Partager via

Procédure de renouvellement certificats ssl sur Contrôleurs de Domaine

Anonyme
2024-11-15T07:42:37+00:00

Bonjour,

Les certificats SSL permettant de communiquer via LDAPS sur nos contrôleurs de domaine arrivent bientôt à expiration. Nous devons donc les renouveler.

Nous n'utilisons pas le service ADCS.

Il y a quelques jours, nous avons reçu de la part de notre autorité de certification de nouveaux certificats renouvelés automatiquement. Nous n'avons donc pas régénéré de REQ et de CSR.

Pour mes collègues et moi, il s'agit d'un premier renouvellement et nous hésitons sur la façon de procéder et les documentations ne sont pas très explicites (voire contradictoires). Aussi, nous préférons nous tourner vers la communauté.

S'agit il uniquement d'importer les certificats (format P7B fourni) dans la MMC dédiée à la gestion des certificats (magasin personnel de l'ordinateur) ou est-ce plus complexe? Dans ce cas, un membre de la communauté habitué à effectuer ce genre de manipulation peut il nous donner les étapes ou nous transmettre des liens vers de la documentation.

Merci.

Windows Server - Identité et accès - Active Directory

Question verrouillée. Cette question a été migrée à partir de la Communauté Support Microsoft. Vous pouvez voter pour indiquer si elle est utile, mais vous ne pouvez pas ajouter de commentaires ou de réponses ni suivre la question. Pour protéger la confidentialité, les profils utilisateur des questions migrées sont anonymisés.

0 commentaires
Réponse acceptée
  1. Anonyme
    2024-12-03T13:22:13+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Bonjour

    Comment avez-vous demandé/renouvelé votre certificat ?

    Dans mon laboratoire, après avoir demandé des certificats à l’autorité de certification Windows, les certificats sont comme ci-dessous.

    Nous avons essayé d’importer P7B, CER mais toujours pareil, la clé n’apparaît pas.

    Y a-t-il Une icône clé sur l’ancien certificat ? Si c’est le cas, vous pouvez essayer de consulter l’administrateur de l’autorité de certification qui demande/renouvelle ce certificat.

    Comment pouvons-nous réassocier la clé privée au nouveau certificat ? Dois-je utiliser l’outil certutil pour attribuer la clé privée ?

    https://www.networking4all.com/en/support/manuals/connect-microsoft-certificate-to-private-key

    La procédure décrite ici pour IIS fonctionne-t-elle également pour les services AD ?

    https://learn.microsoft.com/fr-fr/troubleshoot/developer/webapps/iis/development/assign-certificate-private-key

    Vous pouvez l’essayer en laboratoire ou dans un environnement hors production.

    Sinceres salutations
    Daisy Zhou

    0 commentaires

10 réponses supplémentaires

Trier par : Le plus utile
Le plus utile Les plus récents Les plus anciens
  1. Anonyme
    2024-11-15T11:47:33+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Bonjour Martial I.,

    Merci d’avoir posté sur le forum de la communauté Microsoft.

    Basé sur la description "Il y a quelques jours, nous avons reçu de nouveaux certificats auto-renouvelés de notre CA. Nous n’avons donc pas régénéré le REQ et le CSR.", Je pense que vous devriez suivre les étapes/plan d’action concernant les nouveaux certificats renouvelés automatiquement de votre CA s’il y a de telles informations.

    S’il n’existe pas de telles informations sur les nouveaux certificats à renouvellement automatique de votre autorité de certification. Étant donné que vous n’utilisez pas le service ADCS et que vous avez reçu les nouveaux certificats à renouvellement automatique de votre autorité de certification, voici un guide général pour vous aider tout au long du processus :

    Préparez les certificats :

    Assurez-vous d’avoir reçu le bon format (P7B) de votre autorité de certification.

    Extrayez les certificats du fichier P7B si nécessaire. Vous pouvez les convertir en un fichier X.509 (. CER) si nécessaire.

    Importez les certificats :

    Ouvrez la console MMC (Microsoft Management Console) sur votre contrôleur de domaine.

    Ajoutez le composant logiciel enfichable **Certificats pour le **Compte d’ordinateur** :

    1. Allez dans « Fichier > Ajouter/Supprimer un composant logiciel enfichable...
    2. Sélectionnez **Certificats** et cliquez sur **Ajouter**.
    3. Choisissez **Compte d’ordinateur** puis **Ordinateur local**.
    4. Cliquez sur **Terminer** puis sur **OK**.

    Installez les certificats :

    Accédez à > Certificats (ordinateur local) > certificats personnels ».

    Faites un clic droit sur **Certificats**, choisissez **Toutes les tâches**, puis **Importer...**.

    Utilisez l'**Assistant d’importation de certificat** pour importer le nouveau fichier P7B :

    1. Sélectionnez le fichier P7B que vous avez reçu et suivez les instructions.
    2. Assurez-vous que la chaîne de certificats est correctement installée (autorité de certification racine et éventuelles autorités de certification intermédiaires).

    Lier le nouveau certificat :

    Assurez-vous que le nouveau certificat est utilisé pour LDAPS :

    1. Ouvrez **Exécuter** et tapez 'certlm.msc' pour ouvrir le magasin de certificats de l’ordinateur local. 2. Accédez à « Certificats de > personnels ».
    2. Vérifiez que le nouveau certificat est correctement installé.
    3. Vérifiez si la clé privée est associée au certificat (il doit y avoir une icône de clé sur le certificat).
    4. Redémarrez les services de contrôleur de domaine :

    Après avoir importé et vérifié les nouveaux certificats, redémarrez les services de domaine Active Directory sur le contrôleur de domaine. Cela peut également inclure le redémarrage du serveur pour s’assurer que le nouveau certificat est correctement récupéré.

    1. Vérifiez le renouvellement :

    Pour confirmer que LDAPS utilise le nouveau certificat, vous pouvez utiliser des outils tels que **LDP.exe** :

    1. Ouvrez LDP.exe.
    2. Connectez-vous à l’aide du nom de domaine complet du contrôleur de domaine sur le port 636.
    3. Vérifiez que la connexion a réussi et que le bon certificat est utilisé.

    J’espère que les informations ci-dessus vous seront utiles.

    Si vous avez des questions ou des préoccupations, n’hésitez pas à nous le faire savoir.

    Sinceres salutations

    Daisy Zhou

    0 commentaires
  2. Anonyme
    2024-11-18T10:47:37+00:00

    Merci pour ces réponses.

    Peut on ajouter en complément le nouveau certificat avant l'expiration de l'ancien certificat ou faut-il supprimer l'ancien certificat?

    0 commentaires
  3. Anonyme
    2024-11-18T11:41:09+00:00

    Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

    Bonjour

    Bonne journée!

    Ajoutez d’abord un nouveau certificat, assurez-vous que le nouveau certificat fonctionne ou qu’un nouveau certificat est utilisé, puis supprimez l’ancien certificat.

    Sinceres salutations
    Daisy Zhou

    0 commentaires
  4. Anonyme
    2024-11-22T14:07:20+00:00

    bonjour Daisy,

    La première fois, nous avons généré notre demande de certificat initial grâce à cette méthode (utilitaire certreq.exe):

    https://learn.microsoft.com/fr-fr/troubleshoot/windows-server/active-directory/enable-ldap-over-ssl-3rd-certification-authority

    Nous n'avons donc pas utilisé la MMC "gestion des certificats" pour créer notre demande de certificat.

    Dans cet article, il est précisé que l'import par la MMC d'un fichier P7B ne fonctionne que si la demande de certificat a été créé via la MMC.

    https://www.tbs-certificats.com/FAQ/fr/windows-install-mmc.html

    Il est écrit: "Cette méthode n'est fonctionnelle que si la demande de certificat a été générée à l'aide de la MMC."

    Cela peut il poser problème?

    merci

    0 commentaires