kra.pdf

7/24/2019 kra.pdf

1/15

Configuration et utilisation de l'agent de

rcupration de cls avec la PKI 2008 R2

Par Michal Todorovic

Date de publication : 29 mars 2010

Cet article va vous permettre de configurer l'agent de rcupration de cls de la PKI de

Windows Server 2008 R2.
http://blog.developpez.com/michaelhttp://mtodorovic.developpez.com/http://www.developpez.net/forums/u20994/michael/http://www.developpez.com/

7/24/2019 kra.pdf

2/15

Configuration et utilisation de l'agent de rcupration de cls avec la PKI 2008 R2 par Michal Todorovic

- 2 -

Copyright 2010 Michal Todorovic. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation

expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts. Cette page est dpose la SACD.

http://mtodorovic.developpez.com/tutoriels/windows/configuration-utilisation-agent-recuperation-cles-pki-2008-r2/

I - Introduction..............................................................................................................................................................3

II - Configuration de l'agent.........................................................................................................................................3

II-A - Activation du modle de certificat.................................................................................................................3

II-B - Inscription du certificat..................................................................................................................................6

II-C - Activation de l'agent......................................................................................................................................9

III - Configuration des modles de certificats archiver...........................................................................................10

IV - Rcupration d'une cl supprime.....................................................................................................................11IV-A - Identification du certificat correspondant la cl perdue..........................................................................11

IV-B - Rcupration du certificat partir du numro de srie.............................................................................12

IV-C - Rcupration de la cl prive partir du certificat...................................................................................13

V - Conclusion........................................................................................................................................................... 15

VI - Remerciements...................................................................................................................................................15
http://mtodorovic.developpez.com/tutoriels/windows/configuration-utilisation-agent-recuperation-cles-pki-2008-r2/http://mtodorovic.developpez.com/tutoriels/windows/configuration-utilisation-agent-recuperation-cles-pki-2008-r2/http://www.developpez.net/forums/u20994/michael/http://www.developpez.com/

7/24/2019 kra.pdf

3/15


- 3 -




I - Introduction

Cet article fait suite mon article Configuration d'une infrastructure cls publiques 2 niveaux sous

Windows 2008 (R2).

Pour suivre cet article, il vous faudra une autorit de certification d'entreprisedj installe.

L'agent de rcupration de cls va vous permettre de rcuprer des cls prives perdues. Cet agent va permettrel'archivage des cls prives associes aux cls publiques dlivres par l'autorit. Cet archivage sera crypt par la

cl de l'agent de rcupration. Cet agent dispose d'un modle de certificat ddi qu'il faut activer.

Cette activation n'est pas prendre la lgre puisqu'elle va archiver les cls prives de

vos utilisateurs. Ces cls prives tant personnelles, elles ne doivent pas tre utilises par

d'autres personnes que l'intress. Si votre agent de rcupration est compromis, toutes

vos cls archives seront potentiellement compromises : pour cela, il sera ncessaire

d'activer l'audit de l'agent afin de savoir par qui et quand il a t utilis ainsi que les cls

rcupres.

ATTENTION !Il faut utiliser l'agent de rcupration uniquementsi la cl a t supprime.

Si la cl a t perdue, vole ou si vous avez un doute sur la nature de la disparition decelle-ci, il faudra la rvoquer et en crer une nouvelle.

L'autre nom de l'agent de rcupration de cl est KRA pour Key Recovery Agent.

II - Configuration de l'agent

II-A - Activation du modle de certificat

L'agent de rcupration de cls possde son propre modle de certificat qui, par dfaut, n'est pas dlivr par votre

autorit d'entreprise pour des raisons de scurit : cet agent va vous permettre de rcuprer toutes les cls archives,donc son utilisation doit tre restreinte.

Nous allons commencer par activer le modle de certificat de l'agent de rcupration de cls. Il faut vous connecter

sur votre autorit d'entreprise avec un compte pouvant l'administrer. Ouvrez la console de l'autorit et allez dans les

Modles de certificatspuis faites un clic droit et cliquez sur Grerpour ouvrir la console de gestion des modles

de certificats.

Vous pouvez accder cette console en excutant certtmpl.msc.

Gestion des modles de certificat

Ouvrez les proprits du modleAgent de rcupration de cl.
http://mtodorovic.developpez.com/tutoriels/windows/configuration-utilisation-agent-recuperation-cles-pki-2008-r2/http://mtodorovic.developpez.com/tutoriels/windows/configuration-infrastructure-cles-publiques-sous-windows-2008/http://mtodorovic.developpez.com/tutoriels/windows/configuration-infrastructure-cles-publiques-sous-windows-2008/http://mtodorovic.developpez.com/tutoriels/windows/configuration-utilisation-agent-recuperation-cles-pki-2008-r2/http://www.developpez.net/forums/u20994/michael/http://www.developpez.com/

7/24/2019 kra.pdf

4/15


- 4 -




Proprits du modle de certificat de l'agent de rcupration de cl

Dans l'onglet Traitement de la demande, vous pouvez changer la taille de la cl. Microsoft recommande de ne pas

dpasser une taille de 8192: la rcupration de cl demandera plus de calculs et prendra donc plus de temps ce

qui impactera les performances de votre autorit. Une taille de cl de 2048assure une bonne scurit des donnes

et n'impactera pas de manire visible les performances de l'autorit. Cela reprsente donc un bon compromis entre

scurit et performance.

L'exportation de la cl est autorise sur ce modle de certificat. Je vous dconseille de dsactiver cette possibilit : la

cl de l'agent de rcupration ne peut pas tre rcupre. Vous pourrez donc exporter cette cl titre de sauvegarde.

Cette cl permettant de rcuprer les cls archives, il est essentiel de prendre des mesures de scurit trs fortes

pour sa conservation. En effet, si l'agent de rcupration est compromis, toutes les cls archives pourront tre

rcupres et seront donc toutes compromises.

Choix de la taille de cl

Vous devez maintenant autoriser un utilisateur gnrer le certificat de l'agent de rcupration. Pour cela, allez dans

l'onglet Scuritet cliquez surAjouter.

7/24/2019 kra.pdf

5/15


- 5 -




Ajout d'un utilisateur

Slectionnez l'utilisateur qui sera responsable de l'agent de rcupration puis ajoutez-lui le droit d'inscription. Enfin

cliquez sur OK. Je conseille de crer un utilisateur ddi l'agent de rcupration. Lorsque vous ne vous servez pas

de ce compte, dsactivez-le dans l'Active Directory afin d'viter toute tentative de connexion. Vous pourrez activer

l'utilisateur lorsqu'il y aura des cls rcuprer.

Cet utilisateur devra disposer des droits d'administration de votre autorit de certification.

Ajout de la permission d'inscription

Fermez la console de gestion des modles de certificats pour revenir aux modles de certificats dlivrs par votre

autorit. Ajoutez le modle de l'agent de rcupration de cls en faisant un clic droit sur Nouveau, Modle de certificat

dlivrer. Cela va permettre votre autorit de dlivrer des certificats d'agent de rcupration de cls.

7/24/2019 kra.pdf

6/15

7/24/2019 kra.pdf

7/15


- 7 -




Stratgie d'inscription Active Directory

Vous devrez ensuite slectionner le type de certificat gnrer parmi ceux qui vous ont t accords. Cochez l'agent

de rcupration de clset cliquez sur Inscription.

Slection du type de certificat

La soumission de la demande est envoye l'autorit de certification. Un tel certificat ne doit pas tre distribu

n'importe qui donc il est soumis validation manuelle.

Inscription soumise l'autorit

Vous pouvez voir votre demande dans la MMC ouverte prcdemment dans Demandes d'inscription de certificat,

Certificats.

Il va maintenant falloir dlivrer ce certificat sur l'autorit de certification afin de complter l'inscription. Allez sur votre

autorit de certification dans Demandes en attente. Vous devriez voir la demande de votre utilisateur pour un certificat

d'agent de rcupration de cl une heure donne.

7/24/2019 kra.pdf

8/15


- 8 -




Demande en attente

S'il s'agit bien de la bonne demande, vous pouvez dlivrer le certificat en faisant un clic droit sur Toutes les tches,

Dlivrer.

Retournez sur votre session utilisateur responsable de la rcupration de cls pour rcuprer le certificat.Dans la MMC certificats, faites un clic droit sur Certificats - Utilisateur, Toutes les tches, Inscrire et rcuprer

automatiquement les certificats.

Inscription du certificat

Vous verrez alors les types de certificats en attente que vous pouvez inscrire. Slectionnez l'Agent de rcupration

de clet cliquez sur Inscription.

L'inscription est termine et le certificat est install sur le compte utilisateur.

Installation du certificat

Dans la liste des certificats, vous pourrez ouvrir le nouveau certificat install en double-cliquant dessus et contrler

son rle et qui il a t dlivr.

7/24/2019 kra.pdf

9/15


- 9 -




Nouveau certificat install

II-C - Activation de l'agent

Cette partie requiert un redmarrage de l'autorit de certification. Veillez donc prendre

les dispositions ncessaires pour redmarrer sans trop d'incidence ( une heure creuse

par exemple).

Il va maintenant falloir attribuer le certificat l'agent de rcupration de cls. Allez dans les proprits de votre autoritde certification.

Proprits de l'autorit

Allez dans l'onglet Agents de rcuprationpuis cliquez surArchiver la cl. Indiquez le nombre d'agents que vous

souhaitez crer puis cliquez surAjouter.

7/24/2019 kra.pdf

10/15


- 10 -




Activation de l'agent de rcupration de cl

Il vous sera alors propos de slectionner un certificat parmi la liste prsente : cette liste ne montre que les certificats

valides pour l'utilisation voulue. Vous pouvez afficher les proprits si vous le souhaitez afin de vous assurer de la

slection.

Slection du certificat du KRA

Le certificat sera ajout la liste des certificats de l'agent de rcupration de cls. Par dfaut, il est jug comme non

valide pour l'utilisation dans l'agent : il n'a simplement pas t charg.

Certificat ajout mais non charg

Pour charger le certificat, cliquez surAppliquer. Il vous sera alors demand de redmarrer l'autorit de certification.

Vous devrez relancer la console de l'autorit de certification afin de prendre en compte le redmarrage de l'autorit.

Si vous retournez voir les proprits de l'agent de rcupration, le certificat sera marqu comme valide.

Certificat valide

III - Configuration des modles de certificats archiver

Maintenant que l'agent est oprationnel, il va falloir activer l'archivage des cls sur les modles de certificats. Je vais

prendre un ancien modle que j'ai cr pour l'article d'inscription automatique de certificats. Ce modle nommUtilisateur autopermet aux utilisateurs d'inscrire automatiquement des certificats. Afin d'viter aux utilisateurs de

perdre dfinitivement leur certificat, je vais activer l'archivage des cls prives.
http://mtodorovic.developpez.com/tutoriels/windows/configuration-utilisation-agent-recuperation-cles-pki-2008-r2/http://mtodorovic.developpez.com/tutoriels/windows/inscription-automatique-certificats-pki/http://mtodorovic.developpez.com/tutoriels/windows/configuration-utilisation-agent-recuperation-cles-pki-2008-r2/http://www.developpez.net/forums/u20994/michael/http://www.developpez.com/

7/24/2019 kra.pdf

11/15


- 11 -




Allez dans la console de gestion des modles de certificats comme lors de l'activation du modle de certificat de

KRA. Faites un clic droit sur le modle dont les cls seront archives (dans mon cas Utilisateur auto) puis ouvrez

les proprits.

Proprits du modle de certificat

Allez dans l'onglet Traitement de la demandepuis cochezArchive la cl prive de chiffrement du sujet. Enfin cliquez

sur OK.

Activation de l'archivage

Voil, c'est fini pour la configuration, il ne reste plus qu' tester !

IV - Rcupration d'une cl supprime

ATTENTION ! Il ne faut utiliser l'agent de rcupration uniquement si la cl a t

supprime. Si la cl a t perdue, vole ou si vous avez un doute sur la nature de ladisparition de la cl, il faudra la rvoquer et en crer une nouvelle.

Il est possible de rcuprer uniquement les cls cres aprs l'activation de l'agent et de

l'archivage. Toutes les cls cres prcdemment sont irrcuprables.

Un utilisateur (michael) vient de supprimer sa cl par mgarde. Le modle de certificat correspondant a t activ pour

l'archivage et l'utilisateur a gnr sa cl aprs cette activation. Il est donc possible de la rcuprer. Vous savez quel

type de cl l'utilisateur a perdu et comment cet utilisateur se nomme. Ces informations suffisent pour rcuprer la cl.

IV-A - Identification du certificat correspondant la cl perdue

Ouvrez la console de votre autorit de certification. Allez dans Certificats dlivrs, cliquez sur Affichage, Ajouter/

supprimer des colonnes.

7/24/2019 kra.pdf

12/15


- 12 -




Ajout d'une colonne

Cherchez Cl archivedans les colonnes disponibles et cliquez sur Ajouter. Vous pouvez remonter cette colonne

afin que cela soit plus pratique par la suite.

Ajout de la colonne Cl archive

Vous reviendrez ensuite sur la liste des certificats dlivrs par votre autorit : vous verrez alors les cls qui ont t

archives ou non.

Liste des certificats

Nous cherchons un certificat utilisateur gnr automatiquement (modle : Utilisateur auto) par le demandeur

TODOROVIC\michael. Cela correspond la demande n16 : la colonne Cl archivevaut Ouidonc la cl sera

rcuprable. A partir du moment o le certificat est identifi, le travail est quasi-fini.

IV-B - Rcupration du certificat partir du numro de srie

Ouvrer le certificat identifi en double-cliquant dessus. Allez dans l'onglet Dtailpuis cliquez sur Numro de srie

afin de le faire apparatre.

7/24/2019 kra.pdf

13/15


- 13 -




Rcupration du numro de srie

Copiez le afin d'viter de le retaper (et de faire une erreur de saisie).

Ouvrez une ligne de commande puis tapez :

certutil -getkey 00000000000000000000 certificat.p7b

Remplacez 00000000000000000000 par votre numro de srie en supprimant les espaces.

Rcupration du certificat

Vous allez maintenant pouvoir rcuprer la cl prive associe au certificat (cl publique).

IV-C - Rcupration de la cl prive partir du certificat

Toujours dans une ligne de commande, tapez :

certutil -p "M0tdeP@sse!" -recoverkey certificat.p7b cle-privee-publique.pfx

Vous devez reprendre le mme nom de fichier p7b que prcdemment. Le fichier pfx contiendra la cl prive et la

cl publique de votre utilisateur. Il est capital de protger cette cl avec un mot de passe trs fort (argument -p de la

ligne de commande). Le fichier pfx, bien que protg par mot de passe fort, doit tre transmis de manire scurise.

7/24/2019 kra.pdf

14/15


- 14 -




Le mot de passe doit tre galement transmis de manire scurise. Une fois rinstall chez l'utilisateur, le fichier

pfx doit tre dtruit immdiatement.

Sur le client, le certificat et la cl prive rinstalls sont strictement les mmes que les anciens. Vous pouvez le

constater en comparant le numro de srie entre le client et l'autorit de certification. Il sera identique, ce qui signifie

que le certificat et la cl prive n'ont pas t rgnrs : il a bien eu rcupration.

Cl prive prsente

Numro de srie identique l'ancien

7/24/2019 kra.pdf

15/15


- 15 -


d l' t Si l l l i j ' t i d i t j ' 300 000 d d t i t t C tt t d l SACD

V - Conclusion

L'agent de rcupration de cls est trs important dans une PKI. Il permet en effet de rcuprer simplement des cls

archives et vite ainsi la rvocation et la rgnration prmature de certificat. Je conseille de mettre en place ce

type d'agent ds la cration de la PKI sauf s'il est explicitement demand de ne pas l'activer. Suggrez son activation

lors de la planification de la PKI afin d'viter des surprises plus tard.

VI - Remerciements

Je remercie blade159etjacques_jeanpour leurs conseils et leurs corrections.
http://mtodorovic.developpez.com/tutoriels/windows/configuration-utilisation-agent-recuperation-cles-pki-2008-r2/http://www.developpez.net/forums/u83713/jacques_jean/http://www.developpez.net/forums/u32890/blade159/http://www.developpez.net/forums/u20994/michael/http://www.developpez.com/

kra.pdf

Documents