Mois : juillet 2020

Utilisation de Microsoft Network Load Balancing (NLB) pour les services web de registre des certificats (CEP, CES)

Il est généralement recommandé de s'assurer que les services Web d'enregistrement de certificats (service de stratégie d'enregistrement de certificats, CEP, et service Web d'enregistrement de certificats, CES) sont disponibles à tout moment.

La procédure suivante décrit comment y parvenir à l'aide de la fonctionnalité Windows „ Network Load Balancing “ (NLB).

Continuer la lecture de « Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES) »

La vérification de la politique d'enregistrement des certificats via le service Web CEP (Certificate Enrollment Policy) échoue avec le code d'erreur „ WS_E_ENDPOINT_FAULT_RECEIVED “.“

Supposons le scénario suivant :

  • Les utilisateurs (ou les ordinateurs) doivent demander des certificats via le service Web de stratégie d'enregistrement des certificats (CEP).
  • Pour cela, une politique d'enregistrement de certificats (Enrollment Policy) est configurée, qui renvoie à un service Web de politique d'enregistrement de certificats (CEP).
  • L'authentification se fait via Kerberos.
  • Lors de la vérification de l'adresse, la connexion au CEP échoue et le message d'erreur suivant s'affiche : 
An error occurred while obtaining certificate enrollment policy.
 Url: https://cews.adcslabor.de/ADCS%20Labor%20Issuing%20CA%201_CES_Kerberos/service.svc/CES
 Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
Continuer la lecture de « Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“ »

Aperçu des événements d'audit générés par l'organisme de certification

Vous trouverez ci-dessous un aperçu des événements d'audit générés par l'autorité de certification dans l'observateur d'événements Windows.

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Continuer la lecture de « Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse »

La connexion via carte à puce via le bureau à distance (RDP) échoue avec le message d'erreur „ Le conteneur de clés demandé n'existe pas sur la carte à puce. “

Supposons le scénario suivant :

  • Un utilisateur se connecte à un système de bureau à distance à l'aide de la fonction de connexion par carte à puce.
  • L'utilisateur utilise une Yubico Yubikey comme carte à puce. Le middleware requis est installé à la fois sur le système local et sur le système distant.
  • La connexion échoue avec le message d'erreur suivant :
The system could not log you on. The requested key container does not exist on the smart card.
Continuer la lecture de « Die Anmeldung via Smartcard über Remotedesktop (RDP) schlägt fehl mit Fehlermeldung „The requested key container does not exist on the smart card.“ »

Aperçu des événements Windows générés par l'autorité de certification

Vous trouverez ci-dessous un aperçu des événements générés par l'autorité de certification dans l'observateur d'événements Windows.

Continuer la lecture de « Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse »

Présentation des événements Windows générés par le service de stratégie d'enregistrement des certificats (CEP)

Vous trouverez ci-dessous un aperçu des événements générés par le service de stratégie d'enregistrement des certificats (CEP) dans l'observateur d'événements Windows.

Les événements du service de stratégie d'enregistrement des certificats ne sont pas officiellement documentés. La liste suivante a été générée à l'aide de l'outil Windows Event Log Messages (WELM).

Continuer la lecture de « Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) generierten Windows-Ereignisse »

Présentation des événements Windows générés par le service Web d'enregistrement des certificats (CES)

Vous trouverez ci-dessous un aperçu des événements générés par le service Web d'enregistrement des certificats (CES) dans l'observateur d'événements Windows.

Les événements du service Web d'enregistrement des certificats ne sont pas officiellement documentés. La liste suivante a été générée à l'aide de l'outil Windows Event Log Messages (WELM).

Continuer la lecture de « Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) generierten Windows-Ereignisse »

Présentation des événements Windows générés par le service d'enregistrement des périphériques réseau (NDES)

Vous trouverez ci-dessous un aperçu des événements générés par le service d'enregistrement des périphériques réseau (NDES) dans l'observateur d'événements Windows.

Les événements du service d'enregistrement des périphériques réseau ne sont pas officiellement documentés. La liste suivante a été générée à l'aide de l'outil Windows Event Log Messages (WELM).

Continuer la lecture de « Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) generierten Windows-Ereignisse »

Aperçu des événements Windows générés par le répondeur en ligne (OCSP)

Vous trouverez ci-dessous un aperçu des événements générés par le répondeur en ligne (OCSP) dans l'observateur d'événements Windows.

Les événements du répondeur en ligne ne sont pas documentés officiellement. La liste suivante a été générée à l'aide de l'outil Windows Event Log Messages (WELM).

Continuer la lecture de « Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse »

Combinaison d'un répondeur en ligne (OCSP) avec Delta CRL et un point de distribution de listes de révocation (CDP) sans liste de révocation Delta pour une résilience accrue

Les réponses OCSP d'un répondeur OCSP Microsoft sont valables aussi longtemps que la liste de révocation sous-jacente. Dans certains cas, il peut être souhaitable de réduire la durée de validité des OCSP en utilisant des CRL delta. Dans le même temps, aucune CRL delta ne doit être utilisée pour les listes de révocation enregistrées dans les chemins CDP afin de permettre un repli vers une CRL valable plus longtemps.

Continuer la lecture de « Kombination Onlineresponder (OCSP) mit Delta CRL und Sperrlistenverteilpunkt (CDP) ohne Deltasperrliste für gesteigerte Resilienz »

Impact de la défaillance du répondeur en ligne (OCSP) sur la vérification du statut de révocation d'un certificat

Nous allons maintenant examiner comment se comporte la vérification du statut de blocage en cas de défaillance du répondeur en ligne. Selon la configuration des certificats délivrés, le comportement peut varier considérablement.

Continuer la lecture de « Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats »

Comment est formé le numéro de série d'un certificat ?

Vous trouverez ci-dessous une explication sur la manière dont sont générés les numéros de série des certificats délivrés et sur la manière dont le comportement des autorités de certification peut être adapté.

Continuer la lecture de « Wie wird die Seriennummer eines Zertifikats gebildet? »

Effectuer un test de fonctionnement pour le service d'enregistrement des périphériques réseau (NDES)

Après l'installation d'un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias

Les étapes suivantes décrivent comment configurer le service d'inscription des périphériques réseau (NDES) pour une utilisation avec un alias.

Le terme « alias » signifie que le service n'est pas appelé avec le nom du serveur sur lequel il est installé, mais avec un nom générique indépendant de celui-ci. L'utilisation d'un alias permet de transférer le service vers un autre système à une date ultérieure sans avoir à communiquer la nouvelle adresse à tous les participants.

Continuer la lecture de « Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren »

Configuration de l'autorité de certification sur un port statique (point de terminaison RPC)

Dans la configuration standard, l'interface de demande de certificat de l'autorité de certification est configurée pour négocier des ports dynamiques pour les connexions RPC/DCOM entrantes (pour plus de détails, voir l'article „Règles de pare-feu requises pour Active Directory Certificate Services„ ).

Protocole réseauPort de destinationProtocole
TCP135Mappeur de points d'accès RPC
TCP49152-65535Ports dynamiques RPC

Cette configuration n'est pas réalisable dans tous les environnements d'entreprise. Souvent, il existe des règles de pare-feu restrictives qui n'autorisent pas l'utilisation de ports réseau dynamiques.

Dans un tel cas, l'autorité de certification doit être configurée sur un port statique.

Continuer la lecture de « Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais