Angenommen, man setzt einen Use Case für Zertifikate ein, bei denen die Benutzer die im Zertifikat enthaltene Identität in der Zertifikatanforderung angeben, und hierdurch ein manuelles Eingreifen der Zertifikatmanager erfolgen muss, stellt sich die Frage, wie bei Ablauf der Zertifikate oder Umzug der Zertifikatvorlage auf eine andere Zertifizierungsstelle vorgegangen werden kann, um Tickets beim Helpdesk und damit die entstehende Arbeit für die Zertifikatmanager auf ein Minimum reduzieren zu können.
Continuer la lecture de « Automatische Erneuerung manuell beantragter Zertifikate ohne Eingriff eines Zertifikatmanagers »Month: mars 2021
Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung „Interner Fehler.“
Supposons le scénario suivant :
- Un utilisateur reçoit un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
- Le message ne peut pas être ouvert.
- Le message d'erreur suivant s'affiche à l'ouverture du message :
Leider besteht ein Problem beim Öffnen dieses Elements. Dies kann vorübergehend sein. Wenn dieser Fehler erneut auftritt, sollten Sie Outlook neu starten. Fehler im zugrunde liegenden Sicherheitssystem. Interner Fehler.Continuer la lecture de « Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung „Interner Fehler.“ »
S/MIME avec l'application Outlook pour Apple IOS et Android possible uniquement avec les appareils gérés via Intune
Möchte man S/MIME Zertifikate seinen Benutzern auch auf dem Smartphone zur Verfügung stellen, wird man vielleicht mit Erstaunen feststellen, dass dies nicht mit der Outlook App möglich ist, wenn man nicht auch Microsoft Intune als Verwaltungslösung für die Geräte einsetzt.
Microsoft hat in einem Artikel „Sensitivity labeling and protection in Outlook for iOS and Android“ nun klargestellt, dass dies auf die jeweilige Systemarchitektur zurückzuführen ist.
Continuer la lecture de « S/MIME mit der Outlook App für Apple IOS und Android nur mit über Intune verwalteten Geräten möglich »Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann
Nachfolgend möchte ich eine der breiten Öffentlichkeit vielleicht nicht unbedingt bekannte hochgefährliche PKI-Konfiguration vorstellen, die so in Unternehmensnetzwerken wahrscheinlich recht häufig angetroffen werden kann.
Ich zeige auf, wie durch Ausnutzung verschiedener unglücklicher Umstände in der Windows-PKI eine Erhöhung von Rechten, ausgehend von bloßem Netzwerkzugang bis hin zur vollständigen Übernahme des Active Directory möglich ist.
Der initiale Angriffspunkt ist in diesem Beispiel der Registrierungsdienst für Netzwerkgeräte (NDES).
Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »Que signifie l'option „Enable Certificate Privacy“ lors de l'exportation de certificats ?
Mit Windows Server 2016 und Windows 10 wurde für den Export von Zertifikaten mit privatem Schlüssel über die Microsoft Management Console (MMC) eine neue Option „Enable Certificate Privacy“ implementiert.
Beim Export von Zertifikaten mit privatem Schlüssel wird das Zertifikat in eine PKCS#12 (.PFX) Datei exportiert.
Continuer la lecture de « Was bedeutet die Option „Enable Certificate Privacy“ beim Zertifikatexport? »L'installation d'une autorité de certification échoue avec le message d'erreur „The Certification Authority is already installed“.“
Supposons le scénario suivant :
- Une autorité de certification est installée.
- Une erreur est survenue lors de l'installation, ce qui a nécessité une nouvelle tentative.
- Le rôle d'autorité de certification a été désinstallé et la configuration du rôle a ensuite été réessayée.
- La configuration des rôles échoue avec le message d'erreur suivant :
The Certification Authority is already installed. If you are trying to reinstall the role service, you must first uninstall it.Continuer la lecture de « Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlermeldung „The Certification Authority is already installed.“ »
Google Chrome signale le code d'erreur „ERR_SSL_PROTOCOL_ERROR“ lors de l'ouverture d'une page Web
Supposons le scénario suivant :
- Une page web est consultée avec Google Chrome.
