Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
558 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  PKI renouvellement cert

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

PKI renouvellement cert

n°157717
pierremare​uil
Posté le 10-10-2018 à 22:23:39  profilanswer
 

Bonjour,
 
Je travaille à présent en tant qu'admin dans une petite société périgourdine de presta IT. Nous venons de récupérer un client qui dispose d'une infra avec pki sous un vieux serveur 2003 avec un certificat qui expire. Aucune documentation bien sur.. et pour couronner le tout c'est une thématique auquel je n'ai jamais été confronté mais souhaiterais bien apprendre et personne dans ma boite ne souhaite prendre le sujet...
 
J'ai lu un peu de documentation sur le net, mais ce n'est pas assez clair sur mon besoin, que je vous énumère :=)
 
De ce que je lis sur l'un des DC avec la pki, leur certificat va expirer dans 1mois, est il possible de le renouveler sans impacter le reste de l'infrastructure ?
Ce certificat semble être envoyé sur tout le poste dès qu'il contacte l'AD (sans gpo), je l'ai vu dans le store de plusieurs postes.
 
Pourriez-vous me décrire des actions à réaliser pour faire un renouvellement propre et sans risque, je ne souhaites pas bloquer la prod... sinon dernière solution, je pense que je vais peut être faire appel à un concurrent... la loose.
 
Je suis sur la bonne piste avec ce post ? : https://forum.hardware.fr/hfr/syste [...] 8090_1.htm
 
https://docs.microsoft.com/en-us/pr [...] 4(v=ws.10)
 
Merci de votre temps !


Message édité par pierremareuil le 10-10-2018 à 23:13:42
mood
Publicité
Posté le 10-10-2018 à 22:23:39  profilanswer
 

n°157718
Je@nb
Modérateur
In ze cloud
Posté le 11-10-2018 à 02:47:46  profilanswer
 

Faut surtout se débarrasser du 2003...

n°157794
pierremare​uil
Posté le 13-10-2018 à 14:34:55  profilanswer
 

Complètement d'accord sur ce point, cependant le client a connaissances des risques et il l'accepte (devis remplacement proposé, mais pas le bon moment pour lui). :pt1cable:  
 
 
Personne pour m'aiguiller ?  :ange:  
 

n°157975
gkss
Posté le 19-10-2018 à 11:09:09  profilanswer
 

Tout dépend du besoin.  
 
tu peux jeter un coup d’œil sur le site de l'ANSSI, un beau doc pour les prés requis sur les certificats internes et externes.  
 
Ensuite pour la gestion des certificats, va faire un tour du côté de VENAFI, ils proposent des solutions pour la gestion simplifiée des certificats. J'ai eu l'occasion de bosser dessus et c'est vraiment pas mal.
 
 
 :jap:

n°157980
nebulios
Posté le 19-10-2018 à 12:06:39  profilanswer
 

Le problème c'est que tu vas ne générer des des certificats en SHA1 avec du 2003, et ceux-ci sont obsolètes depuis au moins un an.
 
Ensuite commence par identifier quel certificat il faut renouveler avant de te lancer, et à quoi il sert. Pas convaincu que tu sois sur la bonne piste en renouveler un certificat root.

n°158007
pierremare​uil
Posté le 19-10-2018 à 19:34:20  profilanswer
 

Dans l'immédiat, le client ne veut pas changer, donc je suis contraint de prolonger la durée de vie du certificat sur le serveur 2003.
Il m'a évoqué qu'il prévoit une enveloppe budgétaire informatique pour 2020. J'ai espoir d'un renouvellement proche.
 
Pour le certificat :
Il semble que c'est un certificat qui a été créé lors de l'installation de la pki. Il descend donc sur tous les postes.
 
J'ai appris, qu'il y'a avait un vieux intranet à l'époque, peut être que....
 
 
gkss
ANSSI, en lecture  ;) merci

Message cité 1 fois
Message édité par pierremareuil le 19-10-2018 à 19:39:15
n°158008
dims
if it ain't brocken, mod it !
Posté le 19-10-2018 à 20:14:26  profilanswer
 

pierremareuil a écrit :

il prévoit une enveloppe budgétaire informatique pour 2020.


c'est une excellente nouvelle pour toi !
d'ici la, yaura eu 30 failles critiques découvertes dans son 2003 qui va se transformer a nid a me*de et qui va mettre un bazar pas possible dans son SI
 
t'auras plus d'interventions a gérer donc plus de facturation !
 
:o

n°158018
clockover
That's the life
Posté le 21-10-2018 à 07:25:21  profilanswer
 

dims a écrit :


c'est une excellente nouvelle pour toi !
d'ici la, yaura eu 30 failles critiques découvertes dans son 2003 qui va se transformer a nid a me*de et qui va mettre un bazar pas possible dans son SI
 
t'auras plus d'interventions a gérer donc plus de facturation !
 
:o


On se demande où certains vivent quand même


---------------
-----
n°158028
gkss
Posté le 22-10-2018 à 10:18:13  profilanswer
 

nebulios a écrit :

Le problème c'est que tu vas ne générer des des certificats en SHA1 avec du 2003, et ceux-ci sont obsolètes depuis au moins un an.
 
Ensuite commence par identifier quel certificat il faut renouveler avant de te lancer, et à quoi il sert. Pas convaincu que tu sois sur la bonne piste en renouveler un certificat root.


 
Exactement, de plus pour les certificats publiques Symantec est black_listé par Google et Mozilla. TT les certificats provenant de chez Symantec même en SHA2 ne sont pas supporté depuis ces navigateur et auront un message d'alerte vers les users.

n°158030
Je@nb
Modérateur
In ze cloud
Posté le 22-10-2018 à 10:33:31  profilanswer
 

Ouais après là on parle d'une pki interne qui a du générer 3 certifs à tout casser donc on s'en branle un peu que ce soit du sha1 ou 256. Au point où il en est ...
On sait même pas à quoi elle sert sa pki

mood
Publicité
Posté le 22-10-2018 à 10:33:31  profilanswer
 

n°158031
skoizer
tripoux et tête de veau
Posté le 22-10-2018 à 10:37:10  profilanswer
 

au lieu de l’enfoncer, on est là pour aider.
Dans un monde idéal il n'y aurait pas eu ce genre de post.
 
je vais essayer d'être un peu constructif
 
sinon regarde cette vielle doc
 
"Outre ces fonctionnalités, il est possible depuis cette interface de renouveler le certificat de l’autorité de certification manuellement en effectuant un clique droit sur son nom, puis en sélectionnant « Renouveler le certificat d’Autorité de certification » dans le menu « Toutes les tâches »."
 
https://labo-microsoft.supinfo.com/ [...] rver-2003/


Message édité par skoizer le 22-10-2018 à 10:40:03

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°158033
nebulios
Posté le 22-10-2018 à 11:33:35  profilanswer
 

Alors quand s'il te dit 2020 il pourrait te dire 2050, c'est du foutage de gueule...il veut simplement pas mettre un kopeck dans son infra.

n°158045
antoincy
Posté le 22-10-2018 à 14:46:09  profilanswer
 

à ta place je refuserai d'intervenir tant qu'il refuse de changer l'infra
tu vas aller de galères et galères et cela va te retomber dessus.

n°158048
skoizer
tripoux et tête de veau
Posté le 22-10-2018 à 17:10:02  profilanswer
 

tu ne peux pas refuser, tu peux leur indiquer "best effort" sur des équipements si ancien.
 
Tu els met en garde sur l'utilisation d'equipement/OS obsoléte.
Tu trouveras des documents officiel ANSSI qui permettrons de construire ton argumentaire.
 
antoincy tu passeras à la compta pour ton refus :)


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°158051
antoincy
Posté le 22-10-2018 à 19:33:32  profilanswer
 

skoizer a écrit :

tu ne peux pas refuser, tu peux leur indiquer "best effort" sur des équipements si ancien.
 
Tu els met en garde sur l'utilisation d'equipement/OS obsoléte.
Tu trouveras des documents officiel ANSSI qui permettrons de construire ton argumentaire.
 
antoincy tu passeras à la compta pour ton refus :)


bon nombre de sociétés refusent tout bonnement d’assurer un support/maintenance sur du matériel/infra obsolète et plus supporté.  
Désolé ;)

n°158052
skoizer
tripoux et tête de veau
Posté le 22-10-2018 à 21:17:10  profilanswer
 

pas mal font du support étendu....
ils peuvent tout te vendre.
Mais vraiment passe a la compta, j’insiste :)

n°158054
pierremare​uil
Posté le 22-10-2018 à 22:44:16  profilanswer
 

Merci pour vos avis  :D  
Nous sommes tous d'accord sur le faite que du 2003 ne devrait plus être présent. Mais le client est roi, malgré ce serveur, il y'a du business autour que l'on ne peut/veut pas perdre. La compta en effet  :)  
 
Skoizer
Merci je vais lire cela.
 
 
Je@nb
J'ai enfin la main à distance, mais j'ai beau contrôler je ne vois pas à quoi il sert...


Message édité par pierremareuil le 22-10-2018 à 22:44:38
n°158058
skoizer
tripoux et tête de veau
Posté le 23-10-2018 à 08:45:25  profilanswer
 

RADIUS pour controler du 802.1x ?
 
 
ça peut être un vieux systéme plus utilisé.
tu coupe et tu attend les coups de fil. la technique "ninja" :)
 


Message édité par skoizer le 23-10-2018 à 08:48:51

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°158081
nebulios
Posté le 23-10-2018 à 15:14:51  profilanswer
 

Bonne technique si tu veux passer à la compta oui :o

n°158190
pierremare​uil
Posté le 25-10-2018 à 23:09:50  profilanswer
 

Alors pour avoir regardé d'un peu plus près, je confirme c'est bien du sha1 et il y'a un template nommé PC.
 
Dans les certificat publié, je peux voir des PC des serveurs, de l'EFS basique pour des utilisateurs et tous on la même échéance, celui du root ca.
 
 :pt1cable:
 
Si ça peut aiguiller


Message édité par pierremareuil le 25-10-2018 à 23:11:01

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  PKI renouvellement cert

 

Sujets relatifs
Conseil d'achat renouvellement parc 25 postesrenouvellement flotte tel portable
Migration PKIAudit INFO pour renouvellement matériel
Renouvellement matos et réseau[Infrastructure TPE] - Renouvellement matériel
PKI externe sur Netasq U70PKI autentification forte
Renouvellement NAS NetappGestion du renouvellement du parc
Plus de sujets relatifs à : PKI renouvellement cert


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR