Comment importer des certificats d’autorité de certification tierce dans le magasin Enterprise NTAuth

Il existe deux méthodes que vous pouvez utiliser pour importer les certificats d’autorités de certification tierces dans le magasin Enterprise NTAuth. Ce processus est requis si vous utilisez une autorité de certification tierce pour émettre des certificats de contrôleur de domaine ou d’ouverture de session de carte intelligent. En publiant le certificat d’autorité de certification dans le magasin Enterprise NTAuth, l’administrateur indique que l’autorité de certification est approuvée pour émettre des certificats de ces types. Les autorités de certification Windows publient automatiquement leurs certificats d’autorité de certification dans ce magasin.

S’applique à : Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 295663

Plus d’informations

Le magasin NTAuth est un objet de service d’annuaire Active Directory qui se trouve dans le conteneur Configuration de la forêt. Le nom unique LDAP (Lightweight Directory Access Protocol) est similaire à l’exemple suivant :

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

Les certificats publiés dans le magasin NTAuth sont écrits dans l’attribut à valeurs multiples cACertificate. Il existe deux méthodes prises en charge pour ajouter un certificat à cet attribut.

Méthode 1 : importer un certificat à l’aide de l’outil d’intégrité PKI

PKIView (PKIView) est un composant enfichable MMC. Il affiche les status d’une ou plusieurs autorités de certification Microsoft Windows qui composent une infrastructure à clé publique. Il est disponible dans le cadre des outils du Kit de ressources Windows Server 2003.

PKIView collecte des informations sur les certificats d’autorité de certification et les listes de révocation de certificats (CRL) de chaque autorité de certification de l’entreprise. Ensuite, il valide les certificats et les listes de révocation de certificats pour s’assurer qu’ils fonctionnent correctement. S’ils ne fonctionnent pas correctement ou s’ils sont sur le point d’échouer, PKIView fournit un avertissement détaillé ou des informations d’erreur.

PKIView affiche les status des autorités de certification Windows Server 2003 installées dans une forêt Active Directory. Vous pouvez utiliser PKIView pour découvrir tous les composants PKI, y compris les autorités de certification subordonnées et racines associées à une autorité de certification d’entreprise. L’outil peut également gérer des conteneurs PKI importants, tels que l’approbation d’autorité de certification racine et les magasins NTAuth, qui sont également contenus dans la partition de configuration d’une forêt Active Directory. Cet article décrit cette dernière fonctionnalité. Pour plus d’informations sur PKIView, consultez la documentation outils du Kit de ressources Microsoft Windows Server 2003.

Remarque

Vous pouvez utiliser PKIView pour gérer les autorités de certification Windows 2000 et Windows Server 2003. Pour installer les outils du Kit de ressources Windows Server 2003, votre ordinateur doit exécuter Windows XP ou version ultérieure.

Pour importer un certificat d’autorité de certification dans le magasin Enterprise NTAuth, procédez comme suit :

  1. Exportez le certificat de l’autorité de certification vers un fichier .cer. Les formats de fichier suivants sont pris en charge :

    • X.509 binaire encodé DER (.cer)
    • X.509 codé en base 64 (.cer)
  2. Installez les outils du Kit de ressources Windows Server 2003. Le package d’outils nécessite Windows XP ou version ultérieure.

  3. Démarrez Microsoft Management Console (Mmc.exe), puis ajoutez le composant logiciel enfichable PKI Health :

    1. Dans le menu Console, sélectionnez Ajouter/supprimer un composant logiciel enfichable.
    2. Sélectionnez l’onglet Autonome , puis le bouton Ajouter .
    3. Dans la liste des composants logiciels enfichables, sélectionnez Entreprise PKI.
    4. Sélectionnez Ajouter, puis Fermer.
    5. Sélectionnez OK.
  4. Cliquez avec le bouton droit sur Entreprise PKI, puis sélectionnez Gérer les conteneurs AD.

  5. Sélectionnez l’onglet NTAuthCertificates , puis sélectionnez Ajouter.

  6. Dans le menu Fichier, sélectionnez Ouvrir.

  7. Recherchez et sélectionnez le certificat d’autorité de certification, puis sélectionnez OK pour terminer l’importation.

Méthode 2 - Importer un certificat à l’aide de Certutil.exe

Certutil.exe est un utilitaire en ligne de commande pour la gestion d’une autorité de certification Windows. Dans Windows Server 2003, vous pouvez utiliser Certutil.exe pour publier des certificats dans Active Directory. Certutil.exe est installé avec Windows Server 2003. Il est également disponible dans le cadre du pack d’outils d’administration Microsoft Windows Server 2003.

Pour importer un certificat d’autorité de certification dans le magasin Enterprise NTAuth, procédez comme suit :

  1. Exportez le certificat de l’autorité de certification vers un fichier .cer. Les formats de fichier suivants sont pris en charge :

    • X.509 binaire encodé DER (.cer)
    • X.509 codé en base 64 (.cer)
  2. À l’invite de commandes, tapez la commande suivante et appuyez sur Entrée :

    certutil -dspublish -f filename NTAuthCA
    

Le contenu du magasin NTAuth est mis en cache à l’emplacement de Registre suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

Cette clé de Registre doit être automatiquement mise à jour pour refléter les certificats publiés dans le magasin NTAuth dans le conteneur de configuration Active Directory. Ce comportement se produit lorsque stratégie de groupe paramètres sont mis à jour et que l’extension côté client responsable de l’inscription automatique s’exécute. Dans certains scénarios, tels que la latence de réplication Active Directory ou lorsque le paramètre de stratégie Ne pas inscrire automatiquement les certificats est activé, le Registre n’est pas mis à jour. Dans de tels scénarios, exécutez la commande suivante manuellement pour insérer le certificat dans l’emplacement du Registre :

certutil -enterprise -addstore NTAuth CA_CertFilename.cer