Configuration et utilisation de l'agent de récupération de clés avec la PKI 2008 R2


précédentsommairesuivant

IV. Récupération d'une clé supprimée

ATTENTION ! Il ne faut utiliser l'agent de récupération uniquement si la clé a été supprimée. Si la clé a été perdue, volée ou si vous avez un doute sur la nature de la disparition de la clé, il faudra la révoquer et en créer une nouvelle.

Il est possible de récupérer uniquement les clés créées après l'activation de l'agent et de l'archivage. Toutes les clés créées précédemment sont irrécupérables.

Un utilisateur (michael) vient de supprimer sa clé par mégarde. Le modèle de certificat correspondant a été activé pour l'archivage et l'utilisateur a généré sa clé après cette activation. Il est donc possible de la récupérer. Vous savez quel type de clé l'utilisateur a perdu et comment cet utilisateur se nomme. Ces informations suffisent pour récupérer la clé.

IV-A. Identification du certificat correspondant à la clé perdue

Ouvrez la console de votre autorité de certification. Allez dans Certificats délivrés, cliquez sur Affichage, Ajouter/supprimer des colonnes.

Ajout d'une colonne
Ajout d'une colonne

Cherchez Clé archivée dans les colonnes disponibles et cliquez sur Ajouter. Vous pouvez remonter cette colonne afin que cela soit plus pratique par la suite.

Ajout de la colonne Clé archivée
Ajout de la colonne Clé archivée

Vous reviendrez ensuite sur la liste des certificats délivrés par votre autorité : vous verrez alors les clés qui ont été archivées ou non.

Liste des certificats
Liste des certificats

Nous cherchons un certificat utilisateur généré automatiquement (modèle : Utilisateur auto) par le demandeur TODOROVIC\michael. Cela correspond à la demande n°16 : la colonne Clé archivée vaut Oui donc la clé sera récupérable. A partir du moment où le certificat est identifié, le travail est quasi-fini.

IV-B. Récupération du certificat à partir du numéro de série

Ouvrer le certificat identifié en double-cliquant dessus. Allez dans l'onglet Détail puis cliquez sur Numéro de série afin de le faire apparaître.

Image non disponible
Récupération du numéro de série

Copiez le afin d'éviter de le retaper (et de faire une erreur de saisie).

Ouvrez une ligne de commande puis tapez :

 
Sélectionnez

certutil -getkey 00000000000000000000 certificat.p7b

Remplacez 00000000000000000000 par votre numéro de série en supprimant les espaces.

Récupération du certificat
Récupération du certificat

Vous allez maintenant pouvoir récupérer la clé privée associée au certificat (clé publique).

IV-C. Récupération de la clé privée à partir du certificat

Toujours dans une ligne de commande, tapez :

 
Sélectionnez

certutil -p "M0tdeP@sse!" -recoverkey certificat.p7b cle-privee-publique.pfx

Vous devez reprendre le même nom de fichier p7b que précédemment. Le fichier pfx contiendra la clé privée et la clé publique de votre utilisateur. Il est capital de protéger cette clé avec un mot de passe très fort (argument -p de la ligne de commande). Le fichier pfx, bien que protégé par mot de passe fort, doit être transmis de manière sécurisée. Le mot de passe doit être également transmis de manière sécurisée. Une fois réinstallé chez l'utilisateur, le fichier pfx doit être détruit immédiatement.

Sur le client, le certificat et la clé privée réinstallés sont strictement les mêmes que les anciens. Vous pouvez le constater en comparant le numéro de série entre le client et l'autorité de certification. Il sera identique, ce qui signifie que le certificat et la clé privée n'ont pas été régénérés : il a bien eu récupération.

Clé privée présente
Clé privée présente
Numéro de série identique à l'ancien
Numéro de série identique à l'ancien

précédentsommairesuivant

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

  

Copyright © 2010 Michaël Todorovic. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts. Droits de diffusion permanents accordés à Developpez LLC.