Month: mars 2020

La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "WS_E_SERVER_REQUIRES_NEGOTIATE_AUTH".

Supposons le scénario suivant :

  • Un Certificate Enrollment Web Service (CES) est mis en œuvre sur le réseau.
  • Une demande de certificat est envoyée au CES.
  • La demande de certificat échoue avec le message d'erreur suivant :
The remote endpoint requires HTTP authentication scheme 'negotiate'. 0x803d001f (-2143485921 WS_E_SERVER_REQUIRES_NEGOTIATE_AUTH)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode „WS_E_SERVER_REQUIRES_NEGOTIATE_AUTH“ »

La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "WS_E_INVALID_FORMAT".

Supposons le scénario suivant :

  • Un Certificate Enrollment Web Service (CES) est mis en œuvre sur le réseau.
  • Une demande de certificat est envoyée au CES.
  • La demande de certificat échoue avec le message d'erreur suivant :
An error occurred while obtaining certificate enrollment policy.

Url: https://m2core01.lab2m2.local:443/Policy/Kerberos/service.svc/CEP

Error: The input data was not in the expected format or did not have the expected value. 0x803d0000 (-2143485952 WS_E_INVALID_FORMAT)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode „WS_E_INVALID_FORMAT“ »

La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "WS_E_ENDPOINT_NOT_FOUND".

Supposons le scénario suivant :

  • Un Certificate Enrollment Web Service (CES) est mis en œuvre sur le réseau.
  • Une demande de certificat est envoyée au CES.
  • La demande de certificat échoue avec le message d'erreur suivant :
The remote endpoint does not exist or could not be located. 0x803d000d (-2143485939 WS_E_ENDPOINT_NOT_FOUND)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit dem Fehlercode „WS_E_ENDPOINT_NOT_FOUND“ »

La création d'une politique d'enregistrement des certificats (Enrollment Policy) pour le Certificate Enrollment Policy Web Service (CEP) échoue avec le code d'erreur "WS_E_INVALID_FORMAT".

Supposons le scénario suivant :

  • Un service web Certificate Enrollment Policy (CEP) est mis en œuvre sur le réseau.
  • Une politique d'affiliation est configurée.
  • Le test de connexion échoue avec le message d'erreur suivant : 
Error: The input data was not in the expected format or did not have the expected value. 0x803d0000 (-2143485952 WS_E_INVALID_FORMAT)
Continuer la lecture de « Die Erstellung einer Zertifikatregistrierungsrichtlinie (Enrollment Policy) für den Certificate Enrollment Policy Web Service (CEP) schlägt fehl mit dem Fehlercode „WS_E_INVALID_FORMAT“ »

Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un compte de service gMSA (Group Managed Service Account)

Pour des raisons de sécurité, il peut être préférable de faire fonctionner NDES avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »

Activer la journalisation de débogage pour le service d'enregistrement des périphériques réseau (NDES)

Si l'on essaie de trouver une erreur dans le Network Device Enrollment Service (NDES), il est utile d'activer le Debug Logging.

Continuer la lecture de « Debug Protokollierung für den Registrierungsdienst für Netzwerkgeräte (NDES) aktivieren »

Modifier le mot de passe statique du Network Device Enrollment Service (NDES)

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Le serveur NDES est configuré pour utiliser un mot de passe statique.
  • Le mot de passe statique doit être modifié.
Continuer la lecture de « Das statische Passwort des Network Device Enrollment Service (NDES) ändern »

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • L'erreur HTTP 500 (Internal Server Error) est signalée lors de l'appel de la page web de demande NDES (mscep) et de la page web d'administration NDES (certsrv/mscep_admin).
  • Il s'agit de la Événement n° 2 enregistré dans le journal des événements de l'application : 
The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified.
Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified.“ »

Renouveler les certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)

Lorsque NDES est en service depuis un certain temps (typiquement deux ans), on est confronté au défi de renouveler les certificats Registration Authority (RA). Ce processus n'est malheureusement pas forcément résolu de manière intuitive et est donc décrit plus en détail dans cet article.

Continuer la lecture de « Die Registration Authority (RA) Zertifikate für den Registrierungsdienst für Netzwerkgeräte (NDES) erneuern »

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • L'erreur HTTP 500 (Internal Server Error) est signalée lors de l'appel de la page web de demande NDES (mscep) et de la page web d'administration NDES (certsrv/mscep_admin).
  • Les événements n 2 et 10 enregistré dans le journal des événements de l'application :
The Network Device Enrollment Service cannot be started (0x80070057). The parameter is incorrect.
The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect.
Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect.“ »

Configurer le Network Device Enrollment Service (NDES) pour qu'il fonctionne sans mot de passe

Il existe des situations dans lesquelles il n'est pas possible d'utiliser un NDES avec des mots de passe changeants. C'est généralement le cas lorsqu'il n'existe pas de solution de gestion pour les appareils à gérer ou lorsque celle-ci ne peut pas gérer les mots de passe changeants. Certaines solutions ne peuvent pas du tout gérer un mot de passe.

Dans ce cas, on peut configurer NDES pour qu'il ne génère ni ne demande de mot de passe.

Continuer la lecture de « Den Network Device Enrollment Service (NDES) für den Betrieb ohne Passwort konfigurieren »

Principes de base des infrastructures à clés publiques (PKI)

Une infrastructure à clé publique comprend tous les composants (matériel, logiciel, personnes et processus) nécessaires à l'utilisation de certificats numériques. Une PKI se compose d'une ou de plusieurs autorités de certification (CA). Les tâches d'une PKI sont notamment les suivantes

  • garantir l'authenticité des clés, c'est-à-dire établir un lien compréhensible entre une clé et son origine afin d'empêcher tout abus
  • la révocation des certificats, c'est-à-dire s'assurer que les clés mises hors service ou compromises (par exemple volées) ne peuvent plus être utilisées
  • Garantie de l'obligation (non-répudiation), c'est-à-dire, par exemple, que le propriétaire d'une clé ne peut pas nier qu'elle lui appartient.
  • Imposer des directives (en anglais policies), c'est-à-dire des procédures standardisées pour l'utilisation des certificats.
Continuer la lecture de « Grundlagen Public Key Infrastrukturen (PKI) »

Bases de la cryptographie

La nécessité d'utiliser la cryptographie peut être résumée par l'idée de garantir une communication sûre en présence de tiers non fiables. Les objectifs de la cryptographie sont

  1. Empêcher que les données ne tombent entre des mains non autorisées (Garantir la confidentialité des données).
  2. Déterminer si les données ont été modifiées pendant le transport (garantir l'intégrité des données).
  3. Déterminer clairement la source des données (Garantir l'authenticité des données).
  4. En outre, les utilisateurs ou les ordinateurs peuvent s'authentifier à l'aide de la cryptographie.
Continuer la lecture de « Grundlagen Kryptographie »

Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un mot de passe statique

Il existe des situations dans lesquelles il n'est pas possible d'utiliser un NDES avec des mots de passe changeants. C'est généralement le cas lorsqu'il n'existe pas de solution de gestion pour les appareils à gérer ou lorsque celle-ci ne peut pas gérer les mots de passe changeants.

Dans ce cas, on peut configurer NDES pour qu'il génère un mot de passe statique qui ne change plus par la suite.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren »

Création d'une carte à puce virtuelle dans un système invité Hyper-V

Pour les environnements de test, il est souvent utile de pouvoir travailler avec des cartes à puce. Voici un petit guide sur la manière de mettre en place une carte à puce virtuelle dans un invité Hyper-V à l'aide d'un module de plate-forme de confiance (TPM) virtualisé.

Continuer la lecture de « Erstellen einer virtuellen Smartcard in einem Hyper-V Gastsystem »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais