Supposons le scénario suivant :
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA). Denied by Policy Module.Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“ »
Au plus tard lorsque le Fin du support du produit par le fabricant (Microsoft) approche, la question se pose de savoir comment et vers quel système d'exploitation une autorité de certification doit migrer.
Continuer la lecture de « Windows Server Migrations-Matrix für die Zertifizierungsstelle »Souvent, une autorité de certification a une durée de vie nettement plus longue que le serveur sur lequel elle a été installée. Les raisons pouvant justifier la migration de l'autorité de certification vers un nouveau serveur, c'est-à-dire en conservant les données, peuvent être les suivantes :
La procédure de migration est décrite en détail ci-dessous.
Continuer la lecture de « Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server »Chaque système d'exploitation Windows Server a une date de fin définie à partir de laquelle le fabricant ne fournit plus d'assistance pour le produit. Les autorités de certification sont également liées à cette date et doivent donc être migrées avant cette date.
Continuer la lecture de « Ende der Produkt-Unterstützung durch den Hersteller (Microsoft) »La délégation est toujours nécessaire lorsqu'il existe un intermédiaire entre l'utilisateur et le service proprement dit. Dans le cas de l'enregistrement Web de l'autorité de certification, ce serait le cas si celui-ci était installé sur un serveur distinct. Il servirait alors d'intermédiaire entre le demandeur et l'autorité de certification.
Continuer la lecture de « Grundlagen und Risikobetrachtung Delegierungseinstellungen »Après l'installation d'un serveur de stratégie d'enregistrement de certificats (Certificate Enrollment Policy Web Service, CEP) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.
Continuer la lecture de « Funktionstest durchführen für den Certificate Enrollment Policy Web Service (CEP) »Supposons le scénario suivant :
Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „Object was not found. 0x80090011 (-2146893807 NTE_NOT_FOUND)“ »
Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.
Continuer la lecture de « Konfiguration der Überwachung von Sicherheitsereignissen (Auditierungseinstellungen) für Zertifizierungsstellen »Dès qu'une stratégie de groupe avec des paramètres d'audit est active, les règles d'audit standard préconfigurées avec le système d'exploitation sont désactivées et seuls les paramètres d'audit explicitement configurés sont appliqués.
Continuer la lecture de « Standard-Auditierungsregeln für Windows Server Betriebssysteme »Pour un test de fonctionnement ou lors d'une recherche d'erreur, il peut être utile de vérifier si la clé privée d'un certificat est utilisable. Si la clé est par exemple sécurisée par un module de sécurité matériel (HSM), il y a nettement plus de dépendances et de possibilités d'erreurs que pour une clé logicielle.
Continuer la lecture de « Überprüfen der Verbindung zum privaten Schlüssel eines Zertifikate (z.B. bei Einsatz eines Hardware Security Moduls) »Après l'installation d'une autorité de certification, après la migration vers un nouveau serveur ou après des travaux de maintenance importants, un test fonctionnel complet doit être effectué afin de s'assurer que tous les composants de l'autorité de certification fonctionnent comme prévu.
Continuer la lecture de « Funktionstest durchführen für eine Zertifizierungsstelle »Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Dans certains cas (par exemple, dans le cas d'une autorité de certification hors ligne ou si des points de distribution de listes de révocation LDAP non conformes à la norme ont été configurés), la liste de révocation des certificats doit être publiée manuellement dans Active Directory.
Continuer la lecture de « Veröffentlichen einer Zertifikatsperrliste (CRL) auf einem Active Directory Sperrlistenverteilungspunkt (CDP) »Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Une fois qu'un certificat a été révoqué, une nouvelle liste de révocation doit être créée et publiée afin que les entités qui vérifient le statut de révocation soient informées de la révocation. La liste de révocation ayant une date d'expiration relativement courte, elle doit être réémise à intervalles réguliers, même si son contenu n'a pas changé.
Continuer la lecture de « Erstellen und Veröffentlichen einer Zertifikatsperrliste »Il est parfois nécessaire qu'un certificat délivré par une autorité de certification soit retiré avant sa date d'expiration. Pour ce faire, une autorité de certification tient à jour une liste de révocation. Il s'agit d'un fichier signé avec une date d'expiration relativement courte, qui est utilisé en combinaison avec le certificat pour vérifier sa validité.
Lorsqu'un certificat est révoqué, son numéro de série est ajouté à la liste de révocation. Les entités qui vérifient la révocation d'un certificat le considèrent alors comme non valide.
Continuer la lecture de « Widerrufen eines ausgestellten Zertifikats »Supposons que l'on implémente le modèle de hiérarchisation administrative Active Directory (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de renforcement comparables sur ses serveurs, cela a des répercussions sur les composants CES.
Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Zertifikatregistrierungs-Webdienst (CES) »
Français 
Deutsch 
English