Month: février 2020

Le répondeur en ligne (OCSP) demande de nouveaux certificats de signature toutes les quatre heures

Supposons le scénario suivant :

  • Les répondeurs en ligne sont configurés pour demander des certificats de signature à partir d'un modèle de certificat d'une autorité de certification intégrée à Active Directory.
  • Les répondeurs en ligne demandent un nouveau certificat de signature à intervalles réguliers (toutes les quatre heures), bien que le certificat existant soit encore valable suffisamment longtemps.
Continuer la lecture de « Der Onlineresponder (OCSP) beantragt alle vier Stunden neue Signaturzertifikate »

Transfert des listes de révocation de certificats vers les points de distribution de la liste de révocation à l'aide de SSH Secure Copy (SCP) avec authentification par clé publique (Windows Server 2019)

Si les serveurs qui fournissent les points de distribution des listes de blocage se trouvent par exemple dans une zone démilitarisée (DMZ) ou si, pour d'autres raisons, le transfert de données via Server Message Block (SMB) n'est pas possible, les listes de blocage peuvent être transférées sur les points de distribution à l'aide de SSH Secure Copy (SCP). Depuis Windows Server 2019, il existe les paquets serveur et client OpenSSH. L'installation avec authentification par clé publique (Public Key Authentication) au lieu de mots de passe est décrite ci-dessous à titre d'exemple

Continuer la lecture de « Übertragen der Zertifikatsperrlisten auf die Sperrlistenverteilpunkte mit SSH Secure Copy (SCP) mit Authentifizierung über öffentliche Schlüssel (Windows Server 2019) »

Requêtes avancées par rapport à la base de données des autorités de certification

La base de données des autorités de certification stocke une grande partie des informations sur les activités d'une autorité de certification. Elle contient entre autres des informations sur

  • Certificats délivrés
  • Certificats révoqués
  • Listes de blocage publiées
  • Demandes de certificats en attente
  • Demandes de certificats refusées
  • Échec de la demande de certificat

La consultation du contenu de la base de données de l'autorité de certification se fait généralement via la console de gestion de l'autorité de certification (certsrv.msc), mais les possibilités d'évaluation et surtout de traitement automatique sont très limitées.

Continuer la lecture de « Erweiterte Abfragen gegen die Zertifizierungsstellen-Datenbank »

La demande de certificat échoue avec le message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Le scénario suivant :

  • Un utilisateur obtient un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Le certificat de l'autorité de certification est fiable, c'est-à-dire qu'il se trouve dans le magasin des autorités de certification racine de confiance (Trusted Root Certification Authorities).
  • La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

Autorisations de sécurité Windows requises pour le service d'enregistrement des périphériques réseau (NDES)

Supposons que l'on mette en œuvre le modèle de hiérarchisation administrative (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de durcissement comparables sur ses serveurs, cela aura des répercussions sur les composants NDES.

Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Registrierungsdienst für Netzwerkgeräte (NDES) »

La demande de certificat échoue avec le message d'erreur "The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).". Lors de l'importation de fichiers PFX, la clé privée est manquante.

Le scénario suivant :

  • L'importation d'un fichier PFX semble réussie, mais la clé privée manque ensuite. Une vérification avec certutil se solde par un message d'erreur "Missing stored keyset".
  • La demande d'un certificat sur un client échoue avec le message d'erreur suivant :
The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. 0x80090345 (-2146892987 SEC_E_DELEGATION_REQUIRED).“. Beim Import von PFX-Dateien fehlt der private Schlüssel. »

La demande de certificat pour les contrôleurs de domaine échoue avec le message d'erreur "The RPC server is unavailable. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE)".

Le scénario suivant :

  • La demande de certificat pour un contrôleur de domaine échoue.
  • Auf der Zertifizierungsstelle wird die Zertifikatanforderung bei den fehlgeschlagenen Anforderungen (failed Requests) protokolliert. Die Fehlermeldung lautet:
The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Beantragung eines Zertifikats für Domänencontroller schlägt fehl mit Fehlermeldung „The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)“ »

Les sauvegardes incrémentielles de la base de données des autorités de certification échouent avec le message d'erreur "The database missed a previous full backup before incremental backup".

Supposons le scénario suivant :

  • On utilise certutil.exe ou le commandlet PowerShell Backup-CAService pour sauvegarder sa base de données Active Directory Certificate Services.
  • En plus d'une sauvegarde complète, on effectue également des sauvegardes incrémentielles régulières de la base de données CA.
  • Les sauvegardes incrémentielles échouent avec le message d'erreur "The database missed a previous full backup before incremental backup".
Incremental database backup for…
 Backing up Log files: 0%CertUtil: -backupDB command FAILED: 0xc8000230 (ESE: -560 JET_errMissingFullBackup)
 CertUtil: The database missed a previous full backup before incremental backup
Continuer la lecture de « Inkrementelle Sicherungen der Zertifizierungsstellen-Datenbank schlagen fehl mit der Fehlermeldung „The database missed a previous full backup before incremental backup“ »

La demande de certificat échoue avec le message d'erreur "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted".

Supposons le scénario suivant :

  • On essaie de demander un certificat à une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Pour ce faire, on utilise la console de gestion Microsoft (MMC), soit pour l'utilisateur connecté (certmgr.msc), soit pour l'ordinateur (certlm.msc).
  • Cependant, le modèle de certificat souhaité n'est pas affiché pour être sélectionné, bien qu'il ait été correctement publié sur l'autorité de certification.
  • L'utilisateur (ou l'ordinateur) connecté dispose également des autorisations nécessaires pour demander des certificats du modèle de certificat concerné (Enroll).
  • Dans la liste des modèles de certificats disponibles au sein de la MMC, on peut afficher tous les modèles de certificats. Le modèle de certificat souhaité est indiqué :
A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais