Configuration de la CRL 2003

[Koj]

Bonjour,

J'ai un labo configuré ainsi :

internet
|
IPCOP+Snort
|
ISA - DMZ (web static uniquement)
|
LAN

Dans la DMZ j'ai un serveur 2003 en Workgroup avec un serveur Web.
Dans le Lan, j'ai deux DC 2003, foret level 2003, domaine level 2003, CA de domaine primaire. (Le serveur ISA est membre du domaine)
Je publie des sites web dans la DMZ et ma CA délivre des certificats pour le serveur Web afin d'avoir du HTTPS.

Mon souci réside dans la CRL pour les clients ou collaborateurs se trouvant à l'extérieur.
Je cherche des infos afin d'arrêter d'avoir la page d'Internet Explorer explicant que la CRL n'a pas été trouvé... (FQDN ok, date de validité ok, CRL pas ok)

J'ai des certificats dont la CRL n'est pas accessible depuis internet.
J'ai vu qu'on peut modifier l'adresse de localisation de la CRL, mais j'ai peur que mes clients du lan ne trouve plus la CRL par la suite si je définie un FQDN au lieu d'un toto.domain.local

Peut on ajouter dans les extensions de la CA, l'adresse internet de la CRL, en plus de l'adresse intranet, et publier le site web sur l'ISA ?
Ou mieux vaut il copier la CRL (par script) une fois par jour, sur le serveur web en DMZ et ajouter en extension de CA l'adresse du serveur en DMZ ?

Merci pour vos conseils.

Koj

[Koj]

UP ...

Personne ne configure sa CRL ou quoi ?

Koj

[alex117]

Bonjour,

Si tu dois indiquer au niveau de ta RootCA une url avec le nom publique. Par exemple : crl.contoso.com/RootCA.crl
Tu devras donc déployer à nouveau la RootCA à tous tes clients.

Ensuite, il te faut planifier une copie des fichiers CRL et CRT depuis ton /CertEnroll vers ton serveur IIS en DMZ (Robocopy par ex.).
Pour finir, il te faut publier ce site web avec ton ISA en anonymous.

Bon courage,
Alex

[Koj]

Bonjour Alex117 et merci de ta réponse.

Deux questions :
Par défaut les extensions de la CA ont pour adresse de CRL :
C:\...
ldap://
http://
File://

Qui utilise ces accès ??
LDAP utilisé par les MMC et GPO je pense
HTTP par les clients Web, l'admin sur le site https://localhost/certenroll
C:\ je vois pas qui l'utilise
File:// je vois pas qui l'utilise

Un conseil pour le déploiement du certificat de la CA ?
Je pensais révoker le certificat de la CA, ce qui a pour effet de reprendre un nouveau si la GPO de déploiement auto de certificat (par exemple pour EFS) est déjà active. (je précise j'ai pas IPSEC)
Sinon faut déployer par GPO un certificat d'autorité de certification racine de confiance avec un pfx. Mais l'ancien ne serait pas supprimer des ordinateurs, et je devrait le revoker à l'issu de toute facon.
Qu'en penses tu ?

Koj

[alex117]

Bonjour,

Concernant ta première question cela dépend. En effet par exemple Internet Explorer qui utise un certificat utilisera http:// ... et des services Active Directory ldap://.. etc.... Concernant les file:// cela peut être utilisés par le cryptage de fichier EFS je pense, mais n'en suis pas sûr.

Tu ne dois pas redéployer toute ta CA, juste passer en version 1.1 si tu préfères. Tous les clients membres du domaine bénéficieront automatiquement de cette mise à jour de la RootCA. Cependant les clients Workgroup devront l'installer manuellement.

TU as de nombreux articles et WhitePaper qui pourront t'aider à mieux comprendre le concept et le fonctionnement. Car cela peut être compliqué d'expliquer certains points de PKI, car il est nécéssaire de connaître tous les aspects, les conditions, l'existant, ...
Regarde ceci :
- http://technet2.microsoft.com/WindowsServer/en/Library/e1d5a892-10e1-417c-be13-99d7147989a91033.mspx
- http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/advcert.mspx

Bon courage,
Alex

[lgouraud]

HS: je dois être couillon, mais de toutes les CA internes que j'ai deployées, je n'ai jamais publié la CRL. J'ai jamais eu de pb concernant cette ommission. comment fais tu pour avoir des erreurs de certificats ?

[betty007]

Bonjour,
Voila ce que je fais pour voir l'invalidité d'un certificat ( dans un environnement test) :
Depuis mon CA :
-Je révoque le certificat d'un serveur
-Je publie la CRL
Depuis une machine cliente :
-je télécharge la CRL
-Je me connecte au serveur --> le navigateur m'affiche : Une erreur est survenue pendant une connexion à @IP serveur. Le certificat du pair a été révoqué.

J'espère que ca peut t'aider.