Bonjour,
 
Je travaille à présent en tant qu'admin dans une petite société périgourdine de presta IT. Nous venons de récupérer un client qui dispose d'une infra avec pki sous un vieux serveur 2003 avec un certificat qui expire. Aucune documentation bien sur.. et pour couronner le tout c'est une thématique auquel je n'ai jamais été confronté mais souhaiterais bien apprendre et personne dans ma boite ne souhaite prendre le sujet...
 
J'ai lu un peu de documentation sur le net, mais ce n'est pas assez clair sur mon besoin, que je vous énumère :=)
 
De ce que je lis sur l'un des DC avec la pki, leur certificat va expirer dans 1mois, est il possible de le renouveler sans impacter le reste de l'infrastructure ?
Ce certificat semble être envoyé sur tout le poste dès qu'il contacte l'AD (sans gpo), je l'ai vu dans le store de plusieurs postes.
 
Pourriez-vous me décrire des actions à réaliser pour faire un renouvellement propre et sans risque, je ne souhaites pas bloquer la prod... sinon dernière solution, je pense que je vais peut être faire appel à un concurrent... la loose.
 
Je suis sur la bonne piste avec ce post ? : https://forum.hardware.fr/hfr/syste [...] 8090_1.htm
 
https://docs.microsoft.com/en-us/pr [...] 4(v=ws.10)
 
Merci de votre temps !

Faut surtout se débarrasser du 2003...

Complètement d'accord sur ce point, cependant le client a connaissances des risques et il l'accepte (devis remplacement proposé, mais pas le bon moment pour lui).  
 
 
Personne pour m'aiguiller ?    
 

Tout dépend du besoin.  
 
tu peux jeter un coup d’œil sur le site de l'ANSSI, un beau doc pour les prés requis sur les certificats internes et externes.  
 
Ensuite pour la gestion des certificats, va faire un tour du côté de VENAFI, ils proposent des solutions pour la gestion simplifiée des certificats. J'ai eu l'occasion de bosser dessus et c'est vraiment pas mal.
 
 
 

Le problème c'est que tu vas ne générer des des certificats en SHA1 avec du 2003, et ceux-ci sont obsolètes depuis au moins un an.
 
Ensuite commence par identifier quel certificat il faut renouveler avant de te lancer, et à quoi il sert. Pas convaincu que tu sois sur la bonne piste en renouveler un certificat root.

Dans l'immédiat, le client ne veut pas changer, donc je suis contraint de prolonger la durée de vie du certificat sur le serveur 2003.
Il m'a évoqué qu'il prévoit une enveloppe budgétaire informatique pour 2020. J'ai espoir d'un renouvellement proche.
 
Pour le certificat :
Il semble que c'est un certificat qui a été créé lors de l'installation de la pki. Il descend donc sur tous les postes.
 
J'ai appris, qu'il y'a avait un vieux intranet à l'époque, peut être que....
 
 
gkss
ANSSI, en lecture   merci

c'est une excellente nouvelle pour toi !
d'ici la, yaura eu 30 failles critiques découvertes dans son 2003 qui va se transformer a nid a me*de et qui va mettre un bazar pas possible dans son SI
 
t'auras plus d'interventions a gérer donc plus de facturation !
 

On se demande où certains vivent quand même

 
Exactement, de plus pour les certificats publiques Symantec est black_listé par Google et Mozilla. TT les certificats provenant de chez Symantec même en SHA2 ne sont pas supporté depuis ces navigateur et auront un message d'alerte vers les users.

Ouais après là on parle d'une pki interne qui a du générer 3 certifs à tout casser donc on s'en branle un peu que ce soit du sha1 ou 256. Au point où il en est ...
On sait même pas à quoi elle sert sa pki

au lieu de l’enfoncer, on est là pour aider.
Dans un monde idéal il n'y aurait pas eu ce genre de post.
 
je vais essayer d'être un peu constructif
 
sinon regarde cette vielle doc
 
"Outre ces fonctionnalités, il est possible depuis cette interface de renouveler le certificat de l’autorité de certification manuellement en effectuant un clique droit sur son nom, puis en sélectionnant « Renouveler le certificat d’Autorité de certification » dans le menu « Toutes les tâches »."
 
https://labo-microsoft.supinfo.com/ [...] rver-2003/

Alors quand s'il te dit 2020 il pourrait te dire 2050, c'est du foutage de gueule...il veut simplement pas mettre un kopeck dans son infra.

à ta place je refuserai d'intervenir tant qu'il refuse de changer l'infra
tu vas aller de galères et galères et cela va te retomber dessus.

tu ne peux pas refuser, tu peux leur indiquer "best effort" sur des équipements si ancien.
 
Tu els met en garde sur l'utilisation d'equipement/OS obsoléte.
Tu trouveras des documents officiel ANSSI qui permettrons de construire ton argumentaire.
 
antoincy tu passeras à la compta pour ton refus

bon nombre de sociétés refusent tout bonnement d’assurer un support/maintenance sur du matériel/infra obsolète et plus supporté.  
Désolé

pas mal font du support étendu....
ils peuvent tout te vendre.
Mais vraiment passe a la compta, j’insiste

Merci pour vos avis    
Nous sommes tous d'accord sur le faite que du 2003 ne devrait plus être présent. Mais le client est roi, malgré ce serveur, il y'a du business autour que l'on ne peut/veut pas perdre. La compta en effet    
 
Skoizer
Merci je vais lire cela.
 
 
Je@nb
J'ai enfin la main à distance, mais j'ai beau contrôler je ne vois pas à quoi il sert...

RADIUS pour controler du 802.1x ?
 
 
ça peut être un vieux systéme plus utilisé.
tu coupe et tu attend les coups de fil. la technique "ninja"
 

Bonne technique si tu veux passer à la compta oui

Alors pour avoir regardé d'un peu plus près, je confirme c'est bien du sha1 et il y'a un template nommé PC.
 
Dans les certificat publié, je peux voir des PC des serveurs, de l'EFS basique pour des utilisateurs et tous on la même échéance, celui du root ca.
 
 
 
Si ça peut aiguiller