Configuration et utilisation de l'agent de récupération de clés avec la PKI 2008 R2

L'agent de récupération de clés possède son propre modèle de certificat qui, par défaut, n'est pas délivré par votre autorité d'entreprise pour des raisons de sécurité : cet agent va vous permettre de récupérer toutes les clés archivées, donc son utilisation doit être restreinte.
Nous allons commencer par activer le modèle de certificat de l'agent de récupération de clés. Il faut vous connecter sur votre autorité d'entreprise avec un compte pouvant l'administrer. Ouvrez la console de l'autorité et allez dans les Modèles de certificats puis faites un clic droit et cliquez sur Gérer pour ouvrir la console de gestion des modèles de certificats.

Vous pouvez accéder à cette console en exécutant certtmpl.msc.

Ouvrez les propriétés du modèle Agent de récupération de clé.

Dans l'onglet Traitement de la demande, vous pouvez changer la taille de la clé. Microsoft recommande de ne pas dépasser une taille de 8192 : la récupération de clé demandera plus de calculs et prendra donc plus de temps ce qui impactera les performances de votre autorité. Une taille de clé de 2048 assure une bonne sécurité des données et n'impactera pas de manière visible les performances de l'autorité. Cela représente donc un bon compromis entre sécurité et performance.
L'exportation de la clé est autorisée sur ce modèle de certificat. Je vous déconseille de désactiver cette possibilité : la clé de l'agent de récupération ne peut pas être récupérée. Vous pourrez donc exporter cette clé à titre de sauvegarde. Cette clé permettant de récupérer les clés archivées, il est essentiel de prendre des mesures de sécurité très fortes pour sa conservation. En effet, si l'agent de récupération est compromis, toutes les clés archivées pourront être récupérées et seront donc toutes compromises.

Vous devez maintenant autoriser un utilisateur à générer le certificat de l'agent de récupération. Pour cela, allez dans l'onglet Sécurité et cliquez sur Ajouter.

Sélectionnez l'utilisateur qui sera responsable de l'agent de récupération puis ajoutez-lui le droit d'inscription. Enfin cliquez sur OK. Je conseille de créer un utilisateur dédié à l'agent de récupération. Lorsque vous ne vous servez pas de ce compte, désactivez-le dans l'Active Directory afin d'éviter toute tentative de connexion. Vous pourrez activer l'utilisateur lorsqu'il y aura des clés à récupérer.

Cet utilisateur devra disposer des droits d'administration de votre autorité de certification.

Fermez la console de gestion des modèles de certificats pour revenir aux modèles de certificats délivrés par votre autorité. Ajoutez le modèle de l'agent de récupération de clés en faisant un clic droit sur Nouveau, Modèle de certificat à délivrer. Cela va permettre à votre autorité de délivrer des certificats d'agent de récupération de clés.

Sélectionnez le modèle de l'agent de récupération de clé et cliquez sur OK.

Vous devrez ensuite vous connecter avec l'utilisateur responsable de l'agent de récupération de clés. Ouvrez une MMC (en exécutant mmc) puis ajoutez le composant Certificats en cliquant sur Fichier, Ajouter/Supprimer un composant logiciel enfichable. Ajoutez le composants Certificats (en double-cliquant dessus). Il vous sera demandé pour qui le composant devra générer des certificats, choisissez Mon compte d'utilisateur. Cliquez sur Terminer puis OK. Allez dans Racine de la console, Certificats - Utilisateur, Personnel. Faites un clic droit sur Certificats, Toutes les tâches, Demander un nouveau certificat.

Vous n'aurez pas à changer la stratégie d'inscription à Active Directory, cliquez sur Suivant.

Vous devrez ensuite sélectionner le type de certificat à générer parmi ceux qui vous ont été accordés. Cochez l'agent de récupération de clés et cliquez sur Inscription.

La soumission de la demande est envoyée à l'autorité de certification. Un tel certificat ne doit pas être distribué à n'importe qui donc il est soumis à validation manuelle.

Vous pouvez voir votre demande dans la MMC ouverte précédemment dans Demandes d'inscription de certificat, Certificats.

Il va maintenant falloir délivrer ce certificat sur l'autorité de certification afin de compléter l'inscription. Allez sur votre autorité de certification dans Demandes en attente. Vous devriez voir la demande de votre utilisateur pour un certificat d'agent de récupération de clé à une heure donnée.

S'il s'agit bien de la bonne demande, vous pouvez délivrer le certificat en faisant un clic droit sur Toutes les tâches, Délivrer.

Retournez sur votre session utilisateur responsable de la récupération de clés pour récupérer le certificat. Dans la MMC certificats, faites un clic droit sur Certificats - Utilisateur, Toutes les tâches, Inscrire et récupérer automatiquement les certificats.

Vous verrez alors les types de certificats en attente que vous pouvez inscrire. Sélectionnez l'Agent de récupération de clé et cliquez sur Inscription.

L'inscription est terminée et le certificat est installé sur le compte utilisateur.

Dans la liste des certificats, vous pourrez ouvrir le nouveau certificat installé en double-cliquant dessus et contrôler son rôle et à qui il a été délivré.

Cette partie requiert un redémarrage de l'autorité de certification. Veillez donc à prendre les dispositions nécessaires pour redémarrer sans trop d'incidence (à une heure creuse par exemple).

Il va maintenant falloir attribuer le certificat à l'agent de récupération de clés. Allez dans les propriétés de votre autorité de certification.

Allez dans l'onglet Agents de récupération puis cliquez sur Archiver la clé. Indiquez le nombre d'agents que vous souhaitez créer puis cliquez sur Ajouter.

Il vous sera alors proposé de sélectionner un certificat parmi la liste présentée : cette liste ne montre que les certificats valides pour l'utilisation voulue. Vous pouvez afficher les propriétés si vous le souhaitez afin de vous assurer de la sélection.

Le certificat sera ajouté à la liste des certificats de l'agent de récupération de clés. Par défaut, il est jugé comme non valide pour l'utilisation dans l'agent : il n'a simplement pas été chargé.

Pour charger le certificat, cliquez sur Appliquer. Il vous sera alors demandé de redémarrer l'autorité de certification.

Vous devrez relancer la console de l'autorité de certification afin de prendre en compte le redémarrage de l'autorité. Si vous retournez voir les propriétés de l'agent de récupération, le certificat sera marqué comme valide.