Month: mai 2020

Configurer le service Web d'inscription aux certificats (CES) pour une utilisation avec un compte de service géré par le groupe (gMSA)

Aus Sicherheitsgründen kann es sinnvoll sein, den CES statt mit einem normalen Domänenkonto lieber mit einem Group Managed Service Account (gMSA) zu betreiben. Diese Option bietet den charmanten Vorteil, dass das Passwort des Kontos automatisch geändert wird, und dieser Schritt somit nicht von Hand vorgenommen werden muss, was leider viel zu oft vergessen wird.

Continuer la lecture de « Den Certificate Enrollment Web Service (CES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »

Planification de la validité des certificats et de la période de renouvellement des certificats d'entité finaux avec auto-enrollment

Wird Autoenrollment verwendet, beantragen die Teilnehmer selbständig Zertifikate und erneuern diese auch selbständig.

Betreffend der Gültigkeit der Zertifikate und des Zeitraums für ihre automatische Erneuerung gibt es zwei Werte, die im Karteireiter „General“ einer Zertifiikatvorlage konfiguriert werden können:

  • Gültigkeitszeitraum (Validity period): Beschreibt die Gesamt-Gültigkeit des ausgestellten Zertifikats.
  • Erneuerungszeitraum (Renewal period): Beschreibt, ab welchem Zeitfenster, rückwärts betrachtet vom Ablaufdatum des Zertifikats, die automatische Erneuerung erstmals versucht wird (z.B. 6 Wochen vor Ablauf).
Continuer la lecture de « Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment »

Les certificats de contrôleur de domaine ne contiennent pas le nom de domaine dans le Subject Alternative Name (SAN).

Supposons le scénario suivant :

  • Les certificats pour les contrôleurs de domaine sont émis par une autorité de certification intégrée à Active Directory (Enterprise CA).
  • Le modèle de certificat utilisé à cet effet a été créé par nos soins.
  • Les certificats émis contiennent uniquement le nom complet de l'ordinateur du contrôleur de domaine correspondant dans le champ Subject Alternative Name (SAN), mais pas le nom complet et le nom NETBIOS du domaine.
Continuer la lecture de « Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN) »

La demande de certificat d'autorité de certification échoue avec le message d'erreur „The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“.“

Supposons le scénario suivant :

  • Es wird ein Zertifizierungsstellen-Zertifikat von einer Zertifizierungsstelle beantragt
  • Die Zertifikatanforderung schlägt mit folgender Fehlermeldung fehl:
The certification authority's certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)
Denied by Policy Module
Continuer la lecture de « Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“ »

Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren

Für eine stärkere Kontrolle über die von einer Zertifizierungsstelle ausstellbaren Zertifikate kann eine Einschränkung der Pfadlänge (Path Length Constraint) eingerichtet werden, sodass Zertifizierungsstellen ab einer definierten Hierarchieebene nicht mehr in der Lage sind untergeordnete Zertifizierungsstellen-Zertifikate auszustellen

Für eine Erklärung der Funktionsweise der Einschränkung der Pfadlänge siehe Artikel „Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint)“.

Continuer la lecture de « Einschränkung der Pfadlänge (Path Length Constraint) für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren »

Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)

Für die Verwendung von Remotedesktop-Zertifikaten ist es erforderlich, eine entsprechende Zertifikatvorlage zu konfigurieren.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Remotedesktop (RDP) Zertifikate »

Identifizieren des aktiven Remotedesktop (RDP) Zertifikats

Hat man eine Zertifikatvorlage für Remotedesktop-Zertifikate und eine entsprechende Gruppenrichtlinine konfiguriert, oder ein Remotedesktop-Zertifikat manuell zugewiesen, möchte man vielleicht überprüfen, ob die Zertifikate auf den teilnehmenden Computern auch korrekt vom Remotedesktop-Sitzungshost verwendet werden.

Continuer la lecture de « Identifizieren des aktiven Remotedesktop (RDP) Zertifikats »

Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate

Nachdem eine Zertifikatvorlage für die Verteilung von Remotedesktop-Zertifikaten konfiguriert wurde (siehe Artikel „Configurer un modèle de certificat pour les certificats Remote Desktop (RDP)„), wird noch eine Gruppenrichtlinie benötigt, welche die teilnehmenden Computer anweist, die von der Vorlage stammenden Zertifikate auch zu verwenden.

Continuer la lecture de « Konfigurieren einer Gruppenrichtlinie (GPO) für Remotedesktop (RDP) Zertifikate »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais