Distribution de certificats de périphérique aux dispositifs Windows avec Certutil

Cet article explique comment distribuer des certificats de périphérique utilisés pour les vérifications de périphérique aux dispositifs Windows à l'aide du programme en ligne de commande Certutil.exe.

Vue d'ensemble

Vous pouvez distribuer vos certificats auto-signés d'entreprise aux dispositifs Windows de votre réseau en utilisant le programme en ligne de commande Certutil.exe. Cela simplifie la distribution des certificats de périphérique sur les dispositifs afin que vous puissiez contrôler centralement le déploiement des certificats, garantissant ainsi que des mesures de sécurité robustes sont appliquées de manière cohérente.

Prérequis

  • Vous devez avoir des permissions d'administrateur pour l'ordinateur Windows

  • Le fichier de certificat doit être en format PFX (p12), y compris sa clé privée

  • Le 'émetteur' du certificat doit correspondre au certificat de signature qui est téléchargé dans l'Application de Gestion de Cato

  • Vous devez installer le certificat dans le gestionnaire de certificats du périphérique

  • Vous devez connaître le mot de passe protégeant la clé (nécessaire pour installer le certificat)

  • Les certificats ont une taille maximale autorisée de 2048 octets. Les certificats plus grands que cette taille seront ignorés

Installation du certificat d'appareil

Il existe plusieurs façons d'installer un certificat sur un dispositif Windows. L'exemple suivant montre comment installer un certificat à l'aide du programme en ligne de commande Certutil.

Pour importer un certificat avec Certutil :

  1. Ouvrez l'invite de commande en tant qu'administrateur (élevé) et utilisez certutil.exe :

    certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

  2. Après avoir exécuté cette commande, vous êtes invité à saisir le mot de passe du fichier p12.

  3. Entrez le mot de passe du fichier de certificat. Alternativement, vous pouvez passer le mot de passe dans la ligne de commande avec l'option -p.

    La commande suivante est un exemple de certutil avec le paramètre de mot de passe :

    certutil -csp KSP -p &lt;secret&gt; -importpfx My <path-to-p12-file> NoExport

Notes :

  • L'option NoExport interdit l'exportation de la clé privée

  • KSP est un alias pour Microsoft Software Key Storage Provider

  • L'option -csp est utilisée pour spécifier où est stockée la clé privée. Bien qu'il soit optionnel, nous recommandons que vous spécifiez explicitement le fournisseur comme par défaut

Vérification de l'installation du certificat

Vous pouvez confirmer que le certificat est installé avec succès sur le périphérique avec certutil :

certutil -store My

Cette commande liste les informations du certificat de la machine. Si le certificat a été installé avec succès, alors il apparaît dans cette liste.

Maintenant, vous pouvez vous connecter au Cato Cloud avec un certificat de périphérique.

Lorsque le Client se connecte avec succès au Cato Cloud, il enregistre le certificat de périphérique qui a été utilisé pour la dernière fois dans le registre pour les connexions futures. Cela aide à réduire le temps de connexion.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire