Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Pillar Guide Intermediate to Advanced 18 min read

ADCS : limites, coûts cachés et alternatives modernes

Microsoft Active Directory Certificate Services est la PKI d'entreprise par défaut depuis deux décennies. Mais avec des certificats à 47 jours, des infrastructures multi-cloud et le besoin de diversifier les protocoles, ADCS montre son âge. Ce guide pilier examine ce qu'ADCS fait bien, ses points faibles, et comment planifier une migration vers une alternative moderne.

En bref

Type
Pillar Guide
Niveau
Intermediate to Advanced
Suivant
Choisir une plateforme CLM

Vue d'ensemble

Active Directory Certificate Services (ADCS) est un rôle de Windows Server qui fournit une autorité de certification (CA) étroitement intégrée à l'écosystème Active Directory de Microsoft. Introduit pour la première fois avec Windows Server 2000 et largement enrichi dans Server 2008, ADCS est, depuis plus de deux décennies, le choix par défaut pour la PKI d'entreprise dans les organisations centrées sur Windows.

Sur le fond, ADCS émet et gère des certificats numériques X.509 utilisés pour TLS/SSL, l'authentification utilisateur, la signature de code, le chiffrement d'e-mails et l'identité des équipements. Il s'exécute en tant que rôle serveur sur Windows Server, stockant sa configuration et ses données de certificats dans Active Directory ou dans une base de données locale.

ADCS regroupe plusieurs sous-composants : l'autorité de certification (CA) elle-même, le Certificate Enrollment Web Service, le Certificate Enrollment Policy Web Service, l'Online Responder (OCSP) et le Network Device Enrollment Service (NDES). Ensemble, ces composants forment une infrastructure PKI complète qui se branche directement sur la pile d'administration Windows.

Dans beaucoup d'organisations, ADCS a été déployé il y a des années par un administrateur Windows, souvent dans le cadre d'un projet plus vaste autour d'Active Directory. Il tourne peut-être encore sur un serveur que peu de personnes maîtrisent vraiment, émettant des certificats via des modèles de stratégie de groupe qui n'ont pas été revus depuis des années.

Étapes clés

1

Auditez votre environnement ADCS actuel

Cartographiez chaque CA de votre hiérarchie, documentez l'ensemble des modèles de certificats, identifiez tous les points d'enrôlement et inventoriez chaque certificat émis. Utilisez `certutil -catemplates` et `certutil -view` pour extraire ces données. Construisez un inventaire complet de qui utilise quoi.

2

Déployez la nouvelle CA en parallèle

Mettez en place votre nouvelle plateforme PKI en parallèle d'ADCS. Faites cross-signer le certificat de la nouvelle CA émettrice par votre racine existante, ou déployez une nouvelle racine et distribuez-la via la stratégie de groupe. Les deux CA fonctionnent simultanément pendant la transition.

3

Migrez les modèles de certificats

Recréez vos modèles ADCS dans la nouvelle plateforme. Mappez les permissions de modèle, les usages de clé, les périodes de validité et les contraintes de sujet. Commencez par les modèles à plus fort volume pour maximiser l'impact rapidement.

4

Redirigez les nouveaux enrôlements

Pointez les nouvelles demandes de certificats vers la nouvelle CA. Pour les systèmes compatibles ACME, configurez les clients pour utiliser le point d'accès ACME de la nouvelle CA. Pour l'auto-enrôlement Windows, mettez à jour les paramètres de GPO. Les certificats existants continuent à être délivrés par ADCS jusqu'à leur expiration et leur renouvellement depuis la nouvelle CA.

5

Décommissionnez ADCS

Une fois tous les certificats renouvelés depuis la nouvelle CA et plus aucun certificat actif présent sur ADCS, mettez hors service les anciens serveurs. Archivez la base de données ADCS à des fins d'audit. Supprimez le rôle CA d'AD. Cette étape intervient généralement 6 à 12 mois après le début de la bascule.

Composants clés

Intégration à Active Directory

ADCS stocke la configuration de la CA et les certificats dans AD, les rendant automatiquement disponibles à toutes les machines jointes au domaine. Aucune configuration manuelle du magasin de confiance n'est nécessaire pour les clients Windows.

Auto-enrôlement par stratégie de groupe

Grâce aux objets de stratégie de groupe (GPO), les certificats peuvent être enrôlés et renouvelés automatiquement sur les machines Windows sans intervention de l'utilisateur. C'était une véritable innovation au moment de son introduction.

Modèles de certificats

ADCS fournit un système de modèles versionnés (v2 et v3) qui définissent les usages de clé, les périodes de validité, le format du sujet et les permissions d'enrôlement. Les modèles sont stockés dans AD et versionnés.

NDES pour les équipements réseau

Le Network Device Enrollment Service implémente SCEP, ce qui permet aux routeurs, commutateurs et autres équipements réseau de demander des certificats. Il fait le pont entre les équipements non-Windows et ADCS.

Pas de coût de licence supplémentaire

ADCS est inclus avec Windows Server. Si vous disposez déjà d'une licence Windows Server, ADCS ne nécessite pas d'achat séparé, ce qui le fait paraître « gratuit » au premier abord.

Écosystème établi

Deux décennies de déploiement signifient une documentation abondante, une connaissance partagée par la communauté et un support Microsoft. La plupart des administrateurs Windows connaissent au moins ADCS de loin.

Exigences clés

Pas de prise en charge du protocole ACME

ADCS ne prend pas en charge le protocole ACME (RFC 8555). Avec le CA/Browser Forum qui impose une durée de vie de 47 jours pour les certificats TLS, chaque certificat devra être renouvelé environ 8 fois par an. Sans ACME, la gestion automatisée des certificats nécessite des outils tiers ajoutés par-dessus ADCS. L'auto-enrôlement par stratégie de groupe ne fonctionne que pour les machines Windows jointes au domaine, laissant les serveurs Linux, les conteneurs et les charges de travail cloud sans voie de renouvellement native.

Architecture exclusivement Windows

ADCS s'exécute uniquement sur Windows Server. Il ne peut pas être déployé sur Linux, en conteneur ou en tant que service cloud-native. En 2026, la plupart des entreprises exploitent des environnements hybrides où Linux, Kubernetes et les plateformes cloud surpassent en nombre les serveurs Windows. ADCS ne peut pas émettre nativement de certificats vers ces systèmes sans contournements complexes comme NDES ou des scripts personnalisés.

Pas de découverte de certificats intégrée

ADCS sait ce qu'il a émis, mais n'a aucune visibilité sur les certificats émis par d'autres CA, publiques ou privées. Il ne peut pas analyser votre réseau pour détecter les certificats déployés, repérer les CA non autorisées ou vous alerter sur les certificats expirants qu'il n'a pas émis. Cet angle mort devient critique dès que les organisations utilisent plusieurs CA dans différents environnements.

Haute disponibilité et reprise après sinistre complexes

ADCS n'offre pas de clustering natif. Pour obtenir la haute disponibilité, il faut déployer plusieurs serveurs CA, configurer manuellement le basculement et gérer soi-même la réplication de la base de données. La reprise après sinistre exige une sauvegarde rigoureuse de la base de la CA, des clés privées, des modèles et des paramètres du registre. Une restauration ratée peut provoquer des conflits de numéros de série ou des ruptures de chaînes de confiance.

Reporting et conformité limités

ADCS fournit des journaux d'événements basiques et l'utilitaire en ligne de commande `certutil`, mais ne propose ni tableaux de bord, ni alertes d'expiration, ni rapports de conformité, ni pistes d'audit, contrairement à ce qu'attendent les équipes sécurité modernes. Répondre à des questions comme « combien de certificats expirent cette semaine ? » ou « quels certificats utilisent des algorithmes faibles ? » exige des scripts manuels ou des outils tiers.

Comparaison

CapacitéMicrosoft ADCSEvertrust
Protocoles d'enrôlementDCOM, SCEP (NDES), WebACME, EST, CMP, SCEP, API REST
Systèmes d'exploitationWindows Server uniquementLinux, Windows, Kubernetes, Cloud
Gestion du cycle de vieNon incluseIntégrée (Evertrust CLM)
Découverte de certificatsNonRéseau, cloud, analyse des journaux CT
Haute disponibilitéManuelle (multi-serveurs)Clustering natif
Tableaux de bord de conformitéNon (journaux d'événements seulement)Tableaux de bord et alertes en temps réel
Prêt pour les certificats à 47 joursNon viable sans extensionsPrise en charge ACME native
Comment nous aidons

Evertrust & ADCS : limites, coûts cachés et alternatives modernes

Remplacement direct d'ADCSEvertrust PKI prend en charge tous les protocoles d'ADCS (y compris SCEP pour les équipements réseau), plus des protocoles modernes comme ACME et EST qui manquent à ADCS. Migrez sans perdre aucune capacité d'enrôlement.

Visibilité complète dès le premier jourEvertrust CLM découvre chaque certificat à travers votre infrastructure, y compris ceux encore émis par ADCS pendant la période de migration. Obtenez un inventaire complet avant, pendant et après la migration.

Prêt pour les 47 joursLa prise en charge native d'ACME signifie que vos certificats sont renouvelés automatiquement, qu'ils soient sur des serveurs Linux, des pods Kubernetes, des machines Windows ou des répartiteurs de charge cloud. Fini les renouvellements gérés dans l'urgence.

Parler à un expert Découvrir Evertrust PKI
Comment fonctionne la PKI Choisir une plateforme CLM