Code d'erreur HTTP 403 lors de la connexion à Internet Information Services (IIS) à l'aide d'un certificat client après le renouvellement du certificat du serveur web

Supposons le scénario suivant :

  • Un utilisateur ou une application consulte une page web ou une application web exécutée sur un serveur web Internet Information Services (IIS).
  • Le serveur web est configuré de telle sorte qu'un certificat client est demandé pour la ressource appelée.
  • Bien qu'il existe un certificat client valide sur le client, le code d'erreur 403 Forbidden est immédiatement renvoyé. L'utilisateur n'est pas invité à choisir un certificat (lors de l'ouverture de la page avec un navigateur).
  • Le certificat du serveur web a été récemment renouvelé et la liaison SSL IIS a été configurée en conséquence via le gestionnaire IIS.
403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « HTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats »

La demande de certificat échoue avec le message d'erreur „The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)“.“

Supposons le scénario suivant :

  • Un utilisateur envoie une demande de certificat à une autorité de certification.
  • La demande de certificat échoue avec le message d'erreur suivant :
The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)
Denied by Policy Module
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The request is missing required signature policy information. 0x80094809 (-2146875383 CERTSRV_E_SIGNATURE_POLICY_REQUIRED)“ »

Microsoft Outlook : trouver les certificats des destinataires pour les e-mails cryptés S/MIME

Pour dépanner les messages électroniques cryptés à l'aide de Secure/Multipurpose Internet Mail Extensions (S/MIME), il est possible d'exporter la partie cryptée d'un message. Voir à ce sujet l'article „Microsoft Outlook : Extraire un message S/MIME chiffré d'un courriel„ .

Pour savoir avec quels certificats un message a été chiffré, on peut procéder comme suit...

Continuer la lecture de « Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden »

Microsoft Outlook : Extraire un message S/MIME chiffré d'un courriel

La partie chiffrée d'un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME) est toujours contenue dans un fichier appelé „smime.p7m“, joint au message.

Outlook n'affiche pas cette pièce jointe, mais il est possible de l'utiliser à des fins d'analyse avec l'outil gratuit mis à disposition par Microsoft. MFCMAPI être extraites de l'e-mail.

Continuer la lecture de « Microsoft Outlook: Extrahieren einer verschlüsselten S/MIME Nachricht aus einer E-Mail »

Principes de base : fichier de configuration pour l'autorité de certification (capolicy.inf)

Le capolicy.inf contient des paramètres de base qui peuvent ou devraient être définis avant l'installation d'une autorité de certification. Pour simplifier, on peut dire qu'aucune autorité de certification ne devrait être installée sans lui.

Continuer la lecture de « Grundlagen: Konfigurationsdatei für die Zertifizierungsstelle (capolicy.inf) »

La demande de certificat échoue avec le message d'erreur „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“.“

Supposons le scénario suivant :

  • Une tentative de demande de certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise CA) pour un utilisateur ou un ordinateur est en cours.
  • La demande de certificat échoue avec le message d'erreur suivant :
The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).“ »

Microsoft Outlook : Impossible d'ouvrir les e-mails chiffrés avec S/MIME. Le message d'erreur „Your digital ID name cannot be found by the underlying security system“ apparaît.“

Supposons le scénario suivant :

  • Un utilisateur reçoit un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
  • Le message ne peut pas être ouvert.
  • Le message d'erreur suivant s'affiche à l'ouverture du message :
Sorry, we're having trouble opening this item. This could be temporary, but if you see it again you might want to restart Outlook. Your digital ID name cannot be found by the underlying security system.
Continuer la lecture de « Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung „Your digital ID name cannot be found by the underlying security system.“ »

Microsoft Outlook : les e-mails correctement signés (S/MIME) sont affichés comme non valides après l'expiration du certificat de signature

Supposons le scénario suivant :

  • Un utilisateur a reçu un message électronique dans le passé.
  • Le message a été signé avec un certificat S/MIME.
  • Le certificat de signature de l'expéditeur a été délivré par une autorité de certification à laquelle le destinataire a accordé le statut de confiance.
  • La signature a donc été reconnue comme valide au moment de la réception du message.
  • L'utilisateur rouvre le courrier quelque temps plus tard et constate que la signature est considérée comme non valide.
Continuer la lecture de « Microsoft Outlook: Korrekt signierte E-Mails (S/MIME) werden nach Ablauf des Signaturzertifikats als ungültig angezeigt »

Principes de base : Enroll on Behalf of (EOBO)

Vous trouverez ci-dessous une description de la fonction Enroll on Behalf Of ainsi qu'une délimitation par rapport aux autres méthodes de demande de certificats.

Continuer la lecture de « Grundlagen: Enroll on Behalf of (EOBO) »

La demande d'un certificat via Enroll on Behalf of (EOBO) échoue avec le message d'erreur „The operation is denied. Elle ne peut être effectuée que par un gestionnaire de certificats autorisé à gérer les certificats pour le demandeur actuel“.“

  • Un certificat est demandé pour un utilisateur auprès d'une autorité de certification via la console de gestion des certificats (certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • La demande de certificat échoue avec le message d'erreur suivant :
The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester.
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung „The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester.“ »

La demande d'un certificat via Enroll on Behalf of (EOBO) échoue avec le message d'erreur „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“.“

  • Un certificat est demandé pour un utilisateur auprès d'une autorité de certification via la console de gestion des certificats (certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) schlägt fehl mit der Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

La demande d'un certificat via Enroll on Behalf of (EOBO) n'est pas possible car le modèle de certificat ne s'affiche pas. Le message d'erreur est le suivant : „The certificate template requires too many RA signatures“.“

Supposons le scénario suivant :

  • Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
  • On utilise pour cela le Inscription à la demande de (EOBO) Mécanisme.
  • Le modèle de certificat souhaité ne s'affiche pas.
  • Si l'on coche la case „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
The certificate template requires too many RA signatures. Only one RA signature is allowed. Multiple request agent signatures are not permitted on a certificate request.
Continuer la lecture de « Die Beantragung eines Zertifikats über Enroll on Behalf of (EOBO) ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „The certificate template requires too many RA signatures.“ »

Principes de base : contrainte de longueur de chemin (Path Length Constraint)

L'attaque de l'algorithme de signature MD5 présentée fin 2008 n'a pu être utilisé pour créer un faux certificat d'autorité de certification utilisable que parce que l'autorité de certification attaquée n'avait pas configuré de limitation de la longueur du chemin.

La limitation de la longueur du chemin est indiquée dans le RFC 5280 est décrite. L'idée est de définir la profondeur maximale de la hiérarchie des autorités de certification dans l'extension „Basic Constraints“ d'un certificat d'autorité de certification.

Continuer la lecture de « Grundlagen: Einschränkung der Pfadlänge (Path Length Constraint) »

Créer un module de sortie pour l'autorité de certification dans C#

Microsoft Active Directory Certificate Services offre la possibilité de créer ses propres Modules Policy et Exit de développer les fonctionnalités de l'autorité de certification.

Voici les étapes nécessaires pour créer un module Exit dans C# avec Visual Studio 2019. Le module Exit écrira les certificats émis dans un répertoire configurable du système de fichiers.

Continuer la lecture de « Ein Exit Modul für die Zertifizierungsstelle in C# erstellen »

Configuration de l'attestation de clé du module TPM (Trusted Platform Module)

Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.

Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.

Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. L'autorité de certification, lorsqu'elle demande un certificat ne pas vérifier explicitement si un module Trusted Platform a vraiment été utilisé.

Pour s'assurer que la clé privée d'une demande de certificat a bien été protégée par un module Trusted Platform, il ne reste donc que l'attestation de clé TPM.

Continuer la lecture de « Konfigurieren der Trusted Platform Module (TPM) Key Attestation »
fr_FRFrançais