IV. Renouvellement des autorités de certification▲
Il s'agit d'une étape qui se planifie. En effet, il va falloir redémarrer votre autorité une à deux fois. Si vous ne renouvellez pas le certificat de votre autorité à temps, celle-ci ne fonctionnera plus : elle ne pourra plus délivrer de certificats puisque le sien sera périmé. Vous pourrez avoir un event 96 de Microsoft-Windows-CertificationAuthority :
Les services de certificats Active Directory n'ont pas pu créer de certificat de chiffrement. Demandé par DOMAIN\User. Un certificat requis n'est pas dans sa période de validité selon la vérification par rapport à l'horloge système en cours ou le tampon daté dans le fichier signé. 0x800b0101 (-2146762495).Lorsque vous ouvrirez le gestionnaire de serveur, vous pourrez voir votre autorité de certification en erreur (vue imbriquée de pkiview.msc) :
Le renouvellement de certificat prend environ cinq minutes : pendant ce temps, votre autorité sera inopérante. J'ai réalisé le renouvellement sur mon autorité intermédiaire. Sur une autorité racine, le principe est identique : seule la partie de signature de certificat par l'autorité parente n'aura pas lieu. Pour commencer, ouvrez la console de gestion de votre autorité puis faites un clic-droit sur votre autorité, Toutes les tâches, Renouveler le certificat d'autorité de certification...
La mmc vous préviendra que votre autorité doit être arrêtée : acceptez.
Vous devez maintenant répondre à une question importante. Doit-on renouveler le certificat ou alors générer un nouveau certificat ? Lorsque le certificat est en fin de vie ou périmé, on devra le renouveler. Si la clé privée de l'autorité a été compromise ou que vous avez de nouveaux niveaux de sécurité à respecter (clé plus longue par exemple), il faudra créer une nouvelle paire de clés. Dans notre cas, on ne souhaite pas créer une nouvelle paire de clés mais seulement les renouveler. On répondra donc non.
Si vous renouvelez votre autorité racine, l'étape suivante (signature du certificat) doit être ignorée.
Le fichier de requête de renouvellement sera alors créé. Vous pourrez décider de l'envoyer directement à votre autorité racine ou alors de le transférer manuellement. Mon autorité racine est totalement indépendante et ne possède pas de connexion réseau pour éviter tout problème. Je vais donc choisir de transférer manuellement la requête. Pour cela, il faut cliquer sur Annuler. Le fichier est stocké à l'endroit spécifié sur la fenêtre.
Vous devrez ensuite soumettre le fichier de requête à l'autorité racine comme pour l'installation de l'autorité intermédiaire. Exportez ensuite le certificat comme lors de l'installation. Une fois que le fichier du nouveau certificat est sur votre autorité intermédiaire, reprenez la console de l'autorité de certification puis faites un clic-droit sur votre autorité, Toutes les tâches, Installer un certificat d'autorité de certification....
Sélectionnez le fichier contenant le certificat de l'autorité puis redémarrez votre autorité.
Si vous ouvrez le gestionnaire de serveur sur le rôle autorité de certification, la vue imbriquée de pkiview.msc vous indiquera que tout fonctionne correctement.
Il faudra ensuite exporter le certificat de votre autorité de certification seul (au format crt). Vous devrez remplacer le fichier ca.crt présent dans le site IIS créé pour gérer la révocation. Si vous utilisez la distribution de certificats par GPO, pensez à remplacer le certificat de votre autorité intermédiaire afin de conserver une chaine de certification valide.
Pensez à supprimer les fichiers qui ont été créés (requête, fichier du nouveau certificat).