TUTOS.EU

Autorité de certification Windows et vérifications à faire

Contrôles à opérer sur autorité de certification Windows


On va ici prendre mon cas, cad le check des serveurs de certificats internes de l'entreprise.
Il y en a 2, le serveur avec l'autorité root, et un serveur d'autorité secondaire.
Ici le service de l'autorité root, Services de certificats Active Directory, est arrêté (net stop certsvc), il est en démarrage désactivé.
Le serveur lui même n'a pas été arrêté. On aurait pu si au préalable on avait modifié l'Active Directory tombstone lifetime.


Pour commencer, sur votre poste client, vérifier que le certificat de l'autorité de certification racine.

Pour cela taper

certlm.msc
Lien vers le fichier : cliquez ici

Il doit être visible sous autorités de certification racines de confiance

Ouvrez le et vérifiez sa date de validité

Vérifiez également, si vous en avez une, que vous avez le certificat de l'autorité de certification intermédiaire

Les certificats utilisateurs peuvent être vus via

certmgr.msc
Lien vers le fichier : cliquez ici

Vérifier que le poste peut joindre le port 80 et/ou 443 sur le ou les serveurs d'autorité intermédiaire en adaptant cette commande powershell.
Le poste doit pouvoir accéder à la liste de révocation des certificats (CDP), ceux qui sont déclarés dans l'onglet Extensions du serveur.

Test-NetConnection -ComputerName nom_serveur_autorite_intermediaire -Port 80
Test-NetConnection -ComputerName nom_serveur_autorite_intermediaire -Port 443
Lien vers le fichier : cliquez ici

Sur le ou les serveurs d'autorité intermédiaire qui ont émis les certificats pour la machine, vérifier qu'ils peuvent l'atteindre sur le port 135 en adaptant cette commande powershell.

Test-NetConnection -ComputerName nom_machine_a_controler -Port 135
Lien vers le fichier : cliquez ici

Cela évite les messages d'erreur ci-dessous.

En addition il faudrait que les ports supérieurs à 1023 soient également ouverts (c'est le service RPC quoi).

Ce site donne d'autres ports à vérifier
https://www.sysadmins.lv/retired-msft-blogs/pki/firewall-rules-for-active-directory-certificate-services.aspx

Toujours sur ces serveurs d'autorité intermédiaire, lancer la console de gestion

certsrv.msc
Lien vers le fichier : cliquez ici

Allez dans les propriétés

Vérifier la validité du certificat du serveur.
Dans cet exemple il est explicitement marqué que le premier certificat est expiré.
Après vérification, le second l'était aussi (expiré) et il a fallu le renouveler.

Pour corriger il a fallu s'assurer que le service de l'autorité racine était disponible et faire une demande de renouvellement.

Sur le serveur de l'autorité racine / root, réactiver si nécessaire temporairement le service "Services de certificats Active Directory"

Accédez à la console de l'autorité de certification puis allez dans les propriétés

Comme pour les autorités intermédiaires, vérifier que le certificat est valide.
Si il y en a plusieurs, c'est le dernier, en bas de la liste, qu'il faut contrôler.

Sous Extensions, bien vérifier que les chemins indiqués pour l'emplacement des points de distribution de la liste de révocation des certificats (CDP) sont accessibles.
Si vous enteignez le serveur racine des certificats, il faut modifier ces chemins pour qu'ils restent accessibles.
Il faut aussi modifier modifier l'Active Directory tombstone lifetime du compte d'ordinateur de l'autorité.

Si vous avez modifiez les extensions, il faut republier la liste des certificats révoqués dans les nouveaux emplacements. Pour cela faites un clic droit sous Certificats révoqués>Toutes les tâches>Publier

Emettre la nouvelle liste de révocation des certificats

Au niveau des droits, vérifier que le compte des ordinateurs qui sont autorité intermédiaire peut demander un certificat à l'autorité racine. Il faut également que le compte des admins qui demande à renouveler le certificat ait les droits.

Si vos demandes de certificats sont données comme non autorisées, pour test temporaire, sur l'autorité intermédiaire, désactiver le check de l'autorité racine

certutil –setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
Lien vers le fichier : cliquez ici

Pour réactiver le contrôle, taper

certutil –setreg ca\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE
Lien vers le fichier : cliquez ici

support.yubico.com/hc/en-us/articles/360015654500 etc explique comment configurer l'autorité pour une authentification par carte à puce.

On y apprend par exemple que la commande certutil -scinfo permet de checker le certificat sur une clé d'authent.

sysadmins.lv/retired-msft-blogs/pki etc donne la liste des ports réseaux à checker.

Cet article https://stealthpuppy.com/resolving-iss etc expose le cas où le certificat de l'autorité intermédiaire est expiré car l'autorité racine est injoignable et il n'a pas pu être renouvelé.

Il utilise par exemple certutil pour contrôler ses certificats.

Sur https://www.petenetlive.com/KB/Article/0000957 la personne contrôle le chemin d'accès aux CRL / Certificate Revocation List. Il donne aussi une liste d'acronymes.

Sur https://social.technet.microsoft.com/Forums/windowsserver etc un gars a résolu son problème  "by re-issuing the Domain Controller Authentication cert".