Templates de certificats – version 2

– Active Directory.) Comme c’est le cas pour les templates version
1, vous ne pouvez utiliser les templates de certificats PKI (public key
infrastructure) Windows .NET Server, appelés templates version 2,
qu’avec un CA d’entreprise. Mais vous pouvez modifier les propriétés
des templates version 2 à  l’aide du snap-in Microsoft Management
Console (MMC) Certificate Templates. (Vous ne pouvez pas modifier les
templates version 1.)

Quand vous ouvrez ce snap-in, vous remarquez immédiatement la
présence d’icônes d’affichage de templates de certificats colorées et
grises. Les icônes grises indiquent les templates version 1 ; les icônes
colorées (comme celles qui sont entourées dans la figure A) indiquent
des templates version 2. Quand vous double-cliquez sur un objet template
version 1, vous pouvez lire – mais pas modifier – les propriétés
du template de certificat. Vous pouvez utiliser le snap-in Certificate
Templates pour effectuer les tâches administratives suivantes :

• Dupliquer un template existant pour en créer de nouveaux. Pour
cela, faites un clic droit dessus puis sélectionnez All Tasks, Duplicate
Template dans le menu contextuel. Cette technique offre un contournement
intéressant quand on veut modifier les propriétés d’un
template version 1 : il suffit de dupliquer le template version 1, de
sauvegarder le duplicata comme un template version 2 puis de
modifier le template.

• Modifier les propriétés d’un template de certificat. Contrairement à 
la PKI Win2K, la PKI .NET Server permet de personnaliser les propriétés
des certificats (durée de vie, période de renouvellement, par
exemple) et les extensions. Vous pouvez utiliser les templates de
certificats version 2 pour définir les exigences d’inscription de certificat,
pour contrôler le processus de signature de certificat, pour
configurer l’archivage des clés privées et pour créer un CSP (Cryptographic
Service Provider) spécifique.

• Définir quels comptes peuvent s’inscrire et s’auto-inscrire pour un template de certificat particulier. Pour définir les comptes qui peuvent
s’inscrire ou s’auto-inscrire, faites un clic droit sur un template
version 2, ouvrez sa boîte de dialogue Properties, allez à  l’onglet
Security puis modifiez l’ACE (access control entry) Enroll ou AutoEnroll
du compte dans l’ACL du template.

• Qualifier un template pour que les comptes utilisateur et machine
puissent l’utiliser pour l’auto-inscription. Pour cela, faites un clic droit
sur le template et sélectionnez Allow AutoEnrollment dans le menu
contextuel. Vous pouvez voir l’état d’auto-inscription d’un template
dans la colonne AutoEnrollment du snap-in, comme l’illustre la figure
A. Vous pouvez aussi forcer l’auto-inscription pour un template de
certificat particulier. Pour cela, faites un clic droit sur le template et
sélectionnez Re-enroll all certificate holders dans le menu contextuel.

• Remplacer automatiquement les certificats par une nouvelle version
contenant de nouvelles propriétés. Pour cela, Microsoft fournit
chaque template avec un onglet Superseded Templates, que montre
la figure B. Associée à  l’auto-inscription, cette fonction peut être très
puissante. Un excellent exemple est donné par le template Directory
Email Replication, qui remplace le template Domain Controller plus
ancien. Comme l’auto-inscription est autorisée pour le template
Directory Email Replication, tous les DC (domaine controllers)
recevront automatiquement (c’est-à -dire sans intervention de l’utilisateur
ou de l’administrateur) un nouveau certificat Directory Email
Replication.

De nombreuses autres fonctions de la PKI .NET Server qui utilisent des
certificats fondés sur des templates version 2 comptent sur du code
supplémentaire capable d’imposer les règles de policy intégrées dans
les extensions de certificats version 2. Au moment où nous écrivons
ces lignes, ce code n’est livré qu’avec les clients Windows XP.