Procédure de renouvellement du certificat de l'autorité de certification émettrice avec la même clé
Dernière mise à jour le 08 juin 2004
Sur cette page
Objectifs
S'applique à
Comment utiliser ce module
Résumé
Renouveler le certificat de l'autorité de certification émettrice avec la même clé
Objectifs
Ce module vous permettra d'effectuer l'opération suivante :
- renouveler le certificat de l'autorité de certification émettrice avec la même clé.
S'applique à
Ce module s'applique aux produits et technologies suivants :
Microsoft® Windows® Server™ 2003 ;
Microsoft Certificate Services ;
service d'annuaire Microsoft Active Directory®.
Comment utiliser ce module
Ce module décrit les étapes nécessaires au renouvellement du certificat de l'autorité de certification émettrice avec la même clé. Vous pouvez utiliser les conseils fournis dans le module relatif à votre infrastructure de clés publiques existante.
Pour tirer le meilleur parti de ce module, lisez tout d'abord le module « Implémentation de l'infrastructure de clés publiques » du guide Microsoft Solution for Securing Wireless LANs Build Guide. Il vous permet de mieux comprendre la mise en œuvre d'une infrastructure de clés publiques (PKI).
Résumé
Ce module décrit une procédure de gestion à utiliser pour l'infrastructure de clés publiques (PKI) mise en œuvre comme partie d'une solution de réseau local sans fil (WLAN) sécurisé.
Cette tâche concerne le renouvellement du certificat de l'autorité de certification émettrice sans changer de clé d'autorité de certification. Vous devez changer la clé d'une autorité de certification à chaque renouvellement programmé du certificat de l'autorité de certification (lisez le module « Procédure de renouvellement du certificat de l'autorité de certification émettrice »). Vous pouvez cependant devoir renouveler le certificat de l'autorité de certification sans renouveler la clé de l'autorité de certification, si vous devez changer les stratégies d'autorité de certification ou prolonger la durée de vie du certificat tout en conservant la même paire de clés par exemple.
Renouveler le certificat de l'autorité de certification émettrice avec la même clé
Pour renouveler le certificat de l'autorité de certification émettrice avec la même clé
Connectez-vous à l'autorité de certification émettrice en tant que membre du groupe Administrateurs locaux.
Si vous devez modifier la taille de la clé, vous devrez éditer le fichier CAPolicy.inf stocké dans le répertoire %systemroot%. Remplacez la valeur de RenewalKeyLength par la taille en bits souhaitée.
[Certsrv_Server] RenewalKeyLength=4096
Important : si vous modifiez la période de validité ou les stratégies de certificat du certificat de l'autorité de certification, vous devez reporter cette modification dans le fichier CAPolicy.inf (dans %systemroot%) avant de lancer la procédure.
Ouvrez la console de gestion Autorité de certification, puis cliquez sur Renouveler le certificat d'Autorité de certification du menu Tâches de l'objet Autorité de certification.
Ne sélectionnez pas l'option de nouvelle clé.
Lorsque vous êtes invité à sélectionner une autorité de certification à laquelle adresser le renouvellement, cliquez sur Annuler pour enregistrer le fichier de demande sur le disque. L'autorité de certification redémarre alors.
Copiez le fichier de demande de certificat sur le disque. La demande de certificat est générée et stockée dans le dossier partagé (C:\CAConfig). Copiez ce fichier (HQ-CA-02.woodgrovebank.com_Woodgrove Bank Issuing CA 1.req, par exemple) sur le disque.
Accédez via le disque à l'autorité de certification racine et connectez-vous en tant que membre du groupe local des gestionnaires de certificats.
Dans la console de gestion Autorité de certification, cliquez sur Soumettre une nouvelle demande du menu Tâches, puis soumettez la demande transférée de l'autorité de certification émettrice (présente sur le disque).
L'autorité de certification racine nécessite que toutes les demandes soient approuvées manuellement. Recherchez la demande dans le conteneur Demandes en attente, vérifiez que le champ Nom commun contient le nom de l'autorité de certification émettrice, puis approuvez (émettez) la demande.
Recherchez le dernier certificat émis dans le conteneur Certificats délivrés, puis ouvrez-le.
Vérifiez que les informations sur le certificat sont correctes, puis cliquez sur Copier dans un fichier pour exporter le certificat vers un fichier en l'enregistrant sur le disque sous un fichier PKCS#7 (pour de nouveau le transférer sur l'autorité de certification émettrice).
Connectez-vous de nouveau à l'autorité de certification émettrice avec un compte membre à la fois du groupe des administrateurs PKI d'entreprise et du groupe Administrateurs locaux, puis insérez le disque.
Dans la console de gestion Autorité de certification, cliquez sur Installer le certificat dans le menu Tâches de l'autorité de certification. Installez le certificat de l'autorité de certification émettrice à partir du disque. L'autorité de certification redémarre alors.
Affichez le certificat via les propriétés de l'autorité de certification et vérifiez que la date Valide à partir de est la date actuelle.
Publiez le nouveau certificat de l'autorité de certification à l'emplacement de publication Web du point de distribution de l'autorité de certification (lisez le module « Procédure de publication du certificat de l'autorité de certification émettrice sur un serveur Web »).
Sauvegardez le certificat et la clé de l'autorité de certification émettrice (lisez le module « Procédure de sauvegarde des clés et des certificats de l'autorité de certification »).