Avant de configurer les autorités de certification de votre organisation, vous devez définir une convention d’attribution de noms aux autorités de certification.

Les noms des autorités de certification ne doivent pas dépasser 64 caractères. Vous pouvez créer un nom en utilisant tous les caractères Unicode, mais vous pouvez utiliser le jeu de caractères ANSI pour des raisons d’interopérabilité. Par exemple, certains types de routeurs ne seront pas capables d’utiliser le service d’inscription de périphériques réseau pour inscrire des certificats si le nom de l’autorité de certification contient des caractères spéciaux tels que le trait de soulignement.

Important

Si vous utilisez des caractères non-latins (tels que les caractères cyrilliques, arabes ou chinois), le nom de votre autorité de certification doit contenir moins de 64 caractères. Si vous n’utilisez pas du tout de caractères latins, le nom de votre autorité de certification ne doit pas dépasser 37 caractères.

Dans les services de domaine Active Directory (AD DS), le nom que vous spécifiez lors de la configuration d’un serveur en tant qu’autorité de certification devient le nom commun de l’autorité de certification ; celui-ci est représenté dans tous les certificats émis par cette autorité de certification. C’est pour cette raison qu’il ne faut pas utiliser le nom de domaine complet comme nom commun de l’autorité de certification. Ainsi, les utilisateurs malveillants qui obtiennent une copie d’un certificat ne peuvent pas identifier et utiliser le nom de domaine complet de l’autorité de certification pour créer une vulnérabilité de la sécurité.

Il n’est pas nécessaire que le nom de l’autorité de certification soit identique au nom de l’ordinateur. Cependant, vous ne pouvez pas modifier le nom d’un serveur après que les services de certificats Active Directory (AD CS, Active Directory Certificate Services) ont été installés sans rendre non valide tous les certificats émis par l’autorité de certification.

Pour modifier le nom du serveur après l’installation des services AD CS, vous devez désinstaller l’autorité de certification, modifier le nom du serveur, réinstaller l’autorité de certification, puis réémettre tous les certificats émis par l’autorité de certification.

Vous n’êtes pas obligé de réinstaller l’autorité de certification si vous renommez un domaine, cependant vous devrez reconfigurer l’autorité de certification de façon à prendre en charge le changement de nom.

Références supplémentaires


Table des matières