Question Supprimer automatiquement le certificat du magasin de certificats


Le comportement par défaut du magasin de certificats Windows 7 inclut le stockage de toutes les clés publiques que vous utilisez à partir de cartes à puce. Cela est parfois indésirable car si certaines machines doivent utiliser beaucoup de cartes à puce, la fenêtre contextuelle "Veuillez sélectionner un certificat" devient de plus en plus encombrée.

Existe-t-il un moyen de configurer Windows de sorte que la clé publique associée à une carte à puce soit automatiquement supprimée du magasin de certificats une fois la carte à puce retirée?

Ou bien, un moyen d'empêcher Windows de stocker des certificats de carte à puce dans le magasin en premier lieu?


4
2017-09-27 14:54


origine


Ces certificats sont-ils utilisés pour la connexion? - harrymc
Non, juste pour l'authentification de l'application Web. - pooispoois


Réponses:


Je ne connais pas de moyen de supprimer automatiquement ces certificats, mais vous pouvez les nettoyer en allant à Panneau de configuration -> Options Internet -> onglet Contenu -> Certificats. Sélectionnez ceux dont vous souhaitez vous débarrasser, puis cliquez sur Supprimer.

Sinon, vous devrez écrire un utilitaire qui détecte l'événement d'insertion de la carte à puce, puis répertorie et se souvient de tous les certificats, et les supprime enfin de la magasin de certificats lors de l'événement de suppression de la carte à puce.

Si vous avez l'intention d'aller dans cette direction, en plus de la documentation détaillée, vous pouvez trouver sur le site Web de Microsoft, voici quelques références qui peuvent vous donner une certaine compréhension de la programmation requise:

Comment énumérer tous les certificats sur une carte à puce (PowerShell, mais peut être adapté à C / C ##)
Un cadre de carte à puce pour .NET
bibliothèque pcsc-sharp 


2
2018-01-16 15:26



Ce genre de réponse à la question ... Je savais déjà, cependant, que je pouvais développer un petit utilitaire pour cela. Juste pensé qu'il pourrait y avoir un paramètre de configuration / politique quelque part. Dans notre entreprise, le code personnalisé développé par les employés est toujours considéré avec une certaine suspicion. - pooispoois
Ensuite, ils ne vous laisseront pas non plus modifier Active Directory. Votre propre programme peut directement utiliser un certificat de carte à puce, mais normalement, une application Web standard ne consultera que le magasin de certificats. Un post-nettoyage sera donc nécessaire. Peut-être que quelque chose peut être fait pour un type particulier d'applications Web, si vous spécifiez lequel est le vôtre. - harrymc
L'application Web consulte uniquement le magasin de certificats. Je peux modifier Active Directory, mais ne justifie pas de déployer un programme sur mesure sans tracas. La modification des paramètres de stratégie de groupe, ainsi que la configuration d'Active Directory et de tous les types de paramètres sont des procédures standard, tandis que les applications sont répertoriées en blanc. - pooispoois
Après avoir réfléchi, Active Directory ne vous aidera pas, sauf pour servir de magasin alternatif. Après tout, il ne vous reste plus qu'un programme ou un script pour nettoyer le magasin. Les scripts sont-ils également considérés avec suspicion? - harrymc
Je pense qu'un script serait correct. Pensez-vous qu'il serait possible d'exploiter le CryptoAPI sur Powershell pour obtenir un résultat similaire? - pooispoois


Vous pouvez utiliser la commande suivante pour supprimer tous les certificats de carte à puce dans votre magasin:

certutil -user -delstore my 1.3.6.1.4.1.311.20.2.2

Le certificat de la carte à puce utilisée apparaîtra dans le magasin de certificats lorsque vous insérez votre carte à puce dans le lecteur.

Pour plus de détails - vérifiez le 1.3.6.1.4.1.311.20.2.2 sur votre moteur de recherche préféré.


0
2017-07-16 14:58