Partager via


Service de propagation de certificat

Le service de propagation de certificats (CertPropSvc) est un service Windows qui s’active lorsqu’un utilisateur insère un carte intelligent dans un lecteur attaché à l’appareil. L’action entraîne la lecture des certificats à partir du carte intelligent. Les certificats sont ensuite ajoutés au magasin Personnel de l’utilisateur. Les actions du service de propagation de certificat sont contrôlées à l’aide de stratégie de groupe. Pour plus d’informations, consultez Stratégie de groupe de carte à puce et Paramètres du Registre.

Remarque

Le service de propagation de certificat doit être en cours d’exécution pour que la carte Plug-and-Play intelligente fonctionne.

La figure suivante montre le flux du service de propagation de certificat. L’action commence lorsqu’un utilisateur connecté insère une carte intelligente.

  1. La flèche 1 indique que le Gestionnaire de contrôle de service (SCM) avertit le service de propagation de certificat (CertPropSvc) lorsqu’un utilisateur se connecte, et que CertPropSvc commence à surveiller les cartes à puce dans la session utilisateur

  2. La flèche intitulée R représente la possibilité d’une session à distance et l’utilisation de la redirection carte intelligente

  3. La flèche 2 indique la certification au lecteur

  4. La flèche étiquetée 3 indique l’accès au magasin de certificats pendant la session cliente

    Service de propagation de certificats.

  5. Un utilisateur connecté insère un carte intelligent

  6. CertPropSvc est averti qu’un carte intelligent a été inséré

  7. CertPropSvc lit tous les certificats de toutes les cartes à puce insérées. Les certificats sont écrits dans le magasin de certificats personnel de l’utilisateur

Remarque

Le service de propagation de certificat est démarré en tant que dépendance des services Bureau à distance.

Les propriétés du service de propagation de certificats sont les suivantes :

  • CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES ajoute des certificats au magasin personnel d’un utilisateur
  • Si le certificat a la CERT_ENROLLMENT_PROP_ID propriété (telle que définie par wincrypt.h), il filtre les requêtes vides et les place dans le magasin de requêtes de l’utilisateur actuel, mais ne les propage pas au magasin Personnel de l’utilisateur
  • Le service ne propage aucun certificat d’ordinateur vers le magasin personnel d’un utilisateur ni ne propage les certificats utilisateur vers un magasin d’ordinateurs.
  • Le service propage les certificats en fonction de stratégie de groupe options définies, qui peuvent inclure :
    • Activer la propagation des certificats à partir de la carte intelligente spécifie si le certificat d’un utilisateur doit être propagé
    • Activer la propagation de certificat racine à partir de smart carte spécifie si les certificats racines doivent être propagés
    • Configurer le nettoyage de certificat racine spécifie la façon dont les certificats racines sont supprimés

Service de propagation de certificat racine

La propagation du certificat racine est responsable des scénarios de déploiement smart carte suivants lorsque l’approbation de l’infrastructure à clé publique (PKI) n’a pas encore été établie :

  • Jointure du domaine
  • Accès à un réseau à distance

Dans les deux cas, l’ordinateur n’est pas joint à un domaine et, par conséquent, l’approbation n’est pas gérée par la stratégie de groupe. Toutefois, l’objectif est de s’authentifier auprès d’un serveur distant, tel que le contrôleur de domaine. La propagation du certificat racine permet d’utiliser la carte intelligente pour inclure la chaîne d’approbation manquante.

Lorsque le carte intelligent est inséré, le service de propagation de certificat propage tous les certificats racines sur le carte aux magasins de certificats de l’ordinateur racine smart carte approuvé. Ce processus établit une relation d’approbation avec les ressources d’entreprise. Vous pouvez également utiliser une action de nettoyage ultérieure lorsque le carte intelligent de l’utilisateur est supprimé du lecteur ou lorsque l’utilisateur se déconnecte. Cela est configurable avec la stratégie de groupe. Pour plus d’informations, consultez Stratégie de groupe de carte à puce et Paramètres du Registre.

Pour plus d’informations sur les exigences de certificat racine, consultez Exigences de certificat racine Smart carte à utiliser avec la connexion au domaine.

Voir également

Fonctionnement de la connexion par carte à puce dans Windows