Exporter ou importer un certificat avec ou sans sa clé privée (.pfx/.cer) sous Windows Server 2016

3. Importer un certificat

3.1. Importer un certificat avec sa clé privée (format .pfx)

Dans le cas où vous avez accidentellement effacé un de vos certificats personnels où que vous souhaitiez le restaurer après une restauration système ou un formatage, voici comment le faire pour un certificat au format ".pfx".

Pour ce tutoriel, nous allons utiliser le certificat de notre serveur web exporté précédemment avec sa clé privée associée au format ".pfx".

Pour voir ce que contient votre certificat au format ".pfx", faites un clic droit "Ouvrir" sur celui-ci.

Note : le double clic sur un certificat ".pfx" lance l'assistant d'importation de certificats au lieu de l'ouvrir.

Comme vous pouvez le voir, pour le moment, nous ne possédons aucun certificat personnel sur ce serveur.

Pour importer votre certificat ".pfx", assurez-vous d'être connecté avec un compte possédant les droits administrateur et faites un double clic sur celui-ci.
Dans l'assistant Importation du certificat qui apparait, sélectionnez si vous souhaitez l'importer pour l'ordinateur local ou l'utilisateur actuel.

Dans notre cas, il s'agit d'un certificat permettant de protéger notre serveur web IIS.
Donc, nous devons l'importer pour l'ordinateur local.

Par contre, si dans votre cas, il s'agit d'un certificat utilisateur, vous devrez sélectionner "Utilisateur actuel".

Le chemin du certificat ".pfx" à importer apparait automatiquement.
Cliquez sur Suivant.

1ère possibilité : la clé privée incluse dans le certificat au format ".pfx" est protégée uniquement avec un mot de passe.
Dans ce cas, indiquez le mot de passe protégeant la clé privée incluse avec ce certificat.

Ensuite, cochez la case "Marquer cette clé comme exportable. Cela vous permettra de sauvegarder et transporter vos clés ultérieurement" pour pouvoir exporter à nouveau ce certificat au format ".pfx" (certificat et clé privée associée) plus tard depuis votre magasin de certificat si vous le souhaitez.

2ème possibilité : la clé privée incluse dans le certificat au format ".pfx" est protégée avec une restriction utilisateur, mais vous êtes connecté avec un compte d'utilisateur autorisé à accéder à celle-ci.
Dans ce cas, le message "Le mot de passe n'est pas requis. Vous avez déjà accès à la clé privée." apparaitra.
Vous n'avez donc pas besoin d'indiquer de mot de passe.

Note : cochez la case "Marquer cette clé comme exportable ..." si vous souhaitez pouvoir exporter à nouveau le certificat et sa clé privée depuis votre magasin de certificats plus tard.

3ème possibilité : la clé privée incluse dans le certificat au format ".pfx" est protégée avec une restriction utilisateur, mais vous n'êtes pas connecté avec un compte d'utilisateur autorisé à accéder à celle-ci.
Dans ce cas, ce message apparaitra :

Plain Text

Le fichier PFX est protégé de sorte qu'aucun mot de passe n'est requis pour l'importer, mais vous n'avez pas accès. Tapez le mot de passe pour la clé privée.

Dans ce cas, vous devrez indiquer le mot de passe protégeant la clé privée incluse avec ce certificat indiqué lors de l'exportation du certificat.

Attention : si le certificat, ainsi que sa clé privée ont été exportés au format ".pfx" avec une restriction utilisateur, mais que vous n'avez pas spécifié de mot de passe pour protéger la clé privée, vous ne pourrez pas importer ce certificat. L'assistant vous indiquera que le mot de passe spécifié est incorrect, même si vous laissez la case "Mot de passe" vide.
Ce qui peut être problématique si l'utilisateur ayant accès à la clé privée n'existe plus.

Autrement dit, nous vous recommandons de toujours indiquer un mot de passe pour protéger la clé privée.

A nouveau : n'oubliez pas de cocher la case "Marquer cette clé comme exportable ..." si vous souhaitez pouvoir exporter à nouveau la clé privée de ce certificat dans le futur depuis votre magasin de certificats.

En fonction du certificat que vous tentez d'importer, il est possible que l'assistant puisse trouver le magasin de certificats approprié à celui-ci.
Néanmoins, vous pouvez aussi le faire manuellement en sélectionnant l'option "Placer tous les certificats dans le magasin suivant", puis en cliquant sur le bouton : Parcourir.

La plupart du temps, lorsque vous importez un certificat avec sa clé privée, vous stockerez celui-ci dans le magasin de certificats "Personnel".

Une fois le magasin de certificats souhaité sélectionné, cliquez sur Suivant.

Cliquez sur Terminer pour confirmer l'importation du certificat et de sa clé privée associée.

Le message "L'importation a réussi" apparait.

Si vous allez dans le magasin de certificats "Personnel" (sélectionné dans l'assistant), vous verrez que votre certificat a été importé.
Notez qu'il est possible que le certificat de l'autorité de certification racine ayant émis ce certificat ait été aussi importé (si celui-ci était présent dans le fichier ".pfx" importé).

Notez que le certificat de votre autorité ne doit pas se trouver dans le magasin "Personnel", mais dans le magasin "Autorités de certification racines de confiance" pour que les certificats émanant de celle-ci soient considérés comme valides par votre ordinateur ou serveur.
Si celui-ci s'y trouve, vous pouvez le supprimer du magasin "Personnel". Sinon, exportez celui-ci et importez-le dans le magasin "Autorités de certification racines de confiance".

Confirmez la suppression de ce certificat inutile dans notre cas.

Votre certificat et sa clé privée se trouvent dans votre magasin de certificats "Personnel".

3.2. Importer un certificat sans sa clé privée (format .cer)

Pour importer un certificat sans sa clé privée (donc au format ".cer"), il suffit de faire un double clic sur celui-ci.
En général, vous le ferez pour importer le certificat public de votre propre autorité de certification.

Pour l'exemple, nous allons donc importer le certificat public de notre propre autorité de certification pour que notre ordinateur fasse confiance aux certificats qui émanent de celle-ci.

Quand vous ouvrez un certificat d'autorité de certification que vous n'avez pas encore importé en tant qu'autorité de certification de confiance, Windows vous indique que vous ne pouvez pas faire confiance à ce certificat racine d'autorité de certification.
En effet, c'est votre autorité de certification racine qui se l'est délivré à elle-même. Ce certificat ne peut donc pas émaner d'une autorité de certification de confiance tant que vous ne l'aurez pas importé manuellement dans le magasin de certificats "Autorités de certification racines de confiance" de votre serveur.

Cliquez sur : Installer un certificat.

Sélectionnez si vous souhaitez importer ce certificat pour l'utilisateur actuel ou pour l'ordinateur local.
Dans le cas d'un certificat d'autorité de certification racine, vous devez sélectionner : Ordinateur local.

Sélectionnez "Placer tous les certificats dans le magasin suivant" et cliquez sur "Parcourir" pour sélectionner le magasin de certificats souhaité.

Dans notre cas, étant donné que nous souhaitons importer le certificat de notre autorité de certification pour que notre serveur puisse faire confiance aux certificats que nous émettrons via celle-ci, nous sélectionnons le magasin de certificats "Autorités de certification racines de confiance".
Ensuite, cliquez sur OK.

Le magasin de certificats sélectionné apparait.
Cliquez sur Suivant.

Confirmez l'importation du certificat en cliquant sur Terminer.

Le message "L'importation a réussi" apparait.

Le certificat importé apparait dans le magasin de certificats souhaité.
Dans notre cas, le certificat de notre autorité de certification "InformatiWeb CA" apparait dans le magasin de certificats "Autorités de certification racines de confiance" de notre serveur.

Si vous faites un double clic sur le certificat importé, vous verrez que Windows (Server) fait maintenant confiance à celui-ci (étant donné que l'erreur affichée précédemment a disparu).