Mois : mars 2021

Renouvellement automatique des certificats demandés manuellement sans intervention d'un gestionnaire de certificats

Supposons qu'un cas d'utilisation soit mis en place pour les certificats dans lesquels les utilisateurs indiquent l'identité contenue dans le certificat dans la demande de certificat, ce qui nécessite une intervention manuelle de la part des gestionnaires de certificats. La question se pose alors de savoir comment procéder à l'expiration des certificats ou au transfert du modèle de certificat vers une autre autorité de certification afin de réduire au minimum les tickets au service d'assistance et donc la charge de travail pour les gestionnaires de certificats.

Continuer la lecture de « Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers »

Microsoft Outlook : les e-mails cryptés avec S/MIME ne peuvent pas être ouverts. Le message d'erreur „ Erreur interne “ s'affiche.“

Supposons le scénario suivant :

  • Un utilisateur reçoit un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • Le message ne peut pas être ouvert.
  • Le message d'erreur suivant s'affiche à l'ouverture du message :
Leider besteht ein Problem beim Öffnen dieses Elements. Dies kann vorübergehend sein. Wenn dieser Fehler erneut auftritt, sollten Sie Outlook neu starten. Fehler im zugrunde liegenden Sicherheitssystem. Interner Fehler.
Continuer la lecture de « Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung „Interner Fehler.“ »

S/MIME avec l'application Outlook pour Apple IOS et Android possible uniquement avec les appareils gérés via Intune

Si vous souhaitez mettre des certificats S/MIME à la disposition de vos utilisateurs sur leur smartphone, vous serez peut-être surpris de constater que cela n'est pas possible avec l'application Outlook si vous n'utilisez pas également Microsoft Intune comme solution de gestion pour les appareils.

Microsoft a publié un article intitulé „Étiquetage et protection sensibles dans Outlook pour iOS et Android“ Il est désormais clair que cela est dû à l'architecture du système concerné.

Continuer la lecture de « S/MIME mit der Outlook App für Apple IOS und Android nur mit über Intune verwalteten Geräten möglich »

De zéro à administrateur d'entreprise grâce au service d'enregistrement des périphériques réseau (NDES) – et comment y remédier

Je voudrais présenter ci-après une configuration PKI extrêmement dangereuse, qui n'est peut-être pas forcément connue du grand public, mais qui est probablement très courante dans les réseaux d'entreprise.

Je montre comment, en exploitant diverses circonstances malheureuses dans l'infrastructure PKI Windows, il est possible d'obtenir une augmentation des droits, allant du simple accès au réseau à la prise de contrôle totale de l'Active Directory.

Dans cet exemple, le point d'attaque initial est le service d'enregistrement des périphériques réseau (NDES).

Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »

Que signifie l'option „Enable Certificate Privacy“ lors de l'exportation de certificats ?

Avec Windows Server 2016 et Windows 10, une nouvelle option „ Enable Certificate Privacy “ (Activer la confidentialité des certificats) a été mise en place pour l'exportation de certificats avec clé privée via la console MMC (Microsoft Management Console).

Lors de l'exportation de certificats avec clé privée, le certificat est exporté dans un fichier PKCS#12 (.PFX).

Continuer la lecture de « Was bedeutet die Option „Enable Certificate Privacy“ beim Zertifikatexport? »

L'installation d'une autorité de certification échoue avec le message d'erreur „The Certification Authority is already installed“.“

Supposons le scénario suivant :

  • Une autorité de certification est installée.
  • Une erreur est survenue lors de l'installation, ce qui a nécessité une nouvelle tentative.
  • Le rôle d'autorité de certification a été désinstallé et la configuration du rôle a ensuite été réessayée.
  • La configuration des rôles échoue avec le message d'erreur suivant :
The Certification Authority is already installed. If you are trying to reinstall the role service, you must first uninstall it.
Continuer la lecture de « Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlermeldung „The Certification Authority is already installed.“ »

Google Chrome signale le code d'erreur „ERR_SSL_PROTOCOL_ERROR“ lors de l'ouverture d'une page Web

Supposons le scénario suivant :

  • Une page web est consultée avec Google Chrome.
  • L'établissement de la connexion échoue avec le message d'erreur suivant :
Diese Website kann keine sichere Verbindung bereitstellen
test.intra.adcslabor.de hat eine ungültige Antwort gesendet.
Versuchen Sie, die Windows-Netzwerkdiagnose auszuführen.
ERR_SSL_PROTOCOL_ERROR
Continuer la lecture de « Google Chrome meldet Fehlercode „ERR_SSL_PROTOCOL_ERROR“ beim Aufruf einer Webseite »

L'installation ou la désinstallation d'une fonctionnalité Windows échoue avec le message d'erreur "The service is configured to not accept any remote shell requests".

Supposons le scénario suivant :

  • Une rôle Windows concernant les services de certificats Active Directory (autorité de certification, service d'enregistrement des périphériques réseau (NDES), enregistrement Web des autorités de certification (CAWE), services Web d'enregistrement des certificats (CEP, CES) ou répondeur en ligne (OCSP)) doit être installé ou désinstallé.
  • L'installation ou la désinstallation échoue avec le message d'erreur suivant :
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
Continuer la lecture de « Die Installation oder Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung „The service is configured to not accept any remote shell requests.“ »

Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)

Les certificats disposent généralement de l'extension „CRL Distribution Points“, qui permet d'indiquer à une application où se trouve la liste de diffusion associée au certificat. Liste de révocation des certificats (CRL) est à trouver.

Celui-ci ressemble à un annuaire téléphonique : On y trouve tous les numéros de série des certificats rappelés par l'autorité de certification (et encore valables). Chaque application qui vérifie le statut de révocation doit télécharger et évaluer la liste de révocation complète.

Plus la taille augmente, plus cette procédure devient inefficace. En règle générale, 100 000 certificats rappelés correspondent déjà à une taille de fichier d'environ 5 Mo pour la liste de révocation.

Le Online Certificate Status Protocol (OCSP) a été développé à cet effet (sous la direction de la société ValiCert) : Il s'agit d'un service d'information qui permet aux applications de demander le statut de révocation de certificats individuels, ce qui évite de devoir télécharger la CRL complète. OCSP est disponible dans le RFC 6960 est spécifiée.

Continuer la lecture de « Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP) »

Aperçu des possibilités de paramétrage pour les configurations de blocage du répondeur en ligne (OCSP)

Si une configuration de blocage est configurée pour un répondeur en ligne, il existe différentes possibilités de réglage qui sont abordées ci-dessous.

Continuer la lecture de « Übersicht über die Einstellungsmöglichkeiten für Sperrkonfigurationen des Onlineresponders (OCSP) »

Le répondeur en ligne (OCSP) signale „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE“

Supposons le scénario suivant :

  • Un répondeur en ligne (OCSP) est configuré sur le réseau.
  • Pour une autorité de certification, l'OCSP est activé et une configuration de blocage est mise en place.
  • La console d'administration du répondeur en ligne affiche l'état suivant pour la configuration du blocage :
Type: Microsoft CRL-based revocation status provider
The revocation provider failed with the current configuration. The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE), 0x80092013
Continuer la lecture de « Der Onlineresponder (OCSP) meldet „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE“ »

Le répondeur en ligne (OCSP) signale „The object identifier does not represent a valid object. 0x800710d8 (WIN32 : 4312 ERROR_OBJECT_NOT_FOUND)“.“

Supposons le scénario suivant :

  • Un répondeur en ligne (OCSP) est configuré sur le réseau.
  • Pour une autorité de certification, l'OCSP est activé et une configuration de blocage est mise en place.
  • La console d'administration du répondeur en ligne affiche l'état suivant pour la configuration du blocage :
Type: Microsoft CRL-based revocation status provider
The revocation provider failed with the current configuration. The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND), 0x800710d8
Continuer la lecture de « Der Onlineresponder (OCSP) meldet „The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND)“ »

La révocation d'un certificat émis échoue avec le message d'erreur „The data is invalid. 0x8007000d (WIN32 : 13 ERROR_INVALID_DATA)“.“

Supposons le scénario suivant :

  • Un certificat est révoqué via la ligne de commande (certutil -revoke).
  • L'opération échoue avec le message d'erreur suivant :
ICertAdmin::RevokeCertificate: The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)
Continuer la lecture de « Der Widerruf eines ausgestellten Zertifikats schlägt fehl mit Fehlermeldung „The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)“ »

Traitement des certificats expirés lors de la délivrance de listes de révocation de certificats

Par défaut, Microsoft Active Directory Certificate Services supprime les numéros de série des certificats expirés des listes de révocation émises.

Il y a toutefois quelques exceptions à cette règle.

Continuer la lecture de « Behandlung abgelaufener Zertifikate bei der Ausstellung von Zertifikatsperrlisten »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais