Introduites dans Windows 2003 Certificate Services, l’archivage et la récupération des clés permettent aux administrateurs CA de configurer la CA pour archiver les clés privées associées aux certificats émis. Pour utiliser l’archivage et la récupération des clés, il faut qu’une CA d’entreprise soit installée sur Windows 2003 Enterprise Edition. Quand
Archivage et récupération des clés
un utilisateur perd une clé privée, il peut demander qu’un agent spécialisé la récupère dans la CA. L’archivage et la récupération des clés de Windows 2003 remplace le KMS (Key Management System) de Microsoft Exchange 2000 Server. L’archivage et la récupération des clés ne remplacent pas toutefois la fonction de l’EFS Recovery Agent. En général, vous utiliserez l’agent de récupération dans diverses situations — et pas seulement quand les utilisateurs perdent la clé privée associée à leur certificat EFS.
Réfléchissez bien avant d’appliquer l’archivage et la récupération des clés. En premier lieu, vous devez désigner les comptes utilisateur comme comptes d’agent de reprise de clé. Le nombre de comptes que vous désignerez dépendra de vos stratégies. Ma recommandation est de désigner aussi peu de comptes agent de reprise de clés que possible. Ces comptes seront capables d’extraire les clés privées archivées de la CA. Vous devez protéger ces comptes et utiliser des processus appropriés pour faciliter la récupération des clés et pour empêcher des utilisateurs mal intentionnés d’obtenir les clés privées d’autres utilisateurs.
Dans des environnements qui utilisent des certificats pour des opérations de signature (par exemple, courriel sécurisé) ou pour l’authentification, les administrateurs CA doivent envisager de modifier les modèles de certificats version 2 pour s‘assurer que les certificats utilisés à cet effet sont séparés de ceux utilisés pour le cryptage. En outre, les administrateurs CA doivent s’assurer que seuls les certificats utilisés pour le cryptage sont configurés pour l’archivage et la récupération de clés. Faute de quoi, avec une clé récupérée, des administrateurs voyous pourraient effectuer des opérations de signature ou s’authentifier comme des utilisateurs. Il serait demandé aux utilisateurs d’obtenir au moins deux certificats : un nécessaire à la signature et l’autre au cryptage. Une fois que vous avez créé ou identifié des comptes comme agents de récupération de clés, ils doivent obtenir des certificats Key Recovery Agent. Une CA d’entreprise n’émettra pas ces certificats par défaut. Vous devez configurer la CA pour qu’elle les émette en important le modèle Key Recovery Agent, en couvrant les étapes décrites précédemment. Les comptes peuvent obtenir un certificat Key Recovery Agent par l’intermédiaire de l’outil d’enrôlement basé sur le Web à http://<fqdnofca>/certsrv. Par défaut, les certificats Key Recovery Agent ne sont émis que pour des comptes qui sont membres de Enterprise Admins. Si un compte key recovery agent n’est pas membre de ce groupe, vous pouvez modifier la sécurité du modèle pour octroyer au compte (ou à un groupe auquel il appartient) les autorisations nécessaires.
Vous obtenez le certificat Key Recovery Agent en cliquant d’abord sur le lien pour demander un certificat, puis en cliquant sur le lien pour soumettre une requête de certificat avancée et, finalement, en cliquant sur le lien pour créer et soumettre une requête à cette CA. Dans la liste déroulante, vous sélectionnez Key Recovery Agent. Sauf exigences spéciales, vous pouvez cliquer sur Submit. A moins que la CA n’ait été configurée pour se comporter autrement pour les certificats Key Recovery Agent, la requête sera gardée en attente de l’approbation de l’administrateur CA. L’administrateur CA peut utiliser le snap-in Certification Authority pour approuver la requête.
Pour approuver la requête, l’administrateur CA peut faire un clic droit sur la requête dans le conteneur Pending Requests et sélectionner Issue. L’utilisateur peut obtenir le certificat Key Recovery Agent en revisitant le site Web après que la requête ait été satisfaite, en cliquant sur le lien pour vérifier les requêtes en suspens, puis en cliquant sur le certificat pour l’installer.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Cyberattaques : 46% des entreprises françaises perdent du chiffre d’affaires dès le premier jour
- Cybersécurité française 2026 : explosion des startups, ralentissement des scale-ups et virage stratégique de l’IA
- Le Cercle de l’Innovation décerne le Prix de l’Innovation du Public 2026
- Avec l’IA agentique, la robustesse des SI redevient stratégique
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
