Subtilité de la Health Registration Authority

Pour ceux qui ont suivi la série “Network Access Protection”, il existe une subtilité que je n’avais pas encore traité.

 

Lors de la mise en œuvre du gabarit de certificats “System Health Authentication”, celui-ci étant basé sur le gabarit “Workstation”, il a donc repris ses caractéristiques principales dont entre autre :

  • La durée de vie
  • Son renouvellement

 

Dans une configuration par défaut du rôle ADCS tel que je l’avais présentée, il n’était pas possible pour le Health Registration Authority de demander un certificat pour une durée de vie autre que celle inscrite dans le gabarit (un an).

Pour adresser cette problématique, il faut autoriser à ce que les demande de certificats précisent une date de fin autre que celle inscrite dans le certificat. Ci-dessous la ligne de commande à exécuter sur l’autorité de certification :

EDITF_ATTRIBUTEENDDATE0

Le service doit bien évidemment être redémarré.

EDITF_ATTRIBUTEENDDATE1

Lorsque notre client obtient un nouveau certificat prouvant son état de santé, on constate immédiatement que sa durée de vie correspond bien à ce que demande le HRA, à savoir quatre heures :

EDITF_ATTRIBUTEENDDATE3

 

 

 

Sans cela, le client peut outrepasser les contrôles d’état de santé car son certificat était toujours valable, jusqu’au prochain redémarrage.

 

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Les derniers articles par Benoit (tout voir)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.