Month: février 2020

Compactage (défragmentation) de la base de données de l'autorité de certification

Il arrive parfois que la base de données de l'autorité de certification devienne extrêmement volumineuse. Il se peut qu'un grand nombre de demandes de certificats soient arrivées sans que l'on s'en aperçoive et qu'elles aient été refusées, il se peut aussi que la base de données contienne de nombreux certificats qui ont été émis en double. Après que les entrées correspondantes ont été supprimées de la base de données des organismes de certificationSi l'espace de stockage est déjà utilisé, il faut (peut) encore libérer l'espace ainsi gagné en le comprimant dans le système de fichiers du serveur.

Continuer la lecture de « Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank »

Consultation du tableau des listes de blocage de la base de données des autorités de certification

Par défaut, l'autorité de certification enregistre toutes les listes de révocation qui n'ont pas encore expiré dans la base de données de l'autorité de certification.

Dans certaines circonstances, par exemple à cause d'un script mal configuré, de très nombreuses listes de blocage sont ainsi enregistrées dans la base de données, ce qui peut entraîner une croissance correspondante de la base de données (par exemple si de grandes listes de blocage sont recréées très souvent).

Continuer la lecture de « Einsicht in die Sperrlisten-Tabelle der Zertifizierungsstellen-Datenbank »

Pourquoi les autorités de certification intégrées à Active Directory sont-elles membres du groupe de sécurité "Pre-Windows 2000 Compatible Access" ?

Dans le cadre des mesures de renforcement de la sécurité contre le service d'annuaire Active Directory, on se demande souvent pourquoi les autorités de certification intégrées à Active Directory (Enterprise Certification Authority) sont membres du groupe de sécurité Pre-Windows 2000 Compatible Access.

Continuer la lecture de « Warum Active Directory integrierte Zertifizierungsstellen Mitglieder der „Pre-Windows 2000 Compatible Access“ Sicherheitsgruppe sind »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le serveur RPC est indisponible. 0x800706ba (Win32 : 1722 RPC_S_SERVER_UNAVAILABLE)"

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service)
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)“ »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le point de terminaison est un doublon. 0x800706cc (WIN32 : 1740 RPC_S_DUPLICATE_ENDPOINT)"

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service).
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)“ »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Insufficient access rights to perform this operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service).
  • La configuration des rôles échoue avec le message d'erreur suivant :
Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

Consultation de la liste des certificats du répondeur en ligne (OCSP) et vérification des certificats de signature

Il est parfois nécessaire de vérifier un certificat de signature d'un répondeur en ligne, par exemple lorsque la connexion au module de sécurité matériel (HSM) (s'il existe) doit être vérifiée. Lorsque les certificats sont récupérés automatiquement auprès d'une autorité de certification, le répondeur en ligne utilise son propre magasin de certificats.

Continuer la lecture de « Einsicht in den Zertifikatspeicher des Onlineresponders (OCSP) und Überprüfung der Signaturzertifikate »

certutil -dcinfo échoue avec le message d'erreur "KDC certificates : Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Supposons le scénario suivant :

  • Les contrôleurs de domaine disposent de certificats pour LDAP sur SSL.
  • Les certificats ne comprennent pas l'utilisation de la clé étendue "Smart Card Logon" ni "Kerberos Authentication".
  • Si l'on exécute certutil -dcinfo, la commande affiche le message d'erreur suivant :
0 KDC certificates for DC01
No KDC Certificate in MY store
KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
Continuer la lecture de « certutil -dcinfo schlägt fehl mit Fehlermeldung „KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Access is denied. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)".

Supposons le scénario suivant :

  • On crée une nouvelle liste de blocage sur l'autorité de certification.
  • L'autorité de certification est configurée pour publier des listes de révocation dans un chemin réseau.
  • La publication échoue avec le message d'erreur suivant :
Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Continuer la lecture de « Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung „Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "The directory name is invalid. 0x8007010b (WIN32/HTTP : 267 ERROR_DIRECTORY)"

Supposons le scénario suivant :

  • On crée une nouvelle liste de blocage sur l'autorité de certification.
  • La publication échoue avec le message d'erreur suivant :
The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)
Continuer la lecture de « Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung „The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)“ »

La publication manuelle d'une liste de révocation de certificats (CRL) dans Active Directory échoue avec le message d'erreur 0x8007202b (WIN32 : 8235 ERROR_DS_REFERRAL)

Supposons le scénario suivant :

  • Une autorité de certification racine hors ligne a été installée. Le serveur sur lequel l'autorité de certification est installée n'est pas un membre du domaine.
  • Celle-ci est configurée pour les publications de listes de blocage dans Active Directory.
  • Les listes de blocage sont téléchargées dans Active Directory à l'aide de certutil -dspublish.
  • L'opération échoue avec le message d'erreur suivant :
certutil -dspublish "ADCS Labor Root CA.crl"
 ldap:///CN=ADCS Labor Root CA,CN=ADCS Labor Root CA,CN=cdp,CN=Public Key Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint?certificateRevocationList
 ldap: 0xa: LDAP_REFERRAL: 0000202B: RefErr: DSID-03100835, data 0, 1 access points
         ref 1: 'unavailableconfigdn'
 CertUtil: -dsPublish command FAILED: 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)
 CertUtil: A referral was returned from the server.
Continuer la lecture de « Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL) »

Demande manuelle de certificat de contrôleur de domaine

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de contrôleur de domaine auprès d'une autorité de certification de sa propre structure globale Active Directory.

Dans ce cas, l'utilisation de modèles de certificats n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Domänencontroller-Zertifikats »

Utilisation de Microsoft Network Load Balancing (NLB) pour les points de distribution de la liste de blocage (CDP), l'accès aux informations sur les postes (AIA) et les répondeurs en ligne (OCSP)

C'est généralement une bonne idée de garantir à tout moment la disponibilité des points de distribution des listes de blocage (CRL Distribution Point, CDP), des informations sur les autorités (Authority Information Access, AIA) et, le cas échéant, des répondeurs en ligne (Online Responder, OCSP).

L'accès aux informations de révocation est même plus critique que l'accès à l'autorité de certification elle-même. Si le statut de révocation d'un certificat ne peut pas être vérifié, il se peut (selon l'application) que le certificat ne soit pas considéré comme fiable et que le service informatique correspondant ne puisse pas être utilisé.

Continuer la lecture de « Verwenden von Microsoft Network Load Balancing (NLB) für die Sperrlistenverteilungspunkte (CDP), den Zugriff auf Stelleninformationen (AIA) und Onlineresponder (OCSP) »

Combinaison du module SMTP Exit avec un serveur SMTP local pour une meilleure résilience

Supposons le scénario suivant :

  • L'autorité de certification est configurée uniquement pour utiliser le module de sortie SMTP afin d'envoyer des notifications par e-mail sur les événements survenus sur l'autorité de certification.
  • Le serveur SMTP configuré n'est pas toujours accessible de manière fiable, par exemple parce qu'il n'est pas conçu pour être hautement disponible.
  • En cas de panne du serveur SMTP, l'autorité de certification ne fonctionnera que très lentement, car les notifications par e-mail ne pourront pas être délivrées. Dans certaines circonstances, le service de l'autorité de certification ne pourra plus démarrer.
Continuer la lecture de « Kombinieren des SMTP Exit Moduls mit einem lokalen SMTP-Server für erhöhte Ausfallsicherheit »

Désactiver le module de sortie SMTP d'une autorité de certification

Supposons le scénario suivant :

  • L'autorité de certification est configurée uniquement pour utiliser le module de sortie SMTP afin d'envoyer des notifications par e-mail sur les événements survenus sur l'autorité de certification.
  • Le serveur SMTP configuré n'est pas accessible, par exemple en raison d'une panne.

Dans ce cas, le module de sortie ne peut pas délivrer les notifications par e-mail. Il se met en time-out et l'autorité de certification ne fonctionnera plus que très lentement.

Continuer la lecture de « Deaktivieren des SMTP Exit-Moduls einer Zertifizierungsstelle »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais