Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1092 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  AD CS sur DC ou non ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

AD CS sur DC ou non ?

n°177109
ShonGail
En phase de calmitude ...
Posté le 19-10-2022 à 10:19:05  profilanswer
 

Bonjour,
 
installez-vous le rôle d'autorité de certification sur DC ou sur un serveur membre ?
 
On le trouve très régulièrement sur DC or visiblement cela ne serait pas une best practice.
 
Les raisons :
- conflit avec le rôle AD en cas de besoin d'upgrade ou de supprimer AD
- augmentation de la surface d'attaque du DC
- Ajout du besoin de restauration de l'ADCS si le DC tombe.

mood
Publicité
Posté le 19-10-2022 à 10:19:05  profilanswer
 

n°177112
Je@nb
Modérateur
Kindly give dime
Posté le 19-10-2022 à 11:19:08  profilanswer
 

Surtout pas non :/

n°177115
nebulios
Posté le 19-10-2022 à 20:05:10  profilanswer
 

Ce n'est pas supporté, c'est un des pires pratiques avec Exchange sur un DC.

n°177117
ShonGail
En phase de calmitude ...
Posté le 19-10-2022 à 20:14:19  profilanswer
 

Ok pour les raisons exprimées ou d'autres encore ?

n°177118
nebulios
Posté le 19-10-2022 à 20:29:16  profilanswer
 

De base, pas de support = pas de prod.
 
AD + CA pas supporté, CA Tiers 1 pas supporté, ça suffit déjà largement :o
 
Il y aurait d'autres arguments mais les tiens suffisent déjà largement pour bannir cette pratique.

n°177119
ShonGail
En phase de calmitude ...
Posté le 19-10-2022 à 20:31:21  profilanswer
 

CA Tiers 1 ? Kesako ?

n°177120
nebulios
Posté le 19-10-2022 à 20:42:13  profilanswer
 

Coller une PKI complète sur un seul serveur.

n°177124
ShonGail
En phase de calmitude ...
Posté le 20-10-2022 à 08:47:43  profilanswer
 

Ah OK. Perso j'ai l'habitude de "mono-tiers".
 
Mais du coup se pose la question de l'opportunité de déployer ce rôle, exigeant au moins deux serveurs, sur de petites infrastructures.
Pour un besoin très sommaire, n'est-il pas plus opportun de se contenter de certificats achetés ou générés avec OpenSSL ?

n°177130
Je@nb
Modérateur
Kindly give dime
Posté le 20-10-2022 à 14:39:31  profilanswer
 

Pas vraiment besoin de 2 serveurs. Ta root CA tu l'allumes 1 a 2x par an en fn des durées de tes crl.
Ton issuing la oui doit être dispo et idéalement les crl HA sur plusieurs serveurs web simples.
A toi de voir ce dont tu as besoin mais bonne chance si tu veux faire de l'autoenrollment avec OpenSSL lol

n°177132
ShonGail
En phase de calmitude ...
Posté le 20-10-2022 à 18:31:55  profilanswer
 

Mon but n'est pas d'équivaloir ADCS avec OpenSSL mais de se poser la question à savoir si ce dernier n'est pas suffisant pour gérer très peu de certificats, voir un seul, pour une petite structure.

mood
Publicité
Posté le 20-10-2022 à 18:31:55  profilanswer
 

n°177133
Je@nb
Modérateur
Kindly give dime
Posté le 20-10-2022 à 18:46:57  profilanswer
 

Ma réponse reste valable

n°177136
nebulios
Posté le 20-10-2022 à 19:49:06  profilanswer
 

ShonGail a écrit :

Ah OK. Perso j'ai l'habitude de "mono-tiers".
 
Mais du coup se pose la question de l'opportunité de déployer ce rôle, exigeant au moins deux serveurs, sur de petites infrastructures.
Pour un besoin très sommaire, n'est-il pas plus opportun de se contenter de certificats achetés ou générés avec OpenSSL ?


Tu ne déploies ce rôle que quand tu auras des raisons, du budget et les compétences pour. Pour des trucs très précis un certificat public pourquoi pas (mais bon incident à peu près garanti au renouvellement).
Pour les petites infrastructures, il y a Azure.

n°177137
ShonGail
En phase de calmitude ...
Posté le 21-10-2022 à 09:10:48  profilanswer
 

OK merci.
Bon ce que j'en retiens est qu'ADCS nécessite un investissement, contrairement à d'autres moyens nettement moins qualitatifs mais nettement plus abordables pour de petites structures.
Par "moyens", on va rester sur les certifs publics.
Car créer son certif via openssl et déployer le root sur les quelques postes d'une petite structure semble relever de l'hérésie.

n°177138
albator233
Lurker inside
Posté le 21-10-2022 à 11:34:06  profilanswer
 

J'en ai fait l'expérience (une authorité de certification sur un AD) et je me suis rendu compte qu'on ne peut pas faire un depromote d'un controleur qui porte la CA. Une galère à tout déplacer pour enfin virer un vieux DC en 2008R2.
Ca m'a donné l'occasion de monter une pki en 2-tier.


---------------
Feed-back

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  AD CS sur DC ou non ?

 

Sujets relatifs
Crash AD localMigrer un AD 2012R2 vers 2022 // AzureAD connect
Authentification AD sur un pfsensebase AD corrompue sur un DC avec Exchange dessus...
Controleur AD HsDC + PKI + Relation d'approbation
Azure/AD - gestion des droitsautomatisation de creation de compte AD
Azure AD Ajouter groupe 
Plus de sujets relatifs à : AD CS sur DC ou non ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR