Pour que les contrôleurs de domaine puissent traiter les inscriptions par carte à puce, ils ont besoin de certificats qui fournissent cette fonction.
Continuer la lecture de « Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung »Month: mars 2020
(Ré)installation des modèles de certificats Microsoft Standard
Il peut y avoir des cas où il est nécessaire d'installer les modèles de certificats Microsoft standard avant d'installer la première autorité de certification intégrée à Active Directory (Enterprise Certification Authority) ou de réinstaller les modèles, par exemple parce qu'ils ont été endommagés ou modifiés d'une autre manière.
Continuer la lecture de « (Neu-) Installieren der Microsoft Standard Zertifikatvorlagen »Modifier l'objet NTAuthCertificates dans Active Directory
Dans la configuration standard, tous les certificats d'autorité de certification des autorités de certification intégrées dans Active Directory (Enterprise Certification Authority) se trouvent dans un objet de type CertificationAuthority appelé NTAuthCertificates au sein de la partition Configuration de l'arborescence globale d'Active Directory.
Continuer la lecture de « Bearbeiten des NTAuthCertificates Objektes im Active Directory »Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce
Pour simplifier, on peut réduire la cryptographie à clé publique à l'hypothèse que la partie privée de chaque paire de clés n'est connue que de son propriétaire.
Une autorité de certification est responsable de l'identification correcte des utilisateurs, des ordinateurs ou des ressources. Les certificats qu'elle délivre bénéficient donc d'un statut de confiance, car tous les participants supposent que leur clé privée n'est connue que d'elle.
Si un attaquant parvient à prendre connaissance de la clé privée d'une autorité de certification, ou au moins d'effectuer des signatures au moyen de la clé privéeL'intégrité de l'autorité de certification n'est plus garantie.
Continuer la lecture de « Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus »Principes de base : limiter l'utilisation de la clé étendue (Extended Key Usage, EKU) dans les certificats d'autorité de certification
Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.
En cas de compromission de l'autorité de certification, le dommage est alors (tout de même) limité aux Extended Key Usages définis.
Le Smart Card Logon Extended Key Usage, intéressant pour de nombreuses attaques (en relation avec l'adhésion de l'autorité de certification à NTAuthCertificates) ne serait alors présent que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement de tels certificats.
Continuer la lecture de « Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten »Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword".
Supposons le scénario suivant :
- Un serveur NDES est configuré sur le réseau.
- Le serveur NDES est configuré pour fonctionner avec un mot de passe statique.
- Lors de l'appel de la page web d'administration NDES (certsrv/mscep_admin), les utilisateurs sont toujours invités à s'authentifier malgré des données de connexion correctes.
- L'événement suivant est enregistré dans le journal des événements de l'application :
The Network Device Enrollment Service cannot create or modify the registry key "Software\Microsoft\Cryptography\MSCEP\EncryptedPassword". Grant Read and Write permissions on the registry key "Software\Microsoft\Cryptography\MSCEP" to the account that the Network Device Enrollment Service is running as.Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword.“ »
La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "You do not have sufficient permission to enroll with SCEP. Veuillez contacter votre administrateur système".
Supposons le scénario suivant :
- Un serveur NDES est configuré sur le réseau.
- Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :
You do not have sufficient permission to enroll with SCEP. Please contact your system administrator.
Continuer la lecture de « Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet „You do not have sufficient permission to enroll with SCEP. Please contact your system administrator.“ » Lors de l'appel de la page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin), on est toujours invité à se connecter.
Supposons le scénario suivant :
- Un serveur NDES est configuré sur le réseau.
- Le serveur NDES est appelé sous un alias DNS.
- Malgré la saisie correcte des données de connexion, on est toujours invité à se connecter à nouveau lors de l'appel de la page web d'administration NDES (certsrv/mscep_admin).
La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "CMSCEPSetup::Install : The system cannot find the path specified. 0x80070003 (WIN32 : 3 ERROR_PATH_NOT_FOUND)".
Supposons le scénario suivant :
- On installe un serveur NDES (Network Device Enrollment Service).
- La configuration des rôles échoue avec le message d'erreur suivant :
CMSCEPSetup::Install: The system cannot find the path specified. 0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „CMSCEPSetup::Install: The system cannot find the path specified. 0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)“ »
La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "The password cache is full".
Supposons le scénario suivant :
- Un serveur NDES est configuré sur le réseau.
- Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :
The password cache is full.Continuer la lecture de « Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet „The password cache is full.“ »
Quelles sont les longueurs de clé à utiliser pour les autorités de certification et les certificats ?
Lors de la planification d'une infrastructure à clé publique, la question se pose naturellement de savoir quelles longueurs de clé il convient de choisir pour les certificats d'autorité de certification et les certificats finaux.
Continuer la lecture de « Welche Schlüssellängen sollten für Zertifizierungsstellen und Zertifikate verwendet werden? »Génération d'une demande de certificat conforme à la RFC 2818 pour les certificats SSL
Google est très actif avec le projet Chromium et les produits basés sur ce dernier, tels que Google Chrome et Microsoft Edge ont commencé à appliquer la loi sur la protection des données adoptée en 2000. RFC 2818 et de ne plus faire confiance aux certificats qui ne satisfont plus au RFC.
Pour nous, la phrase suivante est d'une grande acuité :
Continuer la lecture de « Erzeugen einer RFC 2818 konformen Zertifikatanforderung für SSL Zertifikate »Si une extension subjectAltName de type dNSName est présente, elle DOIT être utilisée comme identité. Sinon, le champ Nom commun (le plus spécifique) dans le champ Sujet du certificat DOIT être utilisé. Bien que l'utilisation du nom commun soit une pratique existante, elle est dépréciée et les autorités de certification sont encouragées à utiliser le dNSName à la place.
https://tools.ietf.org/html/rfc2818
Configurer un modèle de périphérique pour le service d'enregistrement des périphériques réseau (NDES)
Par défaut, le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) demande des certificats à partir du modèle "IPsec (Offline Request)". Ce modèle de certificat date de l'époque de Windows 2000 et ne peut pas être modifié. C'est pourquoi il est recommandé de modifier les paramètres par défaut et d'utiliser ses propres modèles de certificats, qui répondent aux exigences personnelles.
Continuer la lecture de « Gerätevorlage für den Registrierungsdienst für Netzwerkgeräte (NDES) konfigurieren »Activer le SSL (Secure Sockets Layer) pour le service d'enregistrement des périphériques réseau (NDES)
Dans la configuration standard, le Network Device Enrollment Service (NDES) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer au moins la page web d'administration de NDES pour HTTP via TLS (HTTPS) afin de rendre plus difficile l'enregistrement du trafic réseau. Vous trouverez ci-dessous des instructions à ce sujet.
Pour un examen plus approfondi de la nécessité d'utiliser SSL, voir l'article "Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?„ .
Continuer la lecture de « Secure Sockets Layer (SSL) für den Registrierungsdienst für Netzwerkgeräte (NDES) aktivieren »Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification
Supposons le scénario suivant :
- Une instance NDES est installée sur le réseau.
- L'autorité de certification délivrant des NDES doit être modifiée.
La déclaration officielle à ce sujet est que, dans ce cas, NDES doit être réinstallé et configuré. Cela n'est toutefois pas nécessaire. Les étapes nécessaires sont décrites ci-dessous.
Continuer la lecture de « Network Device Enrollment Service (NDES) auf eine andere Zertifizierungsstelle umziehen »
Français 
Deutsch 
English