Procédure de test d'une sauvegarde de clé de l'autorité de certification
Dernière mise à jour le 08 juin 2004
Sur cette page
Objectifs
S'applique à
Comment utiliser ce module
Résumé
Tester une sauvegarde de clé de l'autorité de certification
Objectifs
Ce module vous permettra d'effectuer l'opération suivante :
- tester la sauvegarde de votre clé de l'autorité de certification.
S'applique à
Ce module s'applique aux produits et technologies suivants :
Microsoft® Windows® Server™ 2003 ;
Microsoft Certificate Services ;
service d'annuaire Microsoft Active Directory®.
Comment utiliser ce module
Ce module décrit les étapes nécessaires au test de votre sauvegarde de clé de l'autorité de certification. Vous pouvez utiliser les conseils fournis dans le module relatif à votre infrastructure de clés publiques existante.
Pour tirer le meilleur parti de ce module, lisez tout d'abord le module « Implémentation de l'infrastructure de clés publiques » du guide Microsoft Solution for Securing Wireless LANs Build Guide. Il vous permet de mieux comprendre la mise en œuvre d'une infrastructure de clés publiques (PKI).
Résumé
Ce module décrit une procédure opérationnelle nécessaire à la gestion de l'infrastructure de clés publiques (PKI) mise en œuvre comme partie d'une solution de réseau local sans fil (WLAN) sécurisé.
Cette tâche vise à vérifier régulièrement les sauvegardes de clé de l'autorité de certification pour s'assurer qu'elles sont valides.
Tester une sauvegarde de clé de l'autorité de certification
Vous pouvez installer les clés et certificats de l'autorité de certification sur un quelconque système. Cependant, du fait que les clés sont essentielles à la sécurité de l'ensemble de votre infrastructure de clés publiques (PKI), il serait préférable qu'il s'agisse d'un système de confiance et hors ligne, notamment pour les clés de l'autorité de certification racine hors ligne. Pour s'assurer que toutes les traces des données de clé sont supprimées de l'ordinateur, vous devez créer un compte temporaire et distinct dédié.
Attention : si vous utilisez un module HSM (Hardware Security Module), cette procédure ne fonctionnera pas tel qu'indiqué. Suivez les instructions du fournisseur du module HSM pour sauvegarder, restaurer et enregistrer les données de clé et les clés d'accès.
Pour restaurer les clés de l'autorité de certification
Veillez à ce que l'ordinateur soit déconnecté du réseau. Connectez-vous en tant que membre du groupe Administrateurs locaux, puis créez le compte utilisateur local TestCAKeys.
Connectez-vous avec ce compte.
Insérez un disque contenant la sauvegarde des clés de l'autorité de certification à tester.
Utilisez Windows Explorer pour parcourir les fichiers de clé P12, puis double-cliquez sur l' Assistant Importation.
Lorsque vous y êtes invité, entrez le mot de passe et n'activez pas les cases à cocher permettant de fournir une protection élevée aux clés ou de les exporter.
Cliquez sur Placer tous les certificats dans le magasin suivant, puis sur Parcourir et sélectionnez le magasin personnel comme emplacement de restauration des clés de l'autorité de certification.
Ouvrez la console de gestion Certificats et accédez au magasin personnel. Recherchez le certificat d'autorité de certification de l'autorité de certification restaurée, puis ouvrez le certificat pour vérifier que vous disposez d'une clé privée correspondante.
Pour tester les clés restaurées
Obtenez une liste de révocation de certificats ou un certificat émis par l'autorité de certification en cours de test.
En fonction de votre choix à l'étape précédente (liste de révocation de certificats ou certificat), exécutez la commande suivante correspondante, en remplaçant le nom de fichier obtenu précédemment par NomFichierListe ou NomFichierCert :
Certutil -sign NomFichierListe.crl NvListe.crl Certutil -sign NomFichierCert.cer NvFichierCert.cerLorsque vous y êtes invité, sélectionnez le certificat de l'autorité de certification (importé via la procédure précédente) en tant que certificat de signature.
Vérifiez que l'opération de signature est réussie et que la sortie est similaire à ce qui suit :
C:\CAConfig>certutil -sign "Woodgrove Bank Issuing CA 1.crl.crl" "Woodgrove Bank Issuing CA 1xxs.crl" ThisUpdate: 2/10/2003 10:52 PM NextUpdate: 2/25/2003 3:11 PM CRL Entries: 0 Signing certificate Subject: CN=Woodgrove Bank Issuing CA 1 DC=woodgrovebank,DC=com Output Length = 970 CertUtil: -sign command completed successfully.
Vous devez supprimer les clés du système de test.
Pour supprimer les clés du système
Connectez-vous en tant que membre du groupe Administrateurs locaux et supprimez le profil utilisateur du compte TestCAKeys (dans Poste de travail, Propriétés avancées ).
Supprimez le compte TestCAKeys.
Effacez de manière sûre les zones non allouées du disque pour supprimer définitivement les traces des clés en exécutant la commande suivante :
Cipher /W:%AllUsersProfile%Remarque : spécifiez le chemin %allusersprofile% pour garantir que Cipher.exe est exécuté sur le lecteur en conservant les profils utilisateurs. Cela efface le lecteur entier, pas le chemin indiqué uniquement.