Il est possible d'exporter un certificat depuis l'autorité de certification sans la clé privée. La clé privée n'est pas enregistrée dans la base de données de l'autorité de certification. Sous Windows, elle est enregistrée avec le certificat dans le magasin personnel du compte utilisateur ou ordinateur dans la session.
Si vous exportez le certificat sans la clé privée, vous pouvez le transmettre à n'importe qui sans corrompre votre environnement.
Selon les paramètres du modèle de certificat utilisé, la clé privée peut être enregistrée comme non-exportable.
|
|
Le principe même des mécanismes de sécurités dépend très fortement de 2 éléments :
La clé privée ne devrait être connue que du porteur de certificat. Le vol, la perte ou la corruption de la clé privée remet en cause la sécurité assurée par l'utilisation de ce certificat. La corruption de la clé privée de l'autorité racine remet en cause toute la chaîne de certificat. |
Pour exporter un certificat depuis l'autorité de certification, ouvrez la console de l'autorité depuis le gestionnaire de serveur ou avec la commande « certsrv.msc ».
Dans le dossier « certificats délivrés », sélectionner le certificat, puis « détails » et cliquez sur « copier dans un fichier ».
Pour exporter un certificat depuis le magasin personnel du compte de l'utilisateur ou de l'ordinateur, utilisez respectivement les consoles «certmgr.msc » et «certlm.msc »
L'assistant d'exportation du certificat est le même que vous ayez ouvert un certificat depuis la console certificats et le magasin personnel ou depuis la console de l'autorité. Certaines options peuvent être différentes selon l'emplacement du certificat ou l'accès à la clé privée.
Sur la page de bienvenue, cliquez sur « suivant »
Sur la page format du fichier, sélectionner par exemple « base 64 » pour avoir un fichier codé en ASCII. Le format « .der » est une autre encodage en binaire du certificat. Les deux peuvent utiliser comme extension « .cer » ou « .crt ». Dans le monde Linux, l'extension « .pem » est souvent utilisé. Vous pouvez voir la différence entre les deux formats en l'ouvrant avec un éditeur de texte.
Sur la page « fichier à exporter », cliquez sur « parcourir » et indiquez le dossier et le nom du fichier contenant le certificat.
Sur la page « fin de l'assistant », cliquez sur « terminer », puis sur « OK » lors du message de confirmation de l'export vers un fichier.
Si vous souhaitez exporter le certificat avec la clé privée, vous devez ouvrir la console certificat sur le magasin personnel de l'utilisateur ou du compte de l'ordinateur. La clé privée correspondante au certificat doit être indiqué comme exportable dans le modèle de certificat.
Si vous avez accès à la clé privée et si elle est exportable l'assistant vous proposera la possibilité d'exporter la clé privée.
Si vous souhaitez l'exporter, sélectionnez « oui, exporter la clé privée », puis cliquez sur « suivant ».
Vous pouvez protéger le fichier d'export en utilisant un mot de passe. Il est recommandé d'utiliser un mot de passe fort
Sélectionnez la case « mot de passe » et saisissez le mot de passe deux fois.
|
|
Si vous devez transmettre ces informations à un tiers, n'envoyez jamais le fichier et le mot de passe par le même chemin, par exemple dans un mail. Ne conservez pas inutilement des exports de vos certificats avec les mots de passe. Il est préférable d'en générer un nouveau en cas de perte. La clé privée de votre autorité racine doit être conservé dans un lieu sécurisé. |
Vous pouvez également renforcer la sécurité en utilisant le chiffrement AES256-SHA256.
