Gestion des certificats Windows avec PowerShell

Tutoriels

Si vous êtes un administrateur système Windows, vous avez probablement été contraint de travailler avec les certificats Windows. Travailler avec des certificats sous Windows est généralement l’une de ces tâches supplémentaires que doit assumer un administrateur système. En utilisant le gestionnaire de certificats Windows comme outil, vous pouvez le faire !

Les certificats sont notoirement complexes et difficiles à comprendre, mais dans cet article, vous aurez l’occasion de découvrir que les certificats ne sont pas si effrayants sous Windows !

Cet article traitera principalement du travail avec les certificats sous Windows. Si vous souhaitez en savoir plus sur le fonctionnement général des certificats, consultez l’article associé à ce didacticiel sur les certificats X.509.

Comprendre les magasins de certificats

Dans le gestionnaire de certificats Windows, tous les certificats existent dans des emplacements de stockage logiques appelés magasins de certificats. Les magasins de certificats sont des « compartiments » où Windows conserve tous les certificats actuellement installés, et un certificat peut se trouver dans plus d’un magasin.

Malheureusement, les magasins de certificats ne sont pas le concept le plus intuitif avec lequel travailler. Vous découvrirez comment différencier ces magasins et comment travailler avec eux ci-dessous.

Chaque magasin se trouve dans le Registre Windows et sur le système de fichiers. Reportez-vous au tableau ci-dessous pour plus de détails. Lorsque vous travaillez avec un certificat dans un magasin, vous interagissez avec le magasin logique; vous ne modifiez pas directement le Registre ni le système de fichiers. Cette manière plus simple vous permet de travailler avec un seul objet pendant que Windows se charge de représenter cet objet sur le disque.

Vous verrez parfois les magasins de certificats désignés comme magasins physiques ou logiques. Les magasins physiques font référence au système de fichiers réel ou à l’emplacement dans le registre où la ou les clés de registre et/ou les fichiers sont stockés. Les magasins logiques sont des références dynamiques qui font référence à un ou plusieurs magasins physiques. Les magasins logiques sont beaucoup plus faciles à manipuler que les magasins physiques pour la plupart des cas d’utilisation courants.

Windows stocke les certificats dans deux zones différentes – un contexte utilisateur et un contexte informatique. Un certificat est placé dans l’un de ces deux contextes en fonction de s’il doit être utilisé par un seul utilisateur, plusieurs utilisateurs ou l’ordinateur lui-même. Pour le reste de cet article, un certificat dans un contexte utilisateur et informatique sera appelé informellement certificats utilisateur et certificats informatiques.

Certificats Utilisateur

Si vous prévoyez qu’un certificat soit utilisé par un seul utilisateur, alors un magasin de certificats utilisateur dans le gestionnaire de certificats Windows est idéal. C’est le cas d’utilisation courant pour les processus d’authentification basés sur des certificats tels que IEEE 802.1x câblé.

Les certificats utilisateur sont situés dans le profil de l’utilisateur actuel et ne sont cartographiés que logiquement dans le contexte de cet utilisateur. Les certificats utilisateur sont « cartographiés » et sont uniques pour chaque utilisateur, même sur les mêmes systèmes.

Certificats Informatiques

Si un certificat doit être utilisé par tous les utilisateurs sur un ordinateur ou un processus système, il doit être placé à l’intérieur d’un magasin dans le contexte de l’ordinateur. Par exemple, si un certificat doit être utilisé sur un serveur web pour crypter les communications pour tous les clients, placer un certificat dans un magasin dans le contexte de l’ordinateur serait idéal.

Vous constaterez que le magasin de certificats de l’ordinateur est logiquement cartographié pour tous les contextes utilisateur. Cela permet aux certificats dans un magasin de certificats d’ordinateur d’être utilisés par tous les utilisateurs, en fonction des autorisations configurées pour la clé privée.

Pour plus d’informations sur les clés privées, assurez-vous de consulter l’article Tutoriel sur les certificats X.509: Un guide du sysadmin.

Les certificats d’ordinateur sont situés dans les ruches du Registre de la machine locale et le dossier Program Data. Les certificats utilisateur sont situés dans les ruches du Registre de l’utilisateur actuel et le dossier App Data. Ci-dessous, vous pouvez voir une répartition de l’emplacement de chaque type de magasin dans le Registre et le système de fichiers.

Context Registry Path Explanation
User HKCU:\SOFTWARE\Microsoft\SystemCertificates\ Physical store for user-specific public keys
User HKCU:\SOFTWARE\Policies\Microsoft\SystemCertificates\ Physical store for user-specific public keys installed by Active Directory (AD) Group Policy Objects (GPOs)
Computer HKLM:\SOFTWARE\Microsoft\SystemCertificates\ Physical store for machine-wide public keys
Computer HKLM:\SOFTWARE\Microsoft\Cryptography\Services\ Physical store for keys associated with a specific service
Computer HKLM:\SOFTWARE\Policies\Microsoft\SystemCertificates\ Physical store for machine-wide public keys installed by GPOs
Computer HKLM:\SOFTWARE\Microsoft\EnterpriseCertificates\ Physical store for machine-wide public keys installed by the Enterprise PKI Containers within an AD domain
Context File Location Explanation
User $env:APPDATA\Microsoft\SystemCertificates\ Physical store for user-specific public keys and pointers to private keys
User $env:APPDATA\Microsoft\Crypto\ Physical store for user-specific private key containers
Computer $env:ProgramData\Microsoft\Crypto\ Physical store for machine-wide private key containers

Prérequis

Tout au long du reste de cet article, vous trouverez plusieurs exemples montrant des interactions avec les magasins de certificats Windows. Pour reproduire ces exemples, assurez-vous de remplir les conditions préalables suivantes:

  • Windows Vista, Windows Server 2008 ou un système d’exploitation plus récent. Les exemples présentés utilisent Windows 10 Enterprise version 1903.
  • Familiarité avec PowerShell. Bien que cela ne soit pas obligatoire, ce sera le langage utilisé pour faire référence aux certificats lorsque cela est approprié. Les exemples présentés ont tous été créés avec Windows PowerShell 5.1.
  • Vous n’aurez pas besoin d’installer de certificats spécifiques pour suivre, mais l’utilisation d’un certificat auto-signé est bénéfique.

Gestion des certificats sous Windows

Sous Windows, il existe trois façons principales de gérer les certificats:

  • La console MMC (Microsoft Management Console) des Certificats (certmgr.msc)
  • PowerShell
  • L’outil en ligne de commande certutil

Dans cet article, vous apprendrez comment gérer les certificats via la console MMC des Certificats et PowerShell. Si vous souhaitez en savoir plus sur l’utilisation de certutil, consultez la documentation Microsoft Docs.

PowerShell vs. le Gestionnaire de certificats de sécurité Windows

Étant donné que les certificats peuvent être gérés de plusieurs façons sous Windows, laquelle choisir? Opter pour l’interface graphique (MMC) ou la ligne de commande avec PowerShell?

Note: Cet article est pertinent tant pour le Gestionnaire de certificats de Windows 7 que pour les instantanés MMC du Gestionnaire de certificats de Windows 10.

Tout d’abord, considérez le cycle de vie d’un certificat. Si vous prévoyez seulement d’installer ou de supprimer un seul certificat une fois, envisagez d’utiliser la MMC. Mais si vous gérez plusieurs certificats ou si vous vous retrouvez à effectuer la même tâche encore et encore, la ligne de commande peut être la solution. Même si vous ne savez pas écrire de scripts PowerShell, cela vaudrait la peine d’apprendre si vous avez de nombreux certificats différents à gérer.

Commençons par examiner comment découvrir les certificats installés sur Windows en utilisant à la fois le Gestionnaire de certificats et PowerShell.

En utilisant le Gestionnaire de certificats Windows (certmgr.msc)

Pour afficher les certificats avec le MMC, ouvrez le Gestionnaire de certificats en ouvrant votre menu Démarrer et en tapant certmgr.msc. Cela ouvrira le MMC des certificats Windows. Cette vue initiale fournira un aperçu de tous les magasins logiques affichés dans la fenêtre de gauche.

Vous pouvez voir dans la capture d’écran ci-dessous que le magasin logique Autorités de certification racine de confiance est sélectionné.

Trusted Root Certification Authorities store

Visualisation des magasins physiques

Par défaut, le Gestionnaire de certificats Windows ne montrera pas les magasins physiques réels. Pour afficher les magasins, cliquez sur Affichage puis sur Options. Vous verrez alors des options pour choisir d’afficher les magasins physiques de certificats. Activer cette option facilite l’identification des chemins spécifiques dans Windows.

Figure 2 – The Certificates MMC View Options with Physical certificate stores selected.

Vous pouvez maintenant voir que des conteneurs supplémentaires sont affichés sous le magasin logique Autorités de certification racine de confiance exemple montré précédemment. Les certificats sont toujours regroupés par rapport à leurs magasins logiques, mais vous pouvez maintenant voir le magasin physique, « Registre ».

Inspecting the physical cert stores

Inspection des attributs dans le Gestionnaire de certificats Windows

Il existe de nombreux attributs d’un certificat que vous pouvez voir en les visualisant avec le MMC. Par exemple, vous voudrez probablement sélectionner des certificats spécifiques.

Le moyen le plus simple pour vous d’accomplir cela est de faire référence au Numéro de série ou à la valeur d’extension Empreinte du certificat. Si le certificat a été signé par une autorité de certification (CA), il aura un numéro de série lors de sa délivrance. L’Empreinte est calculée chaque fois que le certificat est consulté.

Vous pouvez voir certaines des attributs d’un certificat en l’ouvrant dans le MMC comme indiqué ci-dessous.

Inspecting a Windows certificate

Une caractéristique importante à souligner est la présence de clés privées intégrées. Les certificats dans Windows peuvent également avoir une clé privée correspondante. Ces clés privées sont stockées dans des magasins physiques correspondants sous forme de fichiers chiffrés.

Pour distinguer rapidement un certificat avec et sans clé privée correspondante, regardez l’icône du certificat. Dans le gestionnaire de certificats Windows, si l’icône ressemble simplement à une feuille de papier avec un ruban, il n’y a pas de clé privée correspondante. Si un certificat a une clé privée, vous verrez une clé dans l’icône du MMC et vous verrez une clé en bas de l’onglet Général lorsque vous ouvrez le certificat.

Certificate without an embedded private key

Utilisation de PowerShell

Tout comme avec le MMC, vous pouvez également afficher et gérer des certificats avec PowerShell. Commençons par inspecter les certificats dans leurs magasins physiques (registre et système de fichiers).

Par magasin physique

En utilisant la cmdlet PowerShell Get-ChildItem, vous pouvez énumérer toutes les clés et valeurs à l’intérieur du chemin d’accès de la clé du registre parent HKCU:\Software\Microsoft\SystemCertificates\CA\Certificates\.

La commande ci-dessous énumérera tous les certificats actuellement connectés du magasin logique des Autorités de Certification Intermédiaires.

Get-ChildItem -Path HKCU:\Software\Microsoft\SystemCertificates\CA\Certificates\

Chaque entrée dans la rauche de registre que vous voyez correspondra à l’empreinte digitale du certificat pour une CA de confiance et à son certificat dans la propriété correspondante. Vous pouvez voir un exemple de sortie ci-dessous.

Results of the installed certificates from the example commands, limited to the first 5 entries.

Un autre magasin commun est le magasin Personnel. Vos certificats pour ce magasin sont situés sur le système de fichiers plutôt que dans le Registre. Dans les commandes suivantes, nous montrerons ces différents chemins physiques et leurs finalités respectives.

Chaque fichier dans le répertoire, renvoyé par la commande ci-dessous, correspond à un certificat installé dans le magasin personnel de l’utilisateur actuel.

Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Certificates\

Chaque fichier renvoyé dans la commande ci-dessous est une référence à l’objet pour une clé privée créée par le Provider de Stockage de Clés (KSP). Le nom du fichier correspond à l’Identifiant de Clé Sujet du certificat. Chaque clé privée que vous installez aura un fichier correspondant ajouté.

Get-ChildItem -Path $env:APPDATA\Microsoft\SystemCertificates\My\Keys\

Chaque fichier dans le répertoire renvoyé par la commande ci-dessous est le conteneur unique pour la clé privée chiffrée créée par le KSP. Il n’y a pas de relation directe entre le nom du fichier et le certificat, mais le fichier est la cible du pointeur dans la commande précédente.

Get-ChildItem -Path $env:APPDATA\Microsoft\Crypto\Keys

Par Magasin Logique

Depuis que travailler avec des certificats dans leurs chemins physiques est inhabituel, vous travaillerez avec les magasins logiques pour le reste des exemples.

PowerShell peut accéder aux magasins logiques de Windows en utilisant le Cert: PSDrive. Le Cert: PSDrive mappe les certificats vers les magasins physiques de la même manière que le fait la MMC.

Malheureusement, la MMC et le Cert PSDrive ne labellisent pas les magasins logiques de la même manière. Ci-dessous, vous pouvez voir un tableau de comparaison des magasins courants et de leurs noms à la fois dans la MMC et le Cert PSDrive.

Cert: Certificates MMC
My Personal
Remote Desktop Remote Desktop
Root Trusted Root Certification Authorities
CA Intermediate Certification Authorities
AuthRoot Third-Party Root Certification Authorities
TrustedPublisher Trusted Publishers
Trust Enterprise Trust
UserDS Active Directory User Object
Sélection des certificats

Lorsque vous travaillez avec des certificats, vous aurez besoin d’une manière de filtrer et de sélectionner des certificats pour effectuer des opérations spécifiques. La plupart du temps, vous filtrerez et sélectionnerez des certificats en fonction de la valeur d’une extension spécifique.

Pour les exemples suivants, vous devez commencer par répertorier tous les certificats installés dans le magasin de l’autorité de certification racine.

Get-ChildItem -Path Cert:\CurrentUser\Root\

Les objets renvoyés seront des objets de certificat que vous pouvez utiliser dans les exemples suivants.

Les extensions courantes sont déjà disponibles en tant que propriétés des objets de certificat. Dans l’exemple ci-dessous, vous utilisez Get-Member pour répertorier toutes les propriétés des objets renvoyés.

Get-ChildItem -Path Cert:\CurrentUser\Root\ | Get-Member -MemberType Properties
Figure 9 – The properties available for the returned certificate objects.

Comme vous pouvez le voir dans la Figure 9, certaines de ces extensions, comme Issuer, sont utiles pour trouver le certificat que vous recherchez. Les extensions fournissent des informations sur le certificat, telles que son destinataire, son utilisation possible et d’éventuelles restrictions.

Dans des cas d’utilisation plus complexes, vous voudrez trouver des certificats avec d’autres extensions, comme le modèle de certificat utilisé. La difficulté réside dans le fait que les valeurs de ces extensions sont renvoyées sous forme d’un tableau d’entiers. Ces entiers correspondent à un contenu encodé en ASN.1.

Les ScriptProperties existantes disponibles sur l’objet montrent des exemples d’interaction avec celles-ci. Dans la commande ci-dessous, vous extrayez manuellement les utilisations de clé pour voir cette relation.

((Get-ChildItem -Path Cert:\CurrentUser\Root\ | select -First 1).Extensions | Where-Object {$_.Oid.FriendlyName -eq "Key Usage"}).format($true)

La nouvelle fonction que nous introduisons dans la commande ci-dessus est la méthode de formatage, qui effectue le décodage ASN.1. Vous lui transmettez une valeur booléenne (par exemple, $true) ci-dessus pour indiquer si vous souhaitez que l’objet retourné soit en une seule ligne ou sur plusieurs lignes.

Vous utiliserez la valeur Thumbprint du certificat dans la Figure 7 dans la commande ci-dessous. La valeur Thumbprint est définie comme une variable PowerShell et utilisée pour sélectionner le certificat spécifique dans les commandes ci-dessous.

$thumb = "cdd4eeae6000ac7f40c3802c171e30148030c072"
Get-ChildItem -Path Cert:\CurrentUser\Root\ | Where-Object {$_.Thumbprint -eq $thumb}

Création de certificats auto-signés avec PowerShell

PowerShell peut créer des certificats auto-signés à l’aide de la cmdlet New-SelfSignedCertificate. Les certificats auto-signés sont utiles pour les tests car ils vous permettent de générer une paire de clés publique et privée sans utiliser une autorité de certification (CA).

Créons maintenant un certificat auto-signé dans les magasins de l’utilisateur actuel et de l’ordinateur local pour l’utiliser dans des exemples pour les prochaines étapes.

Dans l’exemple ci-dessous, PowerShell génère une paire de clés publique et privée, un certificat auto-signé et les installe tous dans les magasins de certificats appropriés.

PS51> New-SelfSignedCertificate -Subject 'User-Test' -CertStoreLocation 'Cert:\CurrentUser\My'
PS51> New-SelfSignedCertificate -Subject 'Computer-Test' -CertStoreLocation 'Cert:\LocalMachine\My'

L’utilisation de certificats auto-signés pour les services de production n’est pas encouragée car tous les mécanismes basés sur la confiance n’existent pas.

Importation/Exportation de certificats

La cryptographie à clé publique est fondamentalement basée sur le fait que la clé publique soit largement accessible. Compte tenu de ce principe, vous avez besoin de moyens standard pour partager efficacement les certificats. Tout aussi important est la sécurité de vos clés privées. Stocker les clés privées dans des supports inaccessibles ou avec des éléments de récupération après sinistre est une pratique courante pour certaines clés privées.

Les deux nécessitent des moyens de stocker ces objets cryptographiques dans des formats standard. L’exportation fournit les fonctions pour effectuer le stockage de ces objets et garantir qu’ils utilisent des formats de fichier largement acceptés. L’importation vous permet d’intégrer les objets cryptographiques dans les systèmes d’exploitation Windows.

Utilisation du Gestionnaire de certificats Windows (certmgr.msc)

L’exportation de certificats à partir du MMC est relativement simple. Pour exporter un certificat sans clé privée, cliquez sur le certificat dans le MMC, cliquez sur le menu Toutes les tâches puis sur Exporter.

Pendant l’exportation, on vous demandera un format de fichier comme indiqué ci-dessous. Les options les plus courantes sont DER ou encodé en Base 64.

Figure 10 – Exporting a certificate with no private key or one that is marked as not exportable.

Exportation des clés privées

Pour exporter un certificat avec une clé privée associée, vous devrez remplir deux critères ; le compte connecté doit avoir l’autorisation de la clé privée (uniquement pour les certificats d’ordinateur) et la clé privée doit être marquée comme exportable.

Pour vérifier les autorisations des clés privées d’un ordinateur local, vous pouvez sélectionner un certificat avec une clé privée, choisir Toutes les tâches, et Gérer les clés privées depuis la MMC Certificats. La boîte de dialogue qui s’ouvre affiche les entrées de contrôle d’accès pour les clés privées.

The Basic Security Property Page for the private keys of a certificate with the Subject of ServerName.

Une fois que ces deux ou trois prérequis sont remplis, vous pouvez sélectionner un certificat, cliquer sur Toutes les tâches, puis sur Exporter, tout comme vous le feriez avec un certificat contenant uniquement une clé publique. Lors de l’exportation, vous devriez maintenant avoir l’option de sélectionner Oui, exporter la clé privée comme indiqué ci-dessous.

Certificate Export Wizard with exportable private key.

Lorsque vous exportez une clé privée dans Windows, vous ne pouvez enregistrer le fichier que sous forme de PFX. Ces types de fichiers et formats de codage sont détaillés en long et en large dans cet article.

Pour les paramètres restants affichés dans l’assistant d’exportation, vous pouvez utiliser les valeurs par défaut. Le tableau ci-dessous résume rapidement chacun d’eux.

Setting Description
Including all certificates in the certification path if possible Helps with portability of certificate issuers, and includes all pertinent public keys in the PFX
Delete the private key if the export is successful Removes the private key from the file and has few common use cases, but one example is to test access to private keys
Export all extended properties Will include any extensions within the current certificate, these relate to the certificates [specific settings]() for Windows interfaces
Enable certificate privacy Normally only the private key will be encrypted in the exported PFX file, this setting encrypts the entire contents of the PFX file
Group or user names You can use a group or user security principal from Active Directory for encrypting the contents of the PFX file, but a password is the most portable option across legacy systems or computers not joined to the same domain

Importation de certificats

La fonction d’importation est la même pour tous les types de fichiers de certificat pris en charge. La seule différence est que si le fichier inclut une clé privée, vous pouvez « Marquer cette clé comme exportable », sur laquelle vous en saurez plus ci-dessous. Windows utilisera l’Assistant d’importation de certificats.

Figure 12 – Certificate Import Wizard with a PFX file.

Lorsque vous utilisez l’Assistant d’importation de certificats pour un PFX, vous devrez fournir le mot de passe utilisé pour chiffrer la clé privée. Voici un autre récapitulatif des options d’importation.

Setting Description
Enable strong private key protection Requires a password for each access of a private key, be cautious of newer functions as they will not be supported in all software
Mark this key as exportable You should try to avoid using this setting on any end system, private keys should be treated similarly to storing passwords
Protect private key using [virtualization-based security] The setting provides more security functionality for protecting private keys from advanced malware attacks
Include all extended properties Relates to the same Windows-specific settings discussed as with exporting

Les certificats de signature de code PowerShell sont un bon exemple d’utilisation d’une protection robuste de la clé privée.

Le placement automatique des certificats peut être quelque chose dont il faut se méfier. Vous obtiendrez probablement de meilleurs résultats en sélectionnant manuellement le magasin de certificats.

En utilisant PowerShell

Maintenant, avec PowerShell, exportez l’un des certificats auto-signés que vous avez créés précédemment. Dans l’exemple, l’utilisateur actuel est utilisé, mais vous pouvez utiliser n’importe lequel.

Ci-dessous, vous sélectionnez un certificat dans le magasin logique Personnel de l’utilisateur actuel qui a été auto-signé, ce qui signifie que l’émetteur correspond au sujet.

$certificate = Get-Item (Get-ChildItem -Path Cert:\CurrentUser\My\ | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Maintenant que vous avez sélectionné un certificat, vous pouvez utiliser la commande Export-Certificate pour enregistrer un fichier encodé en DER en utilisant la commande ci-dessous.

Export-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -Cert $certificate

Regardons maintenant comment exporter la clé privée. Ci-dessous, vous vérifiez que le certificat que vous avez sélectionné a une clé privée. Si cela ne renvoie pas vrai, alors la commande Get-Item a probablement sélectionné le mauvais certificat.

$certificate.HasPrivateKey

En dessous, vous définirez un mot de passe à utiliser pour crypter la clé privée. Ensuite, exportez le certificat sélectionné dans un fichier PFX et utilisez le mot de passe que vous avez saisi précédemment pour crypter le fichier.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Export-PfxCertificate -FilePath $env:USERPROFILE\Desktop\certificate.pfx -Password $pfxPassword -Cert $certificate

Tout comme pour l’exportation, il existe deux commandes. Une commande pour importer des certificats et une pour importer des fichiers PFX.

Ci-dessous, la commande Import-Certificate importe le fichier encodé en DER que vous avez exporté précédemment dans le magasin Personnel de l’Utilisateur Actuel.

Import-Certificate -FilePath $env:USERPROFILE\Desktop\certificate.cer -CertStoreLocation Cert:\CurrentUser\My

Disons que vous souhaitez également installer la clé privée de ce certificat.

$pfxPassword = "ComplexPassword!" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -Password $pfxPassword -CertStoreLocation Cert:\CurrentUser\My -FilePath $env:USERPROFILE\Desktop\certificate.pfx

Gardez à l’esprit que le mot de passe doit être une Chaîne Sécurisée. De plus, si vous importez dans le magasin Machine Locale (par exemple Cert:\LocalMachine\), vous devrez exécuter la commande à partir d’une invite d’administrateur élevée.

Dans l’exemple ci-dessus, vous utilisez également le paramètre Exportable avec la commande, en marquant la clé privée comme exportable à l’avenir. Par défaut, elle n’est pas exportable. Les clés privées exportables sont une autre considération en matière de sécurité, et méritent une attention particulière quant à leur sécurisation.

Il existe également de nombreuses autres choses à faire avec les certificats dans Windows, donc vous devriez explorer davantage.

Suppression de Certificats avec PowerShell

Lors de la suppression de certificats, gardez à l’esprit qu’il n’y a pas de Corbeille. Une fois que vous supprimez un certificat, il est définitivement supprimé. Cela signifie qu’il est essentiel de confirmer que vous supprimez le bon certificat en validant un identifiant unique, comme le Numéro de Série ou la Valeur d’Extension Empreinte (Thumbprint).

De manière similaire à ce qui précède, dans la commande ci-dessous, nous sélectionnons un certificat auto-signé dans le magasin Personnel de l’Utilisateur Actuel.

$certificate = Get-Item (Get-ChildItem -Path Cert:\CurrentUser\My\ | Where-Object {$_.Subject -eq $_.Issuer}).PSPath

Vous pouvez voir ci-dessous les propriétés Empreinte, Numéro de Série et Sujet du certificat sélectionné pour vous assurer qu’il s’agit du certificat que vous avez l’intention de sélectionner.

$certificate.Thumbprint
$certificate.SerialNumber
$certificate.Subject

Veuillez vérifier que vous avez sélectionné le certificat correct que vous avez l’intention de supprimer.

La commande ci-dessous supprime tous les objets de certificat sélectionnés, veuillez utiliser avec prudence. En passant l’objet $certificate à travers le pipeline vers la cmdlet Remove-Item dans la commande ci-dessous, vous supprimerez tout le contenu du certificat sans aucune invite de validation.

$certificate | Remove-Item

Résumé

Tout au long de cet article, vous avez travaillé avec des certificats sous Windows, apprenant comment y accéder et certains outils à utiliser lors de leur manipulation. Il y a beaucoup plus à explorer sur le sujet, y compris comment associer des certificats installés à des services spécifiques, ou même comment mettre en œuvre une infrastructure à clé publique (PKI) privée en déployant vos propres autorités de certification (CA).

Lecture complémentaire

Source:
https://adamtheautomator.com/windows-certificate-manager/