Étape 3 :Validation du nouveau certificat de sous-autorité

Processus de validation automatique

Si vous utilisez des agents et que tout se passe comme prévu, au bout de 30 jours, tous vos agents doivent avoir pris contact et reçu le nouveau certificat, et le système doit automatiquement être validé avec le nouveau certificat de sous-autorité. Pour en savoir plus, reportez-vous ci-dessous à la section « Que se passe-t-il après émission de la validation ? ».

Processus de validation manuel

Vous pouvez choisir d'émettre manuellement la commande de validation (commit) pour les raisons suivantes :

  • Si vous n'avez pas d'agents, vous pouvez forcer manuellement la validation (commit) sans attendre 30 jours.
  • Si vous utilisez des agents et que le système n'a pas effectué automatiquement la validation avec le nouveau certificat au bout de 30 jours (ou du délai défini par l'optimisation interne Security Controls pour la tâche de maintenance), déterminez pourquoi la validation n'a pas eu lieu.

    • « Stmgmt.exe -commit_authority » vous indique le nom des machines où le système s'attend à ce que la validation échoue.

    Divers problèmes, erreurs ou avertissements peuvent nécessiter votre intervention, et empêchent la validation automatique. La cause la plus probable est un problème lié à l'agent, comme la présence d'un ou plusieurs agents orphelins qui n'ont pas pris contact (et ne le feront jamais). Vous pouvez (1) trouver un moyen de forcer ces agents à prendre contact, (2) supprimer les machines concernées de la vue Machine, (3) marquer ces machines afin de désinstaller l'agent (même si une machine ne prend jamais contact pour recevoir la commande de désinstallation, le fait que l'application Security Controls signale que le produit doit être désinstallé suffit à passer outre à l'erreur/l'incident sur la machine concernée) ou (4) vous pouvez émettre manuellement la commande de validation (commit) et rendre ces machines d'agent définitivement orphelines.

Mode Test

Vous pouvez utiliser le mode Test de la commande commit_authority afin de connaître les problèmes potentiels liés à la validation. Utilisez la commande suivante : stmgmt.exe -commit_authority -test.

L'analyse de ces informations vous permet de prendre votre décision en toute connaissance de cause, et de choisir d'effectuer ou non la validation. Dans certains cas, vous pouvez choisir de forcer la validation et de rendre volontairement orphelines certaines machines à problème.

Pour forcer la validation

Utilisez la commande suivante : stmgmt.exe -commit_authority -force

Si vous forcez la validation (commit) et que vous souhaitez conserver certains des agents qui n'ont pas pris contact, vous devez réinstaller les agents de ces machines (l'agent ne pourra pas utiliser les informations de configuration créées par la console et sa prise de contact va sans doute échouer).

Que se passe-t-il après émission de la validation ?

Une fois la commande de validation (commit) émise, le système cesse d'utiliser le certificat autosigné d'origine et commence à utiliser le nouveau certificat de sous-autorité. Plus précisément, les opérations suivantes sont réalisées :

  • Un nouveau certificat de console est automatiquement émis à partir du certificat de sous-autorité et enregistré dans le magasin Personnel du compte d'ordinateur sur la machine de console.
  • Un nouveau certificat d'agent est émis automatiquement chaque fois que vous installez un nouvel agent ou qu'il faut remplacer le certificat d'un agent existant. Ce processus ne devrait pratiquement pas avoir d'impact sur les performances de votre réseau.