7. Analyser les problèmes d’authentification par certificats

plupart des entreprises l’oublient. Contrairement à quelques autres modèles de certificats, le modèle de certificat IPsec par défaut n’est pas configuré pour l’auto-enrôlement.

Le moyen le plus simple de savoir si des certificats sont installés, corrompus ou expirés, est d’ouvrir le stockage des certificats de l’ordinateur local. Le snap-in MMC Certificates est également l’outil que vous utiliseriez pour demander un nouveau certificat IPsec. Quand vous créez un snap-in MMC Certificates pour examiner la date d’expiration du certificat IPsec installé, veillez à bien sélectionner l’option Computer account que montre la figure 5. Si vous sélectionnez l’option My user account ou Service account, vous ne pourrez pas localiser le certificat IPsec émis.

À long terme, la meilleure méthode consiste à créer un nouveau modèle de certificat IPsec qui permet l’auto-enrôlement (une fonction limitée à Windows 2003 Enterprise Edition). Les certificats IPsec seront ensuite mis à jour automatiquement et nul n’aura plus à se souvenir que les certificats IPsec expirent tous les deux ans, pourvu que vous sélectionniez l’option auto-renouvellement.

Quand on utilise des certificats, IPsec consulte le CRL pour voir si un certificat a été révoqué. IPsec accorde un certain temps pour cette vérification et il se peut que cette fenêtre se ferme avant qu’IPsec n’obtienne un résultat. Pour désactiver la vérification CRL, émettez la commande netsh ipsec dynamic set config strongcrlcheck 0