Archivage et récupération des clés

un utilisateur perd une clé privée, il peut demander qu’un agent spécialisé la récupère dans la CA. L’archivage et la récupération des clés de Windows 2003 remplace le KMS (Key Management System) de Microsoft Exchange 2000 Server. L’archivage et la récupération des clés ne remplacent pas toutefois la fonction de l’EFS Recovery Agent. En général, vous utiliserez l’agent de récupération dans diverses situations — et pas seulement quand les utilisateurs perdent la clé privée associée à leur certificat EFS.

Réfléchissez bien avant d’appliquer l’archivage et la récupération des clés. En premier lieu, vous devez désigner les comptes utilisateur comme comptes d’agent de reprise de clé. Le nombre de comptes que vous désignerez dépendra de vos stratégies. Ma recommandation est de désigner aussi peu de comptes agent de reprise de clés que possible. Ces comptes seront capables d’extraire les clés privées archivées de la CA. Vous devez protéger ces comptes et utiliser des processus appropriés pour faciliter la récupération des clés et pour empêcher des utilisateurs mal intentionnés d’obtenir les clés privées d’autres utilisateurs.

Dans des environnements qui utilisent des certificats pour des opérations de signature (par exemple, courriel sécurisé) ou pour l’authentification, les administrateurs CA doivent envisager de modifier les modèles de certificats version 2 pour s‘assurer que les certificats utilisés à cet effet sont séparés de ceux utilisés pour le cryptage. En outre, les administrateurs CA doivent s’assurer que seuls les certificats utilisés pour le cryptage sont configurés pour l’archivage et la récupération de clés. Faute de quoi, avec une clé récupérée, des administrateurs voyous pourraient effectuer des opérations de signature ou s’authentifier comme des utilisateurs. Il serait demandé aux utilisateurs d’obtenir au moins deux certificats : un nécessaire à la signature et l’autre au cryptage. Une fois que vous avez créé ou identifié des comptes comme agents de récupération de clés, ils doivent obtenir des certificats Key Recovery Agent. Une CA d’entreprise n’émettra pas ces certificats par défaut. Vous devez configurer la CA pour qu’elle les émette en important le modèle Key Recovery Agent, en couvrant les étapes décrites précédemment. Les comptes peuvent obtenir un certificat Key Recovery Agent par l’intermédiaire de l’outil d’enrôlement basé sur le Web à http://<fqdnofca>/certsrv. Par défaut, les certificats Key Recovery Agent ne sont émis que pour des comptes qui sont membres de Enterprise Admins. Si un compte key recovery agent n’est pas membre de ce groupe, vous pouvez modifier la sécurité du modèle pour octroyer au compte (ou à un groupe auquel il appartient) les autorisations nécessaires.

Vous obtenez le certificat Key Recovery Agent en cliquant d’abord sur le lien pour demander un certificat, puis en cliquant sur le lien pour soumettre une requête de certificat avancée et, finalement, en cliquant sur le lien pour créer et soumettre une requête à cette CA. Dans la liste déroulante, vous sélectionnez Key Recovery Agent. Sauf exigences spéciales, vous pouvez cliquer sur Submit. A moins que la CA n’ait été configurée pour se comporter autrement pour les certificats Key Recovery Agent, la requête sera gardée en attente de l’approbation de l’administrateur CA. L’administrateur CA peut utiliser le snap-in Certification Authority pour approuver la requête.

Pour approuver la requête, l’administrateur CA peut faire un clic droit sur la requête dans le conteneur Pending Requests et sélectionner Issue. L’utilisateur peut obtenir le certificat Key Recovery Agent en revisitant le site Web après que la requête ait été satisfaite, en cliquant sur le lien pour vérifier les requêtes en suspens, puis en cliquant sur le certificat pour l’installer.