Généralités Schémas Pratiques
courantesSauvegarde
et restaurationTechniques
avancéesLes agents de
récupérationEn cas de
problème
Il est vivement recommandé de sauvegarder dans des fichiers la clef et/ou le certificat d'un utilisateur, afin de permettre l'accès ultérieur à des fichiers chiffrés en cas de problème (corruption du certificat, incident disque, réinstallation de Windows, ...).
L'outil le plus simple à utiliser pour cette tâche est Internet Explorer, avec son interface relative aux certificats (tous confondus).
On y accède depuis le menu Outils / Options Internet, onglet Contenu.
Appuyer sur le bouton Certificats
Comme cela a été exposé précédemment, le certificat est créé automatiquement lors du premier chiffrement d'un fichier.
Ce qui signifie qu'aucun certificat personnel n'apparaît si l'utilisateur n'a pas encore chiffré de fichier.Dès le chiffrement d'un fichier, le certificat personnel apparaît :
Dans l'exemple ci-contre, l'utilisatrice LISA, membre du domaine JCB, a chiffré un fichier, si bien qu'un certificat lui a été automatiquement attribué.
On sélectionne alors ce certificat, puis on appuie sur le bouton Affichage afin d'obtenir ses caractéristiques. L'onglet Général indique les rôles du certificat
L'onglet Détails affiche les données techniques du certificat, en particulier l'empreinte numérique qui est l'identifiant apparaissant dans de nombreuses boites de dialogues (cf. rubrique suivante) Dans cet exemple, on lit 98 F7 77 0A 0B ...
Par exemple, le contenu de la clef publique, sous forme hexadécimale, y figure (mais la clef privée est absente de cet affichage).
Si on ouvre la boite de dialogue donnant les détails de chiffrement d'un fichier chiffré, on retrouve en face du nom de l'utilisateur l'empreinte numérique du certificat :
98 F7 77 0A 0B ...Le dernier onglet Chemin d'accès de certification indique l'arborescence de délivrance du certificat, ainsi que sa validité. Dans l'exemple ci-contre, on voit que le certificat attribué à Lisa SIMPSON a été lui même certifié par le certificat JCB, qui est le certificat de plus haut niveau du domaine.
Dans le cas d'un ordinateur n'appartenant pas à un domaine (isolé ou membre d'un groupe de travail), l'arborescence se limite au certificat lui-même.
Il est possible de créer une MMC (Microsoft Management Console) destinée à la gestion des certificats.
Depuis le menu Démarrer/Exécuter (ou dans une fenêtre console), exécuter la commande mmc
Depuis le menu Fichier, sélectionner
Ajouter/Supprimer un composant logiciel enfichable
Appuyer sur Ajouter
Sélectionner dans la liste Certificats
Si le compte en cours appartient au groupe des administrateurs, une boite de dialogue demande l'objet de la MMC. Cocher "Mon compte d'utilisateur"
Si le compte en cours n'appartient pas au groupe des administrateurs, ce dialogue ne s'affiche pas et implicitement la MMC concernera exclusivement le compte d'utilisateur.
"Certificats" apparaît alors dans la liste des composants.
On peut éventuellement enregistrer cette nouvelle MMC sous un nom quelconque (par exemple certificats.msc)
En développant Certificats - utilisateur actuel on affiche l'arborescence des certificats
Pour sauvegarder clef privée et certificat, il existe plusieurs méthodes :
toto
1ère méthode (Internet Explorer)
Ouvrir Internet Explorer, menu Outils / Options Internet, onglet Contenu.
Appuyer sur le bouton CertificatsSélectionner le certificat
Appuyer sur le bouton Exporter
2ème méthode (MMC certificats)
A partir de la MMC créée précédemment, sélectionner le certificat du compte utilisateur, ouvrir le menu contextuel et sélectionner Exporter
Ensuite, quelle que soit la méthode initiale, un assistant s'affiche :
Cocher le bouton Oui, exporter la clef privée
Laisser les options par défaut. Un mot de passe est demandé, que l'on doit confirmer.
Ce mot de passe n'a aucun rapport avec celui du compte utilisateur (mais ce peut être le même)
Il sera demandé uniquement si on doit réinstaller le certificat et la clef à partir du fichier de sauvegarde.
Indiquer un chemin et un nom de fichier (arbitraires). Seule l'extension .PFX doit être respectée. On aura intérêt à déplacer ou copier ce fichier sur un support amovible (disquette, clef USB, ...) que l'on gardera en lieu sûr.
L'état récapitulatif des opérations s'affiche. Si aucune erreur ne s'est produite, un message le confirme
3ème méthode (Script JCB)
J'ai conçu exportcert.vbs, un script VBS qui exporte automatiquement tout certificat destiné au chiffrement EFS.
Il génère un (ou plusieurs) fichier .PFXIl suffit d'exécuter le script depuis une fenêtre de commandes, et tout se fait automatiquement.
Un mot de passe peut être défini.
Le fichier PFX est enregistré dans le répertoire courant.
C:\VBS>exportcert.vbs
Microsoft (R) Windows Script Host, version 5.1 pour Windows
Copyright (C) Microsoft Corporation 1996-1998. Tous droits réservés.
----------------------------------------------------------------------------
Ce script sauvegarde automatiquement les certificats et clefs utilisés par
le chiffrement (EFS) de fichiers sous Windows 2000 et au-delà.
Pour cela il génère des fichiers d'échange d'informations personnelles
(extension .PFX).
Ces fichiers sont à conserver en lieu sûr car ils servent en cas de besoin à
réinstaller les certificats et clefs privées ayant servi à chiffrer les données.
Le nom de chaque fichier est composé de l'objet du certificat et de l'empreinte
numérique en hexadécimal.
JC BELLAMY © 2004
----------------------------------------------------------------------------
Vous pouvez saisir ci-dessous un mot de passe qui sera demandé lors de la
réinstallation des certificats. Si vous ne voulez pas utiliser de mot passe,
appuyez seulement sur la touche <Entrée>
Votre mot de passe :
Confirmez votre mot de passe :
Le certificat EFS "HOMER" émis par
"OU=EFS File Encryption Certificate, L=EFS, CN=HOMER"
a été enregistré dans le fichier :
C:\VBS\HOMER-AD2AF0B7D7CF912DBFD4FF12801137AB263AD229.pfx
Si cela est nécessaire, le script place le certificat dans le magasin des autorités de certification racines de confiance, afin que le certificat soit déclaré valide. Le système demande alors la confirmation cet ajout de certificat.
On peut vérifier que l'empreinte numérique (SHA1) se retrouve bien dans le nom du fichier PFX créé.
Le certificat va être placé dans le magasin des autorités de certification
racines de confiance
----------------------------------------------------------------------------
Un message invite à recopier le(s) fichier(s) qui vient d'être créé.
Ce script nécessite la présence de 2 contrôles ActiveX :
- scriptpw.dll
utilisé pour le masquage des mots de passe dans les scripts. Il existe nativement à partir de Windows XP, mais fonctionne sans problème sous Windows 2000.- capicom.dll
sert d'interface dans la gestion des certificats. Cette bibliothèque est librement distribuable.L'installation de ces deux contrôles ActiveX est réalisée automatiquement par le script lui-même.
Téléchargement de l'ensemble :
exportcert.zip (166 ko) contient :
- exportcert.vbs
- scriptpw.dll
- capicom.dl
Il suffit de décompresser ce fichier dans
un dossier quelconque, et d'exécuter le script VBS.
La perte du certificat peut être volontaire.
Par exemple un utilisateur craint que l'on puisse utiliser son ordinateur en son absence (avec connaissance de son mot de passe) et accéder ainsi à ses données chiffrées.
Ayant procédé au préalable à la sauvegarde de son certificat, il va alors le supprimer, toujours depuis Internet Explorer.
Appuyer sur le bouton Supprimer
Il apparaît alors un message d'avertissement, informant que les fichiers chiffrés ne seront plus accessibles.
Tant que utilisateur n'a pas fermé sa session, les documents chiffrés sont toujours accessibles.
Par contre dès que la session est fermée, personne ne pourra plus ouvrir ces documents, sauf les éventuels agents de récupération de données.
Pour réinstaller le certificat et la clef à partir du fichier de sauvegarde (.PFX), la façon la plus simple est d'ouvrir l'explorateur de Windows, sélectionner le fichier, ouvrir le menu contextuel et sélectionner Installer PFX Un assistant s'affiche : Le mot de passe (éventuel) du certificat est demandé Cocher Sélectionner automatiquement le magasin de certificats L'état récapitulatif des opérations s'affiche. Si aucune erreur ne s'est produite, un message le confirme Les fichiers chiffrés de l'utilisateur sont à nouveau accessibles.