| Source de l'événement : | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| ID de l'événement : | 57 (0x825A0039) |
| Journal des événements : | Application |
| Type d'événement : | Information, avertissement et erreur |
| Texte de l'événement (en anglais) : | Le fournisseur „%2“ n'a pas été chargé car l'initialisation a échoué. |
| Texte de l'événement (en allemand) : | Le fournisseur „%2“ n'a pas été chargé en raison d'une erreur d'initialisation. |
Auteur : Uwe Gradenegger
Détails de l'événement avec ID 82 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll
| Source de l'événement : | Microsoft-Windows-CertificateServicesClient-CertEnroll |
| ID de l'événement : | 82 (0x825A0052) |
| Journal des événements : | Application |
| Type d'événement : | Avertissement |
| Texte de l'événement (en anglais) : | L'inscription au certificat pour %1 a échoué dans l'authentification à toutes les url pour le serveur d'inscription associé à l'identifiant de politique : %2 (%4). Echec de l'inscription pour le modèle : %3 |
| Texte de l'événement (en allemand) : | Erreur d'enregistrement de certificat pour %1 lors de l'authentification pour toutes les URL pour le serveur de registre associé à l'ID de stratégie suivante : %2 (%4). Erreur d'enregistrement pour le modèle : %3 |
La demande d'un certificat échoue avec le message d'erreur „A certificate issued by the certification authority cannot be installed. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“
Supposons le scénario suivant :
- Un certificat est demandé à une autorité de certification.
- Le certificat est délivré avec succès par l'autorité de certification.
- Cependant, lors de l'installation du certificat sur le système cible, le message d'erreur suivant apparaît :
A certificate issued by the certification authority cannot be installed. Contact your administrator. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „A certificate issued by the certification authority cannot be installed. Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »
Demander un certificat protégé par un Trusted Platform Module (TPM) - sans posséder de TPM
Depuis Windows 8, c'est possible, que les clés privées des certificats soient protégées par un module de plate-forme de confiance (TPM), si celui-ci est disponible. De ce fait, la clé n'est pas exportable - même avec des outils comme mimikatz.
Au premier coup d'œil, il n'est toutefois pas évident de garantir l'utilisation d'un TPM. Il est vrai que pas de demande possible via la Microsoft Management Console ou AutoEnrollment si l'ordinateur ne dispose pas de TPM.
Toutefois, la configuration dans le modèle de certificat n'est qu'une configuration par défaut pour le client. Lors de la demande, l'autorité de certification ne vérifiera pas explicitement si un module Trusted Platform a vraiment été utilisé.
Ainsi, si la demande de certificat est effectuée en dehors de la MMC, n'importe quel paramètre peut être utilisé pour la clé privée.
Continuer la lecture de « Beantragen eines durch ein Trusted Platform Modul (TPM) geschütztes Zertifikat – ohne ein TPM zu besitzen »La demande de certificat n'est pas possible, car le modèle de certificat ne s'affiche pas. Le message d'erreur est „Can not find a valid CSP in the local machine“.“
Supposons le scénario suivant :
- Un certificat est demandé pour un utilisateur ou un ordinateur auprès d'une autorité de certification via la console de gestion des certificats (certlm.msc ou certmgr.msc).
- Autoenrollment ne demande pas de certificat du modèle de certificat souhaité, bien qu'il soit activé et que les autorisations soient définies en conséquence.
- Le modèle de certificat souhaité ne s'affiche pas lors d'une demande manuelle via la console de gestion Microsoft (MMC). Si l'on active la case à cocher „Show all templates“, le message d'erreur suivant s'affiche pour le modèle de certificat souhaité :
Cannot find object or property. Can not find a valid CSP in the local machine.Continuer la lecture de « Die Beantragung eines Zertifikats ist nicht möglich, da die Zertifikatvorlage nicht angezeigt wird. Die Fehlermeldung lautet „Can not find a valid CSP in the local machine.“ »
Configuration d'un modèle de certificat pour l'utilisation du Microsoft Platform Crypto Provider afin de permettre la protection de la clé privée par un Trusted Platform Module (TPM)
Depuis Windows 8, il est possible de protéger les clés privées des certificats à l'aide d'un module de plate-forme de confiance (TPM), si celui-ci est disponible. Cela permet une véritable non-exportabilité de la clé.
Le processus de configuration d'un modèle de certificat utilisant un module Trusted Platform est décrit ci-dessous.
Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für die Verwendung des Microsoft Platform Crypto Provider, um Schutz des privaten Schlüssels durch ein Trusted Platform Module (TPM) zu ermöglichen »La demande d'un certificat protégé par Trusted Platform Module (TPM) échoue avec le message d'erreur „The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)“
Supposons le scénario suivant :
- Un modèle de certificat est configuré pour l'utilisation du Microsoft Platform Crypto Provider, de sorte que la clé privée générée lors de la demande de certificat est protégée par un Trusted Platform Module (TPM).
- Cependant, la demande de certificats échoue avec le message d'erreur suivant :
An error occurred while enrolling for a certificate. A certificate request could not be created. Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1 Error: The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)Continuer la lecture de « Die Beantragung eines Trusted Platform Module (TPM) geschützten Zertifikats schägt fehl mit Fehlermeldung „The requested operation is not supported. 0x80090029 (-2146893783 NTE_NOT_SUPPORTED)“ »
Google Chrome et Microsoft Edge ne vérifient pas l'état de révocation des certificats
De plus en plus d'entreprises utilisent comme navigateur par défaut sur la plateforme Windows le navigateur Google Chrome ou le nouveau Microsoft Edge basé sur Chromium (nom de code Anaheim).
Lors de la distribution de l'un de ces deux navigateurs, il convient de tenir compte du fait qu'ils se comportent en partie différemment des autres navigateurs en ce qui concerne les certificats.
Outre le fait que Chromium, contrairement à Internet Explorer et au précédent Edge (nom de code Spartan) qui impose le RFC 2818, il se comporte aussi en Vérification des informations de blocage différent.
Continuer la lecture de « Google Chrome und Microsoft Edge prüfen Sperrstatus von Zertifikaten nicht »Signer des certificats en contournant l'autorité de certification
Dans les discussions sur la sécurité d'une autorité de certification, on entend régulièrement qu'un abus de l'autorité de certification pourrait être endigué par ses paramètres de sécurité.
Il n'est toutefois pas évident à première vue que l'intégrité d'une autorité de certification soit directement liée à son matériel de clé et qu'elle puisse donc être compromise par ce dernier.
Il faut se représenter le logiciel d'autorité de certification comme une sorte de gestion autour du matériel clé. Le logiciel offre par exemple une Interface en ligne pour la demande de certificat s'occupe de l'authentification des demandeurs, de l'exécution automatisée des opérations de signature (délivrance de certificats et de Listes de blocage) et leur enregistrement (Base de données des organismes de certification, Protocole d'audit, Journal des événements).
Or, les opérations de signature ne nécessitent rien d'autre que la clé privée de l'autorité de certification. L'exemple suivant montre comment un attaquant peut, s'il a accès à la clé privée de l'autorité de certification, générer et émettre des certificats sans que le logiciel de l'autorité de certification et ses mécanismes de sécurité ne le sachent.
Avec un tel certificat, ce serait même possible dans le pire des cas, de reprendre la structure globale d'Active Directory sans être détecté.
Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle »Déplacer la base de données de l'autorité de certification dans un autre répertoire ou sur un autre lecteur
Dans le cadre de l'exploitation d'une autorité de certification, il peut s'avérer nécessaire de modifier ultérieurement le chemin d'accès à la base de données de l'autorité de certification. Par exemple, on peut vouloir déplacer la base de données vers une autre partition/un autre disque.
Continuer la lecture de « Verschieben der Zertifizierungsstellen-Datenbank in ein anderes Verzeichnis oder auf ein anderes Laufwerk »Microsoft Outlook : voir quel algorithme a été utilisé pour un courriel chiffré ou signé S/MIME
Nous décrivons ci-dessous l'endroit où l'on peut voir quel algorithme symétrique a été utilisé pour le cryptage d'un courriel reçu et quel algorithme de hachage a été utilisé pour un courriel signé.
Continuer la lecture de « Microsoft Outlook: Einsehen, welcher Algorithmus für eine S/MIME verschlüsselte oder signierte E-Mail verwendet wurde »Microsoft Outlook : Contrôler l'algorithme de cryptage utilisé pour S/MIME
Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.
Microsoft Outlook utilise (si elles sont disponibles et nécessaires) les informations contenues dans l'extension „S/MIME Capabilities“ d'un certificat. La manière dont cette utilisation est effectuée et les algorithmes choisis sont décrits ci-dessous.
Continuer la lecture de « Microsoft Outlook: Den verwendeten Verschlüsselungsalgorithmus für S/MIME steuern »L'extension de certificat "S/MIME Capabilities
Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.
Entre autres, l'extension de Microsoft Outlook est évaluée et utilisée pour déterminer l'algorithme symétrique d'un e-mail crypté.
Continuer la lecture de « Die „S/MIME Capabilities“ Zertifikaterweiterung »Étendre l'extension de certificat „S/MIME Capabilities“ aux algorithmes Cryptography Next Generation (CNG) dans les certificats émis.
Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.
Si l'on jette un coup d'œil aux algorithmes symétriques contenus dans un tel certificat, on constatera probablement que la liste contient plutôt des algorithmes obsolètes - le plus „fort“ de ces algorithmes est le Triple DES (3DES), désormais considéré comme dépassé.
Continuer la lecture de « Die „S/MIME Capabilities“ Zertifikaterweiterung in ausgestellten Zertifikaten um die Cryptography Next Generation (CNG) Algorithmen erweitern »Utiliser SSH (PuTTY) sous Windows avec un certificat / une carte à puce
L'administration sécurisée d'un système Linux implique d'éviter les connexions SSH par mot de passe et d'utiliser à la place une connexion par clé RSA.
Le standard de facto pour les connexions SSH sur Windows est PuTTY. Ici, l'ouverture de session avec des clés RSA est certes implémentée, mais seuls des fichiers de clés peuvent être utilisés, ce qui présente l'inconvénient qu'ils se trouvent presque sans protection dans le système de fichiers.
Une option intéressante serait certainement d'utiliser des clés RSA issues du monde Windows, et peut-être même stockées sur une carte à puce physique ou virtuelle.
Continuer la lecture de « SSH (PuTTY) auf Windows mit einem Zertifikat / einer Smartcard verwenden »
Français 
Deutsch 
English