Lorsque vous souhaitez sécuriser un service ou en utilisez un sécurisé, vous devrez gérer des certificats.
En fonction du cas, vous devrez peut-être exporter et/ou importer un certificat avec sa clé privée associée ou non.
Pour commencer, que vous soyez sur un ordinateur (poste client) ou un serveur, la procédure est identique.
Ouvrez le menu démarrer et tapez : mmc.
Ensuite, dans la console "mmc" qui apparait, cliquez sur : Ajouter/Supprimer un composant logiciel enfichable.
Ajoutez le composant : Certificats.
Choisissez "Un compte d'ordinateur" si vous souhaitez gérer les certificats de votre ordinateur ou serveur ou "Mon compte d'utilisateur" pour gérer ceux de l'utilisateur.
Note : ce choix n'apparait que si vous les droits "administrateur" sur l'ordinateur ou serveur où vous vous trouvez.
Raccourcis : plutôt que de lancer une console "mmc" et ajouter le composant certificat pour l'ordinateur local ou l'utilisateur actuel, vous pouvez lancer directement le fichier :
Si vous avez sélectionné "Mon compte d'ordinateur", laissez l'option "L'ordinateur local ..." sélectionnée et appuyez sur Terminer.
Cliquez sur OK pour confirmer l'ajout de ce composant "Certificats" dans la console "mmc".
Si vous sélectionnez le composant "Certificats ..." qui apparait, vous verrez que plusieurs magasins de certificats existent par défaut sur votre ordinateur ou serveur :
Comme expliqué précédemment, dans le magasin de certificats "Personnel", vous trouverez les certificats de l'ordinateur, serveur ou utilisateur actuel.
Généralement, les clés privées associées à ces certificats seront aussi présentes. Ce que vous pouvez facilement voir grâce à l'icône du certificat étant donné qu'une clé est également affichée si la clé privée associée est présente pour celui-ci.
Notez que dans le cas d'un site web sécurisé hébergé sur un serveur web IIS, le certificat souhaité se trouve peut-être dans le magasin de certificats "Hébergement Web".
Comme expliqué précédemment, dans le magasin de certificats "Autorités de certification racines de confiance", vous trouverez les certificats des autorités de certification racines auquel votre ordinateur ou serveur fait confiance par défaut, ainsi que celui de votre autorité de certification le cas échéant.
Notez que si vous possédez une autorité de certification d'entreprise et que cet ordinateur ou serveur est lié au même domaine Active Directory que celle-ci, son certificat sera importé automatiquement dans ce magasin de certificats.
Dans notre cas, il s'agit de notre autorité de certification : InformatiWeb CA.
Lorsque vous possédez des certificats dans le magasin de certificats "Personnel", les clés privées associées à ceux-ci sont souvent aussi présentes.
Si vous tentez d'exporter un de vos certificats personnels, vous aurez donc la possibilité d'exporter uniquement le certificat ou le certificat et sa clé privée.
Attention : comme som nom l'indique, la clé privée doit rester secrète. Donc, ne la communiquer à personne.
Pour exporter un certificat personnel avec sa clé privée, faites un clic droit sur le certificat souhaité et cliquez sur : Toutes les tâches -> Exporter.
L'assistant Exportation du certificat apparait.
Cliquez sur Suivant.
Choisissez : Oui, exporter la clé privée.
Notes :
Lorsque vous exportez le certificat, ainsi que sa clé privée associée, le format utilisé sera : Echange d'informations personnelles - PKCS #12 (.PFX).
Dans ce cas, les options d'exportation proposées sont :
Dans la plupart des cas, seule la 1ère option (Inclure tous les certificats dans le chemin d’accès ...) est utile.
Etant donné que vous exportez un certificat avec sa clé privée associée, il est important de protéger la clé privée qui se trouvera également dans le fichier ".pfx" qui sera généré.
Pour cela, vous pourrez spécifier un mot de passe qui devra être de nouveau indiqué lorsque vous réimporterez le fichier ".pfx" exporté.
Si vous le souhaitez, vous pourrez aussi cocher l'option "Noms de groupes et d'utilisateurs (recommandé)".
Cette option vous permettra d'importer plus tard ce certificat sans avoir besoin d'indiquer le mot de passe protégeant la clé privée si vous êtes connecté avec un utilisateur autorisé ici.
Dans le cas contraire, l'assistant vous demandera d'indiquer le mot de passe protégeant la clé privée.
D'où l'intérêt de toujours spécifier un mot de passe ici, même si vous souhaitez utiliser la 1ère option (Noms de groupes ...).
Cliquez sur "Parcourir".
Choisissez à quel endroit et sous quel nom vous souhaitez exporter votre certificat au format ".pfx", puis cliquez sur : Enregistrer.
Le chemin du certificat qui sera exporté apparait.
Cliquez sur Suivant.
Cliquez sur : Terminer.
Le message "L'exportation a réussi" apparait.
Le certificat au format ".pfx" apparait et est reconnu sous le type "Echange d'informations personnelles" sous Windows.
Si vous souhaitez ouvrir ce certificat ".pfx" sans l'importer, vous devrez faire un clic droit "Ouvrir" sur celui-ci au lieu d'un double clic.
Dans le dossier "Certificats", vous trouverez :
Si vous faites un double clic sur le certificat exporté dans la fenêtre ci-dessus, vous verrez que vous avez une clé privée qui correspond à ce certificat.
Pour que quelqu'un ou quelque chose puisse déchiffrer les données que vous lui envoyez et vérifier également que c'est bien vous qui les avez envoyées, celui-ci doit connaitre votre clé publique.
Par contre, vous ne devez jamais lui communiquer votre clé privée associée.
Pour cela, faites un clic droit "Toutes les tâches -> Exporter" sur le certificat souhaité.
Sélectionnez "Non, ne pas exporter la clé privée".
Note : si vous exportez un certificat pour lequel vous ne possédez pas la clé privée associée (ce qui est notamment le cas si vous tentez d'exporter un certificat présent dans le magasin de certificats "Autorités de certifications racines de confiance"), cette étape n'apparaitra pas.
Etant donné que seul le certificat sera exporté et NON sa clé privée, le format proposé sera ".cer".
Lorsque vous exportez un certificat sans sa clé privée, vous avez le choix entre 3 options :
Cliquez sur "Parcourir" pour choisir où vous souhaitez stocker le certificat ".cer" ou ".p7b" qui sera exporté et sous quel nom.
Puis, cliquez sur Suivant.
Cliquez sur "Terminer" pour confirmer l'exportation de ce certificat.
Le message "L'exportation a réussi".
Comme prévu, si vous ouvrez le certificat ".cer" exporté (en faisant un double clic sur celui-ci), vous verrez qu'aucun message n'indique qu'une clé privée est présente.
Ce qui prouve que celle-ci n'a pas été exportée.
Si vous avez exporté le certificat au format ".p7b", vous verrez que ce fichier contient :
Notez que si vous avez exporté le certificat au format "X.509 encodé en base 64 (*.cer)" (format Linux), vous pourrez l'ouvrir avec le bloc-notes et vous verrez que son contenu ressemble à ceci :
Plain Text
-----BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxxxxxxxxxxxx... -----END CERTIFICATE-----
Ce qui est pratique lorsque l'application à protéger vous demande de coller le certificat comme un simple texte plutôt que d'envoyer un fichier.
Par contre, si vous l'avez exporté au format "X.509 binaire encodé DER (*.cer)" (format Microsoft), vous ne serez pas en mesure de l'afficher comme du texte.
Notez que le format "Standard de syntaxe de message cryptographique - Certificats PKCS #7 (.P7B)" n'est pas lisible non plus comme du texte et l'aperçu sera similaire à ce qui est affiché ci-dessous.
Articles 8/9/2023
Windows Server 10/11/2023
Windows Server 6/10/2023
Windows Server 20/10/2023
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire