Utilisation de l'utilitaire Cipher.exe pour migrer des certificats auto-signés vers des certificats émis par une Autorité de certification

Traductions disponibles Traductions disponibles
Numéro d'article: 295680 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Résumé

Cet article explique comment utiliser l'utilitaire de ligne de commande Cipher.exe pour aider les utilisateurs à migrer leurs certificats auto-signés existants vers des certificats émis par une Autorité de certification.

Plus d'informations

Le système de fichiers EFS (Encrypting File System) utilise des certificats numériques pour le chiffrement et la récupération des fichiers de l'utilisateur. Si aucune Autorité de certification n'est en mesure d'émettre de certificats de chiffrement de fichiers, le service EFS génère un nouveau certificat et le signe numériquement avec la clé privée de l'utilisateur. Ce certificat est appelé certificat auto-signé.

Les certificats auto-signés permettent aux utilisateurs d'utiliser le système EFS quand il n'existe aucune infrastructure à clé publique (PKI) ni Active Directory. Ces certificats ne peuvent cependant pas êtres gérés de manière centrale par les administrateurs. Le déploiement d'une Autorité de certification facilite grandement la gestion des certificats utilisateur de l'entreprise, mais il pose aussi aux administrateurs le problème de la migration des certificats auto-signés existants des utilisateurs vers des certificats émis par une Autorité de certification.

Cipher.exe est un utilitaire de ligne de commande disponible dans Windows 2000. Grâce à lui, les utilisateurs peuvent demander à une Autorité de certification de leur émettre de nouveaux certificats de chiffrement de fichiers pour remplacer leurs actuels certificats auto-signés de chiffrement de fichiers.

La commande cipher /k peut être utilisée pour que Windows 2000 archive le certificat auto-signé existant et en demande un nouveau à une Autorité de certification. Il est toujours possible de déchiffrer les fichiers qui ont été chiffrés avec la clé publique précédente. Une fois enregistrés, ils peuvent être chiffrés avec la nouvelle clé publique.

L'utilitaire Cipher peut être exécuté à partir d'un script d'ouverture de session pour migrer les utilisateurs de manière automatique et invisible. Cet utilitaire fonctionne uniquement en local ; il lui est impossible de demander de nouveaux certificats pour des fichiers qui n'ont pas été chiffrés sur des serveurs distants.

La commande cipher /k ne modifie pas en conséquence la sous-clé de Registre qui contrôle le certificat à utiliser pour le chiffrement des fichiers. Pour utiliser le nouveau certificat demandé qui a été créé avec cipher /k, la sous-clé de Registre suivante doit contenir l'empreinte numérique du certificat émis par l'Autorité de certification. Dans le cas contraire, le système EFS continue de chiffrer les fichiers avec le certificat auto-signé.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys
Copiez l'empreinte numérique du certificat émis par l'Autorité de certification et collez-la dans la sous-clé de Registre. Pour cela, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, puis tapez certmgr.msc dans la zone Ouvrir et cliquez sur OK.
  2. Recherchez le certificat émis par l'Autorité de certification.
  3. Double-cliquez sur le certificat, cliquez sur l'onglet Détails, cliquez sur Empreinte numérique, puis copiez les données de l'empreinte numérique qui sont affichées dans la boîte de dialogue sous l'empreinte numérique.
  4. Ouvrez l'Éditeur du Registre, puis recherchez les sous-clés de Registre mentionnées précédemment.
  5. Dans le volet droit, cliquez sur Hachage du certificat, sur Edition, puis sur Modifier.
  6. Dans la zone Données de la valeur, collez les données de l'empreinte numérique que vous avez copiées lors de l'étape 3, puis cliquez sur OK.
  7. Fermez l'Éditeur du Registre.
Remarque Si l'Autorité de certification n'est pas disponible ou si elle n'est pas configurée pour émettre des certificats de chiffrement de fichiers, la commande cipher /k donnera au service EFS local l'autorisation d'émettre un certificat auto-signé pour l'utilisateur.

Propriétés

Numéro d'article: 295680 - Dernière mise à jour: mardi 1 mars 2005 - Version: 3.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
Mots-clés : 
kbinfo KB295680
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com