Nettoyage de l’Autorité de certification Microsoft

Le nettoyage de la base de données Microsoft CA est quelque chose que la plupart des administrateurs oublient de faire ou ne veulent pas effectuer.

La base de données de l’autorité de certification contient un enregistrement des certificats émis et de toutes les demandes en attente et échouées. Les certificats révoqués sont également conservés dans la base de données, afin qu’une liste de révocation de certificats ou de liste de révocation de certificats puisse être générée de manière régulière.

Les certificats émis ne doivent pas être supprimés de l’autorité de certification jusqu’à leur expiration, tandis que les certificats révoqués ne doivent pas être supprimés car ils alimentent le contenu de la liste de révocation de certificats.

La liste de révocation de certificats est une liste tenue à jour par l’autorité de certification et fournit la liste des certificats révoqués aux consommateurs de certificats numériques, afin qu’ils puissent effectuer des tests de révocation avant d’accepter le certificat présenté.

Vous pouvez supprimer les certificats expirés qui existent au-delà de leur période de validité sans aucun effet secondaire.

Les deux types d’enregistrement que vous pouvez supprimer à tout moment sont :

• Certificats émis et expirés.
• Certificats révoqués et expirés.

De plus, les demandes refusées et en attente peuvent être supprimées. Ce ne sont que des demandes de certificats, et aucun certificat émis ne leur est associé.

Comment effectuer la suppression ?

Cela se fait à l’aide de la ligne de commande certutil avec le paramètre deleterow. Vous devez spécifier le type des enregistrements à supprimer selon le tableau ci-dessous

Par exemple, si vous souhaitez supprimer toutes les demandes échouées et en attente soumises avant le 01 Avril 2020, la commande est :

Certutil -deleterow 4/01/2020 request

[date au format mm / jj / aaaa]