- L'établissement de la connexion échoue avec le message d'erreur suivant :
Diese Website kann keine sichere Verbindung bereitstellen test.intra.adcslabor.de hat eine ungültige Antwort gesendet. Versuchen Sie, die Windows-Netzwerkdiagnose auszuführen. ERR_SSL_PROTOCOL_ERRORContinuer la lecture de « Google Chrome meldet Fehlercode „ERR_SSL_PROTOCOL_ERROR“ beim Aufruf einer Webseite »
L'installation ou la désinstallation d'une fonctionnalité Windows échoue avec le message d'erreur "The service is configured to not accept any remote shell requests".
Supposons le scénario suivant :
- Une rôle Windows concernant les services de certificats Active Directory (autorité de certification, service d'enregistrement des périphériques réseau (NDES), enregistrement Web des autorités de certification (CAWE), services Web d'enregistrement des certificats (CEP, CES) ou répondeur en ligne (OCSP)) doit être installé ou désinstallé.
- L'installation ou la désinstallation échoue avec le message d'erreur suivant :
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.Continuer la lecture de « Die Installation oder Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung „The service is configured to not accept any remote shell requests.“ »
Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)
Les certificats disposent généralement de l'extension „CRL Distribution Points“, qui permet d'indiquer à une application où se trouve la liste de diffusion associée au certificat. Liste de révocation des certificats (CRL) est à trouver.
Celui-ci ressemble à un annuaire téléphonique : On y trouve tous les numéros de série des certificats rappelés par l'autorité de certification (et encore valables). Chaque application qui vérifie le statut de révocation doit télécharger et évaluer la liste de révocation complète.
Plus la taille augmente, plus cette procédure devient inefficace. En règle générale, 100 000 certificats rappelés correspondent déjà à une taille de fichier d'environ 5 Mo pour la liste de révocation.
Le Online Certificate Status Protocol (OCSP) a été développé à cet effet (sous la direction de la société ValiCert) : Il s'agit d'un service d'information qui permet aux applications de demander le statut de révocation de certificats individuels, ce qui évite de devoir télécharger la CRL complète. OCSP est disponible dans le RFC 6960 est spécifiée.
Continuer la lecture de « Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP) »Aperçu des possibilités de paramétrage pour les configurations de blocage du répondeur en ligne (OCSP)
Si une configuration de blocage est configurée pour un répondeur en ligne, il existe différentes possibilités de réglage qui sont abordées ci-dessous.
Continuer la lecture de « Übersicht über die Einstellungsmöglichkeiten für Sperrkonfigurationen des Onlineresponders (OCSP) »Le répondeur en ligne (OCSP) signale „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE“
Supposons le scénario suivant :
- Un répondeur en ligne (OCSP) est configuré sur le réseau.
- Pour une autorité de certification, l'OCSP est activé et une configuration de blocage est mise en place.
- La console d'administration du répondeur en ligne affiche l'état suivant pour la configuration du blocage :
Type: Microsoft CRL-based revocation status provider The revocation provider failed with the current configuration. The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE), 0x80092013Continuer la lecture de « Der Onlineresponder (OCSP) meldet „The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE“ »
Le répondeur en ligne (OCSP) signale „The object identifier does not represent a valid object. 0x800710d8 (WIN32 : 4312 ERROR_OBJECT_NOT_FOUND)“.“
Supposons le scénario suivant :
- Un répondeur en ligne (OCSP) est configuré sur le réseau.
- Pour une autorité de certification, l'OCSP est activé et une configuration de blocage est mise en place.
- La console d'administration du répondeur en ligne affiche l'état suivant pour la configuration du blocage :
Type: Microsoft CRL-based revocation status provider The revocation provider failed with the current configuration. The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND), 0x800710d8Continuer la lecture de « Der Onlineresponder (OCSP) meldet „The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND)“ »
La révocation d'un certificat émis échoue avec le message d'erreur „The data is invalid. 0x8007000d (WIN32 : 13 ERROR_INVALID_DATA)“.“
Supposons le scénario suivant :
- Un certificat est révoqué via la ligne de commande (certutil -revoke).
- L'opération échoue avec le message d'erreur suivant :
ICertAdmin::RevokeCertificate: The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)Continuer la lecture de « Der Widerruf eines ausgestellten Zertifikats schlägt fehl mit Fehlermeldung „The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)“ »
Traitement des certificats expirés lors de la délivrance de listes de révocation de certificats
Par défaut, Microsoft Active Directory Certificate Services supprime les numéros de série des certificats expirés des listes de révocation émises.
Il y a toutefois quelques exceptions à cette règle.
Continuer la lecture de « Behandlung abgelaufener Zertifikate bei der Ausstellung von Zertifikatsperrlisten »
Français 
Deutsch 
English