Partager via

Serveur de récupération de clé

  • Article

Une autorité de certification Microsoft peut être configurée pour archiver et récupérer la clé privée associée à la clé publique envoyée dans la demande de certificat. La récupération est utile dans le cas où une clé est perdue. Par défaut, seules les clés de chiffrement peuvent être archivées. Il n’est pas nécessaire d’archiver les clés destinées uniquement à la signature, car seule la clé publique est nécessaire pour vérifier une signature si la clé de signature privée est perdue.

Pour archiver une clé, l’autorité de certification doit être configurée pour émettre des certificats KRA (Key Recovery Agent) et doit en avoir déjà émis au moins un. Un agent de récupération de clé est un administrateur autorisé par une organisation à déchiffrer les clés privées. Pour renforcer la sécurité, nous recommandons que les rôles d'agent de récupération de clé et de gestionnaire de certificats soient attribués à des personnes différentes. Nous recommandons également que le gestionnaire de certificats soit autorisé à récupérer les clés archivées, mais pas à les déchiffrer, et que l’agent de récupération de clé soit autorisé à déchiffrer les clés, mais pas à les récupérer.

Archivage de clés

Un client demande généralement un certificat à l’aide d’un modèle. Si le modèle exige que la clé privée soit archivée, les étapes suivantes sont effectuées par le client et l’autorité de certification :

  1. Le client récupère et valide le certificat d’échange d’autorité de certification pour déterminer s’il a été signé par la même clé que celle utilisée pour signer le certificat de signature de l’autorité de certification. Cela garantit que seule l'autorité de certification qui demande le certificat peut déchiffrer la clé privée.
  2. La clé publique dans le certificat d’échange d’autorité de certification est utilisée pour chiffrer la clé privée associée à la demande de certificat, et la demande est envoyée à l’autorité de certification.
  3. L’autorité de certification utilise la clé privée associée à son certificat d’échange pour déchiffrer la clé privée envoyée par le client. Elle vérifie également que les clés publiques et privées de la demande sont associées.
  4. L’autorité de certification chiffre la clé privée à l’aide de la clé publique dans le certificat KRA. Si l’autorité de certification a émis plusieurs certificats KRA, elle chiffre la clé privée avec chaque clé publique disponible afin que n’importe quel agent de récupération de clé autorisé puisse récupérer une clé. Les clés privées chiffrées sont stockées dans la base de données de certificats.
  5. L’autorité de certification donne toutes les références à la clé privée et libère et remet à zéro de manière sécurisée l'ensemble de la mémoire que contenait la clé. Cela garantit que l’autorité de certification n’a pas d’accès supplémentaire à la clé en texte clair.

Remarque

Seule une requête CMC peut être utilisée pour l’archivage de clés. Les requêtes CMC sont représentées par l’interface IX509CertificateRequestCmc.

 

Récupération de clé

La récupération de clé n’est pas directement prise en charge par les services de certificats Active Directory ou l’API d’inscription de certificat. Toutefois, Microsoft fournit les applications suivantes pour faciliter le processus :

  • Certutil.exe est un programme de ligne de commande qui peut être utilisé pour récupérer les informations de configuration de l’autorité de certification, pour vérifier les certificats, les paires de clés et les chaînes de certificats, et pour sauvegarder et restaurer des clés. Il est inclus dans les systèmes d’exploitation serveur à partir de Windows Server 2003.
  • Krecover.exe est un programme basé sur une boîte de dialogue qui permet la récupération de clé. Il est inclus dans le Kit de ressources à partir de Windows Server 2003.

Les étapes suivantes sont effectuées pour récupérer une clé privée :

  1. Le gestionnaire de certificats localise les candidats potentiels à la récupération de clé dans la base de données de certificats à l’aide du nom du certificat, du demandeur ou de l’utilisateur. La commande Certutil -getkey peut être utilisée à cet effet.
  2. Une fois que le gestionnaire de certificats dispose d'une liste de certificats, la commande -getkey est appelée à nouveau avec un numéro de série de certificat spécifique ou une impression numérique pour récupérer un fichier PKCS #7 qui contient le certificat KRA, la chaîne de certificats de l'utilisateur et la clé privée chiffrée lors de l’archivage à l’aide de la clé publique KRA.
  3. Le gestionnaire de certificats transmet le contrôle du processus à l’agent de récupération de clé dont la clé privée correspond à la clé publique contenue dans le certificat KRA.
  4. L’agent de récupération de clé déchiffre la clé privée archivée retournée dans le fichier PKCS #7 à l’aide de la clé privée KRA. Pour ce faire, il utilise la commande Certutil -recoverkey qui place la clé dans un fichier PKCS #12 protégé par mot de passe. Le client doit recevoir le mot de passe par le biais d’un mécanisme hors bande sécurisé.
  5. Le client importe le fichier PKCS #12 et utilise le mot de passe pour récupérer la clé.

Éléments PKI