16
janvier
2024
10:58

Fichier BAT de mise à jour de la liste des certificats CRL

16 janvier 2024 10:58

Sous Windows, lorsque la liste de révocation des certificats devient obsolète lors de la vérification des signatures électroniques dans "CryptoARM 5" il peut y avoir un avertissement indiquant que la CRL n'est pas à jour, j'ai donc trouvé une solution.

Présentation

LCR- des listes de certificats de signatures numériques électroniques révoqués par anticipation sont tenues par les centres de certification.
CRL signifie Liste de révocation de certificats. Une liste de révocation de certificats est un élément obligatoire de l'infrastructure PKI (Trusted Key Encryption) car... il pourrait y avoir un remplacement anticipé de la clé de signature électronique en raison de sa panne ou de sa compromission (par exemple, perte), ou du décès du propriétaire. La révocation du certificat ne permettra pas aux attaquants d'utiliser la signature numérique.

La CRL doit être mise à jour assez fréquemment - j'ai configuré le planificateur pour qu'il exécute la mise à jour tous les matins. Car ce n'est qu'avec une liste CRL à jour que la protection contre les clés étrangères volées, perdues ou bloquées est efficace.

CRL :

  • registre reestr-pki.ru
  • "Rostelecom" rostelecom.ru et company.rt.ru

La tâche consiste à télécharger le fichier depuis l'un de ces sites et à l'importer dans le groupe de certificats "Rappelé".

La gestion des certificats à l'aide de l'interface graphique (mmc.exe - composant logiciel enfichable « Certificats ») n'est pas pratique, car nécessite la participation de l'utilisateur. Le fichier BAT est exécuté par le planificateur de tâches le matin.

Ce dont vous avez besoin pour exécuter le fichier BAT :

1) Le fichier batch peut fonctionner sur les systèmes d'exploitation :
Windows 7 SP1
Windows 10 version 1507 ou supérieure
*Windows 11

  • Windows Server 2022, Windows Server 2019, Windows Server 2016 et Windows Server 2012 R2.

2) utilitaire gratuit installé Gnu Wget pour Windows- version wget-1.11.4-1-setup.exe ou un autre. Gnu Wget peut être téléchargé depuis SourceForge -Gnu Wget pour Windows
3) programme en ligne de commande CertMgr.exe du paquet SDK Windows. Pour faciliter le lancement, j'ai copié l'utilitaire CertMgr.exe dans le dossier où se trouve le fichier batch *.BAT.

Préparation

J'ai créé un dossier sur mon disque dur C:\CRL(le nom peut être n'importe quoi, vous devez corriger le texte du fichier BAT) dans lequel vous avez placé un fichier de commande texte et à côté de celui-ci avez placé le programme CertMgr.exe du package SDK Windows.

À côté du fichier BAT se trouvent trois listes avec des URL pour les listes de révocation de certificats : list1.txt, list2.txt et list3.txt.

Contenu du fichier de commande texte BAT pour la mise à jour de la CRL

@echo désactivé
pour /f %%G dans (list1.txt) FAIRE appel :s_subroutine %%G
aller à :EOF
:s_subroutine
écho Début : %1
"C:\Program Files (x86)\Wget\bin\wget.exe" %1 --output-document c:\crl\temp.crl
c:\crl\CertMgr.exe /ajouter c:\crl\temp.crl /s CA
écho Terminez !
écho :
écho :
del c:\crl\temp.crl
aller à :EOF

La boucle for spécifie un fichier d'entrée avec une liste de certificats : list1.txt)
J'ai trois versions du fichier - list1.txt, list2.txt et list3.txt

Fichiers avec des listes d'URL de certificats CRL révoqués

Contenu liste1.txt:
<pré>http://reestr-pki.ru/cdp/guc.crl
http://reestr-pki.ru/cdp/guc_gost12.crl
http://reestr-pki.ru/cdp/vguc1_3.crl
http://reestr-pki.ru/cdp/vguc1_4.crl
http://reestr-pki.ru/cdp/vguc1_5.crl

Contenu liste2.txt:
<pré>http://rostelecom.ru/cdp/guc.crl
http://rostelecom.ru/cdp/guc_gost12.crl
http://rostelecom.ru/cdp/vguc1_3.crl
http://rostelecom.ru/cdp/vguc1_4.crl
http://rostelecom.ru/cdp/vguc1_5.crl

Contenu liste3.txt:

http://company.rt.ru/cdp/guc.crl
http://company.rt.ru/cdp/guc_gost12.crl
http://company.rt.ru/cdp/vguc1_3.crl
http://company.rt.ru/cdp/vguc1_4.crl
http://company.rt.ru/cdp/vguc1_5.crl

Où puis-je obtenir CertMgr.exe ?

Le gestionnaire de certificats est installé avec le package SDK pour Windows 10.

Le fichier exécutable se trouve dans Windows 10 le long du chemin
%ProgramFiles(x86)%\Windows Kits\10\bin\10.0.version_SDK.0\arm64\certmgr.exe.

Pages de téléchargement du SDK :

  1. 1.Page de téléchargement du SDK Windows
  2. 2.Kit de développement logiciel (SDK) Windows (10.0.22621) pour Windows 11, version 22H2

Documentation CertMgr

*Certmgr.exe (outil de gestion de certificats)



Publications connexes

Langages

Thème

flux RSS

Atom 1.0 RSS

Tags populaires

Post aléatoire

J'aurai de la chance !

Archives des messages

Rechercher ici

Prévisions météorologiques