En tant que meilleure pratique de l'infrastructure à clé publique (PKI), les politiques de certification sont associées à un site PKI en réservant et en incorporant des identificateurs d'objets uniques (OID) dans tout ou partie de votre site PKI. Les OID sont utilisés pour attribuer une ou plusieurs politiques de certification à une AC donnée.
Trois méthodes de base peuvent être utilisées pour créer les OID de politique :
- Utilisez les OID pré-attribués, intégrés dans les services de certification de l'Active Directory (AD CS), pour une assurance faible, moyenne et élevée.
- Utilisez la fonction "attribution aléatoire" de l'autorité de certification Windows 2008/2012.
- Enregistrer un arc OID public et définir les politiques sous cet arc au lieu d'utiliser un OID privé (méthode préférée).
Les deux premières options sont disponibles pour les organisations privées. La mise en œuvre d'un OID privé signifie que vous établissez une limite organisationnelle pour votre PKI. La troisième option consiste à utiliser un OID public afin que votre PKI puisse fonctionner avec d'autres organisations.
Cet article se penchera plus en détail sur la deuxième option, à savoir l'utilisation de la fonction d'attribution aléatoire de l'AC Windows 2008/2012. la fonction "attribution aléatoire" de l'autorité de certification de Windows 2008/2012.
Un OID privé unique pour la forêt est automatiquement généré par AD CS lors de l'installation du premier rôle d'AC joint à un domaine. Dans certains cas, la connaissance de cet OID avant l'installation de l'autorité de certification peut s'avérer utile lors de la création du jeu de documents de la politique de certification et de la déclaration des pratiques de certification (CP/CPS), ou des fichiers de configuration de la politique de l'autorité de certification (CAPolicy.inf, Policy.inf).
Afin d'utiliser un OID privé pour le fichier CAPolicy.inf, vous devrez capturer la valeur après la première partie de l'installation du rôle AD CS, avant de commencer la deuxième partie de la configuration de l'autorité de certification.
Les étapes pour obtenir l'OID privé unique de la forêt sont les suivantes :
- Ajoutez le rôle AD CS, mais ne procédez pas à la configuration de l'autorité de certification tant que vous n'avez pas votre OID. C'est-à-dire avant de cliquer sur le lien "Configurer les services de certification Active Directory sur le serveur de destination" dans la fenêtre des résultats, ou sur le drapeau de notification "Configuration post-déploiement" dans le Gestionnaire de serveur.
- Exécutez certtmpl.msc pour ajouter la console de modèles de certificats.
- Utilisez la console des modèles de certificats pour générer une nouvelle politique d'émission. Vous pouvez soit utiliser l'OID complet fourni par la console, soit modifier les deux derniers champs en fonction de vos besoins.
- Enregistrez l'OID dans votre fichier %windir%\CAPolicy.inf.
- Reprenez l'installation de l'autorité de certification. Cliquez sur le lien "Configurer les services de certificats Active Directory sur le serveur de destination" dans la fenêtre Résultats de l'installation d'AD CS, ou utilisez l'indicateur de notification "Configuration post-déploiement" dans le Gestionnaire de serveur pour lancer la configuration de l'autorité de certification et terminer l'installation de l'autorité de certification comme prévu.