Month: octobre 2020

Configurer le niveau de journalisation (Log Level) pour le journal des événements de l'autorité de certification

Certains les événements Windows générés par l'autorité de certification ne sont générés qu'à partir d'un certain niveau de journalisation.

Les paragraphes suivants décrivent comment déterminer et modifier le niveau de journalisation d'une autorité de certification.

Continuer la lecture de « Protokollierungsebene (Log Level) für das Ereignisprotokoll der Zertifizierungsstelle konfigurieren »

L'émission de certificats ou de listes de révocation échoue avec le code d'erreur CERTSRV_E_NO_DB_SESSIONS

Supposons le scénario suivant :

  • L'autorité de certification ne peut pas délivrer de certificats et/ou
  • L'autorité de certification ne peut pas émettre de listes de blocage.
  • Au moins un des messages d'erreur suivants est consigné :

ID de l'événement : 53 (Microsoft-Windows-CertificationAuthority)

Active Directory Certificate Services denied request 12345 because An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions. 0x8009400f (-2146877425 CERTSRV_E_NO_DB_SESSIONS). The request was for CN=Rudi Ratlos. Additional information: Denied by Policy Module

ID de l'événement : 130 (Microsoft-Windows-CertificationAuthority)

Active Directory Certificate Services could not create a certificate revocation list. An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions 0x8009400f (-2146877425). This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.
Continuer la lecture de « Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS »

L'installation d'une autorité de certification échoue avec le code d'erreur ERROR_INVALID_PARAMETER

Supposons le scénario suivant :

  • Une autorité de certification est installée
  • La configuration des rôles échoue avec le message d'erreur suivant :
CCertSrvSetupProperty: The parameter is incorrect. 0x80070057 (WIN32: ERROR_INVALID_PARAMETER).
Continuer la lecture de « Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlercode ERROR_INVALID_PARAMETER »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur „Failed to Enroll RA certificates. Le modèle de certificat demandé n'est pas supporté par cette CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service)
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“ »

Analyser les problèmes de réseau avec Wireshark sans devoir installer de logiciel sur des systèmes de production

Il est souvent possible de trouver des problèmes d'infrastructure de clé publique dans le réseau sous-jacent - par exemple lorsqu'il manque une règle de pare-feu dans le réseau.

Il est donc utile d'être en mesure d'enregistrer le trafic réseau afin de pouvoir l'analyser. Il existe pour cela d'excellents outils comme Wireshark, Les systèmes d'exploitation des entreprises peuvent être installés sur des ordinateurs, mais ils nécessitent une installation sur le système concerné, ce qui ne peut et ne doit pas être fait facilement sur un système de production.

Heureusement, le système d'exploitation Windows Server possède un mécanisme intégré permettant d'enregistrer les paquets réseau. Les fichiers qui en résultent ne sont toutefois pas compatibles avec Wireshark. L'outil propre à Microsoft, Message Analyzer, a été retiré le 25.11.2019 et les liens de téléchargement supprimés.

C'est pourquoi nous décrivons ci-après comment générer un tel enregistrement et le convertir ensuite dans un format compatible avec Wireshark, afin de pouvoir analyser l'enregistrement à distance du serveur concerné.

Continuer la lecture de « Netzwerkprobleme mit Wireshark analysieren, ohne Software auf produktiven Systemen installieren zu müssen »

Le nom d'affichage d'un modèle de certificat n'est pas résolu. Seul l'identifiant d'objet (OID) du modèle de certificat est affiché.

Supposons le scénario suivant :

  • Pour un modèle de certificat, seul l'identificateur d'objet (Object Identifier) est affiché, mais pas le nom d'affichage et/ou
  • Les requêtes sur la base de données des autorités de certification contiennent uniquement l'identifiant de l'objet pour le modèle de certificat (champ „CertificateTemplate“), mais pas le nom d'affichage.
Continuer la lecture de « Der Anzeigename einer Zertifikatvorlage wird nicht aufgelöst. Es wird nur der Objektidentifizierer (OID) der Zertifikatvorlage angezeigt. »

Y a-t-il une dépendance du service d'enregistrement des périphériques réseau (NDES) avec l'objet NTAuthCertificates ?

Le service d'enregistrement des appareils en réseau (NDES) dispose de deux Autorité d'enregistrement Les certificats. Avec le certificat d'agent d'inscription, les demandes de certificat sont signées et on peut Configurer le modèle d'appareil NDES de manière à ce que les certificats ne soient délivrés que si les demandes de certificats soumises comportent une signature correspondante..

Si l'on prévoit de faire appel à l'autorité de certification associée au NDES supprimer de l'objet NTAuthCertificates, La question se pose de savoir s'il faut tenir compte de l'interdépendance - après tout, le fait d'avoir des enfants ne signifie pas qu'ils n'en ont pas besoin. Enroll on Behalf Of (EOBO) (inscription à l'appui) la présence du certificat d'autorité de certification dans NTAuthCertificates.

Continuer la lecture de « Gibt es eine Abhängigkeit des Registrierungsdienstes für Netzwerkgeräte (NDES) mit dem NTAuthCertificates Objekt? »

L'installation d'une autorité de certification échoue avec le code d'erreur „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA)“.“

Supposons le scénario suivant :

  • Tentative d'installation d'une autorité de certification
  • La configuration des rôles échoue avec le message d'erreur suivant :
An error occurred when creating the new key container "ADCS Labor Issuing CA 3". Please make sure the CSP is installed correctly or select another CSP.
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).
Continuer la lecture de « Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlercode „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais