Introducing the 2024 PKI & Digital Trust Report     | Download the Report

  • Accueil
  • Blog
  • Conseils pour l'émission d'un certificat d'inscription automatique

Conseils pour l'émission d'un certificat d'inscription automatique

Les clients me demandent souvent : "Comment fonctionne l'inscription automatique et dans quelles circonstances les renouvellements, les remplacements, les révocations et les mises à jour ont-ils lieu ?"

Tout d'abord, l'inscription automatique ne se fait pas automatiquement. La stratégie de groupe doit être définie pour autoriser les clients à s'inscrire automatiquement et les types d'inscription automatique autorisés. Ensuite, cette stratégie doit être diffusée à tous les clients du domaine. Enfin, l'autorité de certification enregistrée pour ce domaine doit disposer des modèles émis pour les certificats à enrôler automatiquement. Il s'agit notamment des certificats machine/ordinateur, contrôleur de domaine et utilisateur.

Dans un environnement normal, l'inscription automatique commencera en quelques minutes. La plupart des environnements ne sont pas normaux. La réplication doit avoir lieu et la GPO doit être mise à jour. Les machines clientes essaieront alors de se mettre à jour périodiquement. La périodicité est d'environ toutes les 8 heures, sauf si elle est modifiée par la politique.

C'est maintenant que vient la partie délicate. Une fois que les machines disposent de certificats, ceux-ci doivent être mis à jour, renouvelés, révoqués ou remplacés.

La modification d'un modèle d'inscription automatique entraîne l'obtention d'un nouveau certificat auprès de l'autorité de certification. Le certificat actuel restera dans le magasin de machines jusqu'à ce que le nouveau certificat soit émis, puis il sera supprimé (ceci est contrôlé par la politique et peut être modifié).

Si le certificat actuel est révoqué, le client essaiera d'obtenir un nouveau certificat à la prochaine période disponible lorsqu'il se rendra compte que le certificat a été révoqué.

Le remplacement est un peu plus délicat. Si vous créez une nouvelle autorité de certification et que vous souhaitez basculer l'inscription automatique sur cette autorité, les certificats actuels ne seront pas automatiquement réinscrits. Comme le certificat actuel est toujours valide, il attendra la période de renouvellement pour être remplacé. Étant donné que l'ancienne autorité de certification ne sera pas mise hors service et que les LCR continueront d'être publiées, cette période pourrait être longue.

Renouvellement. Il s'agit de la partie la plus mal comprise du processus d'inscription automatique. Chaque certificat délivré comporte une période de renouvellement dans le modèle. Cela ne signifie pas nécessairement que le certificat sera renouvelé au début exact de cette période. Pour le renouvellement des certificats à inscription automatique, il existe deux délais avant que l'action ne soit entreprise.

Tout d'abord, le certificat doit avoir atteint 80 % de sa période de validité et se trouver dans la période de renouvellement. Par exemple, un certificat valable pendant un an atteint les 80 % à environ 41,5 semaines et si le certificat a une période de renouvellement de 6 semaines, le renouvellement aura lieu à la fin de la période de 46 semaines. Cela se produit donc au cours de la période de renouvellement.

Si la période de validité est de 6 mois, le seuil de 80 % est fixé à la semaine 21, mais la période de renouvellement commence à la semaine 20.

Tout cela semble assez simple, mais c'est parfois très déroutant.