SecurePFX
Distribuez des certificats PFX sans jamais exposer le mot de passe.
Installateurs Windows autonomes, chiffrés en AES-256, déverrouillés par un mot de passe à usage unique livré hors bande. Aucune dépendance infonuagique, aucun portail, aucun secret divulgué dans les fils de courriel.
Envoyer un certificat PFX aujourd'hui est désordonné, manuel et discrètement non sécurisé.
Toute organisation qui distribue des certificats à l'extérieur de son annuaire frappe le même mur. Le certificat est chiffré, oui, mais le mot de passe se retrouve dans un courriel, un message clavardage ou une note autocollante.
-
i.
Les mots de passe circulent en clair
Le fichier PFX est chiffré. Le mot de passe est envoyé en clair par courriel, ce qui annule le chiffrement dès que les deux messages atterrissent dans la même boîte de réception.
-
ii.
Aucune piste d'audit hors de votre tenant
Une fois le certificat sorti de votre environnement, vous n'avez aucune idée de qui l'a ouvert, ni quand, ni s'il a été réutilisé.
-
iii.
Les tiers ne peuvent pas utiliser le MDM
Intune SCEP et les outils similaires fonctionnent bien à l'intérieur de votre tenant. Ils ne servent à rien lorsque le destinataire est un fournisseur, un partenaire ou un appareil sur le terrain hors AD.
-
iv.
L'expérience destinataire est hostile
Trouver le composant certmgr, trouver le bon magasin, double-cliquer, taper un mot de passe illisible parce qu'il a été partagé en capture d'écran. Cela échoue plus souvent qu'autrement.
Nous envoyions des fichiers PFX et des mots de passe dans deux courriels, à trente minutes d'intervalle, et nous appelions cela sécurisé. SecurePFX a été conçu pour que cette pratique cesse.
Solution CifersID, note de pratique interne
Un installateur, un OTP, zéro mot de passe exposé.
SecurePFX emballe votre certificat PFX dans un installateur Windows signé. Le destinataire l'exécute, saisit un mot de passe à usage unique livré par un canal distinct, et le certificat se loge automatiquement dans le bon magasin.
Chiffré par conception
La charge utile PFX est chiffrée en AES-256-GCM au moment de la construction, le mot de passe réel du certificat n'étant jamais écrit sur disque sous une forme récupérable.
OTP déverrouillé hors ligne
Un OTP court et lisible déverrouille l'installateur. La validation se fait localement, sans rappel vers un serveur. Fonctionne sur des postes isolés et hors-réseau.
Importé automatiquement dans le bon magasin
Le certificat se loge dans le magasin LocalMachine ou CurrentUser tel que configuré à la construction. Le destinataire ne voit jamais le mot de passe, ne touche jamais à certmgr.
Quatre étapes, de la construction au certificat importé.
Emballer le certificat
L'administrateur sélectionne le PFX, fixe le magasin cible, personnalise l'installateur et génère un rapport de construction. L'OTP est créé à ce moment.
Envoyer par n'importe quel canal
L'installateur voyage par courriel, partage de fichiers, USB ou portail de téléchargement. Peu importe, la charge utile reste chiffrée au repos.
Hors bande, chemin distinct
L'OTP passe par un autre canal, par SMS, appel téléphonique ou billet interne. Séparer le secret divise le risque.
Le destinataire exécute et déverrouille
Un double-clic, une saisie d'OTP, le certificat est importé dans le magasin configuré. Un journal d'audit local est écrit pour la chaîne de garde.
Conçu pour les déploiements de production réels.
SecurePFX s'appuie sur la même expérience PKI et identité qui anime notre pratique de conseil. Chaque fonctionnalité résout un problème rencontré sur le terrain.
Validation OTP hors ligne
Aucun rappel vers un serveur. L'installateur valide l'OTP localement, idéal pour les environnements restreints, isolés ou hors-réseau.
Aucun mot de passe PFX exposé
Le mot de passe original du certificat n'apparaît jamais dans la charge utile, les journaux, ni sur disque. Seul le secret maître peut le dériver.
Journal d'audit local
Chaque installation écrit une entrée d'audit infalsifiable avec horodatage, nom d'hôte, contexte utilisateur et empreinte de l'OTP.
Écran d'accueil de marque
Votre logo, vos couleurs, votre ton. Les destinataires voient votre marque, pas un installateur générique. Signal de confiance au moment de l'exécution.
Rapport de construction PDF
Chaque construction génère un rapport PDF signé couvrant les métadonnées du certificat, les paramètres de chiffrement, l'empreinte de l'OTP et le magasin cible.
Signé Authenticode
Les installateurs sont signés avec votre certificat de signature de code. Windows SmartScreen reconnaît l'éditeur, aucun avertissement intimidant.
Magasin cible configurable
LocalMachine, CurrentUser, nom de magasin personnalisé, nom convivial personnalisé. Tout est défini à la construction, aucune configuration côté destinataire.
Secret maître côté émetteur
La racine cryptographique réside uniquement sur votre hôte de construction. La compromission d'un installateur ne compromet pas le programme.
Mode d'installation silencieux
Saisie de l'OTP en ligne de commande pour les déploiements automatisés via SCCM, Ansible ou des scripts sur des postes distants.
Deux chemins, un certificat, aucun secret partagé.
La conception cryptographique sépare la charge utile chiffrée du secret qui la déverrouille. L'installateur et l'OTP voyagent sur des canaux différents. Compromettre l'un seul ne donne rien.
Canal A, installateur
Charge utile PFX chiffrée, AES-256-GCM, dérivée du secret maître et de l'OTP.
Canal B, OTP
Hors bande, court et lisible, validé hors ligne au moment de l'installation.
Récupération
Les deux canaux doivent être compromis pour récupérer le certificat. Séparer le secret divise la surface de risque.
Conçu pour les certificats qui quittent votre tenant.
Intégration de fournisseurs et partenaires
Émettez des certificats d'authentification ou mTLS aux fournisseurs tiers qui se connectent à vos API, à votre VPN ou à vos plateformes B2B. Sans portail, sans mot de passe partagé.
Transferts de fédération avec les partenaires
Distribuez des certificats de signature SAML ou des clés de signature de jeton aux partenaires fédérés. Ils exécutent un installateur, vous consignez qui a reçu quoi et quand.
Environnements sans MDM et BYOD
Pour les postes non enrôlés dans Intune ou Jamf, SecurePFX est le pont. L'utilisateur lance l'installateur, le certificat se loge dans le bon magasin, terminé.
Provisionnement d'appareils de terrain et OT
Systèmes de contrôle industriel, kiosques et réseaux isolés où le certificat ne peut pas téléphoner à la maison. Validation hors ligne, aucune infrastructure requise.
Transfert de certificat de signature de code
Remettez un certificat de signature de code à un sous-traitant ou à un serveur de construction avec une chaîne de garde traçable. Le journal d'audit prouve qui l'a installé.
Renouvellement de certificats internes à grande échelle
Quand la rotation ADCS atteint des postes non joints au domaine, poussez un installateur SecurePFX par vos canaux existants. Aucune nouvelle architecture requise.
Déployez sur une flotte, pas une machine à la fois.
SecurePFX est livré avec un outil compagnon de déploiement, distinct, conçu pour les environnements qui doivent déployer un certificat sur plusieurs postes Windows joints au domaine en même temps. Importez une liste de noms d'hôtes, cliquez sur déployer, regardez les résultats apparaître dans une grille en direct.
Import en lot, déploiement en un clic
Glissez un fichier texte de noms de machines. L'outil met en file le déploiement, l'exécute en parallèle sur le réseau, et affiche le statut par hôte au fur et à mesure.
Grille en direct et reprise sur échec
Chaque ligne indique succès, échec ou raison. Les machines réussies disparaissent de la file. Les échecs restent pour une reprise en un clic dans la même session.
Rapport de session et chaîne de garde
Rapport HTML à la fin de chaque session couvrant les cibles, les résultats, les horodatages et l'identité de l'opérateur. Se combine avec le rapport de construction SecurePFX pour une traçabilité de bout en bout.
Les outils existants résolvent d'autres problèmes.
SCEP, MDM et les plateformes CMS sont excellents pour ce qu'ils font. Ils n'ont pas été conçus pour des transferts ponctuels de certificats à des parties hors de votre annuaire.
| Capacité | SecurePFXCifersID | Intune SCEPMicrosoft | DigiCertPortail | vSEC:CMSVersasec | SecureAuthIdP |
|---|---|---|---|---|---|
| Destinataires hors de votre AD ou tenant | Oui | Non | Portail seulement | Non | Fédération seulement |
| Aucune dépendance infonuagique ou portail | Oui | Infonuagique requise | Portail requis | Serveur requis | Infonuagique requise |
| Déploiement hors ligne en zone isolée | Oui | Non | Non | Limité | Non |
| Aucun mot de passe PFX exposé en transit | Oui | Oui | Récupération par portail | Oui | Oui |
| Piste d'audit par installation | Oui | Oui | Oui | Oui | Oui |
| Installateur autonome, double-clic | Oui | Non | Non | Flux carte à puce | Non |
| Installateur signé Authenticode | Oui | S.O. | S.O. | Oui | S.O. |
| Rapport PDF par construction | Oui | Non | Limité | Limité | Non |
| Empreinte d'installation et de licence | Un seul hôte | Lourde | Lourde | Lourde | Lourde |
Comparaison fondée sur les capacités publiques des produits au moment de la rédaction. SecurePFX est conçu pour compléter, et non pour remplacer, les plateformes CMS ou SCEP de gestion complète du cycle de vie.
Demandez une démonstration, adaptée à votre environnement.
Nous vous guidons à travers une construction, une distribution et une installation sur un certificat témoin. Trente minutes, sans diapositives, sans scripts. Les documents complémentaires et la tarification sont partagés après l'appel s'il y a adéquation.