Que signifie l'option „Enable Certificate Privacy“ lors de l'exportation de certificats ?

Auteur Uwe GradeneggerPublié le Catégories Utilisation du certificatÉtiquettes

Avec Windows Server 2016 et Windows 10, une nouvelle option „ Enable Certificate Privacy “ (Activer la confidentialité des certificats) a été mise en place pour l'exportation de certificats avec clé privée via la console MMC (Microsoft Management Console).

Lors de l'exportation de certificats avec clé privée, le certificat est exporté dans un fichier PKCS#12 (.PFX).

Fonctionnement

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Dans les versions précédentes de Windows, tout le contenu du fichier PKCS#12 était crypté. Sans le mot de passe, il n'était pas possible de consulter le fichier, même pour lire les méta-informations.

Si l'option est désactivée, seule la clé privée est cryptée dans le fichier PKCS#12, tous les autres contenus sont donc lisibles sans mot de passe.

Sur Windows Server 2016 et les versions précédentes de Windows 10, l'option était par défaut désactivé.

Sur Windows Server 2019 et les versions actuelles de Windows 10, il est à nouveau disponible par défaut active et reproduit ainsi le comportement identique par rapport aux versions précédentes de Windows.

Test de fonctionnement

A titre de comparaison, deux fichiers PKCS#12 avec les différents paramètres sont examinés, chacun avec la commande de ligne de commande suivante :

certutil -dump {Datei}

Option activée

Si l'option „Enable Certificate Privacy“ est activée, un mot de passe est obligatoire pour consulter le fichier.

Option non activée

Si l'option „Enable Certificate Privacy“ est activée“ pas activé, les informations publiques peuvent également être consultées sans mot de passe.

En raison de cette modification du comportement de l'application, un tel fichier PKCS#12 ne demande pas de mot de passe pour la partie privée et n'effectue donc pas de test de la clé privée.

Si l'on veut vérifier le fonctionnement de la clé privée, il faut malheureusement indiquer le mot de passe sur la ligne de commande :

certutil -p {Passwort} -dump {Datei}

Liens complémentaires :

Sources externes

Les commentaires sont fermés.

fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais