Service de propagation de certificat
Le service de propagation de certificats (CertPropSvc) est un service Windows qui s’active lorsqu’un utilisateur insère un carte intelligent dans un lecteur attaché à l’appareil. L’action entraîne la lecture des certificats à partir du carte intelligent. Les certificats sont ensuite ajoutés au magasin Personnel de l’utilisateur. Les actions du service de propagation de certificat sont contrôlées à l’aide de stratégie de groupe. Pour plus d’informations, consultez Stratégie de groupe de carte à puce et Paramètres du Registre.
Remarque
Le service de propagation de certificat doit être en cours d’exécution pour que la carte Plug-and-Play intelligente fonctionne.
La figure suivante montre le flux du service de propagation de certificat. L’action commence lorsqu’un utilisateur connecté insère une carte intelligente.
La flèche 1 indique que le Gestionnaire de contrôle de service (SCM) avertit le service de propagation de certificat (CertPropSvc) lorsqu’un utilisateur se connecte, et que CertPropSvc commence à surveiller les cartes à puce dans la session utilisateur
La flèche intitulée R représente la possibilité d’une session à distance et l’utilisation de la redirection carte intelligente
La flèche 2 indique la certification au lecteur
La flèche étiquetée 3 indique l’accès au magasin de certificats pendant la session cliente
Un utilisateur connecté insère un carte intelligent
CertPropSvc est averti qu’un carte intelligent a été inséré
CertPropSvc lit tous les certificats de toutes les cartes à puce insérées. Les certificats sont écrits dans le magasin de certificats personnel de l’utilisateur
Remarque
Le service de propagation de certificat est démarré en tant que dépendance des services Bureau à distance.
Les propriétés du service de propagation de certificats sont les suivantes :
-
CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES
ajoute des certificats au magasin personnel d’un utilisateur - Si le certificat a la
CERT_ENROLLMENT_PROP_ID
propriété (telle que définie parwincrypt.h
), il filtre les requêtes vides et les place dans le magasin de requêtes de l’utilisateur actuel, mais ne les propage pas au magasin Personnel de l’utilisateur - Le service ne propage aucun certificat d’ordinateur vers le magasin personnel d’un utilisateur ni ne propage les certificats utilisateur vers un magasin d’ordinateurs.
- Le service propage les certificats en fonction de stratégie de groupe options définies, qui peuvent inclure :
- Activer la propagation des certificats à partir de la carte intelligente spécifie si le certificat d’un utilisateur doit être propagé
- Activer la propagation de certificat racine à partir de smart carte spécifie si les certificats racines doivent être propagés
- Configurer le nettoyage de certificat racine spécifie la façon dont les certificats racines sont supprimés
Service de propagation de certificat racine
La propagation du certificat racine est responsable des scénarios de déploiement smart carte suivants lorsque l’approbation de l’infrastructure à clé publique (PKI) n’a pas encore été établie :
- Jointure du domaine
- Accès à un réseau à distance
Dans les deux cas, l’ordinateur n’est pas joint à un domaine et, par conséquent, l’approbation n’est pas gérée par la stratégie de groupe. Toutefois, l’objectif est de s’authentifier auprès d’un serveur distant, tel que le contrôleur de domaine. La propagation du certificat racine permet d’utiliser la carte intelligente pour inclure la chaîne d’approbation manquante.
Lorsque le carte intelligent est inséré, le service de propagation de certificat propage tous les certificats racines sur le carte aux magasins de certificats de l’ordinateur racine smart carte approuvé. Ce processus établit une relation d’approbation avec les ressources d’entreprise. Vous pouvez également utiliser une action de nettoyage ultérieure lorsque le carte intelligent de l’utilisateur est supprimé du lecteur ou lorsque l’utilisateur se déconnecte. Cela est configurable avec la stratégie de groupe. Pour plus d’informations, consultez Stratégie de groupe de carte à puce et Paramètres du Registre.
Pour plus d’informations sur les exigences de certificat racine, consultez Exigences de certificat racine Smart carte à utiliser avec la connexion au domaine.
Voir également
Fonctionnement de la connexion par carte à puce dans Windows