Month: avril 2020

Abfragen gegen die Zertifizierungsstellen-Datenbank schlagen fehl mit Fehlermeldung „0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“

Supposons le scénario suivant :

  • Man führt eine Abfrage gegen die Zertifizierungsstellen-Datenbank aus.
  • Die Abfrage schlägt mit folgender Fehlermeldung fehl:
CertUtil: -view command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Continuer la lecture de « Abfragen gegen die Zertifizierungsstellen-Datenbank schlagen fehl mit Fehlermeldung „0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“ »

Exportieren archivierter privater Schlüssel aus der Zertifizierungsstellen-Datenbank

Wenn die Archivierung privater Schlüssel aktiviert wurde, kann es unter Umständen erforderlich sein, diese Schlüssel aus der Zertifizierungsstellen-Datenbank zu exportieren und in ein anderes Format (PKCS#12, PFX) umzuwandeln, beispielsweise für eine Langzeitarchivierung.

Nachfolgend eine Beschreibung der Vorgehensweise für den Export einzelner oder aller archivierten Schlüssel sowie der Gewinnung der notwendigen Metainformationen.

Continuer la lecture de « Exportieren archivierter privater Schlüssel aus der Zertifizierungsstellen-Datenbank »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)“ »

Mettre une autorité de certification intégrée à Active Directory (Enterprise Certification Authority) en mode maintenance

Si l'on souhaite effectuer des travaux de maintenance, par exemple Migration vers un autre serveur ou effectuer des modifications de configuration importantes nécessitant un test de fonctionnement sur une autorité de certification, on souhaite que le service d'autorité de certification fonctionne, mais on veut en même temps éviter que des certificats soient automatiquement demandés à l'autorité de certification et délivrés par celle-ci pendant cette phase.

Continuer la lecture de « Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen »

Consulter et supprimer le cache d'adresses des listes de blocage (CRL URL Cache)

Toutes les applications qui utilisent le Microsoft Cryptographic Application Programming Interface Version 2 (Crypto API Version 2, CAPI2) ont un mécanisme de mise en cache des informations de révocation des certificats (Listes de blocage des certificats et OCSP-réponses).

Il n'est donc pas possible de garantir, par exemple, qu'une liste de blocage nouvellement publiée sera utilisée par les participants avant que la liste de blocage précédente, qui se trouve encore dans la mémoire cache, n'ait expiré.

Nous décrivons ci-dessous comment consulter et influencer le cache de la liste de blocage.

Continuer la lecture de « Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen »

Quelle est l'influence de la révocation d'un certificat d'autorité de certification sur l'autorité de certification ?

Les conséquences de la révocation d'un des certificats d'une autorité de certification sur le fonctionnement de l'autorité de certification sont décrites ci-dessous.

Ce cas peut également se produire de manière planifiée, par exemple lorsqu'une hiérarchie d'autorités de certification précédente doit être mise hors service.

Continuer la lecture de « Welchen Einfluss hat der Widerruf eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle? »

Quelle est l'influence des informations de révocation erronées d'un certificat d'autorité de certification sur l'autorité de certification ?

Les conséquences sur le fonctionnement de l'autorité de certification de l'impossibilité de récupérer les informations de verrouillage pour l'un des certificats d'autorité de certification de l'autorité de certification sont décrites ci-dessous.

Ce cas peut également se produire de manière planifiée, par exemple lorsqu'une hiérarchie d'autorités de certification précédente doit être mise hors service.

Continuer la lecture de « Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle? »

Quel est l'impact du retrait du statut de confiance d'un certificat d'autorité de certification racine sur l'autorité de certification ?

Les conséquences sur le fonctionnement de l'autorité de certification sont décrites ci-dessous si l'un des certificats d'autorité de certification racine dont est issu l'un des certificats d'autorité de certification se voit retirer son statut de confiance ou n'a jamais eu ce statut.

Ce cas peut également se produire de manière planifiée, par exemple lorsqu'une hiérarchie d'autorités de certification précédente doit être mise hors service.

Continuer la lecture de « Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle? »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)".

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)“ »

La demande de certificat échoue avec le message d'erreur "The certificate request could not be submitted to the certification authority. Error : The RPC server is unavailable. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE)"

Supposons le scénario suivant :

  • Un utilisateur ou un ordinateur demande un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • La demande de certificat échoue avec le message d'erreur suivant :
The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)“ »

La demande de certificat échoue avec le message d'erreur "Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA)"

Supposons le scénario suivant :

  • Un utilisateur demande un certificat à une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Le modèle de certificat est configuré pour l'archivage des clés privées.
  • La demande de certificat échoue avec le message d'erreur suivant :
Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Cannot archive private key. The certification authority could not verify one or more key recovery certificates. 0x8009400b (-2146877429 CERTSRV_E_NO_VALID_KRA)“ »

Après l'installation ou la migration d'une autorité de certification sur un nouveau serveur, il n'est plus possible de publier ses propres modèles de certificats.

Supposons le scénario suivant :

Continuer la lecture de « Nach Installation oder Migration einer Zertifizierungsstelle auf einen neuen Server können keine eigenen Zertifikatvorlagen mehr veröffentlicht werden »

Les clients connectés via un réseau privé virtuel (VPN) ne renouvellent pas automatiquement leurs certificats

Supposons le scénario suivant :

  • Les ordinateurs clients obtiennent automatiquement des certificats d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Les certificats expirés sont automatiquement renouvelés lorsque les clients se trouvent sur le réseau interne.
  • Toutefois, les certificats expirés ne sont pas renouvelés automatiquement lorsque les clients sont connectés via un réseau privé virtuel (VPN).
  • Cela peut avoir pour conséquence que les clients ne renouvellent pas leur certificat à temps avant son expiration et ne peuvent plus se connecter au VPN.
Continuer la lecture de « Über Virtual Private Network (VPN) verbundene Clients erneuern Zertifikate nicht automatisch »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais