Sauvegarder et récupérer les clés dans l’AD

Dans cet article nous allons voir comment stocké et récupérer les clés privées et les certificats en les archivant les clés dans l'annuaire AD.

La première étape consiste à ajouter le modèle « agent de récupération de clé » dans la liste des modèles délivrés. Pour cela ouvrez la console de l'autorité de certification et clic droit sur « modèle de certificat » puis « nouveau » et « modèle de certificat à délivrer ».

Sélectionner le modèle « agent de récupération de clé » puis « ok ».

L'étape suivante consiste à générer un certificat pour l'utilisateur ayant le rôle d'agent de récupération des clés. Dans notre cas il s'agit du compte administrateur. Depuis la console mmc certificat pour le compte de l'utilisateur local, cliquez sur « Certificats – utilisateur Actuel » puis « personnel » puis clic droit sur « certificats », « toutes les tâches » et « demander un certificat » :

Sélectionner la stratégie d'inscription d'Active Directory :

Sélectionner le modèle « agent de récupération de clé » puis « inscription »

 

Par défaut vous retrouverez votre demande de certificat dans « Demandes d'inscription de certificat \ certificats » :

Il faudra délivrer le certificat en attente depuis la console de l'autorité de certification :

Puis exporter le certificat depuis l'autorité :

Pour l'importer dans le magasin de l'utilisateur qui a le rôle d'agent de récupération de clé :

 

Une fois importé il suffit de copier et coller le certificat dans le magasin de l'utilisateur :

 

L'administrateur dispose maintenant d'un certificat d'agent de récupération de clé.

 

 

L'opération pour la création du certificat de l'agent de récupération des clés peut vous paraître inutilement longue, vous pouvez la simplifier en supprimant l'opération de validation depuis la console de gestion de l'autorité. Pour cela il vous faut modifier le modèle de certificat « agent de récupération de clé ». Dans la partie « conditions d'émission » vous devez décochez l'option « approbation du gestionnaire de certificat de l'autorité de certification » :

Maintenant il faut configurer l'autorité pour utiliser ce certificat afin d'archiver les clés des utilisateurs. Pour cela ouvrez les propriétés de l'autorité :

 

Puis dans la partie « Agent de récupération », cocher l'option « Archiver la clé » et cliquer sur ajouter :

Sélectionner le certificat de l'agent de récupération de clé que vous venez de créer :

Puis cliquer sur appliquer :

Cliquez sur « oui » pour autoriser le redémarrage des services de certificat :

Vous pouvez constater que le certificat de l'agent est « valide » ;

Nous allons maintenant créer un nouveau modèle utilisateurs qui autorise l'archivage de la clé (vous ne pouvez créer ce type de modèle que si vous avez configuré l'archivage de clé) :

Dans la partie « traitement de la demande » cliquez sur « archiver la clé privée de chiffrement du sujet » :

Dans la partie sécurité nous autorisons les utilisateurs du domaine à inscrire automatiquement le certificat :

Nous ajoutons le nouveau modèle dans les certificats à délivrer par l'autorité :

 

Comme nous utilisons une stratégie de groupe pour le déploiement automatique des certificats d'ordinateurs, nous faisons de même pour les comptes utilisateurs (voir http://pbarth.fr/node/168 )

Nous ouvrons la session avec un compte utilisateur et avec un peu de patience et/ou « gpupdate /force », l'utilisateur a reçu un certificat avec le nouveau modèle créé qui archive automatiquement la clé :

 

Nous allons simuler la perte de la clé privée simplement en supprimant le certificat de l'utilisateur :

Enfin dans la dernière étape nous allons essayer de récupérer le certificat et la clé privée de l'utilisateur. Pour cela nous ouvrons la console de l'autorité de certification, et nous recherchons le certificat de l'utilisateur dans la rubrique « certificats délivrés ».

 

Il faut maintenant ouvrir le certificat et récupérer son numéro de série :

Ensuite avec la commande « certutil –getkey NuméroDeSérie  c:\dossier\fichier »

Ensuite nous récupérons la clé et nous l'exportons avec le certificat  avec la commande « certutil –recoverkey c:\dossier\fichierEtapePrécedente c:\dossier\nomDuCertifExporté »:

Enfin nous retournons sur le poste client et importons le fichier pfx créé à l'étape précédente.

 

Le certificat et la clé privée ont été récupérés :

 

 

 

 

 

Tags: 

Theme: 

Systeme: 

Annee: 

Ajouter un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Cette question empêche les soumissions de spam automatisées. Merci de votre compréhension
3 + 8 =
Solve this simple math problem and enter the result. E.g. for 1+3, enter 4.