Partager via

Méthode ProtectKeyWithCertificateFile de la classe Win32_EncryptableVolume

  • Article

La méthode ProtectKeyWithCertificateFile de la classe Win32_EncryptableVolume valide l’identificateur d’objet EKU (Enhanced Key Usage) (OID) du certificat fourni.

Syntaxe

uint32 ProtectKeyWithCertificateFile(
  [in, optional] string FriendlyName,
  [in]           string FileName,
  [out]          string VolumeKeyProtectorID
);

Paramètres

FriendlyName [in, optional]

Type : chaîne

Chaîne qui spécifie un identificateur de chaîne affecté par l’utilisateur pour ce protecteur de clé. Si ce paramètre n’est pas spécifié, le paramètre FriendlyName est créé à l’aide du nom de l’objet dans le certificat.

FileName [in]

Type : chaîne

Chaîne qui spécifie l’emplacement et le nom du fichier .cer utilisé pour activer BitLocker. Un certificat de chiffrement doit être exporté au format .cer (Distinguished Encoding Rules (DER) encodé en binaire X.509 ou X.509 codé en base 64). Le certificat de chiffrement peut être généré à partir de l’infrastructure à clé publique Microsoft, d’une infrastructure à clé publique tierce ou de l’auto-signé.

VolumeKeyProtectorID [out]

Type : chaîne

Chaîne qui identifie de manière unique le protecteur de clé créé qui peut être utilisé pour gérer ce protecteur de clé.

Si le lecteur prend en charge le chiffrement matériel et que BitLocker n’a pas pris la propriété de la bande, la chaîne d’ID est définie sur « BitLocker » et le protecteur de clé est écrit dans les métadonnées par bande.

Valeur retournée

Type : uint32

Cette méthode retourne l’un des codes suivants ou un autre code d’erreur en cas d’échec.

Code/valeur de retour Description
S_OK
0 (0x0)
 La méthode a réussi.
FVE_E_NON_BITLOCKER_OID
2150695022 (0x8031006E)
 L’attribut EKU du certificat spécifié ne permet pas de l’utiliser pour le chiffrement de lecteur BitLocker. BitLocker ne nécessite pas qu’un certificat ait un attribut EKU, mais s’il est configuré, il doit être défini sur un OID qui correspond à l’OID configuré pour BitLocker.
FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED
2150695026 (0x80310072)
 stratégie de groupe n’autorise pas l’utilisation de certificats utilisateur, tels que les cartes à puce, avec BitLocker.
FVE_E_POLICY_USER_CERT_MUST_BE_HW
2150695028 (0x80310074)
 stratégie de groupe nécessite que vous fournissiez un carte intelligent pour utiliser BitLocker.
FVE_E_POLICY_PROHIBITS_SELFSIGNED
2150695046 (0x80310086)
 stratégie de groupe n’autorise pas l’utilisation de certificats auto-signés.
ERROR_FILE_NOT_FOUND
0000000002 (0x2)
 Le système ne trouve pas le fichier spécifié.

 

Notes

Si l’OID ne correspond pas à celui associé au contrôleur de service dans le Registre, cette méthode échoue. Cela empêche l’utilisateur de définir manuellement des protecteurs d’agent de récupération de données (DRA) sur le volume. Les DBA doivent uniquement être définis par le service.

Spécifications

Condition requise Valeur
Client minimal pris en charge
 Windows 7 Entreprise, Windows 7 Édition Intégrale [applications de bureau uniquement]
Serveur minimal pris en charge
 Windows Server 2008 R2 [applications de bureau uniquement]
Espace de noms
 Root\CIMV2\Security\MicrosoftVolumeEncryption
MOF
Win32_encryptablevolume.mof

Voir aussi

Win32_EncryptableVolume