Month: juillet 2020

Utilisation de Microsoft Network Load Balancing (NLB) pour les services web de registre des certificats (CEP, CES)

Es ist allgemein eine gute Idee, die Verfügbarkeit der Zertifikatregistrierungs-Webdienste (Zertifikatregistrierungs-Richtliniendienst, CEP und Zertifikatregistrierungs-Webdienst, CES) jederzeit sicherzustellen.

Nachfolgend wird beschrieben, wie dies mit dem Windows-Feature „Network Load Balancing“ (NLB) erreicht werden kann.

Continuer la lecture de « Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES) »

Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“

Supposons le scénario suivant :

  • Benutzer (oder Computer) sollen Zertifikate über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) beantragen.
  • Hierfür wird eine Zertifikatregistrierungs-Richtlinie (Enrollment Policy) konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
  • L'authentification se fait via Kerberos.
  • Beim Überprüfen der Adresse schläft die Verbindung zum CEP schlägt fehl, und man erhält folgende Fehlermeldung: 
An error occurred while obtaining certificate enrollment policy.
 Url: https://cews.adcslabor.de/ADCS%20Labor%20Issuing%20CA%201_CES_Kerberos/service.svc/CES
 Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
Continuer la lecture de « Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode „WS_E_ENDPOINT_FAULT_RECEIVED“ »

Aperçu des événements d'audit générés par l'organisme de certification

Nachfolgend eine Übersicht über die von der Zertifizierungsstelle erzeugten Audit-Ereignisse in der Windows-Ereignisanzeige.

Contrairement aux événements d'exploitation, qui sont souvent compris sous le terme de „monitoring“, l'audit pour l'autorité de certification est la configuration de la journalisation des événements liés à la sécurité.

Continuer la lecture de « Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse »

Die Anmeldung via Smartcard über Remotedesktop (RDP) schlägt fehl mit Fehlermeldung „The requested key container does not exist on the smart card.“

Supposons le scénario suivant :

  • Ein Benutzer meldet sich mittels Smartcard Logon Funktion auf einem Remote Desktop System an.
  • Der Benutzer verwendet einen Yubico Yubikey als Smartcard. Die benötigte Middleware ist sowohl auf dem lokalen als auch auf dem Remotesystem installiert.
  • Die Anmeldung schlägt mit folgender Fehlermeldung fehl:
The system could not log you on. The requested key container does not exist on the smart card.
Continuer la lecture de « Die Anmeldung via Smartcard über Remotedesktop (RDP) schlägt fehl mit Fehlermeldung „The requested key container does not exist on the smart card.“ »

Aperçu des événements Windows générés par l'autorité de certification

Nachfolgend eine Übersicht über die von der Zertifizierungsstelle erzeugten Ereignisse in der Windows-Ereignisanzeige.

Continuer la lecture de « Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse »

Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Zertifikatregistrierungs-Richtliniendienstes sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

Continuer la lecture de « Übersicht über die vom Zertifikatregistrierungs-Richtliniendienst (CEP) generierten Windows-Ereignisse »

Présentation des événements Windows générés par le service Web d'enregistrement des certificats (CES)

Nachfolgend eine Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Zertifikatregistrierungs-Webdienstes sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

Continuer la lecture de « Übersicht über die vom Zertifikatregistrierungs-Webdienst (CES) generierten Windows-Ereignisse »

Présentation des événements Windows générés par le service d'enregistrement des périphériques réseau (NDES)

Nachfolgend eine Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Registrierungsdienst für Netzwerkgeräte sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

Continuer la lecture de « Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) generierten Windows-Ereignisse »

Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse

Nachfolgend eine Übersicht über die vom Onlineresponder (OCSP) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Onlineresponders sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

Continuer la lecture de « Übersicht über die vom Onlineresponder (OCSP) generierten Windows-Ereignisse »

Combinaison d'un répondeur en ligne (OCSP) avec Delta CRL et un point de distribution de listes de révocation (CDP) sans liste de révocation Delta pour une résilience accrue

OCSP Antworten eines Microsoft OCSP Resonders sind genau so lange gültig wie die zugrunde liegende Sperrliste. In manchen Szenarien möchte man die Gültigkeitszeiten von OCSP verringern, indem man Delta CRLs verwendet. Gleichzeitig soll aber bei den in den CDP Pfaden eingetragenen Sperrlisten keine Delta CRL verwendet werden, um einen Fallback auf eine länger gültige CRL zu ermöglichen.

Continuer la lecture de « Kombination Onlineresponder (OCSP) mit Delta CRL und Sperrlistenverteilpunkt (CDP) ohne Deltasperrliste für gesteigerte Resilienz »

Impact de la défaillance du répondeur en ligne (OCSP) sur la vérification du statut de révocation d'un certificat

Nous allons maintenant examiner comment se comporte la vérification du statut de blocage en cas de défaillance du répondeur en ligne. Selon la configuration des certificats délivrés, le comportement peut varier considérablement.

Continuer la lecture de « Auswirkungen des Ausfalls des Onlineresponders (OCSP) auf die Überprüfung des Sperrstatus eines Zertifikats »

Comment est formé le numéro de série d'un certificat ?

Nachfolgend eine Erklärung, wie die Seriennummern ausgestellter Zertifikate gebildet werden, und wie das Verhalten der Zertifizierungsstellen angepasst werden kann.

Continuer la lecture de « Wie wird die Seriennummer eines Zertifikats gebildet? »

Effectuer un test de fonctionnement pour le service d'enregistrement des périphériques réseau (NDES)

Après l'installation d'un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias

Nachfolgend wird beschrieben, welche Schritte erforderlich sind, um den Registrierungs dienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) für die Verwendung mit einem Alias zu konfigurieren.

Mit dem Begriff Alias ist gemeint, dass der Dienst nicht mit dem Namen des Servers, auf welchem er installiert ist, aufgerufen wird, sondern mit einem hierbon unabhängigen, generischen Namen. Die Verwendung eines Alias ermöglicht, dass der Dienst zu einem späteren Zeitpunkt auf ein anderes System umgezogen werden kann, ohne dass die neue Adresse allen Teilnehmern mitgeteilt werden muss.

Continuer la lecture de « Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren »

Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)

In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel „Règles de pare-feu requises pour Active Directory Certificate Services„).

Protocole réseauPort de destinationProtocole
TCP135Mappeur de points d'accès RPC
TCP49152-65535Ports dynamiques RPC

Diese Konfiguration ist nicht in jeder Unternehmens-Umgebung realisierbar. Oftmals gibt es restriktive Firewallregeln, welche die Verwendung dynamischer Netzwerk-Ports nicht erlauben.

In einem solchen Fall muss die Zertifizierungsstelle auf einen statischen Port konfiguriert werden.

Continuer la lecture de « Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais