Procédure de publication de la liste de révocation de certificats de l'autorité de certification émettrice sur un serveur Web
Dernière mise à jour le 08 juin 2004
Sur cette page
Objectifs
S'applique à
Comment utiliser ce module
Résumé
Publier la liste de révocation de certificats de l'autorité de certification émettrice sur un serveur Web
Objectifs
Ce module vous permettra d'effectuer l'opération suivante :
- publier la liste de révocation de certificats de l'autorité de certification émettrice sur un serveur Web.
S'applique à
Ce module s'applique aux produits et technologies suivants :
Microsoft® Windows® Server™ 2003 ;
Microsoft Certificate Services ;
service d'annuaire Microsoft Active Directory®.
Comment utiliser ce module
Ce module décrit les étapes nécessaires au maintien d'un environnement correctement géré pour votre infrastructure de clés publiques (PKI). Vous pouvez utiliser les conseils fournis dans le module relatif à votre infrastructure de clés publiques existante.
Pour tirer le meilleur parti de ce module, lisez tout d'abord le module « Implémentation de l'infrastructure de clés publiques » du guide Microsoft Solution for Securing Wireless LANs Build Guide. Il vous permet de mieux comprendre la mise en œuvre d'une infrastructure de clés publiques (PKI).
Résumé
Ce module décrit une procédure de publication de la liste de révocation des certificats de l'autorité de certification émettrice sur un emplacement du point de distribution de la liste de révocation de certificats (CDP) HTTP. Il est techniquement possible de configurer l'autorité de certification pour qu'elle publie directement dans le dossier du serveur Web. Cela n'est cependant pas toujours pratique en termes de sécurité et de connectivité réseau. La méthode présentée ici utilise une technique de copie de fichier simple mais peut être étendue pour s'adapter à la plupart des configurations.
Publier la liste de révocation de certificats de l'autorité de certification émettrice sur un serveur Web
Remarque : cette méthode n'est pas adaptée à la publication directe sur un serveur Web connecté à Internet étant donné qu'elle est basée sur l'utilisation du partage de fichiers SMB (Server Message Block). Pour pouvoir publier sur un serveur Internet, utilisez la technique suivante consistant à publier tout d'abord sur un emplacement intermédiaire, puis utilisez vos moyens standard de publication sécurisée de contenu sur votre serveur Web. Vous devez prendre en compte l'effet que la latence d'introduction de cette étape supplémentaire peut avoir sur l'actualisation de vos listes de révocation de certificats.
L'autorité de certification émettrice émet fréquemment des listes de révocation de certificats (sur une base quotidienne ou horaire dans le cas des listes de révocation de certificats delta). Une méthode automatisée de la réplication des listes de révocation de certificats sur le serveur Web est donc nécessaire.
Pour automatiser la publication des listes de révocation de certificats
Connectez-vous à l'autorité de certification émettrice avec un compte membre du groupe Administrateurs local.
Veillez à ce que le dossier du serveur Web soit accessible (partage distant ou chemin local par exemple) à partir de ce serveur.
Si le serveur Web est distant, accorder au compte ordinateur d'autorité de certification émettrice un accès en écriture au dossier du système de fichiers (accès de modification ) et de partage (accès de changement ) correspondant au dossier du serveur Web publié. Si le serveur Web fait partie de l'arborescence, vous pouvez utiliser le groupe Éditeurs de certificats pour accorder l'accès. Cela garantira qu'une quelconque autorité de certification d'entreprise dispose des autorisations nécessaires à la publication des certificats et des listes de révocation de certificats dans ce dossier. Il n'est pas nécessaire de modifier les autorisations du serveur Web.
Créez une tâche programmée pour copier les listes de révocation de certificats en exécutant la commande suivante :
schtasks /create /tn "Publier Listes de révocation de certificats" /tr "cscript.exe //job:PublishIssCRLsToIIS \"C:\MSSScripts \CA_Operations.wsf\"" /sc Hourly /ru "Système"Remarque : la commande ci-dessus apparaît sur trois lignes pour l'afficher mais entrez-la sur une seule ligne.
Cela permet de créer une tâche programmée sur une base horaire de publication des listes de révocation de certificats de l'autorité de certification vers le serveur Web. Cela suffit à un programme de publication de liste de révocation de certificats delta une voire deux fois par jour. Si votre programme est plus intense, faites-en sorte que le travail de copie soit exécuté plus souvent. Un bon principe consiste en ce que le programme de la tâche de copie corresponde à environ 5 à 10 % du programme de liste de révocation de certificats delta.