Comment supprimer correctement une autorité de certification

La sécurisation des communications via des certificats numériques est l’un des processus les plus sécurisés utilisés par les organisations aujourd’hui. L’utilisation de la cryptographie à clé publique rend les certificats non fissurables et peut être utilisée pour protéger d’innombrables opérations réseau.

Bien sûr, tout réseau qui ne progresse pas prend du retard et, à un moment donné, il doit être mis à jour. Il peut y avoir un cas où la nécessité de remplacer ou de supprimer une ancienne Autorité de certification (AC) devient une priorité, nous allons donc explorer l’importance et le processus de mise hors service d’une autorité de certification obsolète.

Importance de l’organisation de l’AC

Comme pour la plupart des choses dans la vie, garder les composants de votre réseau (dans ce cas, CA) organisés est une excellente stratégie pour la longévité et la haute performance. Au fil du temps, cela peut inclure le remplacement de votre autorité de certification parce que vous souhaitez passer à un nouveau fournisseur, que vous n’avez plus besoin d’un système plus ancien ou que vous avez une myriade d’autres raisons. Il est essentiel de supprimer complètement une ancienne autorité de certification en raison de la confusion qu’elle peut causer au sein de votre réseau si elle n’est pas touchée.

L’un des problèmes les plus immédiats que les utilisateurs du réseau rencontreront si une autorité de certification est supprimée de manière incorrecte est la difficulté d’authentification. L’autorité de certification signe les certificats et pendant le processus d’authentification et cette signature est vérifiée pour s’assurer que le certificat provient d’une source d’autorité de certification de confiance. Si cette signature d’autorité de certification n’est plus valide, les utilisateurs ne pourront pas s’authentifier et seront confus car ils n’ont rien changé à leur processus et ne pourront pas se connecter.

Il est particulièrement important de supprimer correctement une autorité de certification racine du réseau. L’autorité de certification racine signe les certificats distribués aux utilisateurs finaux pour l’authentification et ces certificats peuvent être configurés pour durer des années. Si l’autorité de certification racine n’est pas correctement supprimée et que les certificats ne sont pas révoqués, vous pourriez vous retrouver dans une situation où une ancienne autorité de certification racine est toujours techniquement active et où les utilisateurs qui ont un certificat signé par elle peuvent accéder au réseau quand ils devraient être refusés. Cela peut entraîner de graves perturbations du service ou une violation potentielle de la sécurité.

Une étape clé du nettoyage d’une ancienne autorité de certification consiste à éliminer l’objet d’inscription de l’autorité de certification afin que les utilisateurs ne puissent plus tenter de s’inscrire à un certificat de cette autorité de certification. Si une ancienne autorité de certification permet toujours aux utilisateurs de tenter de s’inscrire à un certificat, cela entraînera d’énormes ralentissements pendant la transition vers une nouvelle autorité de certification. Ceci est particulièrement important pour les clients Active Directory (AD), car l’AD tentera automatiquement de les inscrire pour un certificat si l’objet d’inscription est toujours actif.

Nettoyage et suppression d’une CA obsolète

Le processus de suppression d’une ancienne CA et de nettoyage du réseau de celle-ci n’est pas un processus trop complexe, mais il nécessite une précision. Si certaines mesures ne sont pas prises et que des détails sont manqués, cela entraînera de nombreux utilisateurs confus et des vulnérabilités de sécurité laissées ouvertes.

Ci-dessous, nous avons détaillé les étapes générales pour supprimer avec succès une autorité de certification de votre réseau.

• Révoquez tous les certificats liés à l’autorité de certification
  • Il ne peut y avoir de certificats persistants entre les mains des serveurs, des utilisateurs, des périphériques, etc.
• Ajoutez tous les certificats à une liste de révocation de certificats (CRL)
  • Assurez-vous que la liste est publiée et testée
• Annuler toute demande de certificat en attente
  • Aucun nouveau certificat signé par cette autorité de certification ne peut être émis
• Éliminer les services de certificat liés à l’autorité de certification
  • Cela inclut des opérations telles que la suppression de la clé privée et la suppression de modèles de certificat associés à l’autorité de certification

Le processus n’est peut-être pas rapide, mais la rigueur reflète des résultats positifs. Si vous supprimez complètement tout ce qui est associé à l’autorité de certification, vous n’aurez aucun problème à le remplacer. Bien que les subtilités du processus puissent varier d’un fournisseur d’AC à l’autre, les étapes globales pour terminer la suppression restent les mêmes. Lié voici un aperçu détaillé du processus de suppression de l’autorité de certification pour ceux qui ont une autorité de certification basée sur Windows.

Services de certificats haut de gamme avec SecureW2

Si vous souhaitez supprimer une ancienne autorité de certification et la remplacer par quelque chose de nouveau, les services PKI de SecureW2 sont incomparables en termes d’expérience utilisateur et de sécurité. Notre ICP clé en main peut rapidement créer une autorité de certification à utiliser pour l’authentification ou s’intégrer facilement à l’infrastructure réseau de n’importe quel fournisseur majeur, y compris AD CS. Donc, si vous cherchez un remplaçant pour les services de certificat d’AD, ne cherchez pas plus loin que SecureW2.

Le portail de gestion de SecureW2 permet aux administrateurs de visualiser et de gérer facilement tous les certificats sur le réseau. La révocation est un processus rapide, ou vous pouvez afficher tous les événements d’authentification et d’inscription et résoudre à distance les problèmes rencontrés par les utilisateurs.

L’un des principaux problèmes rencontrés par les organisations avec les certificats est de savoir comment les distribuer efficacement aux utilisateurs finaux. La solution d’intégration JoinNow permet aux utilisateurs d’auto-configurer n’importe quel appareil en quelques minutes et d’être immédiatement prêts pour l’authentification. Il aide énormément à rendre l’ensemble des services de l’ICP extrêmement évolutifs. Il peut être facilement utilisé par une organisation de toute taille et grandit avec vous au fil du temps.

SecureW2 offre une vaste gamme de services de certificats, de l’authentification RADIUS et bien plus encore. Si vous devez passer d’une autorité de certification obsolète, SecureW2 vous offre une variété d’options et de fonctions de certificat. Consultez notre page de tarification pour voir si notre ICP peut répondre aux besoins de votre réseau.