Configuration requise et exceptions
Cette section identifie les exigences à remplir si vous choisissez d'utiliser votre propre autorité de certification (CA) pour générer un nouveau certificat d'autorité.
Vous ne pouvez pas utiliser un certificat SSL de serveur (comme un certificat avec caractère générique) comme certificat de sous-autorité.
Configuration requise pour le nouveau certificat de sous-autorité
Lors de l'émission du certificat
- Il doit exister une extension de contraintes de base.
- Il doit exister des extensions d'utilisation de clé KeyCertSign et CrlSign.
- Vous devez utiliser DER ASN.1
- Un certificat distinct doit être émis pour chaque serveur de console ; vous ne pouvez pas émettre un seul certificat pour plusieurs serveurs de console.
Cette extension indique que le certificat est capable d'en émettre d'autres. Vous pouvez choisir de préciser que la longueur de chemin est égale à 0 (ce qui signifie que ce certificat ne peut pas servir à créer un certificat d'émission). Pour en savoir plus, consultez les consignes « RFC 5280 ».
Lors de l'installation du certificat sur la machine de console
- Doit être associé à une clé privée
- Doit se trouver dans le magasin de certificats Autorités de certification intermédiaires du compte d'ordinateur
Exceptions
Lorsque vous configurez votre environnement pour qu'il fonctionne avec une autorité de certification (CA) tierce, la console ne met plus automatiquement à jour les certificats racine arrivant à expiration. Security Controls affiche un avertissement si le certificat approche de sa date d'expiration, mais il est de la responsabilité de l'administrateur local de créer manuellement le nouveau certificat avec sa propre CA.