvegarder les paramètres de Registre de l'autorité de certification.

Les fichiers créés pendant la procédure de sauvegarde doivent être stockés au même emplacement que les fichiers de sauvegarde de la base de données et de la clé privée pour simplifier la migration. Cet emplacement doit être accessible à partir du serveur de destination ; il peut s'agir, par exemple, d'un média amovible ou d'un dossier partagé sur le serveur de destination ou un autre membre du domaine.

Vous devez être connecté à l'autorité de certification source avec un compte membre du groupe Administrateurs local.

Pour sauvegarder les paramètres de Registre de l'autorité de certification à l'aide de Regedit.exe

  1. Cliquez sur Démarrer, pointez sur Exécuter et tapez regedit pour ouvrir l'Éditeur du Registre.

  2. Dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, cliquez avec le bouton droit sur Configuration, puis cliquez sur Exporter.

  3. Spécifiez un emplacement et un nom de fichier, puis cliquez sur Enregistrer. Cela crée un fichier de Registre qui contient les données de configuration de l'autorité de certification source.

  4. Copiez le fichier de Registre à un emplacement accessible à partir du serveur de destination ; par exemple, un dossier partagé ou un média amovible.

Pour sauvegarder les paramètres de Registre de l'autorité de certification à l'aide de Reg.exe

  1. Ouvrez une fenêtre d'invite de commandes.

  2. Tapez reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration <fichier_sortie.reg> et appuyez sur ENTRÉE.

  3. Copiez le fichier de Registre à un emplacement accessible à partir du serveur de destination ; par exemple, un dossier partagé ou un média amovible.

Sauvegarde de CAPolicy.inf

Si votre autorité de certification source utilise un fichier CAPolicy.inf personnalisé, vous devez copier ce fichier au même emplacement que les fichiers de sauvegarde de l'autorité de certification source.

Le fichier CAPolicy.inf se trouve dans le répertoire %SystemRoot%, qui est habituellement C:\Windows.

Suppression du service de rôle Autorité de certification sur le serveur source

Il est important de supprimer le service de rôle Autorité de certification du serveur source après avoir effectué les procédures de sauvegarde et avant de l'installer sur le serveur de destination. Les autorités de certification d'entreprise et autonomes qui sont membres du domaine stockent dans les services de domaine Active Directory (AD DS) les données de configuration associées au nom commun de l'autorité de certification. Supprimer le service de rôle Autorité de certification supprime également des services de domaine Active Directory les données de configuration de l'autorité de certification. Étant donné que les autorités de certification source et de destination ont le même nom commun, supprimer du serveur source le service de rôle Autorité de certification après l'avoir installé sur le serveur de destination supprime les données de configuration requises par l'autorité de certification de destination et en gêne le fonctionnement.

La suppression du service de rôle Autorité de certification sur le serveur source ne supprime pas la base de données, la clé privée et le certificat de l'autorité de certification. Par conséquent, réinstaller ce service sur le serveur source a pour effet de restaurer l'autorité de certification source si la migration échoue et que l'exécution d'une restauration est nécessaire. Consultez Restauration des services de certificats Active Directory (AD CS) sur le serveur source en cas d'échec de la migration.

WarningAvertissement
Bien que cela ne soit pas recommandé, certains administrateurs peuvent choisir de laisser le service de rôle Autorité de certification installé sur le serveur source pour permettre une mise en ligne rapide de l'autorité de certification source en cas d'échec de la migration. Si vous choisissez de ne pas supprimer le service de rôle Autorité de certification du serveur source avant de l'installer sur le serveur de destination, il est important de désactiver le service Services de certificats Active Directory (Certsvc) et d'arrêter le serveur source avant d'installer le service de rôle Autorité de certification sur le serveur de destination. Ne supprimez pas le service de rôle Autorité de certification du serveur source après avoir effectué la migration vers le serveur de destination. En effet, procéder ainsi interférerait avec le fonctionnement de l'autorité de certification de destination.

  • Pour supprimer l'autorité de certification sur un ordinateur qui exécute Windows Server 2003, utilisez l'Assistant Ajouter ou supprimer des composants Windows.

  • Pour supprimer l'autorité de certification sur un ordinateur qui exécute Windows Server 2008, utilisez l'Assistant Suppression de rôle du Gestionnaire de serveur.

Suppression du serveur source du domaine

Étant donné que les noms d'ordinateurs doivent être uniques dans un domaine Active Directory, il est nécessaire de supprimer le serveur source de son domaine et de supprimer le compte d'ordinateur associé d'Active Directory avant de joindre le serveur de destination au domaine.

Si vous avez accès à un ordinateur membre du domaine qui exécute Windows Server 2008 ou Windows Server 2008 R2, effectuez la procédure suivante pour supprimer le serveur source du domaine à l'aide de Netdom.exe.

Si vous n’avez pas accès à un ordinateur qui exécute Windows Server 2008 ou Windows Server 2008 R2, suivez la procédure Se joindre à un groupe de travail (http://go.microsoft.com/fwlink/?LinkId=207683). La jonction à un groupe de travail supprime également un ordinateur membre du domaine de son domaine.

Pour supprimer le serveur source du domaine à l'aide de Netdom.exe

  1. Sur un ordinateur membre du domaine qui exécute Windows Server 2008 ou Windows Server 2008 R2, ouvrez une fenêtre d'invite de commandes avec élévation de privilèges.

  2. Tapez netdom remove <nom du serveur source> /d:<noms du domaine> /ud:<compte d'utilisateur du domaine> /pd:* et appuyez sur ENTRÉE. Pour plus d’options de ligne de commande, voir la syntaxe de Netdom remove (http://go.microsoft.com/fwlink/?LinkId=207681).

  3. Arrêtez le serveur source.

Après avoir supprimé le serveur source de son domaine, supprimez d’AD DS le compte d’ordinateur du serveur source en effectuant la procédure Supprimer un compte d’ordinateur (http://go.microsoft.com/fwlink/?LinkID=138386).

Jonction du serveur de destination au domaine

Avant de joindre le serveur de destination au domaine, donnez à l'ordinateur le même nom que le serveur source. Effectuez ensuite la procédure visant à joindre le serveur de destination au domaine.

Si votre serveur de destination s'exécute avec l'option d'installation minimale, vous devez utiliser la procédure en ligne de commande.

Pour renommer le serveur de destination, vous devez être membre du groupe Administrateurs local. Pour joindre le serveur au domaine, vous devez être membre des groupes Admins du domaine ou Administrateurs de l'entreprise ou des autorisations doivent vous avoir été déléguées pour joindre le serveur de destination à une unité d'organisation du domaine.

noteRemarque
Si vous migrez une autorité de certification autonome qui n'est pas membre du domaine, effectuez uniquement les étapes servant à renommer le serveur de destination et ne joignez pas le serveur de destination au domaine.

Pour joindre le serveur de destination au domaine à l'aide de Netdom.exe

  1. Sur le serveur de destination, ouvrez une fenêtre d'invite de commandes avec élévation de privilèges.

  2. Tapez netdom renamecomputer <nom de l'ordinateur> /newname:<nouveau nom de l'ordinateur>

  3. Redémarrez le serveur de destination.

  4. Une fois le serveur de destination redémarré, connectez-vous à l'aide d'un compte autorisé à joindre des ordinateurs au domaine.

  5. Ouvrez une fenêtre d'invite de commandes avec élévation de privilèges, tapez netdom join <nom de l'ordinateur> /d:<nom du domaine> /ud:<compte d'utilisateur du domaine> /pd:* [/ou:<nom de l'unité d'organisation>] et appuyez sur ENTRÉE. Pour plus d’options de ligne de commande, voir la syntaxe de Netdom join (http://go.microsoft.com/fwlink/?LinkId=207680).

  6. Redémarrez le serveur de destination.

Ajout du service de rôle Autorité de certification au serveur de destination

Cette section décrit deux procédures différentes pour l'ajout du service de rôle Autorité de certification au serveur de destination, y compris des instructions spéciales pour l'utilisation du clustering avec basculement.

Passez en revue les énoncés suivants pour identifier les procédures à effectuer.

Instructions spéciales pour la migration vers un cluster de basculement

Si vous effectuez une migration vers un cluster de basculement, les procédures d'importation du certificat de l'autorité de certification et d'ajout du service de rôle Autorité de certification doivent être effectuées sur chaque nœud de cluster. Une fois le service de rôle Autorité de certification ajouté à chaque nœud, vous devez arrêter le service Services de certificats Active Directory (Certsvc).

En outre, il est important de vérifier que le stockage partagé utilisé par l'autorité de certification est en ligne et attribué au nœud auquel vous ajoutez le service de rôle Autorité de certification.

La base de données et les fichiers journaux de l'autorité de certification doivent se trouver sur le stockage partagé. Spécifiez l'emplacement de stockage partagé au cours de l'étape 12 de la procédure d'installation de l'autorité de certification.

Pour vérifier que le stockage partagé est en ligne

  1. Ouvrez une session sur le serveur de destination.

  2. Démarrez le Gestionnaire de serveur.

  3. Dans l'arborescence de la console, double-cliquez sur Stockage, puis cliquez sur Gestion des disques.

  4. Vérifiez que le stockage partagé est en ligne et attribué au nœud auquel vous êtes connecté.

Importation du certificat de l'autorité de certification

Si vous ajoutez le service de rôle Autorité de certification à l'aide du Gestionnaire de serveur, vous devez effectuer la procédure suivante pour importer le certificat de l'autorité de certification.

Si vous ajoutez le service de rôle Autorité de certification à l'aide de SetupCA.vbs, ignorez la procédure suivante et continuez à la section Ajout du service de rôle Autorité de certification à l'aide de SetupCA.vbs.

Pour importer le certificat de l'autorité de certification

  1. Démarrez le composant logiciel enfichable Certificats pour le compte d'ordinateur local.

  2. Dans l'arborescence de la console, double-cliquez sur Certificats (ordinateur local) et cliquez sur Personnel.

  3. Dans le menu Action, cliquez sur Toutes les tâches, puis sur Importer pour ouvrir l'Assistant Importation de certificat. Cliquez sur Suivant.

  4. Trouvez le fichier <NomAutoritéCert>.p12 créé par la sauvegarde du certificat et de la clé privée de l'autorité de certification, puis cliquez sur Ouvrir.

  5. Tapez le mot de passe et cliquez sur OK.

  6. Cliquez sur Placer tous les certificats dans le magasin suivant.

  7. Vérifiez que Personnel est affiché dans Magasin de certificats. S'il ne l'est pas, cliquez sur Parcourir, sur Personnel, puis sur OK.

    noteRemarque
    Si vous utilisez un HSM réseau, effectuez les étapes 8 à 10 pour réparer l'association entre le certificat d'autorité de certification importé et la clé privée stockée dans le HSM.

  8. Dans l'arborescence de la console, double-cliquez sur Certificats personnels et cliquez sur le certificat d'autorité de certification importé.

  9. Dans le menu Action, cliquez sur Ouvrir. Cliquez sur l'onglet Détails, copiez le numéro de série dans le Presse-papiers, puis cliquez sur OK.

  10. Ouvrez une fenêtre d'invite de commandes, tapez certutil –repairstore My "{NuméroSérie}", puis appuyez sur ENTRÉE.

Ajout du service de rôle Autorité de certification à l'aide du Gestionnaire de serveur

Si votre serveur de destination est membre du domaine, vous devez utiliser un compte membre du groupe Admins du domaine ou Administrateurs de l'entreprise pour que l'Assistant Installation ait accès aux objets des services de domaine Active Directory.

Pour ajouter le service de rôle Autorité de certification à l'aide du Gestionnaire de serveur

  1. Ouvrez une session sur le serveur de destination et démarrez le Gestionnaire de serveur.

  2. Dans l'arborescence de la console, cliquez sur Rôles.

  3. Dans le menu Action, cliquez sur Ajouter des rôles.

  4. Si la page Avant de commencer s'affiche, cliquez sur Suivant.

  5. Dans la page Sélectionner des rôles de serveurs, activez la case à cocher Services de certificats Active Directory, puis cliquez sur Suivant.

  6. Dans la page Introduction aux services de certificats Active Directory, cliquez sur Suivant.

  7. Dans la page Services de rôle, activez la case à cocher Autorité de certification et cliquez sur Suivant.

    noteRemarque
    Si vous projetez d'installer d'autres services de rôle sur le serveur de destination, vous devez d'abord installer l'autorité de certification, puis les autres services de rôle séparément. Les procédures d'installation des autres services de rôle AD CS ne sont pas décrites dans ce guide.

  8. Dans la page Spécifier le type d'installation, spécifiez Entreprise ou Autonome, pour correspondre à l'autorité de certification source, et cliquez sur Suivant.

  9. Dans la page Spécifier le type d'autorité de certification, spécifiez Autorité de certification racine ou Autorité de certification secondaire, pour correspondre à l'autorité de certification source, et cliquez sur Suivant.

  10. Dans la page Configurer la clé privée, sélectionnez Utiliser une clé privée existante et Sélectionner un certificat et utiliser sa clé privée associée.

    noteRemarque
    Si un HSM est utilisé par l'autorité de certification, sélectionnez la clé privée conformément aux procédures indiquées par le fournisseur du HSM.

  11. Dans la liste Certificats, cliquez sur le certificat d'autorité de certification importé, puis sur Suivant.

    noteRemarque
    Si vous utilisez un fournisseur de services de chiffrement personnalisé qui requiert la protection renforcée par clé privée, cliquez sur Autoriser l'interaction de l'administrateur lorsque l'autorité de certification accède à la clé privée. Les fournisseurs de services de chiffrement inclus avec Windows Server ne requièrent pas l'activation de ce paramètre.

  12. Dans la page Configurer la base de données de certificats, spécifiez les emplacements de la base de données et des fichiers journaux de l'autorité de certification.

    noteRemarque
    Si vous effectuez une migration de l'autorité de certification vers un cluster de basculement, les emplacements spécifiés pour la base de données et les fichiers journaux doivent se trouver sur le stockage partagé attaché à tous les nœuds. Étant donné que l'emplacement est commun aux nœuds de cluster, cliquez sur Oui pour remplacer la base de données d'autorité de certification existante lorsque vous ajoutez le service de rôle Autorité de certification à d'autres nœuds.

    ImportantImportant
    Si vous spécifiez des emplacements différents de ceux qui sont utilisés sur l'autorité de certification source, vous devez également modifier le fichier de sauvegarde des paramètres du Registre avant que l'autorité de certification ne soit restaurée. Si les emplacements spécifiés pendant l'installation ne sont pas les mêmes que ceux qui sont spécifiés dans les paramètres du Registre, l'autorité de certification ne peut pas démarrer.

  13. Dans la page Confirmer les sélections pour l'installation, passez les messages en revue, puis cliquez sur Installer.

  14. Si vous effectuez une migration vers un cluster de basculement, arrêtez le service Services de certificats Active Directory (Certsvc) et le service HSM si votre autorité de certification utilise un HSM. Répétez ensuite les procédures d'importation du certificat de l'autorité de certification et ajoutez le service de rôle Autorité de certification aux autres nœuds du cluster.

Ajout du service de rôle Autorité de certification à l'aide de SetupCA.vbs

Vous devez effectuer la procédure suivante si votre serveur de destination s'exécute avec l'option d'installation minimale de Windows Server 2008 R2. Cette procédure peut également être utilisée sur des installations complètes de Windows Server 2008 R2 si vous n'utilisez pas de clustering avec basculement ou de HSM.

Pour ajouter le service de rôle Autorité de certification sur un ordinateur qui exécute l'option d'installation minimale de Windows Server 2008 R2

  1. Ouvrez une session sur le serveur de destination en tant que membre du groupe Administrateurs local ou du groupe Administrateurs de l'entreprise.

  2. Copiez le script Setupca.vbs de l'Migration des services de certificats Active Directory (AD CS) : annexe A dans un répertoire du serveur de destination.

  3. Copiez le répertoire qui contient les fichiers de sauvegarde de la base de données de l'autorité de certification et les fichiers de sauvegarde des certificats de l'autorité de certification dans un répertoire du serveur de destination.

    ImportantImportant
    Les fichiers de sauvegarde de la base de données de l'autorité de certification sont créés dans un répertoire nommé Database. Copiez l'intégralité du répertoire Database, et pas uniquement les fichiers de sauvegarde qu'il contient.

  4. Tapez certutil.exe -importpfx "<NomAutoritéCert>.p12" et appuyez sur ENTRÉE.

  5. Tapez le mot de passe de la clé privée et appuyez sur ENTRÉE.

  6. Tapez certutil.exe -store my | find "Key Container" et appuyez sur ENTRÉE.

  7. Copiez la valeur de Key Container qui suit le signe égal (=). N'incluez pas d'espaces de début ou de fin.

  8. Tapez Cscript Setupca.vbs /IS /RC /SN "<Valeur de Key Container>"

    ImportantImportant
    Pour installer une autorité de certification autonome, utilisez /IS.

    Pour installer une autorité de certification d'entreprise, utilisez /IE.

    La valeur de <Nom de Key Container> est la valeur que vous avez copiée à l'étape précédente.

  9. Tapez net stop certsvc et appuyez sur ENTRÉE.

WarningAvertissement
Si vous prévoyez de publier les extensions d’accès aux informations de l’autorité et les CRL sur l’autorité de certification, installez IIS 7 avec le rôle Compatibilité avec la métabase de données IIS 6 sur l’autorité de destination avant d’exécuter SetupCA.vbs. Sinon, le répertoire virtuel Enroll n’est pas créé ou configuré par SetupCA.vbs. Sinon, vous pouvez créer et configurer le répertoire virtuel Enroll en exécutant la commande certutil -vroot après avoir installé IIS 7 avec le rôle Compatibilité avec la métabase de données IIS 6.

Restauration de la base de données et de la configuration de l'autorité de certification sur le serveur de destination

Les procédures de cette section ne doivent être effectuées qu'après installation du service de rôle Autorité de certification sur le serveur de destination.

Si vous effectuez une migration vers un cluster de basculement, ajoutez le service de rôle Autorité de certification à tous les nœuds du cluster avant de restaurer la base de données de l'autorité de certification. La base de données de l'autorité de certification doit être restaurée sur un seul nœud du cluster et se trouver sur le stockage partagé.

La restauration de la sauvegarde de l'autorité de certification source passe par les tâches suivantes :

Restauration de la base de données de l'autorité de certification source sur le serveur de destination

Cette section décrit deux procédures différentes pour restaurer la sauvegarde de la base de données de l'autorité de certification source sur le serveur de destination.

Si vous effectuez une migration vers une installation minimale de Windows Server 2008 R2, vous devez utiliser la procédure « Pour restaurer la sauvegarde de la base de données et de la clé privée de l'autorité de certification source sur l'autorité de certification de destination à l'aide de Certutil.exe ». S'il est généralement possible de gérer à distance une autorité de certification qui fonctionne sur une installation minimale à l'aide du composant logiciel enfichable Autorité de certification et du Gestionnaire de serveur, il n'est en revanche pas possible de restaurer une base de données d'autorité de certification à l'aide d'outils d'administration à distance.

Si vous effectuez une migration vers un cluster de basculement, vérifiez que le stockage partagé est en ligne et restaurez la base de données de l'autorité de certification sur un seul nœud de cluster.

Pour restaurer la base de données de l'autorité de certification à l'aide du composant logiciel enfichable Autorité de certification

  1. Ouvrez une session sur le serveur de destination à l'aide d'un compte administrateur de l'autorité de certification.

  2. Démarrez le composant logiciel enfichable Autorité de certification.

  3. Cliquez avec le bouton droit sur le nœud portant le nom de l'autorité de certification, pointez sur Toutes les tâches, puis cliquez sur Restaurer l'autorité de certification. Si vous y êtes invité, cliquez sur OK pour arrêter le service d'autorité de certification.

  4. Dans la page Bienvenue, cliquez sur Suivant.

  5. Dans la page Éléments à restaurer, sélectionnez Base de données de certificats et journal de la base de données de certificats.

  6. Cliquez sur Parcourir et trouvez le répertoire Database qui contient les fichiers de base de données d'autorité de certification créés lors de la sauvegarde de la base de données de l'autorité de certification.

    noteRemarque
    Ne sélectionnez pas le répertoire Database. Sélectionnez son répertoire parent.

  7. Tapez le mot de passe que vous avez utilisé pour sauvegarder la base de données de l'autorité de certification source.

  8. Cliquez sur Terminer, puis sur Oui pour redémarrer le service d'autorité de certification.

Pour restaurer la base de données de l'autorité de certification à l'aide de Certutil.exe

  1. Ouvrez une session sur le serveur de destination à l'aide d'un compte administrateur de l'autorité de certification.

  2. Ouvrez une fenêtre d'invite de commandes.

  3. Tapez certutil.exe -f -restoredb <répertoire de sauvegarde de la base de données de l'autorité de certification> et appuyez sur ENTRÉE.

    noteRemarque
    La valeur de <répertoire de sauvegarde de la base de données de l'autorité de certification> est le répertoire parent du répertoire Database. Par exemple, si les fichiers de sauvegarde de la base de données de l'autorité de certification se trouvent dans C:\Temp\Database, la valeur de <répertoire de sauvegarde de la base de données de l'autorité de certification> est C:\Temp.

Restauration des paramètres de Registre de l'autorité de certification source sur le serveur de destination

L'importation de la sauvegarde des paramètres de Registre du serveur source sur le serveur de destination permet de migrer la configuration de l'autorité de certification source vers le serveur de destination.

Certaines valeurs de Registre doivent être modifiées une fois la sauvegarde du Registre du serveur source restaurée sur le serveur de destination.

Effectuez la procédure d'importation des paramètres du Registre, puis passez-en revue celle qui permet de modifier les paramètres et effectuez les étapes appropriées pour votre scénario.

Si le serveur de destination n'a pas le même nom que le serveur source, effectuez également les étapes 6 à 8 de la procédure « Pour modifier les paramètres de Registre de l'autorité de certification » afin de vous assurer que l'autorité de certification du serveur de destination peut publier des listes de révocation de certificats et des certificats d'autorité de certification aux emplacements spécifiés dans l'extension de point de distribution de liste de révocation de certificats (CLR, Certificate Revocation List) et l'extension d'accès aux informations de l'autorité des certificats émis par l'autorité de certification source. Cela est nécessaire pour éviter que la migration de l'autorité de certification ne perturbe les opérations de vérification de la révocation des certificats et de validation des certificats.

Pour importer la sauvegarde du Registre de l'autorité de certification source sur l'autorité de certification de destination

  1. Ouvrez une session sur le serveur de destination en tant que membre du groupe Administrateurs local.

  2. Ouvrez une fenêtre d'invite de commandes.

  3. Tapez net stop certsvc et appuyez sur ENTRÉE.

  4. Tapez reg import <Sauvegarde des paramètres du Registre.reg> et appuyez sur ENTRÉE.

Pour modifier les paramètres de Registre de l'autorité de certification

  1. Cliquez sur Démarrer, tapez regedit.exe dans la zone Rechercher les programmes et fichiers et appuyez sur ENTRÉE pour ouvrir l'Éditeur du Registre.

  2. Dans l'arborescence de la console, trouvez la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration et cliquez sur Configuration.

  3. Dans le volet d'informations, double-cliquez sur DBSessionCount.

  4. Cliquez sur Hexadécimale. Dans Données de valeur, tapez 64, puis cliquez sur OK.

  5. Vérifiez que les emplacements spécifiés dans les paramètres suivants sont corrects pour votre serveur de destination et modifiez-les au besoin de façon à indiquer l'emplacement des fichiers de base de données et journaux de l'autorité de certification.

    • DBDirectory

    • DBLogDirectory

    • DBSystemDirectory

    • DBTempDirectory

    ImportantImportant
    N'effectuez les étapes 6 à 8 que si le serveur de destination n'a pas le même nom que le serveur source.

  6. Dans l'arborescence de la console de l’éditeur de registre, développez Configuration et cliquez sur le nom de votre autorité de certification.

  7. Modifiez les valeurs des paramètres de Registre suivants en remplaçant le nom du serveur source par celui du serveur de destination.

    noteRemarque
    Dans la liste qui suit, les valeurs CACertFileName et ConfigurationDirectory sont créées uniquement lorsque certaines options d'installation de l'autorité de certification sont spécifiées. Si ces deux paramètres ne sont pas affichés, vous pouvez passer à l'étape suivante.

    • CAServerName

    • CACertFileName

    • ConfigurationDirectory

  8. Modifiez les valeurs des paramètres de Registre suivants en remplaçant %1 par le nom de domaine complet du serveur de destination et %2 par le nom NetBIOS du serveur de destination.

    • CACertPublicationURLs

    • CRLPublicationURLs

    noteRemarque
    Les valeurs %1 et %2 sont deux des différentes variables de substitution qu'une autorité de certification utilise pour représenter des composants d'URI, tels que des noms de serveur et de fichier. Ces variables sont traduites par une autorité de certification lors de l'émission de certificats pour faire en sorte que les emplacements ajoutés aux extensions de certificat reflètent les bons emplacements de la liste de révocation de certificats et du certificat de l'autorité de certification. Plus particulièrement, %1 représente le nom DNS complet du serveur et %2 représente le nom NetBIOS du serveur. Si le nom du serveur de destination est différent du nom du serveur source et que les variables de substitution ne sont pas remplacées par le nom du serveur source, les listes de révocation de certificats seront publiées à un emplacement qui fait référence au nom du serveur de destination. Cela aura pour effet d'interrompre la vérification de la révocation des certificats et la validation des certificats, puisque les certificats émis par l'autorité de certification source incluront des emplacements faisant référence au nom du serveur source.

Vérification des extensions de certificat sur l'autorité de certification de destination

Les étapes décrites pour l'importation des paramètres de Registre de l'autorité de certification source et la modification du Registre en cas de modification du nom d'un serveur visent à conserver les emplacements réseau qui étaient utilisés par l'autorité de certification source pour publier des listes de révocation de certificats et des certificats d'autorité de certification. Si l'autorité de certification source a été publiée aux emplacements Active Directory par défaut, à l'issue de la procédure précédente, il doit y avoir une extension avec des options de publication activées et une URL LDAP qui fait référence au nom NetBIOS du serveur source ; par exemple, ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Étant donné que de nombreux administrateurs configurent des extensions personnalisées pour leur environnement réseau, il n'est pas possible de fournir des instructions exactes pour configurer l'extension de point de distribution de liste de révocation de certificats et l'extension d'accès aux informations de l'autorité.

Passez attentivement en revue les emplacements et options de publication configurés et vérifiez que les extensions sont conformes aux exigences de votre organisation.

Pour vérifier les extensions à l'aide du composant logiciel enfichable Autorité de certification

  1. Passez en revue et modifiez l'extension de point de distribution de liste de révocation de certificats, l'extension d'accès aux informations de l'autorité et les options de publication en suivant les procédures décrites dans Spécifier les points de distribution de la liste de révocation de certificats (http://go.microsoft.com/fwlink/?LinkID=145848)..

  2. Si le nom du serveur de destination est différent du nom du serveur source, ajoutez une URL LDAP spécifiant un emplacement qui fait référence au nom NetBIOS du serveur de destination avec la variable de substitution <NomCourtServeur> ; par exemple, ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>.

Restauration de la liste des modèles de certificats

La procédure suivante est obligatoire uniquement pour les autorités de certification d'entreprise. Les autorités de certification autonomes n'ont pas de modèle de certificat.

Pour attribuer des modèles de certificats à l'autorité de certification de destination

  1. Ouvrez une session avec des informations d'identification d'administration sur l'autorité de certification de destination.

  2. Ouvrez une fenêtre d'invite de commandes.

  3. Tapez certutil -setcatemplates +<ListeModèles> et appuyez sur ENTRÉE.

    noteRemarque
    Remplacez <ListeModèles> par une liste séparée par des virgules des noms de modèles répertoriés dans le fichier catemplates.txt créé au cours de la procédure « Pour enregistrer une liste de modèles d'autorité de certification à l'aide de Certutil.exe ». Par exemple, certutil -setcatemplates +Administrator,User,DomainController. Examinez la liste de modèles créée au cours de la procédure Sauvegarde d'une liste de modèles d'autorité de certification.

Octroi d'autorisations sur les conteneurs AIA et CDP

Si le serveur de destination et le serveur source n'ont pas le même nom, il convient d'accorder au serveur de destination des autorisations sur les conteneurs CDP et AIA dans les services de domaine Active Directory pour la publication de listes de révocation de certificats et de certificats d'autorité de certification. Effectuez la procédure suivante en cas de changement de nom d'un serveur.

Pour accorder des autorisations sur les conteneurs AIA et CDP

  1. Ouvrez une session en tant que membre du groupe Administrateurs de l'entreprise sur un ordinateur où est installé le composant logiciel enfichable Sites et services Active Directory.

  2. Cliquez sur Démarrer, pointez sur Exécuter, tapez dssite.msc, puis cliquez sur OK.

  3. Dans l'arborescence de la console, cliquez sur le nœud supérieur.

  4. Dans le menu Affichage, cliquez sur Afficher le nœud des services.

  5. Dans l'arborescence de la console, développez Services et Public Key Services, puis cliquez sur AIA.

  6. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'autorité de certification source, puis cliquez sur Propriétés.

  7. Cliquez sur l'onglet Sécurité, puis sur Ajouter.

  8. Cliquez sur Types d'objets, sur Ordinateurs, puis sur OK.

  9. Tapez le nom du serveur de destination, puis cliquez sur OK.

  10. Dans la colonne Autorisation, cliquez sur Contrôle total, puis sur Appliquer.

  11. Si l’objet de serveurs source est affiché dans Noms de groupes ou d'utilisateurs, cliquez sur le nom du serveur source, sur Supprimer, puis sur OK.

  12. Dans l'arborescence de la console, développez CDP, puis cliquez sur le nom du serveur source.

  13. Dans le volet d'informations, cliquez avec le bouton droit sur l'élément cRLDistributionPoint en haut de la liste, puis cliquez sur Propriétés.

  14. Cliquez sur l'onglet Sécurité, puis sur Ajouter.

  15. Cliquez sur Types d'objets, sur Ordinateurs, puis sur OK.

  16. Tapez le nom du serveur de destination, puis cliquez sur OK.

  17. Dans la colonne Autorisation, cliquez sur Contrôle total, puis sur Appliquer.

  18. Si l’objet de serveurs source est affiché dans Noms de groupes ou d'utilisateurs, cliquez sur le nom du serveur source, sur Supprimer, puis sur OK.

  19. Répétez les étapes 13 à 18 pour chaque élément cRLDistributionPoint.

Procédures supplémentaires pour le clustering avec basculement

Si vous migrez vers un cluster de basculement, effectuez les procédures suivantes après que les paramètres de Registre et de base de données de l'autorité de certification ont été migrés vers le serveur de destination.

noteRemarque
La migration d'une autorité de certification vers un cluster de basculement qui fonctionne sur l'option d'installation minimale de Windows Server 2008 R2 n'est pas décrite dans ce guide.

Si vous migrez vers un cluster de basculement, effectuez les procédures suivantes afin de configurer le clustering avec basculement pour les services de certificats Active Directory (AD CS).

Pour configurer AD CS en tant que ressource de cluster

  1. Cliquez sur Démarrer, pointez sur Exécuter, tapez Cluadmin.msc, puis cliquez sur OK.

  2. Dans l'arborescence de la console du composant logiciel enfichable Gestion du cluster de basculement, cliquez sur Services et applications.

  3. Dans le menu Action, cliquez sur Configurer un service ou une application. Si la page Avant de commencer s'affiche, cliquez sur Suivant.

  4. Dans la liste des services et applications, sélectionnez Service générique et cliquez sur Suivant.

  5. Dans la liste de services, sélectionnez Services de certificats Active Directory et cliquez sur Suivant.

  6. Spécifiez un nom de service et cliquez sur Suivant.

  7. Sélectionnez le stockage sur disque qui est encore monté sur le nœud et cliquez sur Suivant.

  8. Pour configurer une ruche de Registre partagée, cliquez sur Ajouter, tapez SYSTEM\CurrentControlSet\Services\CertSvc, puis cliquez sur OK. Cliquez deux fois sur Suivant.

  9. Cliquez sur Terminer pour achever la configuration de basculement des services AD CS.

  10. Dans l'arborescence de la console, double-cliquez sur Services et applications et sélectionnez le service en cluster qui vient d'être créé.

  11. Dans le volet d'informations, cliquez sur Service générique. Dans le menu Action, cliquez sur Propriétés.

  12. Remplacez le Nom de la ressource par Autorité de certification et cliquez sur OK.

Si vous utilisez un module de sécurité matériel (HSM) pour votre autorité de certification, effectuez la procédure suivante.

Pour créer une dépendance entre une autorité de certification et le service HSM réseau

  1. Ouvrez le composant logiciel enfichable Gestion du cluster de basculement. Dans l'arborescence de la console, cliquez sur Services et applications.

  2. Dans le volet d'informations, sélectionnez le nom que vous venez de créer pour le service en cluster.

  3. Dans le menu Action, cliquez sur Ajouter une ressource, puis sur Service générique.

  4. Dans la liste des services disponibles affichée par l'Assistant Nouvelle ressource, cliquez sur le nom du service qui a été installé pour vous connecter à votre HSM réseau. Cliquez sur Suivant à deux reprises, puis sur Terminer.

  5. Sous Services et applications dans l'arborescence de la console, cliquez sur le nom des services en cluster.

  6. Dans le volet d'informations, sélectionnez le Service générique qui vient d'être créé. Dans le menu Action, cliquez sur Propriétés.

  7. Sous l'onglet Général, renommez le service si vous le voulez et cliquez sur OK. Vérifiez que le service est en ligne.

  8. Dans le volet d'informations, sélectionnez le service précédemment nommé Autorité de certification. Dans le menu Action, cliquez sur Propriétés.

  9. Sous l'onglet Dépendances, cliquez sur Insérer, sélectionnez le service HSM réseau dans la liste et cliquez sur OK.

Octroi d'autorisations sur les conteneurs de clé publique

Si vous migrez vers un cluster de basculement, effectuez les procédures suivantes pour accorder à tous les nœuds du cluster des autorisations sur les conteneurs AD DS suivants :

  • Conteneur AIA

  • Conteneur Enrollment

  • Conteneur KRA

Pour accorder des autorisations sur les conteneurs de clé publique dans les services de domaine Active Directory

  1. Connectez-vous à un ordinateur membre du domaine en tant que membre du groupe Admins du domaine ou du groupe Administrateurs de l'entreprise.

  2. Cliquez sur Démarrer, pointez sur Exécuter, tapez dssite.msc, puis cliquez sur OK.

  3. Dans l'arborescence de la console, cliquez sur le nœud supérieur.

  4. Dans le menu Affichage, cliquez sur Afficher le nœud des services.

  5. Dans l'arborescence de la console, développez Services et Public Key Services, puis cliquez sur AIA.

  6. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'autorité de certification source, puis cliquez sur Propriétés.

  7. Cliquez sur l'onglet Sécurité, puis sur Ajouter.

  8. Cliquez sur Types d'objets, sur Ordinateurs, puis sur OK.

  9. Tapez le nom de compte d'ordinateur de chaque nœud du cluster et cliquez sur OK.

  10. Dans la colonne Autorisation, activez la case à cocher Contrôle total en regard de chaque nœud de cluster et cliquez sur OK.

  11. Dans l'arborescence de la console, cliquez sur Services d'inscription.

  12. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'autorité de certification source, puis cliquez sur Propriétés.

  13. Cliquez sur l'onglet Sécurité, puis sur Ajouter.

  14. Cliquez sur Types d'objets, sur Ordinateurs, puis sur OK.

  15. Tapez le nom de compte d'ordinateur de chaque nœud du cluster et cliquez sur OK.

  16. Dans la colonne Autorisation, activez la case à cocher Contrôle total en regard de chaque nœud de cluster et cliquez sur OK.

  17. Dans l'arborescence de la console, cliquez sur KRA.

  18. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'autorité de certification source, puis cliquez sur Propriétés.

  19. Cliquez sur l'onglet Sécurité, puis sur Ajouter.

  20. Cliquez sur Types d'objets, sur Ordinateurs, puis sur OK.

  21. Tapez le nom de chaque nœud du cluster et cliquez sur OK.

  22. Dans la colonne Autorisation, activez la case à cocher Contrôle total en regard de chaque nœud de cluster et cliquez sur OK.

Modification du nom DNS d'une autorité de certification en cluster dans les services de domaine Active Directory

Lorsque le service d'autorité de certification a été installé sur le premier nœud du cluster, l'objet Services d'inscription a été créé et le nom DNS de ce nœud de cluster a été ajouté à l'attribut dNSHostName de l'objet Services d'inscription. Étant donné que l'autorité de certification doit fonctionner sur tous les nœuds du cluster, la valeur de l'attribut dNSHostName de l'objet Services d'inscription doit être le nom du service spécifié à l'étape 6 de la procédure « Pour configurer AD CS en tant que ressource de cluster ».

Si vous migrez vers une autorité de certification en cluster, effectuez la procédure suivante sur le nœud de cluster actif. Il est indispensable que celle-ci ne soit effectuée que sur un seul nœud de cluster.

Pour modifier le nom DNS d'une autorité de certification en cluster dans les services de domaine Active Directory

  1. Connectez-vous au nœud de cluster actif en tant que membre du groupe Administrateurs de l'entreprise.

  2. Cliquez sur Démarrer, pointez sur Exécuter, tapez adsiedit.msc, puis cliquez sur OK.

  3. Dans l'arborescence de la console, cliquez sur Modification ADSI.

  4. Dans le menu Action, cliquez sur Connexion.

  5. Dans la liste des contextes d'attribution de noms connus, cliquez sur Configuration, puis sur OK.

  6. Dans l'arborescence de la console, développez Configuration, Services et Public Key Services, puis cliquez sur Services d'inscription.

  7. Dans le volet d'informations, cliquez avec le bouton droit sur le nom de l'autorité de certification en cluster, puis cliquez sur Propriétés.

  8. Cliquez sur dNSHostName, puis sur Modifier.

  9. Tapez le nom de service de l'autorité de certification tel qu'il apparaît sous Gestion du cluster de basculement dans le composant logiciel enfichable Gestion du cluster de basculement et cliquez sur OK.

  10. Cliquez sur OK pour enregistrer les modifications.

Configuration des points de distribution de liste de révocation de certificats pour les clusters de basculement

Dans la configuration par défaut d'une autorité de certification, le nom court du serveur fait partie des emplacements de point de distribution de liste de révocation de certificats et des emplacements d'accès aux informations de l'autorité.

Lorsqu'une autorité de certification s'exécute sur un cluster de basculement, le nom court du serveur doit être remplacé par le nom court du cluster dans les emplacements de point de distribution de liste de révocation de certificats et les emplacements d'accès aux informations de l'autorité. Pour publier la liste de révocation de certificats dans AD DS, le conteneur du point de distribution de liste de révocation de certificats doit être ajouté manuellement.

ImportantImportant
Les procédures suivantes doivent être exécutées sur le nœud de cluster actif.

Pour modifier les points de distribution de liste de révocation de certificats configurés

  1. Connectez-vous au nœud de cluster actif en tant que membre du groupe Administrateurs local.

  2. Cliquez sur Démarrer, puis sur Exécuter, tapez regedit, puis cliquez sur OK.

  3. Trouvez la clé de Registre \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.

  4. Cliquez sur le nom de l'autorité de certification.

  5. Dans le volet droit, double-cliquez sur CRLPublicationURLs.

  6. Dans la deuxième ligne, remplacez %2 par le nom de service spécifié à l'étape 6 de la procédure « Pour configurer AD CS en tant que ressource de cluster ».

    TipConseil
    Ce nom de service apparaît également dans le composant logiciel enfichable Gestion du cluster de basculement, sous Services et applications.

  7. Redémarrez le service d’autorité de certification.

  8. Ouvrez une invite de commandes, tapez certutil -CRL et appuyez sur ENTRÉE.

    noteRemarque
    Si un message d'erreur « Objet de l'annuaire non trouvé » s'affiche, effectuez la procédure suivante pour créer le conteneur de point de distribution de liste de révocation de certificats dans AD DS.

Pour créer le conteneur de point de distribution de liste de révocation de certificats dans AD DS

  1. À une invite de commandes, tapez cd %windir%\System32\CertSrv\CertEnroll et appuyez sur ENTRÉE. Le fichier CRL créé par la commande certutil –CRL doit se trouver dans ce répertoire.

  2. Pour publier la liste de révocation de certificats dans AD DS, tapez certutil -f -dspublish "FichierCRL.crl" et appuyez sur ENTRÉE.

Étapes suivantes

Après avoir effectué les procédures de migration de l'autorité de certification, vous devez effectuer les procédures décrites dans Migration des services de certificats Active Directory (AD CS) : vérification de la migration.

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft