jeudi 11 novembre 2021

Mettre à niveau de l'algorithme de hachage d'une autorité de certification sous Windows

 Introduction

Dans cet article nous allons vous montrer comment nous pouvons mettre à niveau l'algorithme de hachage d'une autorité de certification.

Un petit rappel, l'algorithme de hachage , est une fonction mathématique qui permet de créer une empreinte numérique pour vérifier l'intégrité des données.

Si votre PKI utilise encore des algorithmes de hachage vulnérable comme SHA1,MD4 et MD5,c'est le moment de penser à migrer le plutôt possible vers SHA256 ou plus.

Pour mettre à niveau l'algorithme de hachage vers SHA256, il faut suivre les étapes suivantes:

  1. Mettre à niveau l'algorithme de hachage vers SHA256 du fournisseur du chiffrement
  2. Régénérer un nouveau certificat racine avec le nouveau algorithme de hachage pour l'autorité de certification
  3. Régénérer tous les certificats déjà délivrés

Avant de commencer la migration de l'algorithme de hachage , il est recommandé de sauvegarder la PKI pour assurer la possibilité d'un retour en arrière en cas de problème.

Dans notre environnement de test nous avons installé un domaine LAB.LAN et une autorité de certification entreprise PKI2008 qui  utilise l'algorithme SHA1 comme algorithme de hachage.


  1. Mettre à niveau l'algorithme de hachage du fournisseur du chiffrement:

Pour afficher l'algorithme utilisé par le fournisseur de chiffrement "Software Key Storage Provider" pour notre cas:

  •  Depuis la console certsrv.msc , cliquer sur le nom de la PKI (PKI2008) avec le bouton droit de la souris ensuite cliquet sur Propriétés : 


  • Dans les propriétés de la PKI allez vers l'onglet général et vous allez trouver l'algorithme de hachage utilisé par le fournisseur Microsoft Software Key Storage Provider:


  • Dans les propriétés de la PKI , onglet général ,cliquer sur Afficher le certificat pour vérifier l'algorithme de hachage utilisé pour signer le certificat racine :



  • Pour modifier l'algorithme de hachage du fournisseur "Software Key Storage Provider", il suffit de taper la commande suivante:

Certutil -setreg ca\csp\CNGHashAlgorithm SHA256



  • Une fois que la commande est bien exécutée, un message s'affiche pour vous demander de redémarrer le service CertSvc:

  • Pour redémarrer le service Certsvc, depuis la console certsrv.msc cliquer avec le bouton droit de la souris sur le nom de la PKI ensuite allez vers Toutes les tâches pour trouver l'option Démarrer et arrêter le service:



  • Maintenant vérifiez que le nouvel algorithme de hachage utilisé par le fournisseur "Software Key Storage Provider" est bien SHA256:

2. Régénérer un nouveau certificat racine pour l'autorité de certification:

Pour générer un nouveau certificat racine, vous pouvez suivre les étapes suivantes:

  • Depuis la console certsrv.msc ,cliquer avec le bouton droit de a souris sur le nom de la PKI ensuite cliquer sur toutes les tâches puis sur l'option Renouveler le certificat d'autorité de certification:


  • Une fenêtre s'affiche pour vous avertir que le service de certificats active directory va s'arrêter, cliquez sur oui



  • Dans cette étape si vous avez la possibilité de générer un nouveau pair de clé privé et publique avant la génération du nouveau certificat:



  • Une fois que la génération du certificat est terminé, vous pouvez affciher le certificat en allant dans les propriétés de la PKI et sous l'onglet General sélectionner le nouveau certificat et cliquer sur Afficher le certificat:


  • Dans les propriétés du certificat , allez vers l'onglet Détails et vérifier l'algorithme de Hachage:


3. Régénérer tous les certificats déjà délivrés:

La dernière étape consiste à regénérer tous les certificats déjà livrés par l'autorité de certification, afin  de mettre à jour le hache de chaque certificat calculé par l'autorité de certification en question  à travers le nouveau algorithme de hachage. Pour rappel, lors de la génération du certificat le hache est calculé et signé par la l'autorité de certification pour assurer son intégrité .

Cette étape dépend de la méthode d'enregistrement utilisée pour générer le certificat.
Pour les certificat générés automatiquement à travers GPO, ils seront regénérer automatiquement après l'expiration ou la suppression de l'ancien certificat.

2 commentaires:

  1. This is a fantastic post. I found this blog to be quite interesting and informative. Continue to share more insightful posts. Also check out Gestion des accès.

    RépondreSupprimer
  2. Ce commentaire a été supprimé par l'auteur.

    RépondreSupprimer