Créer une sauvegarde (backup) d'une autorité de certification

Auteur Uwe GradeneggerPublié le Catégories Sauvegarder et restaurer, Autorité de certificationÉtiquettes

Une gestion professionnelle d'un organisme de certification implique également la création régulière de sauvegardes.

Vous trouverez ci-dessous une description des composants à sauvegarder et de la procédure à suivre.

Les étapes suivantes sont volontairement résolues via la ligne de commande afin de pouvoir être automatisées dans un script de sauvegarde.

Sécurisation du matériel de clé privée

La sauvegarde du matériel de clé privée d'une autorité de certification n'est volontairement pas effectuée régulièrement. Une description détaillée de ce processus se trouve dans l'article „Créer une sauvegarde (backup) de la clé privée d'une autorité de certification" décrit.

Sauvegarde des données de l'autorité de certification

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

La sécurisation régulière d'une autorité de certification comprend les éléments essentiels suivants :

  • Le fichier de politique d'autorité de certification (capolicy.inf).
  • Les certificats délivrés, c'est-à-dire la base de données des autorités de certification et, s'ils sont configurés, les e-mails du module SMTP Exit.
  • Le registre de l'autorité de certification.

Ces données sont suffisantes pour pouvoir restaurer l'autorité de certification en cas d'urgence. En outre, il est judicieux d'inclure les composants suivants dans la sauvegarde régulière :

  • Le registre de l'autorité de certification en format lisible par l'homme.
  • Une liste des listes de révocation publiées sur l'autorité de certification.
  • Les certificats d'autorité de certification (sans clé privée) et les listes de révocation (pour effectuer une signature d'urgence).
  • Le journal des événements de sécurité de l'autorité de certification.
  • Les modèles de certificats appartenant à l'autorité de certification dans un format lisible par l'homme.
  • Les objets Active Directory appartenant à l'autorité de certification
  • En outre, les scripts et les tâches planifiées qui ont été mis en place pour le fonctionnement de l'autorité de certification (par ex. Scripts de copie pour les listes de blocage).
  • Si disponibles, les fichiers d'installation et de configuration pour le module Hardware Security.

Sauvegarde du fichier de politique de l'autorité de certification (capolicy.inf)

Le fichier de stratégie d'autorité de certification (capolicy.inf) décrit les paramètres de configuration de base d'une autorité de certification. Il se trouve dans C:\NWindows\NSystem32. Il suffit de faire une copie du fichier.

Sauvegarde de la base de données des autorités de certification

La base de données de l'autorité de certification contient un journal de tous les certificats émis et révoqués par l'autorité de certification, ainsi que des demandes de certificats non encore traitées, ayant échoué ou refusées. Si elle est activée, les clés privées des certificats émis sont également archivées sous forme cryptée.

La base de données des autorités de certification peut être sauvegardée à l'aide de la commande de ligne de commande suivante :

certutil -backupdb {Pfad-zur-Sicherung}

En option, il est ensuite possible d'effectuer une Vérification de l'intégrité de la sauvegarde de la base de données de l'autorité de certification peuvent être effectuées.

Sécurisation du registre des autorités de certification

Le registre de l'autorité de certification contient tous les paramètres de configuration de l'autorité de certification. Il se trouve sous „HKLM\System\CurrentControlSet\Services\CertSvc“. Il peut être sauvegardé à l'aide de la commande de ligne de commande suivante :

reg export "HKLM\System\CurrentControlSet\Services\CertSvc" "{Pfad-zur-Sicherung}\CertSvc.reg"

Sauvegarde du registre des autorités de certification (dans un format lisible par l'homme)

L'exoport effectué précédemment contient les réglages sous forme lisible par la machine. Afin de pouvoir, pendant Récupération d'une autorité de certification Pour pouvoir consulter la configuration, il est utile de disposer d'une variante lisible par l'homme des informations. Celle-ci peut être créée à l'aide des commandes de ligne de commande suivantes.

certutil -v -getreg > "{Pfad-zur-Sicherung}\GetReg.txt"
certutil -v -getreg CA > "{Pfad-zur-Sicherung}\GetReg_Ca.txt"
certutil -v -getreg CA\CSP > "{Pfad-zur-Sicherung}\GetReg_Ca_Csp.txt"

Sécurisation des certificats d'autorité de certification et des listes de révocation

Pour les Signature d'urgence des listes de blocage et le Récupération des certificats d'autorité de certification en cas d'utilisation d'un module de sécurité matériel le dossier CertEnroll situé sous C:\Windows\System32\CertSrv doit être sauvegardé.

Sécurisation du journal des événements de sécurité de l'autorité de certification

Si l'audit des événements de l'autorité de certification a été correctement configuré, toutes les opérations de l'autorité de certification relatives à la sécurité sont écrites dans le journal des événements de sécurité. Si aucune collecte centrale du journal des événements n'est implémentée dans le réseau, il peut être judicieux d'inclure le journal des événements de sécurité dans la sauvegarde afin de permettre ultérieurement des analyses forensiques. La sauvegarde du journal des événements de sécurité peut être effectuée à l'aide de la commande de ligne de commande suivante :

wevtutil export-log Security "{Pfad-zur-Sicherung}\EventLog_Security.evtx"

Sauvegarde d'une liste des modèles de certificats publiés sur l'autorité de certification

Cette information est enregistrée dans l'Active Directory, mais il peut être utile de sauvegarder une liste des modèles de certificats publiés sur l'autorité de certification pour une utilisation ultérieure. Cela peut être fait avec la commande Windows PowerShell suivante.

Get-CATemplate | Foreach-Object { $_.Name } | Out-File -FilePath "{Pfad-zur-Sicherung}\CATemplates.txt" –Encoding String –Force

Sauvegarde des modèles de certificats appartenant à l'autorité de certification dans un format lisible par l'homme

Pour sauvegarder la configuration actuelle des modèles de certificats liés à l'autorité de certification, la commande Windows PowerShell suivante peut être utilisée sur la base de la liste créée précédemment :

Get-Content -Path "{Pfad-zur-Sicherung}\CATemplates.txt" | ForEach-Object { certutil -v -template $_ } {Pfad-zur-Sicherung}\$_.txt}

Liens complémentaires :

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais