Author: Uwe Gradenegger

Ajouter automatiquement des noms DNS dans le Subject Alternate Name (SAN) des certificats émis - avec le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (ADCS)

Google est très actif avec le projet Chromium et les produits basés sur ce dernier, tels que Google Chrome et Microsoft Edge ont commencé à appliquer la loi sur la protection des données adoptée en 2000. RFC 2818 et de ne plus faire confiance aux certificats qui ne remplissent plus cette condition.

Pour nous, la phrase suivante est d'une grande acuité :

Si une extension subjectAltName de type dNSName est présente, elle DOIT être utilisée comme identité. Sinon, le champ Nom commun (le plus spécifique) dans le champ Sujet du certificat DOIT être utilisé. Bien que l'utilisation du nom commun soit une pratique existante, elle est dépréciée et les autorités de certification sont encouragées à utiliser le dNSName à la place.

https://tools.ietf.org/html/rfc2818
Continuer la lecture de « DNS-Namen automatisch in den Subject Alternate Name (SAN) ausgestellter Zertifikate eintragen – mit dem TameMyCerts Policy Modul für Microsoft Active Directory Certificate Services (ADCS) »

Modifier le Subject Alternative Name (SAN) d'un certificat avant son émission - mais en toute sécurité !

En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.

Malheureusement, cette approche n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables, qui peuvent, dans le pire des cas, permettre à un attaquant de prendre le contrôle de l'ensemble de la structure Active Directory..

Continuer la lecture de « Den Subject Alternative Name (SAN) eines Zertifikats vor dessen Ausstellung verändern – aber sicher! »

Principes de base : listes de blocage du delta

Pour pouvoir retirer les certificats émis avant la fin de leur durée de validité, on utilise des listes de révocation de certificats (en anglais "Certificate Revocation List", CRL).

Il s'agit d'une liste signée des numéros de série des certificats qui ont été révoqués par l'autorité de certification. La liste de révocation a une date d'expiration (généralement courte de quelques jours) et est réémise et signée à intervalles réguliers par l'autorité de certification correspondante.

Les listes de révocation de certificats peuvent atteindre une taille considérable si le volume de certificats révoqués est important (en règle générale, on peut compter environ 5 mégaoctets pour 100 000 entrées). Le téléchargement régulier de grandes listes de révocation de certificats par les abonnés peut générer une charge importante sur le réseau. Pour répondre à ce problème, il existe le concept des listes de blocage delta.

Continuer la lecture de « Grundlagen: Deltasperrlisten »

Rôles dans une infrastructure à clé publique

Pour concevoir une infrastructure à clé publique, il est essentiel de comprendre les rôles impliqués.

Le terme "infrastructure à clé publique" englobe bien plus que les composants techniques et est souvent utilisé de manière équivoque.

En résumé, on peut dire qu'une infrastructure à clé publique est à la fois une technologie d'authentification et l'ensemble des composants impliqués.

Continuer la lecture de « Rollen in einer Public Key Infrastruktur »

Démantèlement d'une autorité de certification intégrée à Active Directory (Enterprise CA)

Il existe de nombreuses instructions pour la mise en place et la mise en service de services informatiques. Mais la plupart du temps, on oublie les instructions correspondantes pour la mise hors service.

Vous trouverez ci-dessous une description de la manière correcte de mettre hors service une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority).

Continuer la lecture de « Rückbau einer Active Directory integrierten Zertifizierungsstelle (Enterprise CA) »

Vérification de l'intégrité des sauvegardes de la base de données des autorités de certification

Dans le cadre de la création d'une Sauvegarde (backup) d'une autorité de certification peut soulever la question de savoir comment s'assurer que l'intégrité de la sauvegarde de la base de données de l'autorité de certification est garantie, de sorte qu'en cas d'urgence, elle soit correctement rétabli peut être.

La base de données des organismes de certification est Moteur de base de données Microsoft JET Blue (également connu sous le nom de Moteur de stockage extensible, ESE) abgebildet. Deren Arbeits- und Sicherungsdateien haben die Endung .edb und können mit dem Betriebssystem-Werkzeug esentutl sont gérés.

Continuer la lecture de « Prüfen der Integrität von Sicherungen der Zertifizierungsstellen-Datenbank »

Configuration d'un modèle de certificat pour les répondeurs en ligne (OCSP) Certificats de signature de réponse

Pour utiliser le Online Certificate Status Protocol (OCSP), il est nécessaire de configurer un modèle de certificat correspondant.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Onlineresponder (OCSP) Antwortsignatur-Zertifikate »

Impossible d'envoyer des messages cryptés S/MIME avec Outlook pour iOS : "There's a problem with one of your S/MIME encryption certificates".

Supposons le scénario suivant :

There's a problem with one of your S/MIME encryption certificates. Contact your IT help desk for more info.
Es gibt ein Problem mit einem ihrer S/MIME-Verschlüsselungszertifikate. Wenden Sie sich für weitere Informationen an Ihren IT-Helpdesk.
Continuer la lecture de « Das Senden von S/MIME verschlüsselten Nachrichten mit Outlook for iOS ist nicht möglich: „There’s a problem with one of your S/MIME encryption certificates.“ »

Les connexions via le serveur de stratégie réseau (NPS) échouent avec la raison suivante : "Authentication failed due to a user credentials mismatch. Soit le nom d'utilisateur fourni ne correspond pas à un compte utilisateur existant, soit le mot de passe était incorrect".

Supposons le scénario suivant :

  • Une connexion basée sur un certificat est effectuée avec des comptes d'utilisateur ou d'ordinateur pour les connecter à un réseau sans fil (IEEE 802.11 ou Wireless LAN) ou câblé (IEEE 802.3), ou une connexion d'accès à distance (par ex. DirectAccess, Routing and Remote Access (RAS), VPN toujours en ligne).
  • L'entreprise utilise comme serveur d'authentification, d'autorisation et de comptabilité (AAA) le Serveur de politiques de réseau (en anglais Network Policy Server NPS) de Microsoft.
  • La connexion au réseau n'est plus possible.
  • Le serveur de stratégie réseau consigne l'événement suivant lorsqu'une tentative de connexion est effectuée :
Network Policy Server denied access to a user. [...] Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert. [...] Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
Continuer la lecture de « Anmeldungen über den Netzwerkrichtlinienserver (engl. Network Policy Server, NPS) scheitern mit Grund „Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.“ »

Impossible d'installer le service d'enregistrement des périphériques réseau (NDES) sur un site dont les contrôleurs de domaine sont en lecture seule.

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (NDES) doit être mis en œuvre sur le réseau.
  • Sur le site Active Directory du serveur NDES, il n'y a que des contrôleurs de domaine en lecture seule (angl. Read Only Domain Controller, RODC).
  • La configuration du rôle NDES échoue avec le message d'erreur suivant :
Failed to add the following certificate templates to the enterprise Active Directory Certificate Service or update security settings on those templates:
EnrollmentAgentOffline 
CEPEncryption
IPSEC(Offline request)
A referral was returned from the server. 0x8007202b (WIN32:8235 ERROR_DS_REFERRAL)
Continuer la lecture de « Keine Installation des Registrierungsdienstes für Netzwerkgeräte (NDES) an einem Standort mit nur schreibgeschützten Domänencontrollern möglich »

Archivage ultérieur des clés privées

Für die Verschlüsselung von E-Mail Nachrichten verwenden Unternehmen üblicherweise den Extensions de messages Internet sécurisés / polyvalents (S/MIME) et mettent à la disposition de leurs utilisateurs les certificats correspondants.

Un aspect important ici est que les clés privées des utilisateurs doivent être sécurisées de manière centralisée, contrairement aux certificats de signature qui sont par ailleurs le plus souvent utilisés. Les messages entrants sont cryptés pour une clé privée spécifique et ne peuvent être décryptées que par ce dernier. Il est donc impératif de disposer d'une sauvegarde de ces clés - y compris pour les Synchronisation sur les terminaux mobiles cela est indispensable. Pour cela, les Microsoft Active Directory Certificate Services offrent la fonction de Archivage des clés privées (angl. Private Key Archival).

Mais que se passe-t-il si l'archivage des clés privées n'a pas été mis en place et que les utilisateurs ont déjà demandé les certificats correspondants ?

