Sauvegarder une autorité de certification
Sommaire
I. Présentation
Ce chapitre évoque la sauvegarde d'une autorité de certification AD CS sous Windows Server, avec notamment des informations sur les emplacements où sont stockées les données de l'autorité.
Particulièrement pour une autorité délivrante, disposer d'une sauvegarde est déterminant dans la capacité à rétablir le service ou à le restaurer en cas de crash. Plus précisément, cela évite de devoir réémettre tous les certificats délivrés par l'autorité.
II. Explications
A. Emplacements
Qu'elle soit de type Enterprise ou Standalone, la sauvegarde d'une autorité de certification doit inclure plusieurs éléments :
- La base de données des certificats,
- Le certificat de l'autorité avec sa clé privée,
- La configuration via entrées de registres.
Si vous vous appuyez sur l'outil de sauvegarde Windows Server, en lançant une sauvegarde de type État du système (System State), vous aurez tous ces éléments.
Avec d'autres outils, il faut veiller à inclure les emplacements suivants (chemins par défaut) :
C:\Windows\System32\CertLog
C:\Windows\System32\certsrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\ConfigurationB. Sauvegarde ponctuelle
Dans le cadre d'une migration ou tout simplement avant un changement majeur, une sauvegarde ponctuelle peut être déclenchée. Voici comment procéder à l'aide de PowerShell ou de l'interface graphique.
- En PowerShell
Ouvrez une console PowerShell et exécutez les deux commandes suivantes :
Backup-CARoleService C:\certificats -Password (Read-Host -prompt "Password" -AsSecureString)
reg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration" "C:\certificats\SubCA2.reg"Ce qui donne :
Le résultat est un dossier contenant la base de données, le certificat d'autorité et sa clé privée protégés par un mot de passe, et la configuration en base de registres.
- En graphique
Depuis la console de gestion de l'autorité, il vous sera possible de sauvegarder la base et le certificat de l'autorité, mais pas sa configuration. Précision, il faut ouvrir la console directement sur le serveur d'autorité pour que l'option soit visible. Depuis une console distante, ce ne sera pas le cas.
En opérant un clic-droit, accédez à "Toutes les tâches" > "Sauvegarder l'autorité de certification".
L'assistant se lance.
Cochez les cases des éléments à sauvegarder et spécifiez l'emplacement cible (répertoire vide).
Saisissez un mot de passe pour protéger la clé privée du certificat d'autorité.
Tout est prêt, il ne vous reste plus qu'à cliquer sur le bouton "Terminer".
Pour la sauvegarde de la configuration, je vous recommande d'exécuter la commande suivante basée sur l'utilisation de l'outil reg :
reg export "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration" "C:\certificats\SubCA1.reg"C. Restauration
Sans surprise, le processus de restauration est assez similaire, à noter simplement que le service AD CS est arrêté pendant l'opération.
En opérant un clic-droit, accédez à "Toutes les tâches" > "Restaurer l'autorité de certification".
Validez l'arrêt du service par "OK".
Sélectionnez les éléments à restaurer et l'emplacement source.
Le mot de passe vous sera demandé ensuite, avant de pouvoir restaurer les données.
III. Conclusion
Vous connaissez désormais les rouages de la sauvegarde et de la restauration d'une autorité de certification AD CS. Continuons notre chemin vers la sécurisation d'une autorité de certification en regardant le durcissement de la configuration.
