ADCS : outils en ligne de commandes

https://social.technet.microsoft.com/wiki/contents/articles/987.windows-pki-documentation-reference-and-library.aspx

https://blogs.technet.microsoft.com/pki/

 

      • restart-service certsvc
      • Certutil -getreg
      • Certutil -ADCA
      • Certutil -dsdel

 

Certutil -getreg

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration:

Clés : xxxx

Valeurs :

Active                   REG_SZ = xxxxx-CA

DBDirectory             REG_SZ = C:\Windows\system32\CertLog

DBLogDirectory           REG_SZ = C:\Windows\system32\CertLog

DBTempDirectory         REG_SZ = C:\Windows\system32\CertLog

DBSystemDirectory       REG_SZ = C:\Windows\system32\CertLog

 

DBSessionCount           REG_DWORD = 64 (100)

LDAPFlags               REG_DWORD = 0

 

DBFlags                 REG_DWORD = b0 (176)

DBFLAGS_MAXCACHESIZEX100 — 10 (16)

DBFLAGS_CHECKPOINTDEPTH60MB — 20 (32)

DBFLAGS_LOGBUFFERSHUGE — 80 (128)

 

Version                 REG_DWORD = 40001 (262145) — 4.1

SetupStatus             REG_DWORD = 6003 (24579)

SETUP_SERVER_FLAG — 1

SETUP_CLIENT_FLAG — 2

SETUP_DCOM_SECURITY_UPDATED_FLAG — 2000 (8192)

SETUP_SERVER_IS_UP_TO_DATE_FLAG — 4000 (16384)

 

WebClientCAMachine       REG_SZ = server.xxxxx.domain

WebClientCAName         REG_SZ = domain-CA

WebClientCAType         REG_DWORD = 0

ENUM_ENTERPRISE_ROOTCA — 0

 

DBLastFullBackup         REG_BINARY = 01/01/2010 10:10

 

Certutil -ADCA

 

CAIsValid: 1

cn = xxx-xxx-CA

displayName = xxx-domain-CA

dNSHostName = server.domain.domcain

distinguishedName = CN=domain-domain-CA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=domain

certificateTemplates =

0: ServeurWebaveChiffrement

1: DirectoryEmailReplication

2: DomainControllerAuthentication

3: EFSRecovery

4: EFS

5: DomainController

6: WebServer

7: Machine

8: User

9: SubCA

10: Administrator

signatureAlgorithms =

cACertificateDN = CN=domain-CA, DC=domain, DC=domain

Description =

msPKI-Enrollment-Servers =

msPKI-Site-Name =

flags = a (10)

CA_FLAG_SUPPORTS_NT_AUTHENTICATION — 2

CA_FLAG_CA_SERVERTYPE_ADVANCED — 8

CAGetCAExpiration: 1 CA_UNITS_YEARS(4)

Inscription automatique

 

Numéro de série : xxxxxxxxxxxxxxxxxxxxx

Émetteur: CN=domain-CA, DC=domain, DC=domain

NotBefore : 01/01/2010 10:00

NotAfter : 01/01/2020 10:00

Objet: CN=name-CA, DC=domain, DC=domain

Nom du Modèle de certificat (Type de certificat): CA

Version de l’autorité de certification: V0.0

La signature correspond à la clé publique

Certificat racine : le sujet correspond à l’émetteur

Modèle: CA, Autorité de certification racine

Hach. cert. (sha2) : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

 

Autoriser Inscription        AUTORITE NT\Utilisateurs authentifiés

Autoriser Contrôle total        domain\Administrateurs de l’entreprise

Autoriser Contrôle total        domain\server$

Autoriser Lecture        AUTORITE NT\Utilisateurs authentifiés

Autoriser Contrôle total        domain\Administrateurs de l’entreprise

Autoriser Contrôle total        domain\Admins du domaine

 

 

Utilisation de l’outil Makecert.exe pour construire une chaîne de certificat

 

L’outil de création de certificat (Makecert.exe) crée des certificats X.509 ainsi que des paires de clés publique/privée.Vous pouvez enregistre les clés privées sur votre disque, puis les utiliser pour émettre et signer de nouveaux certificats, instaurant ainsi une hiérarchie de certificats sous forme de chaîne.Cet outil est conçu uniquement pour vous assister lors du développement des services et ne doit en aucun cas être utilisé pour créer des certificats devant être effectivement déployés.Lorsque vous développez un service WCF, effectuez les étapes suivantes afin de construire une chaîne d’approbation à l’aide de l’outil Makecert.exe.

Pour construire une chaîne d’approbation à l’aide de l’outil Makecert.exe

  1. Créez un certificat d’autorité racine temporaire (auto-signé) à l’aide de l’outil MakeCert.exe.Enregistrez la clé privée sur le disque.
  1. Utilisez ce nouveau certificat pour émettre un autre certificat contenant la clé publique.
  1. Importez le certificat d’autorité racine dans le magasin Autorités de certification racine approuvées.
  1. Pour des instructions pas à pas, consultez Comment : créer des certificats temporaires à utiliser au cours du développement.

https://msdn.microsoft.com/fr-fr/library/ms731899(v=vs.110).aspx

 

certutil deleterow certs 

https://blogs.technet.microsoft.com/xdot509/2013/05/10/operating-a-windows-pki-removing-expired-certificates-from-the-ca-database/

 

Laisser un commentaire