À l’aide de l’utilitaire Cipher.exe pour migrer des certificats auto-signés vers des certificats émis par une autorité de certification

Résumé

Cet article décrit le processus d’utilisation de l’utilitaire de ligne de commande Cipher.exe pour faciliter la migration d’utilisateurs à partir de leurs certificats auto-signés existants à l’autorité de certification (CA)-certificats délivrés.

Plus d'informations

Le système de fichiers EFS utilise des certificats numériques pour le chiffrement et la récupération de fichiers de l’utilisateur. En l’absence d’une autorité de certification (CA) qui est capable de délivrer des certificats de cryptage de fichier, le service EFS génère un nouveau certificat et signe numériquement avec la clé privée de l’utilisateur. Ce certificat est appelé un certificat auto-signé.

Les certificats auto-signés permettent aux utilisateurs d’utiliser EFS en l’absence d’une infrastructure à clé publique (PKI) ou Active Directory. Toutefois, ces certificats ne peut pas être gérés centralement par les administrateurs. Lorsqu’une autorité de certification a été déployée, la gestion des certificats utilisateur dans l’entreprise devient beaucoup plus facile, mais les administrateurs pose le problème de migration existants des utilisateurs des certificats à une autorité de certification auto-signés.


Cipher.exe est un utilitaire de ligne de commande qui est disponible dans Microsoft Windows 2000 et dans Microsoft Windows XP Professionnel x64 Édition avec le Service Pack 2. Avec cet utilitaire, les utilisateurs peuvent demander de nouveaux certificats de chiffrement de fichier d’autorité de certification de remplacer leurs certificats de chiffrement de fichier auto-signé existant.

La commande cipher /k peut provoquer Windows 2000 et Windows XP Professionnel x64 Edition, avec Service Pack 2 d’archiver le certificat auto-signé existant et en demande un nouveau à partir d’une autorité de certification. Tous les fichiers qui ont été cryptés avec la clé publique précédente peuvent encore être décryptées, et lors de leur enregistrement par la suite, ils peuvent être cryptés avec la clé publique de nouveau.

L’utilitaire Cipher peut être appelée dans un script d’ouverture de session automatique et invisible migre des utilisateurs. Cet utilitaire ne fonctionne que localement ; Il ne peut pas demander de nouveaux certificats pour des fichiers qui ont été cryptés sur des serveurs distants.

La commande cipher /k ne modifie pas la sous-clé de Registre qui contrôle le certificat à utiliser pour le cryptage de fichier. Pour utiliser le nouveau certificat demandé qui a été créé avec cipher/k, la sous-clé de Registre suivante doit contenir l’empreinte numérique du certificat émis par une autorité de certification. Dans le cas contraire, le système EFS continue de chiffrer les fichiers avec le certificat auto-signé.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys
Copiez l’empreinte du certificat émis par une autorité de certification et collez-la dans la sous-clé de Registre. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez certmgr.msc dans la zone Ouvrir , puis cliquez sur OK.
  2. Recherchez l’autorité de certification (CA)-émis le certificat.
  3. Double-cliquez sur le certificat, cliquez sur le
    L’onglet Détails , cliquez sur Aperçuet puis copiez les données de l’empreinte numérique qui apparaissent dans la zone au-dessous de l’empreinte numérique.

    Remarque Cette étape est uniquement valide pour Windows 2000. Pour Windows XP Professionnel x64 avec Service Pack 2, vous devez taper manuellement l’empreinte dans le Registre.
  4. Ouvrir l’Éditeur du Registre, puis recherchez la sous-clé de Registre qui a été mentionnée précédemment.
  5. Dans le volet droit, cliquez sur le hachage du certificat, cliquez sur Modifier, puis cliquez sur Modifier.
  6. Collez les données de l’empreinte numérique que vous avez copié à l’étape 3 dans la
    Données de la valeur puis cliquez sur OK.
  7. Fermez l'Éditeur du Registre.
Remarque Si l’autorité de certification n’est pas disponible ou n’est pas configurée pour émettre des certificats de cryptage de fichier, la commande cipher /k provoque le service EFS local émettre un certificat auto-signé pour l’utilisateur.


Cipher /k doit remplacer le certificat auto-signé. Cipher /k qu'il tente de s’inscrire pour un certificat EFS basique à partir d’une autorité de certification configurée de manière appropriée. Si ce processus n’aboutit pas, un nouveau certificat auto-signé est émis. Si l’émission d’un certificat EFS basique, vous pouvez ensuite automatique-s’inscrire pour un nouveau certificat de Version 2. Si le modèle est configuré correctement, le nouveau certificat de Version 2 remplace n’importe quel certificat EFS basique existant et l’archive dans le magasin personnel de l’utilisateur. Toutefois, sur Windows XP, le système EFS continue à utiliser le certificat EFS basique et jusqu'à l’expiration de ce certificat de clé pour toutes les opérations de cryptage et le décryptage. Après l’expiration de ce certificat, Windows XP commence à utiliser les nouveaux certificats de Version 2-inscription automatique. Il s’agit d’un problème connu.
Propriétés

ID d'article : 295680 - Dernière mise à jour : 26 janv. 2017 - Révision : 2

Commentaires