Mois : mai 2020

Configurer le service Web d'inscription aux certificats (CES) pour une utilisation avec un compte de service géré par le groupe (gMSA)

Pour des raisons de sécurité, il peut être judicieux d'utiliser le CES avec un compte de service géré par le groupe (gMSA) plutôt qu'avec un compte de domaine normal. Cette option offre l'avantage intéressant de modifier automatiquement le mot de passe du compte, ce qui évite d'avoir à effectuer cette opération manuellement, une étape qui est malheureusement trop souvent oubliée.

Continuer la lecture de « Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »

Planification de la validité des certificats et de la période de renouvellement des certificats d'entité finaux avec auto-enrollment

Si l'auto-enrollment est utilisé, les participants demandent eux-mêmes des certificats et les renouvellent également de manière autonome.

En ce qui concerne la validité des certificats et la période de leur renouvellement automatique, il existe deux valeurs qui peuvent être configurées dans l'onglet „General“ d'un modèle de certificat :

  • Période de validité (Validity period) : Décrit la durée de validité totale du certificat délivré.
  • Période de renouvellement (Renewal period) : Décrit à partir de quelle fenêtre, considérée à rebours de la date d'expiration du certificat, le renouvellement automatique est tenté pour la première fois (par ex. 6 semaines avant l'expiration).
Continuer la lecture de « Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment »

Les certificats de contrôleur de domaine ne contiennent pas le nom de domaine dans le Subject Alternative Name (SAN).

Supposons le scénario suivant :

  • Les certificats pour les contrôleurs de domaine sont émis par une autorité de certification intégrée à Active Directory (Enterprise CA).
  • Le modèle de certificat utilisé à cet effet a été créé par nos soins.
  • Les certificats émis contiennent uniquement le nom complet de l'ordinateur du contrôleur de domaine correspondant dans le champ Subject Alternative Name (SAN), mais pas le nom complet et le nom NETBIOS du domaine.
Continuer la lecture de « Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN) »

La demande de certificat d'autorité de certification échoue avec le message d'erreur „The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“.“

Supposons le scénario suivant :

  • Un certificat d'autorité de certification est demandé à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
Continuer la lecture de « Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“ »

Configurer la contrainte de longueur de chemin (Path Length Constraint) pour les certificats émis par une autorité de certification

Pour renforcer le contrôle sur les certificats pouvant être délivrés par une autorité de certification, il est possible de mettre en place une restriction de longueur de chemin (Path Length Constraint) afin que les autorités de certification situées au-dessus d'un certain niveau hiérarchique ne puissent plus délivrer de certificats d'autorité de certification subordonnés.

Pour une explication du fonctionnement de la limitation de la longueur du chemin, voir l'article „ Principes fondamentaux : contrainte de longueur de chemin (Path Length Constraint) “.

Continuer la lecture de « Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren »

Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)

Pour utiliser des certificats de bureau à distance, il est nécessaire de configurer un modèle de certificat approprié.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate »

Identification du certificat Remote Desktop (RDP) actif

Si l'on a une Modèle de certificat pour les certificats de bureau à distance et une Politique de groupe correspondante configuré, ou Attribuer manuellement un certificat de bureau à distance, il peut être utile de vérifier que les certificats sont correctement utilisés par l'hôte de session Bureau à distance sur les ordinateurs participants.

Continuer la lecture de « Identifizieren des aktiven Remotedesktop (RDP) Zertifikats »

Configuration d'une stratégie de groupe (GPO) pour les certificats RDP (Remote Desktop Protocol)

Une fois qu'un modèle de certificat a été configuré pour la distribution de certificats de bureau à distance (voir l'article „Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)„), une stratégie de groupe est également nécessaire pour demander aux ordinateurs participants d'utiliser les certificats provenant du modèle.

Continuer la lecture de « Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais