Powershell: Controler le magasin d’autorité de certification racine de confiance – Schannel ID 36885 et 36887
La mise à jour des certificats racines KB931125 peut faire dysfonctionner des serveurs fournissant une authentification avec certificat: Cela peut concerner l’authenfication LDAP over SSL sur vos DCs, l’athenfication IIS sur un serveur Web et IAS sur un serveur Radius (NPS sous Windows 2008). Le phénomène et les solutions de contournement sont expliqués dans cette KB, le patch proposé est pour Windows 2003. Pour information la KB 931125 ne peut pas être désinstallée via WSUS.
Nous avons rencontré le problème sur un serveur NPS 2008R2 sur lequel la mise à jour des certificats racine a rajouté près de 350 certificats. Ce serveur permet, entre autres, aux utilisateurs de se connecter au Wi-Fi avec le protocole MS-ChapV2 en utilisant leur compte AD. Or, la taille maximale de la liste d’autorités de certification de confiance que prend en charge le package de sécurité Schannel est 12228 octets, les 350 certificats ajoutés ont dépassé cette taille limite. Cela s’est traduit par une impossibilité des utilisateurs d’accéder au Wi-Fi et l’apparition des messages d’ID 36885 et 36887 de source Schannel sur le serveur:
Sur ce type de serveur il est donc nécessaire de contrôler le contenu du magasin d’autorités de certification racine de confiance. Le script PowerShell permet de surveiller son contenu, ceci à partir d’une référence exportée dans un fichier CSV: Pour générer le fichier de référence connectez vous à un serveur contenant le magasin d’autorités de certification racine de confiance qui fera office de référence et lancer les commandes suivantes:
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store("Root","LocalMachine") $store.Open("ReadOnly") $store.certificates | select thumbprint, Issuer, Subject | export-csv RefCerts.csv |
Une fois le fichier RefCerts.csv généré, le script à télécharger ci-dessous et à mettre en tâche planifiée sur ce type de serveur, permet d’effacer les certificats ajoutés au magasin d’autorités de certification racine de confiance qui ne font pas partie du fichier RefCerts.csv ceci en comparant le thumbprint de chaque certificat à partir du CSV de référence. Si un certificat référencé dans le fichier RefCerts.csv ne fait pas partie du magasin, alors l’information est indiquée dans le fichier log.txt. Il sera à ajouter manuellement ou via GPO.
Pour télécharger le script c’est ici:
Mise à jour: La KB2801679 a été publiée le 12 janvier 2013 et corrige le problème décrit.
This post is also available in: Anglais
