Facultatif : Créer un certificat de signature de code pour App Control for Business

Remarque

Certaines fonctionnalités d’App Control for Business sont disponibles uniquement sur des versions spécifiques de Windows. En savoir plus sur la disponibilité des fonctionnalités De contrôle d’application.

Lorsque vous déployez App Control for Business, vous devrez peut-être signer des fichiers catalogue ou des stratégies App Control en interne. Pour effectuer cette signature, vous devez utiliser le service Signatures de confiance de Microsoft, un certificat de signature de code émis publiquement ou une autorité de certification interne. Si vous avez acheté un certificat de signature de code, vous pouvez ignorer cet article et suivre à la place d’autres articles répertoriés dans le Guide de déploiement d’App Control for Business.

Si vous disposez d'une autorité de certification interne, complétez ces étapes pour créer un certificat de signature de code.

Warning

Lors de la création de certificats de signature pour la signature de stratégie App Control, un échec de démarrage (écran bleu) peut se produire si votre certificat de signature ne suit pas ces règles :

  • Toutes les stratégies, y compris les stratégies de base et supplémentaires, doivent être signées conformément à la Standard PKCS 7.
  • Utilisez des clés RSA avec une taille de clé de 2 Ko, 3K ou 4K uniquement. ECDSA n’est pas pris en charge.
  • Vous pouvez utiliser SHA-256, SHA-384 ou SHA-512 comme algorithme digest sur Windows 11, ainsi que Windows 10 et Windows Server 2019 et versions ultérieures après avoir appliqué la mise à jour de sécurité cumulative de novembre 2022. Tous les autres appareils prennent uniquement en charge SHA256.
  1. Ouvrez le composant logiciel enfichable MMC (Microsoft Management Console) d'autorité de certification et sélectionnez votre autorité de certification émettrice.

  2. Une fois connecté, cliquez avec le bouton droit sur Modèles de certificats, puis sélectionnez Gérer pour ouvrir la console modèles de certification.

    Composant logiciel enfichable d’autorité de certification montrant les modèles de certificat.

    Figure 1. Gestion des modèles de certificat

  3. Dans le volet de navigation, cliquez avec le bouton droit sur le certificat de signature de code, puis sélectionnez Dupliquer le modèle.

  4. Sur l’onglet Compatibilité , désélectionnez la case à cocher Afficher les modifications résultantes . Choisissez Windows Server 2012 dans la liste Autorité de certification , puis choisissez Windows 8/Windows Server 2012 dans la liste Destinataire du certificat .

  5. Sur l’onglet Général, remplissez les champs Nom complet du modèle et Nom du modèle. Cet exemple utilise le nom App Control Catalog Signing Certificate.

  6. Sur l’onglet Traitement de la demande , cochez la case Autoriser l’exportation de la clé privée .

  7. Sous l’onglet Extensions, sélectionnez la zone Contraintes de base case activée, puis sélectionnez Modifier.

  8. Dans la boîte de dialogue Modifier les extensions de contraintes de base, sélectionnez Activer cette extension, comme indiqué dans la figure 2.

    Modifier l’extension de contraintes de base.

    Figure 2. Sélectionner des contraintes sur le nouveau modèle

  9. Si un gestionnaire de certificats est requis pour l’approbation des certificats émis, accédez à l’onglet Conditions d’émission et sélectionnez Approbation du gestionnaire de certificat de l’autorité de certification.

  10. Sur l’onglet Nom du sujet, choisissez Fournir dans la demande.

  11. Sur l’onglet Sécurité, vérifiez que le compte qui sera utilisé pour demander le certificat est autorisé à inscrire ce dernier.

  12. Sélectionnez OK pour créer le modèle, puis fermez la console de modèle de certificat.

Une fois le modèle de certificat créé, vous devez le publier dans le magasin de modèles publiés de l’autorité de certification. Pour ce faire, procédez comme suit :

  1. Dans le composant logiciel enfichable Autorité de certification MMC, cliquez avec le bouton droit sur Modèles de certification, pointez sur Nouveau, puis sélectionnez Modèle de certificat à émettre, comme illustré dans la figure 3.

    Sélectionnez Modèle de certificat à émettre.

    Figure 3. Sélection du nouveau modèle de certificat à émettre

    Une liste des modèles disponibles à émettre s’affiche, y compris le modèle que vous avez créé.

  2. Sélectionnez le certificat de signature du catalogue de contrôle d’application, puis sélectionnez OK.

Maintenant que le modèle est disponible pour être émis, vous devez en demander un à partir de l’ordinateur exécutant Windows 10 ou Windows 11 sur lequel vous créez et signez des fichiers catalogue. Pour commencer, ouvrez la console MMC, puis procédez comme suit :

  1. Dans MMC, dans le menu Fichier , sélectionnez Ajouter/supprimer un composant logiciel enfichable. Double-cliquez sur Certificats, puis sélectionnez Mon compte d’utilisateur.

  2. Dans le composant logiciel enfichable Certificats, cliquez avec le bouton droit sur le dossier Magasin personnel, pointez sur Toutes les tâches, puis sélectionnez Demander un nouveau certificat.

  3. Sélectionnez Suivant deux fois pour accéder à la liste de sélection de certificats.

  4. Dans la liste Demander un certificat, sélectionnez le certificat de signature de code qui vient d’être créé, puis sélectionnez le texte en bleu qui indique que des informations supplémentaires sont requises, comme indiqué dans la Figure 4.

    Demander des certificats : informations supplémentaires requises.

    Figure 4. Obtention d’informations supplémentaires pour le certificat de signature de code

  5. Accédez à la boîte de dialogue Propriétés du certificat , puis, pour Type, sélectionnez Nom commun. Pour Valeur, spécifiez un nom explicite pour votre certificat (dans cet exemple, nous sélectionnons $ContosoSigningCert), puis sélectionnez Ajouter. Une fois ajouté, sélectionnez OK.

  6. Inscrivez-le, puis terminez la procédure.

Remarque

Si un gestionnaire de certificats est tenu d’approuver les certificats émis et que vous avez choisi d’exiger l’approbation de la gestion sur le modèle, la demande doit être approuvée dans l’autorité de certification avant d’être émise au client.

Ce certificat doit être installé dans le magasin personnel de l’utilisateur sur l’ordinateur qui signera les fichiers catalogue et les stratégies d’intégrité du code. Si la signature se produit sur le même ordinateur que celui que vous avez utilisé pour demander le certificat, vous pouvez ignorer les étapes suivantes. Si vous vous connectez sur un autre ordinateur, vous devez exporter le certificat .pfx avec les clés et les propriétés nécessaires. Pour ce faire, procédez comme suit :

  1. Cliquez avec le bouton droit sur le certificat, pointez sur Toutes les tâches, puis sélectionnez Exporter.

  2. Sélectionnez Suivant, puis Oui, exportez la clé privée.

  3. Choisissez les paramètres par défaut, puis sélectionnez Exporter toutes les propriétés étendues.

  4. Définissez un mot de passe, sélectionnez un chemin d’exportation, puis sélectionnez AppControlCatSigningCert.pfx comme nom de fichier.

Une fois le certificat exporté, importez-le dans le magasin personnel de l’utilisateur qui procédera à la signature des fichiers catalogues ou stratégies d’intégrité du code, sur l’ordinateur qui effectuera cette opération.