La procédure suivante décrit la restauration d'un certificat d'autorité de certification à l'aide d'une clé logicielle.
La restauration du certificat de l'autorité de certification peut être nécessaire pour les raisons suivantes :
- Restauration d'une autorité de certification à partir d'une sauvegarde
- Migration de l'autorité de certification vers un nouveau serveur
- Signature d'urgence des listes de blocage sur un autre ordinateur
La récupération d'un certificat d'autorité de certification avec une clé logicielle est fondamentalement différente et se fait en cet article décrites.
Pour la procédure suivante, il est nécessaire que le fournisseur de stockage de clés associé au module de sécurité matériel soit déjà installé et configuré. L'accès au matériel de clé depuis l'ordinateur cible doit donc déjà être garanti. Comme cette procédure diffère selon le fabricant du HSM, elle n'est pas décrite ici. Pour cela, il convient d'utiliser la documentation du fabricant de HSM concerné.
Si plusieurs certificats d'autorité de certification doivent être restaurés, les étapes suivantes doivent être répétées pour chaque certificat.
Mise en œuvre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Pour restaurer les certificats d'autorité de certification, il faut les exécuter sans la clé privée - comme par exemple la version stockée dans le magasin d'accès aux informations de l'autorité (AIA). Les certificats se trouvent sur le système source sous C:\Windows\System32\CertSrv\CertEnroll.
Sur l'ordinateur cible, la console de gestion des certificats du compte informatique (certlm.msc) s'ouvre. On clique avec le bouton droit de la souris sur „Personal“, puis sur „All Tasks“ - „Import...“.
Dans l'écran suivant, cliquez sur „ Next “.
Sélectionnez ensuite le fichier de sauvegarde à l'aide de „ Parcourir... “.
Le certificat d'autorité de certification à restaurer est maintenant sélectionné.
Vous pouvez maintenant passer à la boîte de dialogue suivante en cliquant sur „ Next “.
La sélection par défaut („ Personnel “) pour l'enregistrement du certificat peut être conservée.
En cliquant sur „ Finish “, le certificat de l'autorité de certification est alors restauré.
Si l'importation a réussi, un message correspondant s'affiche.
Il convient de noter que le certificat d'autorité de certification ne peut pas encore accéder à sa clé privée, comme on pouvait s'y attendre. Celle-ci doit maintenant être liée à l'étape suivante.
Tout d'abord, l'empreinte SHA1 (thumbprint) du certificat est nécessaire. Celle-ci peut être identifiée via la boîte de dialogue des propriétés du certificat ou par la commande Windows PowerShell suivante :
Get-ChildItem -Path Cert:\LocalMachine\My\
Il faut maintenant associer la clé privée au certificat identifié par l'empreinte digitale. Cela doit se faire dans le contexte de sécurité SYSTÈME D'AUTORITÉ NT. Il existe plusieurs façons de passer dans ce contexte de sécurité :
- Créer une tâche planifiée qui s'exécute sous SYSTEM et qui exécute un script. Cette méthode a l'avantage de ne pas nécessiter l'exécution de programmes tiers.
- Passer au contexte du système via psexec.
La méthode avec psexec est décrite ci-dessous. Il est possible de passer au contexte système avec la commande suivante :
psexec -s -i cmd.exe
Ensuite, la commande de ligne de commande suivante est exécutée :
certutil -repairstore my {Fingerabdruck}
Si la commande a réussi, cela est indiqué sur la ligne de commande.
Si l'on actualise maintenant l'affichage dans la console de gestion pour les certificats du compte d'ordinateur, il devrait maintenant être indiqué qu'il existe une clé privée pour le certificat.
Français 
Deutsch 
English
Les commentaires sont fermés.