[R] Suppression d'un certificat Internet Explorer.

[bomatch]

Bonjour,

Je suis débutant, mais j'ai tout de même réalisé des petits scripts AutoIt.
Malheureusement, je tombe sur une colle

Je souhaiterai en créer un qui me désinstalle un certificat installé dans Internet Explorer.
J'ai la possibilité d'utiliser deux outils, soit en passant par Option Internet (onglet contenu puis certificat (passeport)), soit par certmgr.msc.

Le souci c'est que je ne dois pas me tromper de certificat en désinstallant un autre

Il y a peut-être un autre chemin plus facile mais là, je suis bloqué. Peut-être par la base de registre, mais là encore, je n'ai rien trouvé.

Je vous remercie par avance de votre aide

Bomacth

[sylvanie]

Bonsoir

J'ai trouvé une méthode via l'objet CAPICOM. Cependant, ça marche bien jusqu'à IE8 exclu (mais à tester en vrai en fonction des différent OS)
J'ai fait les 2 config suivantes :
XP + IE6 : OK
Seven +IE8 : FAILED

J'ai adapté les scripts dispo sur : http://www.jensign.com/JavaScience/www/wsh/index.html
J'ai laissé le nom de l'auteur en commentaire, car je n'ai qu'adapté et customisé ses exples.

Voici un script à exécuter depuis Scite (à case du conslewrite) qui liste les certifs en fonction du magasin choisi (MY = perso, CA, ROOT, ...) et affiche le subject.

► Afficher le texte

Code : Tout sélectionner

Dim $Store
Dim $Certificate
Dim $infotxt
Dim $storename, $Message, $Title
;~ '------ switch to display detailed cert dialog -----
  Const $certdialog = True

;~ '-- Some typical cert store names in CurrentUserStore location ----
 Const $mystore = "MY"
 Const $friends = "AddressBook"
 Const $trustroot = "ROOT"
 Const $request = "REQUEST"
 Const $castore = "CA"

 Const $CAPICOM_PROPID_FRIENDLY_NAME = 11
 Const $CAPICOM_ENCODE_ANY = -1
 Const $CAPICOM_ENCODE_BASE64 = 0
 Const $CAPICOM_ENCODE_BINARY = 1
 Const $CAPICOM_STORE_OPEN_READ_ONLY = 0
 Const $CAPICOM_STORE_OPEN_READ_WRITE = 1
 Const $CAPICOM_CURRENT_USER_STORE = 2
;~ '--------------------------------------------------------

$Message = "Enter a certificate store name:"
$Title = "CertLister - by M. Gallant"

;~ '--- Prompt to get certificate store Name ---
$storename = InputBox($Title,$Message, "MY","", 300, 300)

;~ ' Evaluate the user input.
If $storename = "" Then
    Exit 1
EndIf


$infotxt = "-- Certificates in " & $storename & " store: -----" & @CRLF & @CRLF

$Store = ObjCreate("CAPICOM.Store")
If $Store = 0 Then Exit 2

;'Store.Open  0, MY,0
;$Store.Open(2, $storename ,0)   ;'open currentuser location for read-only
$Store.Open($CAPICOM_CURRENT_USER_STORE,$storename,$CAPICOM_STORE_OPEN_READ_ONLY) ;'open currentuser location for read-only

For $Certificate In $Store.Certificates
  ;If $certdialog Then $Certificate.Display
 $infotxt = $infotxt & $Certificate.SubjectName & @CRLF & @CRLF
Next
$Store.Close
$Store = ""
ConsoleWrite($infotxt)
;'------  End CertLister script -------------------------
 

A partir de ce script je m'interesse non plus au subject, mais au sha1 du certificat, ainsi vous pourrez identifier à coups sûr le certif à supprimer.
Pour illustrer ceci, installer le certif bidon que je joint. Regarder au passage son empreinte numérique dans les propriétés, elle correspond au hash que j'ai codé en dur dans le programme : 0572015e2e3b6f41f672912ab058d97977b9f6cb
Localisez ce certif dans votre IE pour voir si il est bien installé dans les Racines connues.

Lancez le script suivant en laissant ROOT en magazin.

► Afficher le texte

Code : Tout sélectionner

Dim $Store
Dim $Certificate
Dim $infotxt
Dim $storename, $Message, $Title
Dim $hash_to_remove="0572015e2e3b6f41f672912ab058d97977b9f6cb"
;~ '------ switch to display detailed cert dialog -----
  Const $certdialog = True

;~ '-- Some typical cert store names in CurrentUserStore location ----
 Const $mystore = "MY"
 Const $friends = "AddressBook"
 Const $trustroot = "ROOT"
 Const $request = "REQUEST"
 Const $castore = "CA"

 Const $CAPICOM_PROPID_FRIENDLY_NAME = 11
 Const $CAPICOM_ENCODE_ANY = -1
 Const $CAPICOM_ENCODE_BASE64 = 0
 Const $CAPICOM_ENCODE_BINARY = 1
 Const $CAPICOM_STORE_OPEN_READ_ONLY = 0
 Const $CAPICOM_STORE_OPEN_READ_WRITE = 1
 Const $CAPICOM_CURRENT_USER_STORE = 2
;~ '--------------------------------------------------------

$Message = "Enter a certificate store name:"
$Title = "CertLister - by M. Gallant"

;~ '--- Prompt to get certificate store Name ---
$storename = InputBox($Title,$Message, "ROOT","", 300, 300)

;~ ' Evaluate the user input.
If $storename = "" Then
    Exit 1
EndIf


$infotxt = "-- Certificates in " & $storename & " store: -----" & @CRLF & @CRLF

$Store = ObjCreate("CAPICOM.Store")
If $Store = 0 Then Exit 2

;'Store.Open  0, MY,0
;$Store.Open(2, $storename ,0)   ;'open currentuser location for read-only
$Store.Open($CAPICOM_CURRENT_USER_STORE,$storename,$CAPICOM_STORE_OPEN_READ_WRITE) ;'open currentuser location for read-write

For $Certificate In $Store.Certificates
  ;If $certdialog Then $Certificate.Display
 ;$infotxt = $infotxt & $Certificate.SubjectName & @CRLF & @CRLF
 ;ConsoleWrite($Certificate.SubjectName&" "&$Certificate.Thumbprint&@CRLF)
 If $Certificate.Thumbprint=$hash_to_remove Then
    $rep = MsgBox(52,"Attention","Voulez vous vraiment supprimer le certificat: "&@CRLF&$Certificate.SubjectName&" "&$Certificate.Thumbprint)
    If $rep = 6 Then
        $Store.Remove($Certificate)
    EndIf
    $infotxt = $infotxt & $Certificate.Thumbprint & @CRLF & @CRLF
EndIf
Next
$Store.Close
$Store = ""
ConsoleWrite($infotxt)
;'------  End CertLister script -------------------------
 

Au passage (si la conf OS/IE le permet ...) vous aurez un popup de confirmation supplémentaire déclenché nativement par l'action Remove.

Si ça ne marche pas ... J'ai vu qu'il existait dans les SDK de .Net une exe en ligne de commande certmgr.exe qui permettrait de faire la même chose.

Certif de test à sauvegarder en extension .crt :

► Afficher le texte

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Bon courrage

[bomatch]

Tout d'abord merci beaucoup pour votre réponse !!!
Ca fait plaisir de voir que des personnes peuvent s'impliquer autant.

J'ai bien lu et essayé vos manip, mais malheureusement, ça n'est pas concluant.
Nous avons ici Un environnement XP mais Un IE8.

Je vais désormais me diriger vers le certmgr.exe dont vous me parlez à la fin du message.
Et je vous tiendrais au courant.

Bonne Journée et encore merci bcp pour tout ce temps passé à m'aider.

Bomatch

[bomatch]

Salut,

J'ai beau chercher je n'arrive pas à trouver ou à installer certmgr.exe.
Donc j'essaie de passer par certmgr.msc mais là encore c'est difficile.

Je suis parvenu à supprimer le certificat avec mon script, mais si l'utilisateur en a un autre, l'accident est assuré. J'aurai aimé pouvoir checker ou être certain d'effacer le bon certificat :

► Afficher le texte

Code : Tout sélectionner

BlockInput(1)

Run ("cmd")
WinWaitActive ("C:\WINDOWS\system32\cmd.exe")
;Lance le CertMgr.msc
Send ("certmgr.msc")
send ("{enter}")
WinWaitActive ("Certificates")
Sleep (200)
Send ("{DOWN}")
Send ("{RIGHT}")
Send ("{RIGHT}")
sleep (500)
Send ("{tab}")
Sleep (500)
Send ("{del}")
WinWaitActive ("Certificates")
send ("{enter}")
send ("!F4")
WinActivate ("C:\WINDOWS\system32\cmd.exe")
send ("exit")
send ("{enter}")

BlockInput(0)

C'est hyper simple, mais je n'ai pas trouvé mieux

Je vais attendre un peu au cas où quelqu'un aurait une solution, sinon je fermerai le poste.

Merci

Bomatch

[bloodwolff]

Cette clé peut peut-être vous être utile

HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My\Certificates

[FernandG]

Bonsoir,

Sous Windows XP, il existe certutil.exe. Je l'utilise dans le script de connexion des utilisateurs pour ajouter des certificats sur quelques postes de la comptabilité. Vous pouvez vous en servir pour supprimer les certificats que vous souhaitez.

Très complet, il est entièrement "scriptable". :

► Afficher le texte

Code : Tout sélectionner

certutil /?

Verbes :
  -dump             -- Sauvegarder les informations ou les fichiers de configuration
  -asn              -- Analyser le fichier ASN.1

  -decodehex        -- Décoder le fichier encodé en hexadécimal
  -decode           -- Décoder le fichier encodé en Base64
  -encode           -- Encoder le fichier en Base64

  -deny             -- Refuser une demande en attente
  -resubmit         -- Soumettre de nouveau une demande en attente
  -setattributes    -- Définir les attributs pour une requête en attente
  -setextension     -- Définir l'extension pour une requête en attente
  -revoke           -- Révoquer un certificat
  -isvalid          -- Afficher la disposition du certificat actuel

  -getconfig        -- Obtenir la chaîne de configuration par défaut
  -ping             -- Interface Ping de requête des services de certificats Active Directory
  -pingadmin        -- Interface Ping d'administration des services de certificats Active Directory
  -CAInfo           -- Afficher les informations sur l'autorité de certification
  -ca.cert          -- Récupérer le certificat d'autorité de certification
  -ca.chain         -- Récupérer la chaîne de certificats d'autorité de certification
  -GetCRL           -- Obtenir une liste de révocation des certificats
  -CRL              -- Publier les nouvelles listes de révocation des certificats [ou uniquement les
listes de révocation des certificats delta]
  -shutdown         -- Arrêter les services de certificats Active Directory

  -installCert      -- Installer le certificat d'autorité de certification
  -renewCert        -- Renouveler le certificat de l'autorité de certification

  -schema           -- Vider le schéma de certificat
  -view             -- Vider l'affichage des certificats
  -db               -- Vider la base de données brute
  -deleterow        -- Supprimer la ligne de la base de données du serveur

  -backup           -- Sauvegarder les Services de certificats Active Directory
  -backupDB         -- Sauvegarder la base de données des Services de certificats Active Directory
  -backupKey        -- Sauvegarder le certificat et la clé privée des Services de certificats Active Directory
  -restore          -- Restaurer les Services de certificats Active Directory
  -restoreDB        -- Restaurer la base de données des Services de certificats Active Directory
  -restoreKey       -- Restaurer le certificat et la clé privée des Services de certificats Active Directory
  -importPFX        -- importer le certificat et la clé privé
  -dynamicfilelist  -- Afficher une liste dynamique de fichiers
  -databaselocations -- Afficher les emplacements des bases de données
  -hashfile         -- Générer et afficher le hachage de chiffrement sur un fichier

