Renommer un domaine Microsoft active directory, pour obtenir un certificat SSL d'autorité
Il arrive souvent que des clients nous demandent des certificats utilisant un nom interne, soit chevauchant un domaine officiel déclaré au IANA, soit correspondant à un TLD en cours d'attribution, soit non existant, soit encore avec une adresse IP privative.
Plus aucun certificat avec un nom interne ou une IP interne n'existera
après le 1er novembre 2015. Donc dès maintenant, un certificat de 2 ans ne peut
plus contenir un tel SAN.
En savoir plus
Pour contourner ce souci, il y a 2 solutions possibles.
- Le plus simple est probablement de mettre un serveur Microsoft ISA/TMG en frontal sur votre réseau, qui utilisera un certificat UCC sans les noms internes. Il redirigera les flux vers le serveur Exchange interne. Et sur le serveur Exchange interne, vous utilisez un certificat généré par la PKI de votre autodiscovery. C'est relativement rapide à mettre en place, mais cela impose de conserver la PKI Microsoft.
- L'autre solution consiste à renommer votre Active Directory Windows pour éliminer
l'usage de noms internes. Il faut utiliser l'utilitaire Microsoft rendom. Voir la documentation:
- Pour Windows 2000: http://support.microsoft.com/kb/292541/fr
- Pour Windows 2003: http://technet.microsoft.com/fr-fr/windowsserver/bb405948.aspx
- Pour Windows 2008:
http://www.shariqsheikh.com/blog/index.php/200804/how-to-rename-a-windows-server-2008-domain/ - Pour Windows 2012/2012r2:
https://technet.microsoft.com/en-us/library/cc781575%28v=ws.10%29.aspx
Attention : cette opération peut être complexe et avoir un impact sur vos applicatifs métiers. Vérifiez avec Microsoft ou avec un consultant Microsoft avant de vous lancer !
Recommandation : nous recommandons d'utiliser comme zone active directory une branche de votre domaine officiel, par exemple ad.entreprise.fr ou carrément acheter un nouveau nom de domaine dédié à cet usage.
Il n'est PAS possible d'utiliser un nom interne comme .local. Lire cet article pour savoir pourquoi.
Définition
Nom interne : Désigne une chaîne de caractères (pas une adresse IP) présente dans le champ CN (Common Name) ou SAN (Subject Alternative Name) du certificat et dont on ne peut prouver qu'il est globalement unique au sein du DNS publique au moment de l'émission du certificat car il ne se termine pas par un Top Level Domain enregistré chez IANA.
Liens externes
- http://blog.lumo.fr/renommer-un-nom-de-domaine-active-directory.html
- http://social.technet.microsoft.com/Forums/en-US/exchange2010/thread/ac406f35-1d14-4905-8dff-942b016b46fd/