Sauvegarde et restauration des certificats EFS

Généralités Schémas Pratiques
courantes Sauvegarde
et restauration Techniques
avancées Les agents de
récupération En cas de
problème

Il est vivement recommandé de sauvegarder dans des fichiers la clef et/ou le certificat d'un utilisateur, afin de permettre l'accès ultérieur à des fichiers chiffrés en cas de problème (corruption du certificat, incident disque, réinstallation de Windows, ...).

Affichage du certificat avec Internet Explorer
Affichage du certificat avec une MMC
Sauvegarde du certificat et de la clef
Suppression d'un certificat
Restauration du certificat et de la clef

Affichage du certificat avec Internet Explorer

L'outil le plus simple à utiliser pour cette tâche est Internet Explorer, avec son interface relative aux certificats (tous confondus).
On y accède depuis le menu Outils / Options Internet, onglet Contenu.

Appuyer sur le bouton Certificats

Comme cela a été exposé précédemment, le certificat est créé automatiquement lors du premier chiffrement d'un fichier.

Ce qui signifie qu'aucun certificat personnel n'apparaît si l'utilisateur n'a pas encore chiffré de fichier.

Dès le chiffrement d'un fichier, le certificat personnel apparaît :

Dans l'exemple ci-contre, l'utilisatrice LISA, membre du domaine JCB, a chiffré un fichier, si bien qu'un certificat lui a été automatiquement attribué.

On sélectionne alors ce certificat, puis on appuie sur le bouton Affichage afin d'obtenir ses caractéristiques.
L'onglet Général indique les rôles du certificat

L'onglet Détails affiche les données techniques du certificat, en particulier l'empreinte numérique qui est l'identifiant apparaissant dans de nombreuses boites de dialogues (cf. rubrique suivante)
Dans cet exemple, on lit 98 F7 77 0A 0B ...

Par exemple, le contenu de la clef publique, sous forme hexadécimale, y figure (mais la clef privée est absente de cet affichage).

Si on ouvre la boite de dialogue donnant les détails de chiffrement d'un fichier chiffré, on retrouve en face du nom de l'utilisateur l'empreinte numérique du certificat :
98 F7 77 0A 0B ...

Le dernier onglet Chemin d'accès de certification indique l'arborescence de délivrance du certificat, ainsi que sa validité.
Dans l'exemple ci-contre, on voit que le certificat attribué à Lisa SIMPSON a été lui même certifié par le certificat JCB, qui est le certificat de plus haut niveau du domaine.

Dans le cas d'un ordinateur n'appartenant pas à un domaine (isolé ou membre d'un groupe de travail), l'arborescence se limite au certificat lui-même.

Affichage du certificat avec une MMC

Il est possible de créer une MMC (Microsoft Management Console) destinée à la gestion des certificats.

Depuis le menu Démarrer/Exécuter (ou dans une fenêtre console), exécuter la commande
mmc

Depuis le menu Fichier, sélectionner

Ajouter/Supprimer un composant logiciel enfichable

Appuyer sur Ajouter

Sélectionner dans la liste Certificats

Si le compte en cours appartient au groupe des administrateurs, une boite de dialogue demande l'objet de la MMC.
Cocher "Mon compte d'utilisateur"

Si le compte en cours n'appartient pas au groupe des administrateurs, ce dialogue ne s'affiche pas et implicitement la MMC concernera exclusivement le compte d'utilisateur.

"Certificats" apparaît alors dans la liste des composants.

On peut éventuellement enregistrer cette nouvelle MMC sous un nom quelconque (par exemple certificats.msc)

En développant Certificats - utilisateur actuel on affiche l'arborescence des certificats

Sauvegarde du certificat et de la clef

Pour sauvegarder clef privée et certificat, il existe plusieurs méthodes :

1ère méthode (Internet Explorer)

Ouvrir Internet Explorer, menu Outils / Options Internet, onglet Contenu.
Appuyer sur le bouton Certificats

Sélectionner le certificat

Appuyer sur le bouton Exporter

2ème méthode (MMC certificats)

A partir de la MMC créée précédemment, sélectionner le certificat du compte utilisateur, ouvrir le menu contextuel et sélectionner Exporter

Ensuite, quelle que soit la méthode initiale, un assistant s'affiche :

Cocher le bouton Oui, exporter la clef privée

Laisser les options par défaut.

Un mot de passe est demandé, que l'on doit confirmer.
Ce mot de passe n'a aucun rapport avec celui du compte utilisateur (mais ce peut être le même)

Il sera demandé uniquement si on doit réinstaller le certificat et la clef à partir du fichier de sauvegarde.

Indiquer un chemin et un nom de fichier (arbitraires). Seule l'extension .PFX doit être respectée.
On aura intérêt à déplacer ou copier ce fichier sur un support amovible (disquette, clef USB, ...) que l'on gardera en lieu sûr.

L'état récapitulatif des opérations s'affiche.

Si aucune erreur ne s'est produite, un message le confirme

3ème méthode (Script JCB)

J'ai conçu exportcert.vbs, un script VBS qui exporte automatiquement tout certificat destiné au chiffrement EFS.

Il génère un (ou plusieurs) fichier .PFX

Il suffit d'exécuter le script depuis une fenêtre de commandes, et tout se fait automatiquement.

Un mot de passe peut être défini.

Le fichier PFX est enregistré dans le répertoire courant.

C:\VBS>exportcert.vbs
Microsoft (R) Windows Script Host, version 5.1 pour Windows
Copyright (C) Microsoft Corporation 1996-1998. Tous droits réservés.

----------------------------------------------------------------------------
Ce script sauvegarde automatiquement les certificats et clefs utilisés par
le chiffrement (EFS) de fichiers sous Windows 2000 et au-delà.

Pour cela il génère des fichiers d'échange d'informations personnelles
(extension .PFX).
Ces fichiers sont à conserver en lieu sûr car ils servent en cas de besoin à
réinstaller les certificats et clefs privées ayant servi à chiffrer les données.

Le nom de chaque fichier est composé de l'objet du certificat et de l'empreinte
numérique en hexadécimal.

JC BELLAMY © 2004
----------------------------------------------------------------------------

Vous pouvez saisir ci-dessous un mot de passe qui sera demandé lors de la
réinstallation des certificats. Si vous ne voulez pas utiliser de mot passe,
appuyez seulement sur la touche <Entrée>

Votre mot de passe :
Confirmez votre mot de passe :

Le certificat EFS "HOMER" émis par
"OU=EFS File Encryption Certificate, L=EFS, CN=HOMER"
a été enregistré dans le fichier :
C:\VBS\HOMER-AD2AF0B7D7CF912DBFD4FF12801137AB263AD229.pfx

Si cela est nécessaire, le script place le certificat dans le magasin des autorités de certification racines de confiance, afin que le certificat soit déclaré valide.
Le système demande alors la confirmation cet ajout de certificat.

On peut vérifier que l'empreinte numérique (SHA1) se retrouve bien dans le nom du fichier PFX créé.

Le certificat va être placé dans le magasin des autorités de certification
racines de confiance
----------------------------------------------------------------------------

Un message invite à recopier le(s) fichier(s) qui vient d'être créé.

Ce script nécessite la présence de 2 contrôles ActiveX :

scriptpw.dll
utilisé pour le masquage des mots de passe dans les scripts. Il existe nativement à partir de Windows XP, mais fonctionne sans problème sous Windows 2000.

capicom.dll
sert d'interface dans la gestion des certificats. Cette bibliothèque est librement distribuable.

L'installation de ces deux contrôles ActiveX est réalisée automatiquement par le script lui-même.

Téléchargement de l'ensemble :

exportcert.zip (166 ko)

contient :

exportcert.vbs

scriptpw.dll

capicom.dl

Il suffit de décompresser ce fichier dans
un dossier quelconque, et d'exécuter le script VBS.

toto

Suppression d'un certificat

La perte du certificat peut être volontaire.
Par exemple un utilisateur craint que l'on puisse utiliser son ordinateur en son absence (avec connaissance de son mot de passe) et accéder ainsi à ses données chiffrées.

Ayant procédé au préalable à la sauvegarde de son certificat, il va alors le supprimer, toujours depuis Internet Explorer.

Appuyer sur le bouton Supprimer

Il apparaît alors un message d'avertissement, informant que les fichiers chiffrés ne seront plus accessibles.
Tant que utilisateur n'a pas fermé sa session, les documents chiffrés sont toujours accessibles.

Par contre dès que la session est fermée, personne ne pourra plus ouvrir ces documents, sauf les éventuels agents de récupération de données.

Restauration du certificat et de la clef

Pour réinstaller le certificat et la clef à partir du fichier de sauvegarde (.PFX), la façon la plus simple est d'ouvrir l'explorateur de Windows, sélectionner le fichier, ouvrir le menu contextuel et sélectionner Installer PFX

Un assistant s'affiche :

Le mot de passe (éventuel) du certificat est demandé

Cocher Sélectionner automatiquement le magasin de certificats

L'état récapitulatif des opérations s'affiche.

Si aucune erreur ne s'est produite, un message le confirme

Les fichiers chiffrés de l'utilisateur sont à nouveau accessibles.

L'outil le plus simple à utiliser pour cette tâche est Internet Explorer, avec son interface relative aux certificats (tous confondus). On y accède depuis le menu Outils / Options Internet, onglet Contenu. Appuyer sur le bouton Certificats
Comme cela a été exposé précédemment, le certificat est créé automatiquement lors du premier chiffrement d'un fichier. Ce qui signifie qu'aucun certificat personnel n'apparaît si l'utilisateur n'a pas encore chiffré de fichier.
Dès le chiffrement d'un fichier, le certificat personnel apparaît : Dans l'exemple ci-contre, l'utilisatrice LISA, membre du domaine JCB, a chiffré un fichier, si bien qu'un certificat lui a été automatiquement attribué.
On sélectionne alors ce certificat, puis on appuie sur le bouton Affichage afin d'obtenir ses caractéristiques. L'onglet Général indique les rôles du certificat
L'onglet Détails affiche les données techniques du certificat, en particulier l'empreinte numérique qui est l'identifiant apparaissant dans de nombreuses boites de dialogues (cf. rubrique suivante) Dans cet exemple, on lit 98 F7 77 0A 0B ... Par exemple, le contenu de la clef publique, sous forme hexadécimale, y figure (mais la clef privée est absente de cet affichage).
Si on ouvre la boite de dialogue donnant les détails de chiffrement d'un fichier chiffré, on retrouve en face du nom de l'utilisateur l'empreinte numérique du certificat : 98 F7 77 0A 0B ...
Le dernier onglet Chemin d'accès de certification indique l'arborescence de délivrance du certificat, ainsi que sa validité. Dans l'exemple ci-contre, on voit que le certificat attribué à Lisa SIMPSON a été lui même certifié par le certificat JCB, qui est le certificat de plus haut niveau du domaine. Dans le cas d'un ordinateur n'appartenant pas à un domaine (isolé ou membre d'un groupe de travail), l'arborescence se limite au certificat lui-même.

Depuis le menu Démarrer/Exécuter (ou dans une fenêtre console), exécuter la commande mmc
Depuis le menu Fichier, sélectionner Ajouter/Supprimer un composant logiciel enfichable
Appuyer sur Ajouter
Sélectionner dans la liste Certificats
Si le compte en cours appartient au groupe des administrateurs, une boite de dialogue demande l'objet de la MMC. Cocher "Mon compte d'utilisateur" Si le compte en cours n'appartient pas au groupe des administrateurs, ce dialogue ne s'affiche pas et implicitement la MMC concernera exclusivement le compte d'utilisateur.
"Certificats" apparaît alors dans la liste des composants.
On peut éventuellement enregistrer cette nouvelle MMC sous un nom quelconque (par exemple certificats.msc)
En développant Certificats - utilisateur actuel on affiche l'arborescence des certificats

Pour réinstaller le certificat et la clef à partir du fichier de sauvegarde (.PFX), la façon la plus simple est d'ouvrir l'explorateur de Windows, sélectionner le fichier, ouvrir le menu contextuel et sélectionner Installer PFX
Un assistant s'affiche :
Le mot de passe (éventuel) du certificat est demandé
Cocher Sélectionner automatiquement le magasin de certificats
L'état récapitulatif des opérations s'affiche.
Si aucune erreur ne s'est produite, un message le confirme
Les fichiers chiffrés* de l'utilisateur sont à nouveau accessibles.*