  -store            -- Vider le magasin de certificats
  -addstore         -- ajouter un certificat au magasin
  -delstore         -- supprimer un certificat du magasin
  -verifystore      -- vérifier un certificat dans le magasin
  -repairstore      -- Réparer l'association de clé ou mettre à jour les propriétés de certificat ou le descripteur de s
écurité de la clé
  -viewstore        -- Vider le magasin de certificats
  -viewdelstore     -- supprimer un certificat du magasin

  -dsPublish        -- Publier le certificat ou la liste de révocation des certificats dans Active Directory

  -ADTemplate       -- Afficher les modèles AD
  -Template         -- Afficher les modèles de stratégie d'inscription
  -TemplateCAs      -- Afficher les autorités de certification pour le modèle
  -CATemplates      -- Afficher les modèles pour l'autorité de certification
  -enrollmentServerURL -- Afficher, ajouter ou supprimer des URL de serveur d'inscription associées à une autorité de ce
rtification
  -ADCA             -- Afficher les autorités de certification AD
  -CA               -- Afficher les autorités de certification de stratégie d'inscription
  -Policy           -- Afficher la stratégie d'inscription
  -PolicyCache      -- Afficher ou supprimer les entrées du cache de stratégie d'inscription
  -CredStore        -- Afficher, ajouter ou supprimer les entrées de la banque d'informations d'identification
  -InstallDefaultTemplates -- Installer les modèles de certificat par défaut
  -URLCache         -- Afficher ou supprimer les entrées du cache d'URL
  -pulse            -- Sonder les événements d'inscription automatique
  -MachineInfo      -- Afficher les informations de l'objet de l'ordinateur Active Directory
  -DCInfo           -- Afficher les informations concernant le contrôleur de domaine
  -EntInfo          -- Afficher les informations concernant l'entreprise
  -TCAInfo          -- Afficher les informations sur l'autorité de certification
  -SCInfo           -- Afficher les informations de la carte à puce

  -SCRoots          -- Gérer les certificats racines des cartes à puce

  -verifykeys       -- Vérifier le jeu clé privée/publique
  -verify           -- Vérifier le certificat, la liste de révocation du certificat ou la chaîne
  -sign             -- Signer à nouveau la liste de révocation du certificat ou le certificat

  -vroot            -- Créer/Supprimer des racines virtuelles Web et des partages de fichiers
  -vocsproot        -- Créer/Supprimer les racines virtuelles Web pour le proxy Web OCSP
  -addEnrollmentServer -- Ajouter une application Serveur d'inscription
  -deleteEnrollmentServer -- Supprimer une application Serveur d'inscription
  -oid              -- Afficher l'ID de l'objet ou définir le nom complet
  -error            -- Afficher le texte du code d'erreur
  -getreg           -- Afficher la valeur du Registre
  -setreg           -- Définir la valeur du Registre
  -delreg           -- Supprimer la valeur du Registre

  -ImportKMS        -- Importer les clés et les certificats utilisateurs dans la base de données du
serveur pour l'archivage des clés
  -ImportCert       -- Importer un fichier certificat dans la base de données
  -GetKey           -- Récupérer l'objet BLOB de récupération de la clé privée archivée
  -RecoverKey       -- Restaurer la clé privée archivée
  -MergePFX         -- Fusionner les fichiers PFX
  -ConvertEPF       -- Convertir les fichiers PFX en fichier EPF
  -?                -- Afficher ce message d'utilisation


CertUtil -?              -- Afficher une liste de verbes (liste de commandes)
CertUtil -dump -?        -- Afficher le texte d'aide pour le verbe "dump"
CertUtil -v -?           -- Afficher la totalité du texte d'aide pour tous les verbes

CertUtil: -? La commande s'est terminée correctement.

Bonne soirée.
AutoItement.

[bomatch]

Cette clé peut peut-être vous être utile

HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\My\Certificates

Salut, merci pour l'info. J'avais cherché, mais je n'ai rien dans MY, bien que le certificat s'installe dans le profile en cours.

Merci quand même

Bomatch

[bomatch]

Bonsoir,

Sous Windows XP, il existe certutil.exe. Je l'utilise dans le script de connexion des utilisateurs pour ajouter des certificats sur quelques postes de la comptabilité. Vous pouvez vous en servir pour supprimer les certificats que vous souhaitez.

Très complet, il est entièrement "scriptable".

Bonjour et merci bcp pour l'info.
Je vais travailler dessus et la semaine prochaine je vous tiens au parfum !!!

Mais je pense qu'on tient le bon bout !!

Bonjour FernandG,

J'espère que le week-end s'est bien passé.

Moi, je travaille sur la commande certutil.exe, mais il y a des choses qui me gênent.
Je n'arrive pas à lister mes certificats perso. En tout cas celui qui m'intéresse n'apparait pas dans la liste.
Pourriez-vous me donner le détail des commandes pour lister les certificats perso. (j'utilise certutil -viewstore ou certutil - store) et supprimer celui que j'aurai choisi.
Je n'ai pas besoin de l'avoir sous forme de script mais juste en ligne de commande.
Genre :

"certutil -list All (liste des certificats perso avec le certificat X)
certutil -del X (suppression du certificat X)"

Par avance merci bcp

Bomatch

[FernandG]

Message Supprimé

Heu ... faut suivre ..... le message datant de vendredi dernier ... malgré l'édition d'aujourd'hui ...

Je pense qu'un simple message à la suite aurait suffi, suffi à mieux suivre le déroulement du fil de discussion.

Bon encore une fois, c'est du hors sujet et aucun rapport avec AutoIt, avec le forum. A ce stade c'est de l'administration réseaux, systèmes. J'ai hésité à répondre d'autant que cela prend du temps.

Mais bon, on va dire que je suis encore sous l'éphorie de ma nomination récente

Pour ajouter un certificat :

Code : Tout sélectionner

certutil -user -p mypassword -importpfx lecteur:\path\certificat.pfx

Le -user permet d'ajouter le certificat dans le magasin de l'utilisateur. Vous pouvez omettre le -user. Dans ce cas, le certificat sera ajouté au magasin de l'ordinateur. Mais attention, l'ajout nécessite les droits Administrateurs. Cet ajout sur un Windows VISTA|SEVEN|Win_2008|Win_2008R2 demande l'élévation de privilèges si l'UAC est activé.

Pour voir les certificats installés :

Code : Tout sélectionner

certutil -user -store my

Même remarque avec -user pour différencier le magasin utilisateur et machine.

Pour supprimer les certificats :

Code : Tout sélectionner

certutil -user -delstore my 020549b3f5a3de72fbb15a32d47e4ab5

Où 020549b3f5a3de72fbb15a32d47e4ab5 est le numéro de série du certificat qui sera identique quel que soit le magasin dans lequel il sera installé. Je n'évoque plus -user, entièrement assimilé au bout du troisième exemple.

Surtout n'hésitez pas à faire des tests vous-même. L'aide de certutil est amplement suffisante à travers un "/?" en ligne de commande.

Bonne soirée.

[bomatch]

Bonjour,

Merci bcp.
En effet je trouve cela déroutant et j'avais bien mis un commentaire à la suite, mais semble t'il ce n'était pas comme ça qu'il fallait operer. Donc j'ai supprimé mon dernier message pour l'inclure dans le precedent

En tout cas merci bcp, je pense que cela fera l'affaire.

Je vais donc consider mon post comme résolu.

En vous remerciant tous pour l'aide que vous m'avez apporté.

Et bravo au Site Autoit.

Bomatch

[Tlem]

@FernandG
Informations rajoutées au tutoriel du Wiki.

Merci