GESTION DE CERTIFICATS

Lorsqu’un utilisateur a fait une manipulation avec un certificat ou lorsqu’un utilisateur possède un certificat qu’il n’aurait jamais du se procurer, il est possible de révoquer un certificat déjà émis. Pour cela, il faut se connecter sur l’autorité de certification en tant qu’administrateur du domaine. Pour révoquer un certificat, il faut aller dans Démarrer/Outils d’administration/Autorité de certification. Développer le nom de votre autorité de certification puis cliquez sur “Certificats délivrés”. Faites un clic droit sur le certificat à révoquer puis “Révoquer un certificat”.

On peut choisir la raison pour laquelle on veut révoquer un certificat. Il y en a plusieurs au choix.

Une fois le certificat révoqué, il est placé dans le dossier « Certificats révoqué ».

On va désormais voir comment mettre en place une stratégie de récupération de clé. Ceci est indispensable lorsqu’un utilisateur qui s’authentifié par carte à puce et généré des certificats via cette carte a malencontreusement perdu sa carte. C’est aussi utilisé lorsqu’un profil utilisateur est supprimé, si le système d’exploitation est réinstallé, si le disque est endommagé ou si l’ordinateur a été volé. En effet, la clé privée de l’utilisateur est stockée localement sur la machine de l’utilisateur. Une stratégie de récupération de clé va s’opérer en 2 étapes : la sauvegarde et la restauration. Le processus de sauvegarde permet de conserver les certificats de l’utilisateur (ou un certificat en particulier), sa clé privée et la clé publique ayant servi à crypter les données. Pour sauvegarder votre clé, aller dans Démarrer / Outil d’administration / Sites et Services Active Directory.
Aller dans Services / Public Key Services / Certificate Template. Si vous n’avez pas le menu Services, Aller dans Affichage et cliquez sur « Afficher le nœud des services ».
Faites un clic droit sur le modèle « KeyRecoveryAgent » puis Propriétés. Allez dans l’onglet « Sécurité » puis cochez Inscrire et Inscription automatique pour les Utilisateurs authentifiés.

Allez dans Démarrer/Outils d’administration/Autorité de certification. Développer le nom de votre autorité de certification puis faite un clic droit sur « Modèles de certificats » puis Nouveau / modèle de certificat à délivrer puis rajouter le modèle «  Agent de récupération de clé ».
Avant de configurer notre serveur comme agent de récupération de clé, il faut activer le protocole HTTPS (Web sécurisé) pour demander un certificat avec l’administrateur.
Pour cela, installer un serveur IIS et aller dans la configuration. Cliquer sur l’icône « Certificat de serveur ».

Il faut maintenant installer un certificat auto-signé pour notre Serveur Web HTTPS. Pour cela, cliquez sur la droite sur le menu « Créer un certificat auto-signé … ».

Nommez le « Certificat Web HTTPS ». Maintenant, il faut autoriser le protocole HTTPS à utiliser les sites web. Pour cela, dans les paramètres du serveur WEB faites un clic droit sur « Default Web Site » et cliquez sur « Modifier les liaisons ».

Maintenant, cliquez sur « Ajouter… » et sélectionner le protocole HTTPS. Laisser le port par défaut et associer le certificat créé précédemment.

On va maintenant configurer notre serveur en tant qu’agent de récupération de clé. Pour cela, connecter vous à l’adresse http://WinServer2008/certsrv/ sur votre serveur. Il se peut qu’il y ait une erreur de certificat non valide en passant par HTTPS. Ceci est normal car ce n’est pas une autorité reconnue qui a délivré ce certificat. Dans ce cas, cliquez sur « Poursuivre avec ce site Web ». Cliquez sur Demander un certificat / Demande de certificat avancé / Créer et soumettre une demande de requête auprès de cette autorité de certification. Dans cette page, choisissez le modèle de certificat « Agent de récupération de clé ». puis cliquez sur « Envoyez ». Une demande de certificat est en attente. Seul l’administrateur peut délivrer ou révoquer les demandes de certificat.

Revenez à l’adresse http://WinServer2008/certsrv/ puis cliquez sur « Affichez le statut d’une requête de certificat en attente ».

Cliquez sur la date puis vérifier si vous avez votre demande en attente.

Il est possible de supprimer des demandes si vous en avez fait par erreur. Aller dans Démarrer/Outils d’administration/Autorité de certification. Développer le nom de votre autorité de certification puis faite un clic droit sur « Demandes en attente ». Vous verrez votre demande. Pour délivrer un certificat, clic droit sur le certificat à délivrer, cliquez sur « Toutes les tâches » puis sur « Délivrer ». Revenez sur le site Web pour la demande de certificat et actualisez. Le certificat est disponible et vous pouvez l’installer.

Un message confirme que le certificat a été installé avec succès.

Aller dans Démarrer/Outils d’administration/Autorité de certification. Faites un clic droit sur l’autorité de certification, puis Propriété. Dans l’onglet «  », ajoutez le certificat que vous venez de générer.

Créez un nouveau modèle de certificat appelé « Utilisateur archivage de clé » à partir du modèle « Utilisateur ». Dans l’onglet « Traitement de la demande », cochez la case « Archive la clé privée de chiffrement du sujet ».

Pour exportez vos certificats, ouvrez une MMC sur le client, ajoutez le composant logiciel enfichable « Certificat », développez Certificats – Utilisateur actuel / Personnel / Certificats. Faites un clic droit sur le certificat à exporter, puis « Toutes les tâches » et « Exportez ».

Un assistant se lance. Cliquez sur « Oui, exportez la clé privée ».

Au menu suivant, cochez « Inclure tous les certificats dans le chemin d’accès de certification si possible » et « Activer la protection renforcée ».

Pour finir, choisissez le chemin ou sauvegarder vos certificats. Cet assistant va générer un seul fichier avec l’extension « .PFX ». Pour restaurer vos certificats, clé privées et clé publiques, il vous suffit de faire un clic droit sur le fichier et de choisir « Installer PFX ».