Archivage automatique des certificats
Introduction
Les certificats (utilisateur et/ou ordinateur) sont stockés dans les magasins de certificats locaux. Ces magasins ne sont rien d’autre que des emplacements disques et mémoires sécurisés sur l’ordinateur.
En cas de défaillance matérielle ou logicielle, de perte ou de vol de l’ordinateur, ces certificats sont donc définitivement perdus et l’utilisateur ne peut plus utiliser les protocoles, applicatifs ou services associés.
Les administrateurs système doivent donc s’assurer de pouvoir restaurer les certificats déployés si nécessaire.
L’archivage des certificats est un processus intégré aux autorités de certification Microsoft qui permet, à chaque fois qu’un certificat est délivré, son archivage automatique sur l’autorité de certification (avec sa clé privée). En cas de perte d’un certificat, les administrateurs autorisés (dit Agents de récupération de clé) pourront ainsi récupérer la totalité du certificat.
Pour le système EFS, un agent de récupération EFS peut récupérer n’importe quel fichier chiffré sans qu’il soit nécessaire d’archiver automatiquement les certificats de chiffrement de tous les utilisateurs.
Activation de l’archivage automatique
La fonctionnalité d’archivage automatique, bien qu’intégrée de base aux autorités de certification Microsoft, n’est pas active par défaut. Cette activation doit être effectuée de façon manuelle.
1. Agent de récupération de clés
Les agents de récupération de clés sont des utilisateurs disposant d’un certificat d’agent de récupération de clés qui, une fois associé aux services de certificat, leur permet de récupérer tout certificat automatiquement archivé par l’autorité de certification.
Il est recommandé, par sécurité, de déclarer au moins deux agents de récupération de clés par autorité de certification.
2. Certificat archivé
Pour qu’un certificat, émis par une autorité soit automatiquement archivé, plusieurs conditions doivent être remplies :
-
Au moins un agent de récupération doit être associé à l’autorité de certification.
L’autorité de certification utilise la clé publique du certificat de l’agent de récupération pour chiffrer l’accès aux certificats archivés. L’agent de récupération utilise sa clé publique pour déchiffrer...
Méthodologie d’activation de l’archivage automatique
-
Personnaliser un modèle de certificat Agent de récupération de clé
-
Demander un certificat Agent de récupération de clé
-
Déclarer un agent de récupération de clé sur l’autorité de certification
-
Créer des modèles de certificat avec archivage de la clé
-
Tester la récupération de certificats
Cette procédure est mise en pratique de façon détaillée dans l’atelier pratique de ce chapitre (Atelier : Archivage automatique des certificats.)
Restauration de certificats archivés
Les certificats archivés sont protégés avec un chiffrement et nécessitent l’installation du certificat (avec accès privé de l’agent de récupération de clés) pour pouvoir être déchiffrés.
Récupération du certificat archivé
L’utilitaire Certutil permet de récupérer les certificats archivés :
La commande Certutil -GetKey récupère le certificat sous la forme d’un fichier binaire chiffré.
La commande Certutil -RecoverKey déchiffre le fichier binaire et le convertit en format exploitable (.pfx).
Le certificat de l’agent de récupération de clés, avec sa clé privée, doit être installé sur l’ordinateur sur lequel se trouvent les données récupérées par les gestionnaires de certificats.
Bonnes pratiques
Les recommandations suivantes doivent être prises en compte lors de l’implémentation de l’archivage automatique des certificats.
1. Plusieurs agents de récupération de clés
Chaque autorité de certification peut être associée à un ou plusieurs agents de récupération de clés. Il est recommandé, par sécurité, de déclarer au moins deux agents de récupération de clés par autorité de certification.
Chaque agent de récupération de clés doit disposer de son propre certificat d’agent de récupération de clé.
2. Sauvegarde des certificats d’agent de récupération de clés
Les certificats d’agent de récupération de clés ne peuvent pas être archivés de façon automatique.
Par sécurité, il est conseillé d’effectuer une sauvegarde manuelle de ce type de certificat. Cette sauvegarde sera conservée "au coffre" (c’est-à-dire un emplacement sécurisé).
Afin d’éviter toute compromission, le certificat sera supprimé manuellement de l’ordinateur sur lequel il était obtenu. Il ne sera restauré sur un ordinateur que lors de la phase de récupération de certificats archivés.
Pour autoriser...
Atelier : Archivage automatique des certificats
1. Obtenir un certificat d’agent de récupération de clés
Créer un nouveau modèle de certificats Agent de récupération de clés
Connectez-vous sur l’autorité de certification s2 en tant que Corp\Admin.
Ouvrez la console de gestion Autorité de certification.
Développez CorpRootEntCA.
Faites un clic droit sur Modèles de certificats et sélectionnez le menu Gérer.
La console de gestion Modèles de certificats s’affiche.
Faites un clic droit sur le modèle Agent de récupération de clé et sélectionnez le menu Dupliquer le modèle.
Sélectionnez l’onglet Compatibilité, développez la liste déroulante Autorité de certification, sélectionnez Windows Server 2016 et cliquez le bouton OK pour accepter les modifications résultantes.
Développez la liste déroulante Destinataire du certificat, sélectionnez Windows 10 / Windows Server 2016 et cliquez le bouton OK pour accepter les modifications résultantes.
Sélectionnez l’onglet Général et, dans la zone Nom complet, saisissez Corp Agent de récupération de clé.
Sélectionnez l’onglet Sécurité, ajoutez le compte Corp\Admin puis cochez les autorisations Lecture et Inscrire pour cet utilisateur.
Sélectionnez l’onglet Traitement de la demande et cochez les cases Autoriser l’exportation de la clé privée.
Cette option permet la "mise au coffre" (la sauvegarde manuelle) du certificat d’agent de récupération de clés !
Sélectionnez l’onglet Condition d’émission puis cochez Approbation du gestionnaire de certificat de l’autorité de certification.
La case Approbation du gestionnaire de certificat de l’autorité de certification est cochée de façon à ce que le certificat ne soit délivré qu’après validation par un gestionnaire de certificat.
Fermez la fenêtre de gestion Modèles de certificats.
Publier le nouveau modèle de certificat
Dans la fenêtre Autorité de certification, faites...