Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
801 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

   Renouvellement certificat de l'autorité de certification

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Renouvellement certificat de l'autorité de certification

n°69201
srosco
Posté le 26-06-2010 à 00:25:05  profilanswer
 

Bonjour à tous. J'ai déjà posté cette question dans Windows&Software, mais finalement, je pense qu'elle a plus sa place dans ce topic. La (re-)voici donc :
 
 J'ai une autorité de certification sur un windows 2003 server (SBS) qui me sert à générer des certificats pour les accès VPN. La date d'expiration des certificats qu'il génère maintenant est toujours le 22/09/2010. C'est aussi (évidement) la date d'expiration du CA.
Il va donc falloir que je renouvelle le certificat de l'autorité de certification. Chose que je n'ai jamais faite.
Quand je me rends dans la console Autorité de certification et que je fais un clique-droit/Toutes les tâches/  
je peux voir le choix : Renouveler le certificat d'Autorité de certification... Suis-je sur la bonne voie?  
Quand je clique dessus, il me demande d'abords à arrêter les services. Quand je mets oui, une autre fenêtre me demande si je veux créer une nouvelle paire de clés publique et privée. (il est précisé dans le texte de la fenêtre : Vous avez besoin d'un nouveau certificat pour votre Autorité de certification lorsque : La durée de vie des certificats que vous délivrez actuellement est limitée > C'est mon pb  ;)  
Ca m'a l'air d'être ça, mais je préfère demander avant (mieux vaut prévenir que guérir..).
Donc 1ère question : est-ce que c'est bien cette démarche qu'il faut faire?
2ème question : Que va-t-il se passer concrètement quand je vais cliquer sur OK? (automatique? D'autres questions ensuite? Autres choses à faire avant ou après cette manip? etc..)
 
Merci d'avance de vos réponses.  
$teph

mood
Publicité
Posté le 26-06-2010 à 00:25:05  profilanswer
 

n°69206
Je@nb
Modérateur
Kindly give dime
Posté le 26-06-2010 à 13:11:27  profilanswer
 

tu peux soit utiliser la paire de clé existante soit en faire une nouvelle. Si tu en fait une nouvelle tu devras faire une nouvelle CRL se basant sur la nouvelle paire.
 
Si tu penses que ta clé actuelle est trop faible par rapport à la durée de vie de ton ancien certificat + la durée de vie du nouveau alors il faut créer de nouvelles clés.

n°69222
srosco
Posté le 27-06-2010 à 00:49:30  profilanswer
 

Salut et merci de ta réponse. Qu'est-ce qu'une CRL? Une certificat revocation list, c'est bien ça? (je suis vraiment novice en la matière...) Si c'est ça, je ne vois aucune révocation de certificat sur mon serveur à priori...

Citation :

Si tu penses que ta clé actuelle est trop faible par rapport à la durée de vie de ton ancien certificat + la durée de vie du nouveau alors il faut créer de nouvelles clés.

Je ne saisi pas bien le sens de ta phrase. La durée de vie de la clef actuelle est de 5 ans (elle a été mise en place en 2005). Tu veux dire que si je renouvelle la clef actuelle on repart pour 5 ans, et si c'est trop court à mon goût il faut que j'en crée une nouvelle? C'est bien ça?
En gros 5 ans me convient, et je veux juste faire en sorte que ça reparte pour un tour...
 
(Désolé si mes questions paraissent idiotes à certains, mais je fais mes premiers pas dans le domaine des certificats, et le principe est encore un peu flou pour moi...)
 
Sinon sur le fond, est-ce que c'est bien de la façon décrite dans mon premier post qu'il faut procéder? Est-ce que le choix d'utiliser ma paire de clefs actuelle ou en créer de nouvelles va m'être proposé durant cette procédure?
 
Merci de ton aide

n°69227
Je@nb
Modérateur
Kindly give dime
Posté le 27-06-2010 à 23:42:19  profilanswer
 

oui CRL = liste de révocation.
 
 
Qd tu renouvelle un certificat, soit tu utilise un nouveau jeu de clé soit tu réutilise l'ancienne.
Avec une clé de 4096 bit par exemple, on dit qu'en brutforce elle tient XX années (j'ai pas en tête mais ça doit être genre 15 ans ou plus à la louche).  
 
Tu peux donc théoriquement utiliser 3 fois la clé pour génerer un certificat de ta CA (en pratique fait le 2 fois uniquement).
 
Après rien ne t'empeche de changer tout le temps :)
 
 
Sinon pour la façon de procéder, tu as technet qui décrit ça étape par étape (tape en anglais plutôt)

n°69228
srosco
Posté le 28-06-2010 à 00:36:51  profilanswer
 

Citation :

Sinon pour la façon de procéder, tu as technet qui décrit ça étape par étape (tape en anglais plutôt)

J'avais trouvé cette procédure : http://technet.microsoft.com/fr-fr [...] 10%29.aspx, mais dès les première étapes: j'ai pas de CAPolicy.inf (mais bon je veux pas modifier sa taille...). C'est bien de cette procédure que tu parles?

n°69240
Je@nb
Modérateur
Kindly give dime
Posté le 28-06-2010 à 11:37:43  profilanswer
 

http://technet.microsoft.com/fr-fr [...] 10%29.aspx plutôt ça puisque elle est racine

n°69242
srosco
Posté le 28-06-2010 à 12:05:46  profilanswer
 

Ah ben j'aime autant ;-) Elle est plus simple!!! lolololol Merci beaucoup!
$teph


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

   Renouvellement certificat de l'autorité de certification

 

Sujets relatifs
Certificat SSLRévocation de certificat non prise en compte
[Exchange 2007 / Outlook] Changer intitulé d'un certificatVPN l2tp ipsec avec certificat
Renouvellement de parc informatique (stations de travail et serveurs)PB prise en compte d'un certificat par l'IAS
Changer de certificat ssl avec wamp.Certification MS Windows Server 2008
Certificat 
Plus de sujets relatifs à : Renouvellement certificat de l'autorité de certification


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR