Partager via


Renouvellement de l’autorité de certification

Les services de certificats prennent en charge le renouvellement d’une autorité de certification . Le renouvellement est l’émission d’un nouveau certificat pour que l’autorité de certification étende la durée de vie de l’autorité de certification au-delà de la date de fin de son certificat d’origine. Vous pouvez renouveler une autorité de certification en tant que tâche dans le composant logiciel enfichable MMC de l’autorité de certification ou en utilisant l’outil Certutil.exe (avec la commande -renewCert ).

Chaque renouvellement entraîne un nouveau certificat d’autorité de certification ; Toutefois, l’administrateur peut générer une nouvelle paire de clés publique/privée ou réutiliser la paire de clés publique/privée existante pour le certificat d’autorité de certification. Pour la cohérence et l’intégrité, les certificats d’autorité de certification et les listes de révocation de certificats émis par l’autorité de certification avant son renouvellement seront disponibles après le renouvellement de l’autorité de certification. Pour les rendre disponibles, Les services de certificats conservent un index de certificats d’autorité de certification, de listes de contrôle de certification et de clés.

Les index et les noms de suffixes des certificats d’autorité de certification et des listes de contrôle de certification pendant diverses opérations de renouvellement de l’autorité de certification sont les suivants.

Opération Index de certificat d’autorité de certification Suffixe de nom de fichier de certificat d’autorité de certification Liste de révocation de certificats et index de clé Suffixe de nom de conteneur de clé et de liste de révocation de certificats
Installation d’autorité de certification d’origine 0 "" 0 ""
Renouvellement avec une nouvelle clé 1 "(1)" 1 "(1)"
Renouvellement de la clé de réutilisation 2 "(2)" 1 "(1)"
Renouvellement de la clé de réutilisation 3 "(3)" 1 "(1)"
Renouvellement avec une nouvelle clé 4 "(4)" 4 "(4)"
Renouvellement de la clé de réutilisation 5 "(5)" 4 "(4)"
Renouvellement avec une nouvelle clé 6 "(6)" 6 "(6)"
Renouvellement de la clé de réutilisation 7 "(7)" 6 "(6)"

 

Lorsqu’une autorité de certification est installée, l’index de certificat est zéro et le suffixe de certificat est « » (chaîne vide). Chaque fois que le certificat est renouvelé (que les clés soient réutilisées), l’index de certificat est incrémenté par un, et le suffixe de nom de fichier de certificat devient une chaîne du formulaire « (n) », où n représente le nombre de fois que le certificat d’autorité de certification a été renouvelé. Après le premier renouvellement, l’index de certificat est 1 et le suffixe de nom de fichier de certificat est « (1) ». Après le deuxième renouvellement, l’index de certificat est 2 et le suffixe de nom de fichier de certificat est « (2) », et ainsi de suite.

Bien que l’index et le suffixe du certificat d’autorité de certification soient incrémentés par un à chaque renouvellement de l’autorité de certification, la liste de révocation de certificats et les index de clé et les suffixes de nom de fichier sont définis sur l’index de certificat de l’autorité de certification uniquement si le processus de renouvellement inclut une nouvelle paire de clés publique/privée. Si ce n’est pas le cas, les valeurs de ces index et suffixes restent identiques à celles du dernier index. Pendant le renouvellement, un administrateur spécifie si une nouvelle paire de clés est générée ou si la paire de clés existante est utilisée. (Dans le composant logiciel enfichable MMC de l’autorité de certification, une option dans l’interface utilisateur spécifie une nouvelle paire de clés ou une paire de clés existante ; dans l’outil Certutil.exe, la commande certutil -renewCert renouvele l’autorité de certification avec une nouvelle paire de clés, tandis que la commande certutil -renouvele l’autorité de certification avec la paire de clés existante.)

L’index de liste de révocation de certificats est directement lié à l’index de clé, qui est défini sur l’index de certificat d’autorité de certification uniquement lorsqu’une nouvelle paire de clés est utilisée pour le renouvellement. Après le premier renouvellement (qui a utilisé une nouvelle paire de clés), l’index de la liste de révocation de certificats et de la clé est défini sur 1, et le suffixe de nom de conteneur de clé et de liste de révocation de clés est « (1) ». Après le deuxième renouvellement, toutefois, l’index de la liste de révocation de certificats et de la clé reste 1, et le suffixe de nom de conteneur de clé et de liste de révocation de clés reste également « (1) » ; cela est dû au fait que le deuxième renouvellement a utilisé la paire de clés existante et qu’une seule liste de révocation de certificats est émise pour chaque paire de clés d’autorité de certification.

Vous pouvez récupérer les certificats d’autorité de certification indexés et les listes de certification en appelant la méthode GetCertificateProperty (dans les interfaces ICertServerExit et ICertServerPolicy ). Lorsque vous récupérez certaines propriétés liées au certificat d’autorité de certification ou à la liste de révocation de certificats, vous pouvez ajouter l’index de base zéro du certificat d’autorité de certification aux noms de propriétés. Par exemple, pour récupérer l’index de liste de révocation de certificats correspondant au troisième certificat de l’autorité de certification, transmettez la propriété « CRLIndex.2 » à ICertServerPolicy::GetCertificateProperty; pour la table, la valeur de propriété « CRLIndex.2 » récupérée serait 1. Une propriété appelée « CertCount » peut être utilisée pour déterminer le nombre de fois où l’autorité de certification a été émise un certificat d’autorité de certification.

Les certificats et certificats d’autorité de certification contiennent une extension qui fournit des informations sur le certificat et l’index de clé. L’extension est définie dans Wincrypt.h comme szOID_CERTSRV_CA_VERSION avec la valeur « 1.3.6.1.4.1.311.21.1 ». Les données d’extension sont une valeur DWORD (encodée en tant que X509_INTEGER dans l’extension); les 16 bits bas sont l’index de certificat, et les 16 bits élevés sont l’index de clé.

L’installation initiale d’une autorité de certification produit un index de certificat de zéro et un index de clé de zéro. Le renouvellement d’un certificat d’autorité de certification entraîne l’incrémentation de l’index de certificat. Si la clé est réutilisée dans le renouvellement, l’index de clé est identique à l’index de clé précédent. Si la clé n’est pas réutilisée, l’index de clé correspond au nouvel index de certificat.

ICertServerPolicy::GetCertificateProperty

ICertServerExit::GetCertificateProperty