CAExpiryMonitor : le monitoring des certificats arrivant à expiration

CAExpiryMonitor : le monitoring des certificats arrivant à expiration

8 octobre 2025 0 Par Rached Chader

Thank you for reading this post, don't forget to subscribe!

L’outil CAExpiryMonitor vous donne le pouvoir d’anticiper :
Plus de certificats expirés oubliés,
Plus de pannes TLS imprévues,
Plus de sueurs froides avant un rendez-vous critique.

Avec une interface intuitive, un service automatisé et un système d’alerting efficace, c’est la solution de monitoring de certificats que chaque infrastructure Windows mérite — et gratuitement.

Vous pouvez le télécharger ci-dessous, sans inscription.
N’hésitez pas à me faire part de vos retours, suggestions et succès — j’ai hâte de savoir comment il sauvera vos services !

Pourquoi surveiller vos certificats ?

Les services de certification internes (ADCS) jouent un rôle critique dans la sécurité d’une infrastructure Windows.
TLS, authentification, RDS, VPN, messagerie : tout repose sur des certificats valides.
Un simple oubli d’expiration peut paralyser un service entier.

Trop souvent, les administrateurs sont prévenus trop tard.

Avec CAExpiryMonitor, vous bénéficiez d’une gestion de certificat automatisée :
alerting, supervision et rapport complet — sans dépendance cloud, sans coût, sans agent tiers.

Cet outil permet à tout administrateur, même sans expertise PKI, de :

  • détecter les certificats proches de l’expiration,

  • recevoir une alerte mail claire,

  • déclencher un renouvellement avant incident.

Prérequis techniques

Avant d’installer l’application, assurez-vous que votre environnement respecte ces conditions :

  • Windows 10 / 11 / Server 2016 / 2019 / 2022

  • .NET Desktop Runtime 8 (obligatoire)

  • PowerShell 7 (fourni ou installé automatiquement)

  • Module PSPKI

  • Outil nssm.exe (inclus)

  • Droits administrateur local

  • Accès SMTP pour l’envoi des mails d’alerte

Installation pas à pas

  1. Lancez CAExpiryMonitor_Setup.exe en mode administrateur.

  2. Le programme s’installe dans :
    C:\ProgramData\CAExpiryMonitor

  3. Les dossiers suivants sont créés :
    PowerShell, tools, GUI, Logs, Reports, secrets, config

  4. Deux raccourcis sont ajoutés : Bureau et Menu Démarrer.

  5. Ouvrez l’application via ces raccourcis.

Interface & configuration

Onglet 1 — Pré-requis

  • Cliquez Check pour vérifier la présence de PowerShell, PSPKI et NSSM.

  • Si un composant manque, cliquez Install Missing : l’installation est automatique.

Onglet 2 — Service & paramètres

Principaux boutons :

  • Install / Restart Service : installe ou redémarre le service.

  • Stop / Uninstall Service : arrête ou supprime le service.

  • Run Now (One-Shot) : exécute un scan immédiat et génère un rapport.

Paramètres essentiels :

  • CAName : nom de votre autorité de certification (ex : CHADERFR-CA).

  • ReportsDir / LogsDir : chemins des rapports et journaux.

  • Mail : configuration SMTP (serveur, expéditeur, destinataires, SSL).

  • Days : seuil d’alerte avant expiration.

  • PreferPSPKI : active l’utilisation du module PSPKI pour l’interrogation.

  • IncludeRevoked : inclut ou non les certificats révoqués.

  • Planification : quotidienne, hebdomadaire, mensuelle ou par intervalle d’heures.

Fichier de configuration JSON

CAExpiryMonitor stocke l’ensemble de ses paramètres dans un fichier unique :

C:\ProgramData\CAExpiryMonitor\config\CAExpiryMonitor.json

Ce fichier contrôle la planification, les seuils d’alerte, les dossiers de logs et l’envoi d’emails.

Exemple complet :

Explication rapide des paramètres

  • CAName : nom de votre Autorité de Certification (CA).

  • Days : nombre de jours avant expiration pour déclencher une alerte.

  • Mode : type de planification (DailyTime, Weekly, Monthly, Interval).

  • DailyTime / IntervalHours : heure ou intervalle d’exécution.

  • ReportsDir / LogsDir : dossiers où sont enregistrés les rapports et journaux.

  • KeepDays : durée de conservation des anciens fichiers.

  • Mail : configuration SMTP (serveur, port, SSL, expéditeur, destinataires).

  • CredentialFile : fichier d’identifiants SMTP chiffré avec DPAPI.

  • Query : préférences d’interrogation de la CA (PSPKI, certificats révoqués, limite de lignes).

Modifier la configuration

Vous pouvez modifier la configuration depuis l’interface (bouton Open Config) ou directement en PowerShell.

Exemples :

notepad « C:\ProgramData\CAExpiryMonitor\config\CAExpiryMonitor.json »

Modifier une valeur en PowerShell :

Modes de planification disponibles

  • DailyTime : exécution chaque jour à heure fixe
    Exemple : "DailyTime": "07:00"

  • Interval : exécution toutes les X heures
    Exemple : "IntervalHours": 12

  • Weekly : jour et heure définis
    Exemple : "Weekly": { "DayOfWeek": "Monday", "Time": "07:00" }

  • Monthly : exécution une fois par mois
    Exemple : "Monthly": { "Day": "1", "Time": "07:00" }

Astuce : pour la plupart des environnements, un mode DailyTime à 07:00 est suffisant.

Logs et rapports

Le panneau Logs vous permet de :

  • Rafraîchir la liste des journaux.

  • Ouvrir les rapports récents.

  • Accéder directement aux fichiers CSV, HTML et ZIP générés.

Lorsqu’un certificat approche de l’expiration, un rapport est créé puis compressé ; le mail contient un résumé clair :

Pièce jointe : CA_Report_20251009.zip

Mode service — surveillance continue

Le service Windows est installé via NSSM directement depuis l’interface.
Une fois lancé, il s’exécute automatiquement selon la planification définie (quotidienne, hebdomadaire, mensuelle ou intervalle).
Aucune intervention n’est nécessaire : CAExpiryMonitor veille 24 h / 24.

Commandes PowerShell utiles

Démarrer ou arrêter le service :

Mise à jour et désinstallation

  • Pour mettre à jour : relancez simplement le nouveau setup (les rapports et configs sont conservés).

  • Pour désinstaller : passez par le Panneau de configuration ou exécutez Uninstall.exe.

  • Un lien vers www.chader.fr s’affiche en fin de désinstallation.

Bonnes pratiques et sécurité

  • Gardez le fichier smtp.cred protégé (chiffré DPAPI).

  • Vérifiez régulièrement les logs et mails de test.

  • Adaptez le seuil Days selon la durée de vos certificats.

  • N’envoyez que le fichier ZIP pour réduire la taille des mails.

Conclusion

CAExpiryMonitor est né d’un besoin simple :
ne plus jamais découvrir un certificat expiré au pire moment.

Facile à déployer, totalement autonome et gratuit, il apporte une visibilité complète sur vos certificats Active Directory.
Testez-le, automatisez-le et laissez-le travailler pour vous.

Views: 10