Continuer la lecture de « Nachträgliche Archivierung privater Schlüssel »

Demande de certificats pour les terminaux gérés par Microsoft Intune

Dans un monde en réseau, travailler de n'importe où est devenu la norme, et travailler avec des terminaux mobiles tels que des smartphones ou des tablettes en plus des ordinateurs de bureau classiques. Ces terminaux sont généralement connectés au moyen de Gestion des dispositifs mobiles (MDM) systèmes comme Microsoft Intune.

Pour accéder aux ressources de l'entreprise, les utilisateurs de terminaux mobiles ont généralement besoin de certificats numériques pour prouver leur identité. Il est donc nécessaire de mettre à disposition de ces appareils une interface automatisable et néanmoins sécurisée pour la demande de ces certificats.

Continuer la lecture de « Beantragung von Zertifikaten für mit Microsoft Intune verwaltete Endgeräte »

Transférer des certificats S/MIME vers Microsoft Intune

Dans un monde moderne en réseau, la transmission confidentielle de messages dans l'environnement de l'entreprise est essentielle pour le succès commercial. Malgré leur Âge l'e-mail reste un élément incontournable de la communication d'entreprise moderne. Son utilisation a toutefois considérablement évolué au fil des décennies.

De nos jours, il est courant de pouvoir lire et écrire des e-mails professionnels sur des terminaux mobiles tels que les smartphones et les tablettes. Ces terminaux sont généralement connectés au moyen de Gestion des dispositifs mobiles (MDM) systèmes comme Microsoft Intune.

Für die Verschlüsselung von E-Mail Nachrichten verwenden Unternehmen üblicherweise den Extensions de messages Internet sécurisés / polyvalents (S/MIME) et mettent à la disposition de leurs utilisateurs les certificats correspondants. Comment ces certificats peuvent-ils être installés de manière évolutive sur les terminaux des utilisateurs ?

Continuer la lecture de « Übertragen von S/MIME Zertifikaten zu Microsoft Intune »

Signer des certificats en contournant l'autorité de certification - uniquement avec les moyens du bord

Dans l'article "Signer des certificats en contournant l'autorité de certificationJ'ai décrit dans l'article "Comment un attaquant en possession de droits administratifs sur l'autorité de certification peut générer un certificat d'inscription pour des comptes administratifs du domaine en contournant le logiciel de l'autorité de certification, c'est-à-dire en utilisant directement la clé privée de l'autorité de certification.

Dans l'article précédent, j'ai présenté le PSCertificateEnrollment Module Powershell pour illustrer la procédure. Microsoft fournit avec certreq et certutil Le système d'exploitation de l'entreprise est livré avec des outils de pentesting parfaitement adaptés.

Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle – allein mit Bordmitteln »

Détails de l'événement avec ID 41 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center

Source de l'événement :Centre de distribution de clés Microsoft-Windows-Kerberos
ID de l'événement :41 (0x80000029)
Journal des événements :Système
Type d'événement :Avertissement ou erreur
Texte de l'événement (en anglais) :Le Centre de distribution de clés (KDC) a rencontré un certificat d'utilisateur qui était valide mais qui contenait un SID différent de celui de l'utilisateur auquel il était associé. En conséquence, la demande impliquant le certificat a échoué. Voir https://go.microsoft.com/fwlink/?linkid=2189925 pour en savoir plus. Utilisateur : %1 SID utilisateur : %2 Sujet du certificat : %3 Émetteur du certificat : %4 Numéro de série du certificat : %5 Empreinte du certificat : %6 SID du certificat : %7
Texte de l'événement (en allemand) :Le Centre de distribution de clés (KDC, Key Distribution Center) a trouvé un certificat d'utilisateur valide, mais celui-ci contenait un SID différent de celui de l'utilisateur auquel il est associé. En conséquence, une erreur s'est produite lors de la requête concernant le certificat. Pour plus d'informations, consultez le site https://go.microsoft.com/fwlink/?linkid=2189925. Utilisateur : %1 SID utilisateur : %2 Demandeur de certificat : %3 Émetteur de certificat : %4 Numéro de série du certificat : %5 Empreinte du certificat : %6 SID du certificat : %7
Continuer la lecture de « Details zum Ereignis mit ID 41 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais