IV. Récupération d'une clé supprimée▲
ATTENTION ! Il ne faut utiliser l'agent de récupération uniquement si la clé a été supprimée. Si la clé a été perdue, volée ou si vous avez un doute sur la nature de la disparition de la clé, il faudra la révoquer et en créer une nouvelle.
Il est possible de récupérer uniquement les clés créées après l'activation de l'agent et de l'archivage. Toutes les clés créées précédemment sont irrécupérables.
Un utilisateur (michael) vient de supprimer sa clé par mégarde. Le modèle de certificat correspondant a été activé pour l'archivage et l'utilisateur a généré sa clé après cette activation. Il est donc possible de la récupérer. Vous savez quel type de clé l'utilisateur a perdu et comment cet utilisateur se nomme. Ces informations suffisent pour récupérer la clé.
IV-A. Identification du certificat correspondant à la clé perdue▲
Ouvrez la console de votre autorité de certification. Allez dans Certificats délivrés, cliquez sur Affichage, Ajouter/supprimer des colonnes.
Cherchez Clé archivée dans les colonnes disponibles et cliquez sur Ajouter. Vous pouvez remonter cette colonne afin que cela soit plus pratique par la suite.
Vous reviendrez ensuite sur la liste des certificats délivrés par votre autorité : vous verrez alors les clés qui ont été archivées ou non.
Nous cherchons un certificat utilisateur généré automatiquement (modèle : Utilisateur auto) par le demandeur TODOROVIC\michael. Cela correspond à la demande n°16 : la colonne Clé archivée vaut Oui donc la clé sera récupérable. A partir du moment où le certificat est identifié, le travail est quasi-fini.
IV-B. Récupération du certificat à partir du numéro de série▲
Ouvrer le certificat identifié en double-cliquant dessus. Allez dans l'onglet Détail puis cliquez sur Numéro de série afin de le faire apparaître.
Copiez le afin d'éviter de le retaper (et de faire une erreur de saisie).
Ouvrez une ligne de commande puis tapez :
certutil -getkey 00000000000000000000 certificat.p7bRemplacez 00000000000000000000 par votre numéro de série en supprimant les espaces.
Vous allez maintenant pouvoir récupérer la clé privée associée au certificat (clé publique).
IV-C. Récupération de la clé privée à partir du certificat▲
Toujours dans une ligne de commande, tapez :
certutil -p "M0tdeP@sse!" -recoverkey certificat.p7b cle-privee-publique.pfxVous devez reprendre le même nom de fichier p7b que précédemment. Le fichier pfx contiendra la clé privée et la clé publique de votre utilisateur. Il est capital de protéger cette clé avec un mot de passe très fort (argument -p de la ligne de commande). Le fichier pfx, bien que protégé par mot de passe fort, doit être transmis de manière sécurisée. Le mot de passe doit être également transmis de manière sécurisée. Une fois réinstallé chez l'utilisateur, le fichier pfx doit être détruit immédiatement.
Sur le client, le certificat et la clé privée réinstallés sont strictement les mêmes que les anciens. Vous pouvez le constater en comparant le numéro de série entre le client et l'autorité de certification. Il sera identique, ce qui signifie que le certificat et la clé privée n'ont pas été régénérés : il a bien eu récupération.
