Archivage et récupération des clés (2)

défaut, un agent de récupération est configuré par CA, mais vous pouvez en spécifier plus d’un. Les agents de récupération pour la CA doivent être nommés. Vous pouvez sélectionner les agents de récupération en cliquant sur Add puis en sélectionnant les certificats des Key Recovery Agent. Après avoir spécifié les agents de récupération, il faut redémarrer Certificate Services pour que les changements soient pris en compte. (Vous pouvez redémarrer le serveur immédiatement ou le redémarrer plus tard manuellement.) La figure 3 montre les propriétés d’une CA configurée pour l’archivage de clés. Ensuite, vous devez modifier les propriétés de chaque modèle d’où les certificats sont émis, pour lesquels vous voulez l’archivage de clés. Si un modèle est de version 1, vous devez le dupliquer pour créer un modèle version 2 qui pourra être modifié. (Vous pourrez ensuite configurer le modèle pour qu’il se substitue à celui à partir duquel il a été dupliqué.)

Quand un utilisateur signale à un agent de récupération de clés la perte d’une clé privée, un certain niveau de vérification s’impose. En premier lieu, l’agent de récupération de clés doit s’assurer que l’utilisateur est bien qui il prétend être. Deuxièmement, l’agent doit identifier le certificat dont la clé d’accompagnement a été perdue.

Pour extraire une clé archivée, l’agent de récupération de clés doit connaître l’un des renseignements suivants : le nom commun du certificat, le numéro de série, le hash SHA-1, ou le nom ou l’UPN du demandeur. Certains de ces éléments d’information identifieront plus d’un certificat. Par exemple, le nom et l’UPN du demandeur peuvent tous deux correspondre à des certificats multiples. Pour identifier les certificats appartenant un utilisateur particulier et pour obtenir des identificateurs uniques, l’agent de récupération de clés peut utiliser le snap-in Certification Authority pour visualiser les certificats émis (Issued Certificates). Vous pouvez identifier les certificats pour lesquels des clés ont été archivées en sélectionnant Add/Remove Columns dans le menu View et en ajoutant Key Recovery Agent Hash à la liste des colonnes affichées. La colonne Key Recovery Agent Hash sera peuplée par les certificats dont les clés privées ont été archivées. La méthode la plus simple de récupération de la clé privée d’un certificat consiste à utiliser la commande certutil.exe avec l’option GetKey. Par exemple, si le numéro de série du certificat est 118b237e000000000006, la commande suivante va extraire et sauvegarder la clé privée dans un format crypté dans le fichier nommé recoveredkey :

certutil -GetKey 118b237e000000000006 recoveredkey

La commande certutil.exe effectue aussi le décryptage nécessaire pour la clé récupérée. La commande suivante sauvegardera la clé dans un fichier PKCS#12 nommé recover.pfx et protègera le fichier par un mot de passe que l’agent de récupération de clés exécutant certutil.exe demandera deux fois :

certutil -RecoverKey recoveredkey recover.pfx

L’agent de récupération de clés peut envoyer le fichier PKCS#12 à l’utilisateur et importer le fichier dans le stockage de certificats de l’utilisateur, en lançant le Certificate Import Wizard. L’agent de récupération de clés tape le nom du fichier sur la ligne de commande ou double-clique sur le fichier dans Windows Explorer. Pour bien importer le certificat, l’agent de récupération de clés doit communiquer le mot de passe sélectionné (par exemple, par téléphone) pour protéger le fichier PKCS#12.

L’archivage et la récupération de clés privées est une fonction de sécurité. C’est par conséquent une fonction que vous pouvez et devez auditer. Il est bon, de manière périodique d’examiner et d’auditer les journaux d’audit pour consulter les opérations des agents de récupération de clés et pour les rapprocher des requêtes des utilisateurs. Il vous faudra construire un processus pour procéder à l’audit nécessaire. Pour générer des événements d’audit des opérations d’archivage et de récupération, faites un clic droit sur la CA dans le snap-in Certification Authority, sélectionnez Properties, cliquez sur l’onglet Auditing et sélectionnez Store and retrieve archived keys. Au fur et à mesure que les opérations d’archivage et de récupération se déroulent, des détails sont écrits dans le journal Security.