Renouvellement certificat de l'autorité de certification

Renouvellement certificat de l'autorité de certification - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 26-06-2010 à 00:25:05    

Bonjour à tous. J'ai déjà posté cette question dans Windows&Software, mais finalement, je pense qu'elle a plus sa place dans ce topic. La (re-)voici donc :
 
 J'ai une autorité de certification sur un windows 2003 server (SBS) qui me sert à générer des certificats pour les accès VPN. La date d'expiration des certificats qu'il génère maintenant est toujours le 22/09/2010. C'est aussi (évidement) la date d'expiration du CA.
Il va donc falloir que je renouvelle le certificat de l'autorité de certification. Chose que je n'ai jamais faite.
Quand je me rends dans la console Autorité de certification et que je fais un clique-droit/Toutes les tâches/  
je peux voir le choix : Renouveler le certificat d'Autorité de certification... Suis-je sur la bonne voie?  
Quand je clique dessus, il me demande d'abords à arrêter les services. Quand je mets oui, une autre fenêtre me demande si je veux créer une nouvelle paire de clés publique et privée. (il est précisé dans le texte de la fenêtre : Vous avez besoin d'un nouveau certificat pour votre Autorité de certification lorsque : La durée de vie des certificats que vous délivrez actuellement est limitée > C'est mon pb  ;)  
Ca m'a l'air d'être ça, mais je préfère demander avant (mieux vaut prévenir que guérir..).
Donc 1ère question : est-ce que c'est bien cette démarche qu'il faut faire?
2ème question : Que va-t-il se passer concrètement quand je vais cliquer sur OK? (automatique? D'autres questions ensuite? Autres choses à faire avant ou après cette manip? etc..)
 
Merci d'avance de vos réponses.  
$teph

Reply

Marsh Posté le 26-06-2010 à 00:25:05   

Reply

Marsh Posté le 26-06-2010 à 13:11:27    

tu peux soit utiliser la paire de clé existante soit en faire une nouvelle. Si tu en fait une nouvelle tu devras faire une nouvelle CRL se basant sur la nouvelle paire.
 
Si tu penses que ta clé actuelle est trop faible par rapport à la durée de vie de ton ancien certificat + la durée de vie du nouveau alors il faut créer de nouvelles clés.

Reply

Marsh Posté le 27-06-2010 à 00:49:30    

Salut et merci de ta réponse. Qu'est-ce qu'une CRL? Une certificat revocation list, c'est bien ça? (je suis vraiment novice en la matière...) Si c'est ça, je ne vois aucune révocation de certificat sur mon serveur à priori...

Citation :

Si tu penses que ta clé actuelle est trop faible par rapport à la durée de vie de ton ancien certificat + la durée de vie du nouveau alors il faut créer de nouvelles clés.

Je ne saisi pas bien le sens de ta phrase. La durée de vie de la clef actuelle est de 5 ans (elle a été mise en place en 2005). Tu veux dire que si je renouvelle la clef actuelle on repart pour 5 ans, et si c'est trop court à mon goût il faut que j'en crée une nouvelle? C'est bien ça?
En gros 5 ans me convient, et je veux juste faire en sorte que ça reparte pour un tour...
 
(Désolé si mes questions paraissent idiotes à certains, mais je fais mes premiers pas dans le domaine des certificats, et le principe est encore un peu flou pour moi...)
 
Sinon sur le fond, est-ce que c'est bien de la façon décrite dans mon premier post qu'il faut procéder? Est-ce que le choix d'utiliser ma paire de clefs actuelle ou en créer de nouvelles va m'être proposé durant cette procédure?
 
Merci de ton aide

Reply

Marsh Posté le 27-06-2010 à 23:42:19    

oui CRL = liste de révocation.
 
 
Qd tu renouvelle un certificat, soit tu utilise un nouveau jeu de clé soit tu réutilise l'ancienne.
Avec une clé de 4096 bit par exemple, on dit qu'en brutforce elle tient XX années (j'ai pas en tête mais ça doit être genre 15 ans ou plus à la louche).  
 
Tu peux donc théoriquement utiliser 3 fois la clé pour génerer un certificat de ta CA (en pratique fait le 2 fois uniquement).
 
Après rien ne t'empeche de changer tout le temps :)
 
 
Sinon pour la façon de procéder, tu as technet qui décrit ça étape par étape (tape en anglais plutôt)

Reply

Marsh Posté le 28-06-2010 à 00:36:51    

Citation :

Sinon pour la façon de procéder, tu as technet qui décrit ça étape par étape (tape en anglais plutôt)

J'avais trouvé cette procédure : http://technet.microsoft.com/fr-fr [...] 10%29.aspx, mais dès les première étapes: j'ai pas de CAPolicy.inf (mais bon je veux pas modifier sa taille...). C'est bien de cette procédure que tu parles?

Reply

Marsh Posté le 28-06-2010 à 11:37:43    

http://technet.microsoft.com/fr-fr [...] 10%29.aspx plutôt ça puisque elle est racine

Reply

Marsh Posté le 28-06-2010 à 12:05:46    

Ah ben j'aime autant ;-) Elle est plus simple!!! lolololol Merci beaucoup!
$teph

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed