locked
Générer un certificat EFS autosigné RRS feed

  • Question

  • Bonjour,

    Ma question est vraiment très bête. Lorsque l'on chiffre un fichier depuis la fenêtre Propriétés d'un fichier, si l'utilisateur ne possède pas de certificat, Windows crée automatiquement un certificat EFS. Le soucis est qu'il utilise une clé de 2048 bits.

    Donc comment générer un certificat autosigné avec une clé de 4096 bits (ou plus) ? J'ai pensé à une commande PowerShell comme New-SelfSignedCertificate sauf que la commande semble être vraiment très complète et je me perds dans tous les arguments (honte à moi). Et ce n'est pas possible de créer un certificat sans autorité de certification dans la MMC…

    Pour résumer, il faudrait que je puisse générer un certificat EFS autosigné qui ait les mêmes propriétés que n'importe quel certificat EFS basique sauf qu'il utilise une clé RSA d'au moins 4096 bits.

    Merci d'avance pour votre aide pour une question aussi basique

    dimanche 19 mars 2017 10:11

Toutes les réponses

  • Bonjour,

    Il est nécessaire d'utiliser le paramètre keylength (exemple3)

    https://technet.microsoft.com/fr-fr/library/hh848633.aspx

    dimanche 19 mars 2017 11:11
  • Merci beaucoup pour cette réponse rapide !

    Le soucis est que je ne connais pas quels sont les arguments à renseigner pour préciser qu'il s'agit d'un certificat EFS qui sert simplement au chiffrement de fichiers.

    • Modifié Tigrounet lundi 20 mars 2017 09:04
    lundi 20 mars 2017 09:02
  • Alors j'ai réussi à utiliser cette commande PowerShell qui fonctionne presque comme voulu.

    New-SelfSignedCertificate -Type Custom -Subject "CN=Truc" -KeyAlgorithm RSA -KeyLength 4096 -CertStoreLocation "Cert:\CurrentUser\My" -TextExtension @("2.5.29.37={text}1.3.6.1.4.1.311.10.3.4")

    Le problème est que lorsque je vais dans les propriétés de mon nouveau certificat (deuxième image), il me manque les lignes suivantes dans les propriétés. (Celui ci-dessous est l'original, généré par Windows.)

    Original

    Et j'ai une ligne en trop. (Celui ci-dessous est le nouveau certificat, et je veux qu'il ait des propriétés identiques à l'original, sauf la clé de chiffrement bien entendu.)Nouveau certificat




    • Modifié Tigrounet lundi 20 mars 2017 09:42
    lundi 20 mars 2017 09:40
  • Sur le lien que j'ai fourni tu as toutes les options.

    Sinon j'en ai généré un de mon côté voici ce que ca donnerait pour que tu puisse avancer et voir éventuellement les corrections à apporter

    lundi 20 mars 2017 12:27
  • J'ai encore cherché et en fait il faut renseigner les contraintes de base (Basic Constraint) qui ont l'OID 2.5.29.19. Sauf que dans ces contraintes basiques :

    Type d’objet=Entité finale
    Contrainte de longueur de chemin d’accès=Aucun(e)

    Et je n'arrive pas à trouver ces « sous-OID ».

    New-SelfSignedCertificate -Type Custom -Subject "CN=Nom-utilisateur" -TextExtension @("2.5.29.37={text}1.3.6.1.4.1.311.10.3.4","2.5.29.17={text}upn=Nom-utilisateur@NOM-PC","2.5.29.19={text}indiquer ici les « sous-OID »") -KeyUsage DataEncipherment -KeyAlgorithm RSA -KeyLength 4096 -CertStoreLocation "Cert:\CurrentUser\My"

    Je n'ai aucune idée de comment ils se nomment ou comment les rechercher.

    lundi 20 mars 2017 15:46
  • Rien à faire. Même quand j'utilise l'argument -KeyUsage None j'ai toujours un point d'exclamation jaune au niveau de la ligne Utilisation de la clé (que je ne souhaite d'ailleurs pas voir apparaître dans mon nouveau certificat).

    Et j'ai réussi à ajouter la ligne Contraintes de base en mettant 2.5.29.19={text}CA:false (dans la commande précédente) sauf que je me retrouve toujours avec un point d'exclamation.

    Voici la commande que j'utilise. Je la mets en entier pour être plus clair.

    New-SelfSignedCertificate -Type Custom -Subject "CN=Truc" -TextExtension @("2.5.29.37={text}1.3.6.1.4.1.311.10.3.4","2.5.29.17={text}upn=Truc@MON-PC","2.5.29.19={text}CA:false") -KeyUsage None -KeyAlgorithm RSA -KeyLength 4096 -CertStoreLocation "Cert:\CurrentUser\My"

    Et voilà avec quoi je me retrouve dans le magasin de certificats.

    Nouveau certificat

    La ligne Contraintes de base contient les infos que je voulais mais affiche un point d'exclamation et la ligne Utilisation de la clé ne devrait pas apparaître.

    C'est vexant parce que je suppose que j'y suis presque…


    • Modifié Tigrounet lundi 20 mars 2017 16:27
    lundi 20 mars 2017 16:26
  • Je ne trouve pas anormal le fait que tu ais utilisation de la clé... Cela permet de savoir pour quoi est utilisé le certificat. Le point d'exclamation j'ai déjà vu ça mais impossible de savoir si c'est normal ou pas, il faut faire des recherches la dessus.
    lundi 20 mars 2017 16:51