Month: novembre 2020

Utiliser SSH (PuTTY) sous Windows avec un certificat / une carte à puce

L'administration sécurisée d'un système Linux implique d'éviter les connexions SSH par mot de passe et d'utiliser à la place une connexion par clé RSA.

Le standard de facto pour les connexions SSH sur Windows est PuTTY. Ici, l'ouverture de session avec des clés RSA est certes implémentée, mais seuls des fichiers de clés peuvent être utilisés, ce qui présente l'inconvénient qu'ils se trouvent presque sans protection dans le système de fichiers.

Une option intéressante serait certainement d'utiliser des clés RSA issues du monde Windows, et peut-être même stockées sur une carte à puce physique ou virtuelle.

Continuer la lecture de « SSH (PuTTY) auf Windows mit einem Zertifikat / einer Smartcard verwenden »

Lors de l'installation d'une autorité de certification intégrée à Active Directory, le message d'erreur „Insufficient access rights to perform the operation. 0x80072098 (Win32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ apparaît.“

Supposons le scénario suivant :

  • Une autorité de certification (Enterprise Certification Authority) intégrée dans Active Directory est installée via Windows PowerShell.
  • Des autorisations déléguées sont utilisées pour l'installation de l'autorité de certification. L'utilisateur qui installe n'est donc pas membre du groupe „Enterprise Administrators“.
  • Après avoir exécuté l'assistant de configuration de rôle, un ou plusieurs des messages d'erreur suivants sont affichés sur la ligne de commande :
Setup could not add the Certification Authority's computer account to the Pre-Windows 2000 Compatible Access security group. Certificate managers Restrictions feature will not work correctly on this Certification Authority. To fix this, an administrator must manually add the Certification's Authority's computer account to the Pre-Windows 2000 Compatible Access security group in Active Directory. Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Warning: Setup could not add the certification authority’s computer account to the cert Publishers Security Group. This Certification Authority will not be able to publish certificates in Active Directory. To fix this, an administrator must manually add the Certification Authority’s computer account to the Cert Publishers security group in Active Directory.  Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Bei der Installation einer Active Directory integrierten Zertifizierungsstelle erscheint die Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (Win32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

L'installation d'un certificat d'autorité de certification échoue avec le message d'erreur „Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“.“

Supposons le scénario suivant :

  • Une autorité de certification (Enterprise Certification Authority) intégrée dans Active Directory est installée.
  • Des autorisations déléguées sont utilisées pour l'installation de l'autorité de certification. L'utilisateur qui installe n'est donc pas membre du groupe „Enterprise Administrators“.
  • Une fois le certificat d'autorité de certification délivré par l'autorité de certification supérieure, celui-ci est installé afin de finaliser la configuration des rôles.
  • L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

L'installation d'un certificat d'autorité de certification échoue avec le code d'erreur „NTE_PROVIDER_DLL_FAIL“.“

Supposons le scénario suivant :

  • Une autorité de certification est installée.
  • L'autorité de certification utilise un module de sécurité matériel (HSM) Gemalto/SafeNet avec le fournisseur de stockage de clés SafeNet Luna.
  • Une fois le certificat d'autorité de certification délivré par l'autorité de certification supérieure, celui-ci est installé afin de finaliser la configuration des rôles.
  • L'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate public key does not match the current outstanding request.
The wrong request may have been used to generate the new certificate: Provider DLL failed to initialize correctly.
0x8009001d (-2146893795 NTE_PROVIDER_DLL_FAIL)
Continuer la lecture de « Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlercode „NTE_PROVIDER_DLL_FAIL“ »

SSCEP : Le sujet de notre demande ne correspond pas à celui du certificat renvoyé !

Supposons le scénario suivant :

sscep: Subject of our request does not match that of the returned Certificate!
Continuer la lecture de « SSCEP: Subject of our request does not match that of the returned Certificate! »

Utilisation de noms distinctifs relatifs (RDN) non définis dans les certificats délivrés

Il est parfois nécessaire d'autoriser les noms distinctifs relatifs (RDN) dans les certificats délivrés qui ne sont pas définis et qui ne sont donc pas inclus dans le certificat. SubjectTemplate valeur de l'enregistrement de l'autorité de certification pourraient être configurés.

Un exemple est l'identifiant d'organisation avec l'identifiant d'objet 2.5.4.97, qui est par exemple nécessaire pour les certificats utilisés pour la eIDAS sont conformes au règlement.

Continuer la lecture de « Verwenden von nicht definierten Relative Distinguished Names (RDN) in ausgestellten Zertifikaten »

Modifier l'ordre des noms distincts relatifs (RDN) dans le nom distinct du sujet (DN) des certificats émis

Microsoft Active Directory Certificate Services reprend les sujets des demandes de certificats pour les modèles dans lesquels leur spécification par le demandeur est autorisée, pas 1:1 dans le certificat délivré.

Au lieu de cela, est défini à la fois, quels noms distinctifs relatifs (RDN) sont autorisés, L'ordre dans lequel elles sont inscrites dans les certificats délivrés est également défini. Cet ordre peut toutefois être modifié. La manière de procéder est expliquée ci-dessous.

Continuer la lecture de « Die Reihenfolge der Relative Distinguished Names (RDNs) im Subject Distinguished Name (DN) ausgestellter Zertifikate ändern »

Installer SSCEP pour Linux (Debian Buster) et demander des certificats via le service d'enregistrement des périphériques réseau (NDES)

Si l'on souhaite équiper une grande quantité de systèmes avec des certificats, il faut une demande manuelle et le renouvellement des certificats ne sont pas une option. La seule voie possible est l'automatisation.

Pour les systèmes qui ne sont pas membres de la structure globale d'Active Directory, une demande automatique de certificat via RPC/DCOM pas une option.

Pour certains cas d'application, le Simple Certificate Enrollment Protocol (SCEP) est une alternative intéressante. Pour ce protocole, il n'existe pas seulement des clients pour Windows, mais aussi pour Linux avec SSCEP. SSCEP est notamment utilisé par les clients légers avec le protocole Système d'exploitation eLux est utilisé.

Voici comment configurer le client SSCEP sur un système Debian Buster Linux, soit pour administrer des serveurs, soit pour tester le comportement côté client.

Continuer la lecture de « SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen »

Changement régulier du mot de passe lorsque le service d'enregistrement des périphériques réseau (NDES) est configuré avec un mot de passe statique

Supposons que l'on exploite un service d'enregistrement de périphériques réseau (Network Device Enrollment Service, NDES) qui s'appuie sur le principe de l'enregistrement des périphériques réseau. est configuré pour utiliser un mot de passe statique. Dans ce cas, contrairement à la configuration standard, le mot de passe de la Demande de certificat par les clients NDES jamais.

Mais il se peut que vous souhaitiez une solution intermédiaire, par exemple un changement quotidien du mot de passe. Ci-dessous, nous décrivons un moyen d'automatiser le changement de mot de passe.

Continuer la lecture de « Regelmäßige Passwortänderung bei Konfiguration des Registrierungsdienstes für Netzwerkgeräte (NDES) mit einem statischen Passwort »

Demande de certificat pour les systèmes Windows via le service d'enregistrement des périphériques réseau (NDES) avec Windows PowerShell

Si l'on souhaite équiper de certificats des systèmes Windows qui n'ont pas la possibilité de communiquer directement avec une autorité de certification intégrée à Active Directory ou qui ne se trouvent pas du tout dans la même structure globale d'Active Directory, il ne reste dans la plupart des cas que l'installation manuelle des certificats.

Depuis Windows 8.1 / Windows Server 2012 R2, un client intégré pour le Simple Certificate Enrollment Protocoll (SCEP) se trouve toutefois à bord. Côté serveur, SCEP est géré par le Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) mis en œuvre dans l'infrastructure à clés publiques de Microsoft depuis Windows Server 2003.

Une caractéristique particulièrement intéressante de SCEP est que le protocole permet de renouveler un certificat en indiquant un certificat déjà existant. Quoi de plus logique donc que d'utiliser cette interface ? Ce qui manque encore, c'est une automatisation correspondante via Windows PowerShell.

Continuer la lecture de « Zertifikatbeantragung für Windows-Systeme über den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell »

Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)

Le Simple Certificate Enrollment Protocol (SCEP) a été développé par Verisign pour Cisco au début des années 2000 afin de pouvoir utiliser une méthode simplifiée pour demander des certificats. Auparavant, il fallait générer manuellement une demande de certificat pour chaque appareil du réseau, la transmettre à une autorité de certification, puis réinstaller manuellement le certificat délivré sur l'appareil correspondant.

Continuer la lecture de « Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) »

Description des différents formats de certificats

Les certificats X.509 sont en principe codés au format Distinguished Encoding Rules (DER). Il s'agit d'un format binaire lisible par une machine.

Les certificats codés DER peuvent toutefois être convertis en un format textuel à l'aide de la procédure BASE64, de sorte qu'ils puissent par exemple être transmis dans un corps d'e-mail. BASE64 englobe ici le format codé DER, c'est-à-dire que le certificat est et reste dans tous les cas codé DER.

Continuer la lecture de « Beschreibung der verschiedenen Zertifikat-Formate »

Authentification au service d'enregistrement des périphériques réseau (NDES) avec un certificat existant (mode renouvellement)

Le service d'enregistrement des équipements de réseau (NDES) dispose de la possibilité de s'authentifier avec un certificat déjà émis afin de demander à nouveau un certificat au contenu identique. Ceci est très pratique pour les opérations de renouvellement, car il n'est ainsi plus nécessaire de demander au préalable un mot de passe à usage unique.

Continuer la lecture de « Authentifizierung am Registrierungsdienst für Netzwerkgeräte (NDES) mit einem existierenden Zertifikat (Renewal-Modus) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais