Blog de ILINFO

Trucs et astuces

Blog ILINFO Active DIrectory MIIS LDAP ADAM PCA PRA BCP DRP

Log in

PKI Microsoft : Choisir son édition standard ou Entreprise

by Emmanuel Dreux février 12, 2011 16:19
Voici une prise de notes concernant le choix de l'édition Windows 2008 R2 Certificate Server à retenir.
Voici le tableau décrivant les fonctionnalités disponibles dans la version CA enterprise en fonction de la version Standard/core/enterprise de l'OS:
http://blogs.technet.com/b/pki/archive/2009/09/03/active-directory-certificate-services-features-by-sku.aspx

Un autre lien, en version + light/synthétique.
Fonctionnalité disponibles en version Enterprise CA
http://technet.microsoft.com/en-us/library/cc772393(WS.10).aspx

Recommandation:
bien que techniquement possible d'installer une version CA enterprise sur un OS standard, ce n'est pas recommandé car la version Enterprise CA se trouve bridée.
http://blogs.technet.com/b/pki/archive/2008/07/31/you-cannot-add-v2-or-v3-templates-after-an-inplace-upgrade-was-performed-on-a-windows-server-2008-enterprise-ca.aspx

Donc, si le choix se porte vers une version enterprise d'un CA, l'installer sur un OS enterprise.

2 points d'attention:
A prendre en compte: si demain voulez faire de l'archivage de clés, ne vous bridez pas, adoptez dès maintenant la version CA enterprise.

 Une des nouveautés de la version serveur de certificats en 2008 R2, c'est la possibilité de faire de l'autoenrollment cross forest pour reprendre le terme anglais.

Cette fonctionnalité est disponible en version Entreprise.

http://technet.microsoft.com/en-us/library/dd448537(WS.10).aspx
Support for certificate enrollment across forests
Which editions include this feature?
This feature is available on enterprise CAs running Windows Server 2008 R2 Enterprise or Windows Server 2008 R2 Datacenter.

Au sujet des versions de template:
Jusqu'à Windows 2008, il fallait une version enterprise CA pour pouvoir customiser un modèle de certificate (et l'utiliser pour l'autoenrollment).
Depuis 2008 R2, c'est disponible dans l'édition standard: http://technet.microsoft.com/en-us/library/cc725838.aspx
--> Ce qui peut faire dire au client qu'il veut privilégier désormais une édition CA standard sur un 2K8 R2 standard.

Les templates V1 étaient les premiers sous Windows 2000.
Les V2 sont apparus avec Windows 2003
Les V3 apparaissent en édition CA 2008 et apportent en particulier SHA256. Cependant ces certificats ne sont pas déployable sur de l'XP ou 2003.

Avec un template V3, il est possible de déployer des certificats d'infrastructures temporaires (pas de CRL, pas stockés dans la base de données).

A savoir que les templates V3 sont utilisables par Vista, Seven et 2008 (à cause de la dépendance à SHA256).

Ces informations sont à rapprocher maintenant des fonctionnalités nécessaires sur les différentes CA intermédiaires et de distribution.
Intermédiaire: Standard.
Distribution (tout du moins XXX FR) : Enterprise  pour cross forest autoenrollment.
Conseil: ne pas se brider pour l'avenir et opter pour de l'édition enterprise pour s'affranchir d'une migration au fur et à mesure des évolutions des besoins.

Actuellement noté 5.0 par 1 personne(s)

  • Currently 5/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Tags: , , , , ,

PKI

E-mail |
Permalink | Commentaires (0) |
Partenaires
PCA avec BCPAnywhere
Assurez votre plan de continuit� d'activit� avec BCPAnywhere
Votre poste de travail partout dans le monde.

Migration XP vers 7
Mig6 votre solution de migration de vos postes de travail vers Windows 7
Migrez de XP vers Windows 7 avec Mig6.

Auteur

Freelance, Indépendant, expert Active Directory, Domaine et Sécurité.

Expert MIIS, ILM, FIM 2010,Kerberos, NTLM, SSL, PKI et chiffrement.