Afin de pouvoir déterminer si un certificat a été délivré par une autorité de certification jugée fiable, il est nécessaire de créer une chaîne de confiance (en anglais « Trust Chain »). Pour cela, tous les certificats de la chaîne doivent être identifiés et vérifiés. Microsoft CryptoAPI forme toutes les chaînes de certificats possibles et renvoie celles qui sont de la plus haute qualité à l'application qui en fait la demande.
Continuer la lecture de « Grundlagen: Auffinden von Zertifikaten und Validierung des Zertifizierungspfades »Mois : septembre 2020
Principes de base : vérification du statut de révocation des certificats
Si un certificat valide et non encore expiré doit être retiré de la circulation, il doit être révoqué. À cette fin, les autorités de certification tiennent à jour des listes de blocage dans lesquelles sont répertoriées les empreintes numériques des certificats révoqués. Elles doivent être consultées lors du contrôle de validité.
Continuer la lecture de « Grundlagen: Überprüfung des Sperrstatus von Zertifikaten »Utilisation du répondeur en ligne (OCSP) avec un module de sécurité matériel (HSM) SafeNet
Avec SafeNet Key Storage Provider, il n'est pas possible de définir des autorisations pour les clés privées : la console MMC (Microsoft Management Console) plante dans ce cas.
Continuer la lecture de « Den Onlineresponder (OCSP) mit einem SafeNet Hardware Security Module (HSM) verwenden »Limiter l'utilisation de la clé étendue (EKU) pour les certificats d'autorité de certification racine importés
Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.
En cas de compromission de l'autorité de certification, les dommages sont alors limités à ces utilisations étendues de clés. L'utilisation étendue de clés pour la connexion par carte à puce ne serait alors disponible que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement ces certificats.
Continuer la lecture de « Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für importierte Stammzertifizierungstellen-Zertifikate einschränken »Désactivation de la génération des certificats d'autorité de certification croisée sur une autorité de certification racine
Lors du renouvellement du certificat de l'autorité de certification, les autorités de certification racine (Root CA) génèrent des certificats dits « certificats de signature croisée » (Cross Signing).
Il peut parfois arriver que des problèmes surviennent, comme par exemple dans l'article „La demande d'un certificat d'autorité de certification échoue avec le message d'erreur „ Le certificat de l'autorité de certification contient des données non valides. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE) “.“" décrit.
Dans un tel cas, on peut souhaiter empêcher la création de certificats d'organismes de certification croisée.
Continuer la lecture de « Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle »Utilisation de HTTP via Transport Layer Security (HTTPS) pour les points de distribution de listes de blocage (CDP) et le répondeur en ligne (OCSP)
En ce qui concerne la conception de l'infrastructure destinée à fournir les informations de blocage, c'est-à-dire les points de distribution des listes de révocation (CRL Distribution Point, CSP) et les répondeurs en ligne (Online Certificate Status Protocol, OCSP), la question se pose de savoir s'il convient de les „ sécuriser “ via Secure Sockets Layer (SSL) ou Transport Layer Security (TLS).
Continuer la lecture de « Verwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP) »Accents dans les certificats d'autorité de certification
Les noms de domaine internationalisés (IDN) sont officiellement pris en charge depuis Windows Server 2012 dans le cadre de l'autorité de certification et des composants associés.
Si vous souhaitez les utiliser dans vos certificats d'organisme de certification, vous devez toutefois tenir compte de certaines particularités.
Continuer la lecture de « Umlaute in Zertifizierungsstellen-Zertifikaten »
Français 
Deutsch 
English