Les utilisateurs qui perdent leur clé privée seront dans l’incapacité de récupérer les données chiffrées à l’aide de cette clé. En récupérant une clé et en la restaurant sur l’ordinateur client, les données peuvent être déchiffrées et utilisées.

Le processus complet de récupération comprend trois procédures :

  • Obtenir le numéro de série du certificat archivé.

  • Effectuer la récupération de clé.

  • Restaurer la clé sur l’ordinateur client.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Admins du domaine ou à un groupe équivalent. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.

Pour obtenir le numéro de série d’un certificat archivé

  1. Ouvrez une session sur l’ordinateur qui héberge l’autorité de certification.

  2. Ouvrez le composant logiciel enfichable Autorité de certification.

  3. Dans l’arborescence de la console, cliquez sur le nom de l’autorité de certification, puis cliquez sur Certificats délivrés.

  4. Dans le menu Affichage, cliquez sur Ajouter/supprimer des colonnes.

  5. Sous Colonnes disponibles, cliquez sur Clé archivée, puis sur Ajouter.

    Clé archivée doit maintenant apparaître dans Colonnes affichées.

  6. Cliquez sur OK puis, dans le volet d’informations, faites défiler la fenêtre vers la droite et vérifiez que le dernier certificat délivré à l’utilisateur a la valeur Oui dans la colonne Clé archivée.

  7. Double-cliquez sur le certificat.

  8. Cliquez sur l’onglet Détails. Prenez note du numéro de série du certificat. (N’incluez pas les espaces entre les paires de chiffres.) Vous aurez besoin de ces informations pour effectuer l’opération de récupération.

    Le numéro de série est une chaîne hexadécimale de 20 caractères de longueur. Le numéro de série de la clé privée est identique au numéro de série du certificat. Pour les besoins de cette procédure, le numéro de série est serialnumber.

  9. Cliquez sur OK et fermez le composant logiciel enfichable Autorité de certification.

  10. À l’invite de commandes, tapez :

    Certutil -getkey <serialnumber> outputblob
    Remarques

    La section Recipient Info dans la sortie de cette commande identifie les numéros de série des certificats d’agents de récupération de clé dont les clés privées sont nécessaires pour déchiffrer le blob et récupérer la clé.

  11. À l’invite de commandes, tapez :

    dir outputblob
    Remarques

    Si le fichier outputblob n’existe pas, vous avez peut-être fait une erreur dans la saisie du numéro de série du certificat. Le fichier outputblob est un fichier PKCS #7 qui contient les certificats d’agents de récupération de clé, ainsi que la chaîne et le certificat utilisateur. Son contenu interne est un fichier PKCS #7 chiffré contenant la clé privée (chiffré avec les certificats d’agents de récupération de clé).

L’administrateur de domaine doit transférer le fichier de sortie vers l’agent de récupération de clé, qui effectue la procédure de récupération proprement dite.

Vous devez être un utilisateur avec un certificat d’agent de récupération de clé inscrit auprès de l’autorité de certification pour mener à bien cette procédure. L’agent de récupération de clé doit être stocké dans le magasin de certificats personnel de l’agent de récupération de clé sur l’ordinateur où se déroulera la procédure de récupération de clé. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.

Pour récupérer le certificat archivé

  1. À l’invite de commandes, tapez :

    Certutil -recoverkey outputblob <filename>.pfx

  2. Lorsque vous y êtes invité, entrez un nouveau mot de passe. À l’invite, confirmez le nouveau mot de passe en le tapant une seconde fois.

  3. Copiez le fichier .pfx enregistré sur l’ordinateur où l’opération de récupération doit se faire.

  4. Fermez toutes les fenêtres et déconnectez-vous de l’ordinateur.

Une fois la clé récupérée, elle doit être importée sur l’ordinateur où sont stockées les données.

Pour mener à bien cette procédure, vous devez être le client auquel le certificat a été délivré ou un administrateur de l’ordinateur client. Pour plus d’informations, voir Implémenter l’administration basée sur les rôles.

Pour importer la clé récupérée

  1. Ouvrez le composant logiciel enfichable Certificats pour l’utilisateur auquel le certificat a été délivré.

  2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Personnel, cliquez sur Toutes les tâches puis sur Importer.

  3. Dans l’Assistant Importation de certificat, cliquez sur Suivant.

  4. Dans Nom de fichier, tapez le chemin d’accès et le nom du fichier .pfx, puis cliquez sur Suivant.

  5. Dans Mot de passe, tapez le mot de passe que vous avez entré dans la procédure précédente, puis cliquez sur Suivant.

  6. Dans la page Magasin de certificats, cliquez sur Sélectionner automatiquement le magasin de certificats selon le type de certificat, puis sur Suivant.

  7. Dans la page Fin de l’Assistant Importation de certificat, cliquez sur Terminer.

  8. Pour vérifier que le certificat récupéré a bien été importé, dans l’arborescence de la console, double-cliquez sur Personnel, puis cliquez sur Certificats.

  9. Double-cliquez sur le certificat. Cliquez sur l’onglet Détails et vérifiez que le numéro de série est identique à l’original.

Considérations supplémentaires

  • Pour ouvrir une invite de commandes, cliquez sur Démarrer, pointez sur Tous les programmes, pointez sur Accessoires, puis cliquez sur Invite de commandes.

Références supplémentaires

Table des matières