
CAExpiryMonitor : le monitoring des certificats arrivant à expiration
8 octobre 2025Thank you for reading this post, don't forget to subscribe!
L’outil CAExpiryMonitor vous donne le pouvoir d’anticiper :
Plus de certificats expirés oubliés,
Plus de pannes TLS imprévues,
Plus de sueurs froides avant un rendez-vous critique.
Avec une interface intuitive, un service automatisé et un système d’alerting efficace, c’est la solution de monitoring de certificats que chaque infrastructure Windows mérite — et gratuitement.
Vous pouvez le télécharger ci-dessous, sans inscription.
N’hésitez pas à me faire part de vos retours, suggestions et succès — j’ai hâte de savoir comment il sauvera vos services !
Pourquoi surveiller vos certificats ?
Les services de certification internes (ADCS) jouent un rôle critique dans la sécurité d’une infrastructure Windows.
TLS, authentification, RDS, VPN, messagerie : tout repose sur des certificats valides.
Un simple oubli d’expiration peut paralyser un service entier.
Trop souvent, les administrateurs sont prévenus trop tard.
Avec CAExpiryMonitor, vous bénéficiez d’une gestion de certificat automatisée :
alerting, supervision et rapport complet — sans dépendance cloud, sans coût, sans agent tiers.
Cet outil permet à tout administrateur, même sans expertise PKI, de :
détecter les certificats proches de l’expiration,
recevoir une alerte mail claire,
déclencher un renouvellement avant incident.
Prérequis techniques
Avant d’installer l’application, assurez-vous que votre environnement respecte ces conditions :
Windows 10 / 11 / Server 2016 / 2019 / 2022
.NET Desktop Runtime 8 (obligatoire)
PowerShell 7 (fourni ou installé automatiquement)
Module PSPKI
Outil nssm.exe (inclus)
Droits administrateur local
Accès SMTP pour l’envoi des mails d’alerte
Installation pas à pas
Lancez
CAExpiryMonitor_Setup.exe
en mode administrateur.Le programme s’installe dans :
C:\ProgramData\CAExpiryMonitor
Les dossiers suivants sont créés :
PowerShell, tools, GUI, Logs, Reports, secrets, configDeux raccourcis sont ajoutés : Bureau et Menu Démarrer.
Ouvrez l’application via ces raccourcis.
Interface & configuration
Onglet 1 — Pré-requis
Cliquez Check pour vérifier la présence de PowerShell, PSPKI et NSSM.
Si un composant manque, cliquez Install Missing : l’installation est automatique.
Onglet 2 — Service & paramètres
Principaux boutons :
Install / Restart Service : installe ou redémarre le service.
Stop / Uninstall Service : arrête ou supprime le service.
Run Now (One-Shot) : exécute un scan immédiat et génère un rapport.
Paramètres essentiels :
CAName : nom de votre autorité de certification (ex :
CHADERFR-CA
).ReportsDir / LogsDir : chemins des rapports et journaux.
Mail : configuration SMTP (serveur, expéditeur, destinataires, SSL).
Days : seuil d’alerte avant expiration.
PreferPSPKI : active l’utilisation du module PSPKI pour l’interrogation.
IncludeRevoked : inclut ou non les certificats révoqués.
Planification : quotidienne, hebdomadaire, mensuelle ou par intervalle d’heures.
Fichier de configuration JSON
CAExpiryMonitor stocke l’ensemble de ses paramètres dans un fichier unique :
C:\ProgramData\CAExpiryMonitor\config\CAExpiryMonitor.json
Ce fichier contrôle la planification, les seuils d’alerte, les dossiers de logs et l’envoi d’emails.
Exemple complet :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | { "CAName": "CHADERFR-CA", "Days": 40, "Run": { "Mode": "DailyTime", "DailyTime": "07:00", "IntervalHours": 24, "Weekly": { "DayOfWeek": "Monday", "Time": "07:00" }, "Monthly": { "Day": "1", "Time": "07:00" } }, "Output": { "ReportsDir": "C:\\ProgramData\\CAExpiryMonitor\\Reports", "LogsDir": "C:\\ProgramData\\CAExpiryMonitor\\Logs", "KeepDays": 120 }, "Mail": { "SmtpServer": "smtp.chader.fr", "SmtpPort": 587, "UseSsl": true, "From": "alert@chader.fr", "To": ["admin@chader.fr"], "SendOnlyIfFindings": false, "UseCredentialFile": true, "CredentialFile": "C:\\ProgramData\\CAExpiryMonitor\\secrets\\smtp.cred" }, "Query": { "PreferPSPKI": true, "IncludeRevoked": false, "MaxRows": 100000 } } |
Explication rapide des paramètres
CAName : nom de votre Autorité de Certification (CA).
Days : nombre de jours avant expiration pour déclencher une alerte.
Mode : type de planification (
DailyTime
,Weekly
,Monthly
,Interval
).DailyTime / IntervalHours : heure ou intervalle d’exécution.
ReportsDir / LogsDir : dossiers où sont enregistrés les rapports et journaux.
KeepDays : durée de conservation des anciens fichiers.
Mail : configuration SMTP (serveur, port, SSL, expéditeur, destinataires).
CredentialFile : fichier d’identifiants SMTP chiffré avec DPAPI.
Query : préférences d’interrogation de la CA (PSPKI, certificats révoqués, limite de lignes).
Modifier la configuration
Vous pouvez modifier la configuration depuis l’interface (bouton Open Config) ou directement en PowerShell.
Exemples :
notepad « C:\ProgramData\CAExpiryMonitor\config\CAExpiryMonitor.json »
Modifier une valeur en PowerShell :
Views: 10