Procédure de configuration de la sauvegarde de la base de données de l'autorité de certification racine
Dernière mise à jour le 08 juin 2004
Sur cette page
Objectifs
S'applique à
Comment utiliser ce module
Résumé
Procédure de configuration de la sauvegarde de la base de données de l'autorité de certification racine
Objectifs
Ce module vous permettra d'effectuer l'opération suivante :
- configurer la sauvegarde de la base de données de l'autorité de certification racine.
S'applique à
Ce module s'applique aux produits et technologies suivants :
Microsoft® Windows® Server™ 2003 ;
Microsoft Certificate Services ;
service d'annuaire Microsoft Active Directory®.
Comment utiliser ce module
Ce module décrit les étapes nécessaires à la configuration de la sauvegarde de la base de données de l'autorité de certification racine. Vous pouvez utiliser les conseils fournis dans le module relatif à votre infrastructure de clés publiques existante.
Pour tirer le meilleur parti de ce module, lisez tout d'abord le module « Mise en œuvre de l'infrastructure de clés publiques » du guide Microsoft Solution for Securing Wireless LANs Build Guide. Il vous permet de mieux comprendre la mise en œuvre d'une infrastructure de clés publiques (PKI).
Résumé
Ce module décrit une procédure de gestion à utiliser pour l'infrastructure de clés publiques (PKI) mise en œuvre comme partie d'une solution de réseau local sans fil (WLAN) sécurisé.
Cette tâche vise à préparer les clés et certificats privés de l'autorité de certification, la base de données de certificats, ainsi que les informations de configuration des services de certificats en vue d'une sauvegarde. Les informations de configuration des services de certificats incluent la configuration du système d'exploitation ainsi que d'autres informations d'état dont l'autorité de certification dépend.
Procédure de configuration de la sauvegarde de la base de données de l'autorité de certification racine
L'autorité de certification racine n'émettra jamais plus qu'un faible nombre de certificats. La taille des données ne sera donc pas jamais importante. Les données changeront peu fréquemment, probablement moins d'une fois en quelques années. La procédure pourrait également être identique pour d'autres autorités de certification hors ligne, une intermédiaire hors ligne par exemple si vous avez décidé d'utiliser des autorités de certification intermédiaires.
L'autorité de certification racine est hors ligne. Elle nécessitera donc un périphérique de sauvegarde local (un lecteur de bande ou un CD-ROM sur lequel stocker le fichier de sauvegarde).
Attention : si vous utilisez un module HSM (Hardware Security Module), cette procédure permet de sauvegarder les données de clé cryptées (selon le fonctionnement du module HSM) mais les clés sauvegardées seront inutilisables sur un ordinateur restauré sans clés d'accès HSM et HSM identiques. Suivez les instructions du fournisseur du module HSM pour sauvegarder et enregistrer les données de clé et les clés d'accès.
Pour configurer une sauvegarde de l'autorité de certification racine
Créez un répertoire dans lequel stocker les fichiers de sauvegarde C:\CABackup par défaut et protégez-le en exécutant la commande suivante :
cacls c:\CABackup /G system:F administrators:F "Opérateurs de sauvegarde":C "Opérateurs de sauvegarde d'autorité de certification":CRemarque : cette commande apparaît sur 2 lignes pour l'impression ; entrez-la sur une seule ligne.
Si vous choisissez un autre dossier de stockage du fichier de sauvegarde, vous devez mettre à jour le paramètre correspondant dans le script pkiparams.vbs. Modifiez le chemin indiqué dans la ligne suivante si nécessaire.
CONST SYSSTATE_BACKUP_PATH = "C:\CABackup" 'path used by NTBackup
Pour sauvegarder l'autorité de certification racine
Exécutez la commande suivante pour sauvegarder les données de l'autorité de certification dans un fichier temporaire :
cscript //job:BackupCADatabase C:\MSSScripts\ca_operations.wsfCela génère un fichier de sauvegarde nommé CABackup.bkf dans le chemin spécifié ci-dessus (C:\SauvegardeAutoritéCertification par défaut). Copiez ce fichier sur un support amovible et stockez le support de manière appropriée.
Attention : ces données de sauvegarde sont très sensibles car elles contiennent les données de clé privée de l'autorité de certification. Vous devez les transporter et les stocker avec la même attention et sécurité que pour l'autorité de certification. Stockez les données de sauvegarde dans un site autre que celui de l'autorité de certification. Cela vous permettra de récupérer l'autorité de certification au cas où l'ensemble des ordinateurs du site serait détruit ou inaccessible.