Créer un agent de récupération pour récupérer des certificats sous Windows Server 2016

6. Demander un certificat d'agent de récupération

6.1. Demander un certificat d'agent de récupération depuis une console mmc

Connectez-vous sur votre autorité de certification avec l'utilisateur que vous souhaitez utiliser en tant qu'agent de récupération et ouvrez la console "mmc".
Dans cette console "mmc", ajoutez le composant "Certificats" pour l'utilisateur actuel, puis faites un clic droit sur le magasin de certificats "Personnel" et cliquez sur : Toutes les tâches -> Demander un nouveau certificat.

Sélectionnez le modèle de certificat "Agent de récupération de clé v2" et cliquez sur "Détails".

Cliquez sur le bouton "Propriétés".

Indiquez "IWAgentRecup Agent Recup" comme nom convivial (par exemple) et cliquez sur OK.

Cliquez sur Inscription.

Comme vous pouvez le voir, le statut est "Inscription en attente" et non "Opération réussie" comme c'est le cas en général.
Ce qui est dû à l'option "Approbation du gestionnaire de certificat de l'autorité de certification" qui est activée par défaut dans l'onglet "Conditions d'émission" du modèle de certificat utilisé (Agent de récupération de clé v2).

Si vous cliquez sur le bouton "Afficher la demande", vous verrez la fenêtre "Propriétés du certificat" apparaitre.

Cliquez sur Terminer.

Etant donné que l'inscription est en attente, aucun certificat n'est ajouté dans votre magasin de certificats "Personnel".

Sélectionnez le noeud "Certificats - Utilisateur actuel" et cliquez sur l'icône "Rafraichir" (encadrée en rouge sur l'image ci-dessous).

Maintenant, vous verrez un nouveau dossier "Demandes d'inscription de certificat" apparaitre avec une demande dont le rôle prévu est "Agent de récupération de clé".
Ce qui correspond à votre demande de certificat qui est actuellement en attente sur votre autorité de certification.

6.2. Valider la demande de certificat en tant qu'agent de récupération sur votre autorité de certification

Ouvrez la console "Autorité de certification" et allez dans le dossier "Demandes en attente".
Comme vous pouvez le voir, il y a une demande de certificat qui est actuellement en attente de traitement.

Si vous regardez les colonnes suivantes pour cette demande de certificat, vous verrez qu'il s'agit d'une demande de certificat "Agent de récupération de clé v2" effectué par votre utilisateur "IWAgentRecup" (dans notre cas).

Validez sa demande de certificat en faisant un clic droit "Toutes les tâches -> Délivrer" sur celle-ci.

Le certificat d'agent de récupération apparait dans le dossier "Certificats délivrés".

Si vous faites un double clic sur ce certificat délivré, vous verrez que celui-ci est conçu pour le rôle : Agent de récupération de clé.

Important : étant donné que la demande de certificat a dû être validée manuellement, vous devrez importer manuellement celui-ci dans le magasin de certificat de votre autorité de certification (où vous avez effectué la demande à l'origine).

6.3. Exporter le certificat d'agent de récupération délivré manuellement

Etant donné que la demande de certificat a été validée manuellement, le certificat ne se trouve pas dans le magasin de certificats "Personnel" du serveur depuis lequel vous avez demandé ce certificat.
Vous devrez donc d'abord l'exporter depuis votre autorité de certification.

Pour cela, allez dans le dossier "Certificats délivrés" de la console "Autorité de certification" et faites un double clic sur le certificat délivré pour l'afficher.

Ensuite, allez dans l'onglet "Détails" de ce certificat et cliquez sur le bouton : Copier dans un fichier.

L'assistant d'exportation du certificat apparait.
Cliquez sur Suivant.

Laissez le format "X.509 binaire encodé DER (*.cer)" sélectionné et cliquez sur Suivant.

Cliquez sur "Parcourir" pour choisir où et sous quel nom vous souhaitez exporter ce certificat.

Enregistrez ce certificat à la racine de la partition "C" de votre autorité de certification pour pouvoir le récupérer facilement lorsque vous vous reconnecterez avec votre utilisateur "IWAgentRecup".

Cliquez sur Suivant.

Cliquez sur Terminer.

Le message "L'exportation a réussi" apparait.
Cliquez sur OK.

Le certificat a été exporté sous le nom "agent recup.cer" (dans notre cas).

6.4. Importer le certificat d'agent de récupération dans le magasin de certificat de l'utilisateur

Maintenant que vous avez récupéré votre certificat d'agent de récupération, déconnectez-vous et reconnectez-vous avec l'utilisateur concerné (IWAgentRecup dans notre cas).

Faites un double clic sur le certificat "agent recup.cer" exporté précédemment.

Le certificat apparait.
Cliquez sur : Installer un certificat.

L'assistant d'importation du certificat apparait.
Sélectionnez "Utilisateur actuel" pour l'emplacement de stockage étant donné qu'un agent de récupération est un utilisateur, puis cliquez sur Suivant.

Laissez l'option "Sélectionnez automatiquement le magasin de certificats ..." sélectionnée et cliquez sur Suivant.

Note : le magasin de certificats qui sera sélectionné automatiquement dans ce cas-ci sera "Personnel".

Cliquez sur Terminer.

Le message "L'importation a réussi" apparait.
Cliquez sur OK.

Ouvrez une console "mmc" et ajoutez le composant "Certificats" pour l'utilisateur actuel.
Ensuite, dans le magasin de certificats "Personnel", vous verrez qu'un nouveau certificat d'agent de récupération de clé a apparu.
De plus, si vous regardez l'icône de ce certificat, vous verrez que la clé privée associée à celui-ci est également présente. Bien que celle-ci ne se trouvait pas dans le certificat au format ".cer" que vous venez d'importer.
En effet, étant donné que le certificat avait été demandé depuis le même serveur, la clé privée associée a pu être automatiquement réassociée au certificat importé étant donné qu'il y a toujours un lien mathématique unique entre une clé publique et une clé privée.

Si vous faites un double clic sur ce certificat, vous verrez que la clé privée associée à celui-ci est également présente.

Maintenant, si vous retournez dans le dossier "Demandes d'inscription de certificat", vous verrez que celui-ci est vide.