Syntaxe CAPolicy.inf
S'applique à : Windows Server 2016
CAPolicy.inf est un fichier de configuration qui définit les extensions, les contraintes et les autres paramètres de configuration appliqués à un certificat d’autorité de certification racine et à tous les certificats émis par l’autorité de certification racine. Le fichier CAPolicy.inf doit être installé sur un serveur hôte avant le début de la routine d’installation de l’autorité de certification racine. Lorsque les restrictions de sécurité sur une autorité de certification racine doivent être modifiées, le certificat racine doit être renouvelé et un fichier CAPolicy.inf mis à jour doit être installé sur le serveur avant le début du processus de renouvellement.
CaPolicy.inf est :
Créé et défini manuellement par un administrateur
Utilisé lors de la création de certificats d’autorité de certification racine et subordonnés
Défini sur l’autorité de certification de signature où vous signez et émettez le certificat (et non l’autorité de certification où la demande est accordée)
Une fois que vous avez créé votre fichier CAPolicy.inf, vous devez le copier dans le dossier %systemroot% de votre serveur avant d’installer ADCS ou de renouveler le certificat d’autorité de certification.
CAPolicy.inf permet de spécifier et de configurer un large éventail d’attributs et d’options d’autorité de certification. La section suivante décrit toutes les options permettant de créer un fichier .inf adapté à vos besoins spécifiques.
Structure de fichiers CAPolicy.inf
Les termes suivants sont utilisés pour décrire la structure de fichiers .inf :
Section : est une zone du fichier qui couvre un groupe logique de clés. Les noms de section dans les fichiers .inf sont identifiés en apparaissant entre crochets. De nombreuses sections, mais pas toutes, sont utilisées pour configurer des extensions de certificat.
Clé : est le nom d’une entrée et apparaît à gauche du signe égal.
Valeur : est le paramètre et apparaît à droite du signe égal.
Dans l’exemple suivant, [Version] est la section , Signature est la clé et « $Windows NT$ » est la valeur.
Exemple :
[Version]
Signature="$Windows NT$"
Version
Identifie le fichier en tant que fichier .inf. La version est la seule section requise et doit se trouver au début de votre fichier CAPolicy.inf.
PolicyStatementExtension
Répertorie les stratégies qui ont été définies par l’organisation, et indique si elles sont facultatives ou obligatoires. Plusieurs stratégies sont séparées par des virgules. Les noms ont une signification dans le contexte d’un déploiement spécifique, ou par rapport aux applications personnalisées qui vérifient la présence de ces stratégies.
Pour chaque stratégie définie, il doit y avoir une section qui définit les paramètres de cette stratégie particulière. Pour chaque stratégie, vous devez fournir un identificateur d’objet défini par l’utilisateur (OID) et le texte que vous souhaitez afficher en tant qu’instruction de stratégie ou pointeur d’URL vers l’instruction de stratégie. L’URL peut être sous la forme d’une URL HTTP, FTP ou LDAP.
Si vous voulez avoir un texte descriptif dans l’instruction de stratégie, les trois lignes suivantes de CAPolicy.inf ressemblent à ceci :
[InternalPolicy]
OID=1.1.1.1.1.1.1
Notice="Legal policy statement text"
Si vous envisagez d’utiliser une URL pour héberger l’instruction de stratégie d’autorité de certification, les trois lignes suivantes ressemblent plutôt à ceci :
[InternalPolicy]
OID=1.1.1.1.1.1.2
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
De plus :
Plusieurs clés d’URL et d’avis sont prises en charge.
Les clés d’URL et d’avis de la même section de stratégie sont prises en charge.
Les URL avec des espaces ou du texte avec des espaces doivent être entourées de guillemets. Cela est vrai pour la clé d’URL, quelle que soit la section dans laquelle elle apparaît.
Voici un exemple de plusieurs avis et URL dans une section de stratégie :
[InternalPolicy]
OID=1.1.1.1.1.1.1
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
URL=ftp://ftp.wingtiptoys.com/pki/policies/legalpolicy.asp
Notice="Legal policy statement text"
CRLDistributionPoint
Vous pouvez spécifier des points de distribution de liste de révocation de certificats (CDP) pour un certificat d’autorité de certification racine dans CAPolicy.inf. Après avoir installé l’autorité de certification, vous pouvez configurer les URL CDP que l’autorité de certification inclut dans chaque certificat émis. Le certificat d’autorité de certification racine affiche les URL spécifiées dans cette section du fichier CAPolicy.inf.
[CRLDistributionPoint]
URL=http://pki.wingtiptoys.com/cdp/WingtipToysRootCA.crl
Les points de distribution de la liste de révocation de certificats (CDP) prennent en charge :
- HTTP
- URL de fichier
- URL LDAP
- URL multiples
Important
Les points de distribution de la liste de révocation de certificats (CDP) ne prennent pas en charge les URL HTTPS.
Les guillemets doivent entourer les URL d’espaces.
Si aucune URL n’est spécifiée, c’est-à-dire si la section [CRLDistributionPoint] existe dans le fichier, mais est vide, l’extension du point de distribution de la liste de révocation de certificats est omise du certificat d’autorité de certification racine. Cela est préférable lors de la configuration d’une autorité de certification racine. Windows n’effectue pas de vérification de révocation sur un certificat d’autorité de certification racine, de sorte que l’extension CDP est superflue dans un certificat d’autorité de certification racine.
L’autorité de certification peut publier dans FILE UNC, par exemple, sur un partage qui représente le dossier d’un site web où un client récupère via HTTP.
Utilisez cette section uniquement si vous configurez une autorité de certification racine ou renouvelez le certificat d’autorité de certification racine. L’autorité de certification détermine les extensions CDP d’autorité de certification subordonnées.
AuthorityInformationAccess
Vous pouvez spécifier les points d’accès aux informations d’autorité dans CAPolicy.inf pour le certificat d’autorité de certification racine.
[AuthorityInformationAccess]
URL=http://pki.wingtiptoys.com/Public/myCA.crt
Quelques remarques supplémentaires sur la section d’accès aux informations de l’autorité :
Plusieurs URL sont prises en charge.
Les URL HTTP, FTP, LDAP et FILE sont prises en charge. Les URL HTTPS ne sont pas prises en charge.
Cette section est utilisée uniquement si vous configurez une autorité de certification racine ou renouvelez le certificat d’autorité de certification racine. Les extensions AIA de l’autorité de certification subordonnée sont déterminées par l’autorité de certification qui a émis le certificat de l’autorité de certification subordonnée.
Les URL avec des espaces doivent être entourées de guillemets.
Si aucune URL n’est spécifiée, c’est-à-dire si la section [AuthorityInformationAccess] existe dans le fichier, mais est vide, l’extension d’accès aux informations de l’autorité est omise du certificat d’autorité de certification racine. Là encore, il s’agit du paramètre préféré lorsqu’il n’existe aucune autorité supérieure à une autorité de certification racine qui doit être référencée par un lien vers son certificat.
certsrv_Server
La section [certsrv_server]
de CAPolicy.inf est facultative. La section [certsrv_server]
est utilisée pour spécifier la longueur de la clé de renouvellement, la période de validité du renouvellement et la période de validité de la liste de révocation de certificats (CRL) pour une autorité de certification en cours de renouvellement ou d’installation. Aucune des clés de cette section n’est requise. La plupart de ces paramètres ont des valeurs par défaut suffisantes pour la plupart des besoins et peuvent être omis du fichier CAPolicy.inf. Vous pouvez également modifier la plupart de ces paramètres après l’installation de l’autorité de certification.
Voici un exemple :
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=Days
CRLPeriodUnits=2
CRLDeltaPeriod=Hours
CRLDeltaPeriodUnits=4
ClockSkewMinutes=20
LoadDefaultTemplates=True
AlternateSignatureAlgorithm=0
ForceUTF8=0
EnableKeyCounting=0
RenewalKeyLength définit la taille de clé pour le renouvellement uniquement. Elle est utilisée uniquement lorsqu’une nouvelle paire de clés est générée lors du renouvellement du certificat d’autorité de certification. La taille de clé du certificat d’autorité de certification initiale est définie lors de l’installation de l’autorité de certification.
Lors du renouvellement d’un certificat d’autorité de certification avec une nouvelle paire de clés, la longueur de la clé peut être augmentée ou réduite. Par exemple, si vous avez défini une taille de clé d’autorité de certification racine de 4096 octets ou plus, puis que vous découvrez que vous avez des applications Java ou des périphériques réseau qui ne peuvent prendre en charge que des tailles de clé de 2048 octets. Que vous augmentiez ou diminuiez la taille, vous devez réémettre tous les certificats émis par cette autorité de certification.
RenewalValidityPeriod et RenewalValidityPeriodUnits établissent la durée de vie du nouveau certificat d’autorité de certification racine lors du renouvellement de l’ancien certificat d’autorité de certification racine. Elle s’applique uniquement à une autorité de certification racine. La durée de vie du certificat d’une autorité de certification subordonnée est déterminée par son supérieur. RenewalValidityPeriod peut avoir les valeurs suivantes : heures, jours, semaines, mois et années.
CRLPeriod et CRLPeriodUnits établissent la période de validité de la liste de révocation de certificats de base. CRLPeriod peut avoir les valeurs suivantes : heures, jours, semaines, mois et années.
CRLDeltaPeriod et CRLDeltaPeriodUnits établissent la période de validité de la liste de révocation de certificats delta. CRLDeltaPeriod peut avoir les valeurs suivantes : heures, jours, semaines, mois et années.
Chacun de ces paramètres peut être configuré après l’installation de l’autorité de certification :
Certutil -setreg CACRLPeriod Weeks
Certutil -setreg CACRLPeriodUnits 1
Certutil -setreg CACRLDeltaPeriod Days
Certutil -setreg CACRLDeltaPeriodUnits 1
N’oubliez pas de redémarrer les services de certificats Active Directory pour que les modifications prennent effet.
LoadDefaultTemplates s’applique uniquement lors de l’installation d’une autorité de certification Enterprise. Ce paramètre, True ou False (ou 1 ou 0), détermine si l’autorité de certification est configurée avec l’un des modèles par défaut.
Dans une installation par défaut de l’autorité de certification, un sous-ensemble des modèles de certificat par défaut est ajouté au dossier Modèles de certificats dans le composant logiciel enfichable Autorité de certification. Cela signifie que dès que le service AD CS démarre après l’installation du rôle, un utilisateur ou un ordinateur disposant d’autorisations suffisantes peut immédiatement s’inscrire pour obtenir un certificat.
Vous ne souhaiterez peut-être pas émettre de certificats immédiatement après l’installation d’une autorité de certification. Vous pouvez donc utiliser le paramètre LoadDefaultTemplates pour empêcher l’ajout des modèles par défaut à l’autorité de certification Enterprise. Si aucun modèle n’est configuré sur l’autorité de certification, elle ne peut émettre aucun certificat.
AlternateSignatureAlgorithm configure l’autorité de certification pour prendre en charge le format de signature PKCS#1 V2.1 pour les demandes de certificat et de certificat d’autorité. Lorsque la valeur est 1 sur une autorité de certification racine, le certificat d’autorité de certification inclut le format de signature PKCS#1 V2.1. Lorsque la valeur est définie sur une autorité de certification subordonnée, l’autorité de certification subordonnée crée une demande de certificat qui inclut le format de signature PKCS#1 V2.1.
ForceUTF8 modifie l’encodage par défaut des noms uniques relatifs (RDN) dans les noms uniques de l’objet et de l’émetteur en UTF-8. Seuls les RDN qui prennent en charge UTF-8, tels que ceux qui sont définis en tant que types de chaîne de répertoires par une RFC, sont affectés. Par exemple, le RDN pour le contrôleur de domaine (DC) prend en charge l’encodage en tant que IA5 ou UTF-8, tandis que le RDN de pays (C) prend uniquement en charge l’encodage sous forme de chaîne imprimable. La directive ForceUTF8 affecte donc un RDN DC, mais n’affecte pas un RDN C.
EnableKeyCounting configure l’autorité de certification pour incrémenter un compteur chaque fois que la clé de signature de l’autorité de certification est utilisée. N’activez pas ce paramètre, sauf si vous disposez d’un module de sécurité matériel (HSM) et d’un fournisseur de services de chiffrement (CSP) associé qui prend en charge le comptage des clés. Le comptage des clés n’est pas pris en charge par le fournisseur de solutions cloud Microsoft Strong ou par le fournisseur de stockage de clés logicielles (KSP) Microsoft.
Créer le fichier CAPolicy.inf
Avant d’installer AD CS, vous configurez le fichier CAPolicy.inf avec des paramètres spécifiques pour votre déploiement.
Prérequis :Vous devez être membre du groupe Administrateurs.
Sur l’ordinateur sur lequel vous envisagez d’installer AD CS, ouvrez Windows PowerShell, tapez notepad.exe, puis appuyez sur Entrée.
Tapez le texte suivant :
[Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=InternalPolicy [InternalPolicy] OID=1.2.3.4.1455.67.89.5 Notice="Legal Policy Statement" URL=https://pki.corp.contoso.com/pki/cps.txt [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=5 CRLPeriod=weeks CRLPeriodUnits=1 LoadDefaultTemplates=0 AlternateSignatureAlgorithm=1 [CRLDistributionPoint] [AuthorityInformationAccess]
Sélectionnez Fichier, puis Enregistrer sous.
Accédez au dossier %systemroot%.
Vérifiez que les options suivantes sont activées :
Nom de fichier a la valeur CAPolicy.inf
Type a la valeur Tous les fichiers
Encodage a la valeur ANSI
Sélectionnez Enregistrer.
Lorsque vous êtes invité à remplacer le fichier, cliquez sur Oui.
Attention
Veillez à enregistrer le fichier CAPolicy.inf avec l’extension inf. Si vous ne tapez pas spécifiquement .inf à la fin du nom de fichier et que vous ne sélectionnez pas les options comme décrit, le fichier est enregistré au format texte et n’est pas utilisé durant l’installation de l’autorité de certification.
Fermez le Bloc-notes.
Important
Dans le fichier CAPolicy.inf, vous pouvez voir une ligne qui spécifie l’URL https://pki.corp.contoso.com/pki/cps.txt
. La section de stratégie interne du fichier CAPolicy.inf est juste affichée en tant qu’exemple de spécification de l’emplacement d’une déclaration de mise en œuvre des certificats. Dans ce guide, vous n’êtes pas invité à créer l’instruction de pratique de certificat (CPS).