2 votes

ash avatar

AC racine de Windows Server 2003 - qu'est-ce qui peut provoquer la mise à jour du certificat de l'AC racine ?

Demandé el 19 de Mai, 2011
Quand la question a-t-elle été
1685 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je fais spécifiquement référence à une autorité de certification racine auto-créée sur notre contrôleur de domaine (Windows Server 2003 SP2) à laquelle tous nos clients de domaine font confiance pour un usage interne, et non à une autorité de certification racine GoDaddy, Verisign, etc. Il y a peut-être une relation entre les deux.

J'ai été témoin de sa mise à jour deux fois au cours de l'année dernière. J'aimerais comprendre quelles circonstances provoquent cette mise à jour, à part l'expiration... J'ai vérifié, et dans aucun des deux cas il n'y avait d'expiration, c'est encore un an.

Comment ai-je pu observer cela ? Cette AC est également utilisée pour les clients LDAPS - lorsque le certificat change, ils cessent de fonctionner - plus précisément, Apache2 mod_ldap ldaps:// auth s'arrête lorsque cela se produit, jusqu'à ce que le contrôleur de domaine (également AC racine) soit redémarré. Une fois le serveur redémarré, les clients Java LDAPS:// cessent de fonctionner et le fait de récupérer le certificat de l'autorité de certification racine résout le problème.

Je cherche simplement à comprendre ce qui peut provoquer la mise à jour d'un certificat Root CA de Windows Server 2003. Ce serveur est très ancien (il a été déployé il y a presque 7 ans) et est en train d'être retiré progressivement (le redémarrage est éprouvant pour les nerfs !). Plusieurs services (RADIUS, Print Spooler, etc.) cessent de fonctionner correctement après 2 à 3 mois de fonctionnement, je suis donc presque tenté d'attribuer le problème à cela...

  • Les mises à jour de Windows provoquent-elles cela ?
  • Les mises à jour de la liste des autorités de certification de confiance de Windows entraînent la mise à jour de ce certificat (y a-t-il un lien ?) ?
  • D'autres raisons ?

UPDATE : Symptôme actuel de Java échouant à l'authentification LDAPS jusqu'à ce que son certificat soit mis à jour (soit l'AC racine, soit le certificat LDAP - encore à déterminer...) :

sun.security.validator.ValidatorException : La construction du chemin PKIX a échoué : sun.security.provider.certpath.SunCertPathBuilderException : impossible de trouver un chemin de certification valide vers la cible demandée

Plus de clarification : Le client Java LDAPS se trouve sur un serveur Linux qui n'est PAS membre du domaine, mais qui est relié par un tunnel à notre réseau privé. Apache est sur un serveur Windows qui est membre du domaine.

Demandé el 19 de Mai, 2011 par ash

Réponses

Trop de publicités?

3voto

Shane Madden avatar
Shane Madden Points 112034

Le certificat est-il réellement mis à jour ? Est-ce qu'il crée un tout nouveau certificat racine avec un nouveau hachage, une nouvelle date d'expiration, etc ? Ou juste le problème observé "cassé jusqu'au redémarrage" ?

Mon intuition sur ce problème est que l'auto-enrôlement ne se produit pas pour le contrôleur de domaine vers lequel les clients LDAP/S pointent. N'oubliez pas que le certificat utilisé pour LDAP/S est soit un certificat de type Domain Controller o Kerberos Authentication Ces certificats seront automatiquement inscrits par chaque contrôleur de domaine et devront être renouvelés selon votre calendrier de renouvellement par défaut. Vérifiez dans le snap-in Certificats sur le contrôleur de domaine pour voir quand il expirera et planifiez en conséquence.

Cet échec de l'inscription peut avoir plusieurs causes, notamment une mauvaise configuration du modèle de certificat ou de l'autorité de certification elle-même (qui n'autorise pas l'inscription automatique), des problèmes de publication de la LCR ou simplement une défaillance de service, comme les services RADIUS et spool.

La première chose à vérifier est le snap-in MMC Enterprise PKI, pkiview.msc. Il vous indiquera si un service a échoué, si une CRL n'a pas été mise à jour ou si un autre élément est à l'origine d'un problème dans la chaîne de confiance.

Répondu el 19 de Mai, 2011 par Shane Madden (112034 Points )

0 votes

Avatar de ash

Je ne vois pas de changement de date d'expiration... mais dans le cas de Java, un nouveau certificat est ajouté à la liste des certificats de confiance du JDK. Java a la particularité de n'établir des connexions SSL qu'avec un certificat de confiance. Je suis assez novice dans le domaine des serveurs Windows, et il se peut que je ne comprenne pas comment le renouvellement automatique peut fonctionner. Je jetterai un coup d'oeil à ce snap in demain quand je serai là.

Commenté el 19 de Mai, 2011 par ash

0 votes

Avatar de Shane Madden

Le certificat dans le magasin Java est-il le certificat racine ou le certificat LDAP/S du contrôleur de domaine auquel il se connecte ?

Commenté el 19 de Mai, 2011 par Shane Madden

0 votes

Avatar de ash

Bonne question. La documentation antérieure dit "autorité de certification racine" mais je ne suis pas positif. J'utilise le script appelé "InstallLDAPCert" à partir de cet article de blog pour importer un nouveau certificat dans le keystore du JDK en le faisant pointer vers notre serveur principal DC / root CA. Il semble qu'il établit une connexion SSL au serveur que vous spécifiez sur le port 636, qui est LDAPS, et le nom script implique également LDAP Cert... verrais-je le cert LDAP dans PKIView ?

Commenté el 19 de Mai, 2011 par ash
Afficher 2 autres commentaires

0voto

frameworkninja avatar
frameworkninja Points 628

La seule chose à laquelle je pense est que l'autorisation a été donnée au serveur CA de s'inscrire automatiquement (et de se réinscrire automatiquement), et que GP a activé l'inscription automatique. Il faudrait que j'examine un serveur pour en être sûr.

Répondu el 19 de Mai, 2011 par frameworkninja (628 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X