Author: Uwe Gradenegger

Détails de l'événement avec ID 40 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center

Source de l'événement :Centre de distribution de clés Microsoft-Windows-Kerberos
ID de l'événement :40 (0x80000028)
Journal des événements :Système
Type d'événement :Avertissement ou erreur
Texte de l'événement (en anglais) :Le Centre de distribution de clés (KDC, Key Distribution Center) a rencontré un certificat d'utilisateur qui était valide mais qui ne pouvait pas être mappé à un utilisateur de manière sécurisée (par exemple via un mappage explicite, un mappage de confiance de clé ou un SID). Le certificat prédisait également l'utilisateur auquel il était associé, il a donc été rejeté. Voir https://go.microsoft.com/fwlink/?linkid=2189925 pour en savoir plus. User : %1 Certificate Subject : %2 Certificate Issuer : %3 Certificate Serial Number : %4 Certificate Thumbprint : %5 Certificate Issuance Time : %6 Account Creation Time : %7
Texte de l'événement (en allemand) :Le Centre de distribution de clés (KDC, Key Distribution Center) a trouvé un certificat utilisateur valide, mais qui n'a pas pu être associé à un utilisateur de manière sécurisée (par exemple, via une association explicite, une association de confiance de clé ou un SID). Le certificat a également été précédé de l'utilisateur auquel il est associé, raison pour laquelle il a été refusé. Pour plus d'informations, consultez le site https://go.microsoft.com/fwlink/?linkid=2189925. Utilisateur : %1 Demandeur de certificat : %2 Émetteur de certificat : %3 Numéro de série du certificat : %4 Empreinte du certificat : %5 Heure d'émission du certificat : %6 Heure de création du compte : %7
Continuer la lecture de « Details zum Ereignis mit ID 40 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center »

Détails de l'événement avec ID 39 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center

Source de l'événement :Centre de distribution de clés Microsoft-Windows-Kerberos
ID de l'événement :39 (0x80000027)
Journal des événements :Système
Type d'événement :Avertissement ou erreur
Texte de l'événement (en anglais) :Le Centre de distribution de clés (KDC, Key Distribution Center) a rencontré un certificat d'utilisateur qui était valide mais qui ne pouvait pas être mappé à un utilisateur de manière sécurisée (par exemple via une cartographie explicite, une cartographie de confiance de clé ou un SID). De tels certificats devraient être soit remplacés, soit mappés directement à l'utilisateur via explicit mapping. Voir https://go.microsoft.com/fwlink/?linkid=2189925 pour en savoir plus. User : %1 Certificate Subject : %2 Certificate Issuer : %3 Certificate Serial Number : %4 Certificate Thumbprint : %5
Texte de l'événement (en allemand) :Le Centre de distribution de clés (KDC, Key Distribution Center) a trouvé un certificat utilisateur valide mais qui n'a pas pu être associé à un utilisateur de manière sécurisée (par exemple, via une association explicite, une association de confiance de clé ou un SID). De tels certificats doivent être soit remplacés, soit attribués directement à l'utilisateur via une attribution explicite. Pour plus d'informations, consultez le site https://go.microsoft.com/fwlink/?linkid=2189925. Utilisateur : %1 Demandeur de certificat : %2 Émetteur du certificat : %3 Numéro de série du certificat : %4 Empreinte du certificat : %5
Continuer la lecture de « Details zum Ereignis mit ID 39 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center »

Le renouvellement d'un certificat via le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur CERT_E_UNTRUSTEDCA

Supposons le scénario suivant :

  • Un certificat est demandé via le service d'enregistrement des équipements de réseau (NDES).
  • Le mode de renouvellement est utilisé ici, c'est-à-dire que la demande de certificat est signée avec un certificat existant.
  • La demande du nouveau certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA
certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Erneuerung eines Zertifikats über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlercode CERT_E_UNTRUSTEDCA »

L'installation d'un nouveau certificat d'autorité de certification échoue avec le code d'erreur "ERROR_INVALID_PARAMETER".

Supposons le scénario suivant :

  • Un nouveau certificat d'autorité de certification est demandé pour une autorité de certification subordonnée et délivré par l'autorité de certification supérieure.
  • Le site Subject Distinguished Name (DN de sujet) est identique à celui du certificat d'autorité de certification précédent.
  • Néanmoins, l'installation du certificat d'autorité de certification échoue avec le message d'erreur suivant :
An error was detected while configuring Active Directory Certificate Services.
The Active Directory Certificate Services Setup Wizard will need to be rerun to complete the configuration.
The new certificate subject name does not exactly match the active CA name.
Renew with a new key to allow minor subject name changes: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER).
Continuer la lecture de « Die Installation eines neuen Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlercode „ERROR_INVALID_PARAMETER“ »

Codage des caractères dans le Subject Distinguished Name des demandes de certificat et des certificats délivrés

Habituellement, le codage des caractères et des chaînes de caractères dans les certificats n'est pas un sujet qui intéresse beaucoup les utilisateurs d'une PKI. Il existe cependant des cas où les paramètres par défaut de l'autorité de certification ne donnent pas les résultats escomptés.

Continuer la lecture de « Zeichenkodierung im Subject Distinguished Name von Zertifikatanforderungen und ausgestellten Zertifikaten »

Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »

Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un compte de domaine

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES), qui met en œuvre le protocole SCEP (Simple Certificate Enrollment Protocol) basé sur le web, est représenté sous forme d'application web dans le service d'information Internet (IIS) de Microsoft. Ici, le service fonctionne dans un pool d'applications appelé "SCEP". Dans de nombreux cas il suffit d'utiliser l'identité du pool d'applications intégré pour celui-ci.

Il existe toutefois des cas où l'on souhaite utiliser un compte de domaine. Un exemple est le Certificate Connector pour Microsoft Intune, qui le requiert obligatoirement.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Domänenkonto konfigurieren »

Le Certificate Connector pour Microsoft Intune renvoie le message d'erreur "ArgumentException : String cannot be of zero length" lors de la configuration

Supposons le scénario suivant :

  • Un serveur NDES a été mis en place pour être utilisé avec Microsoft Intune.
  • La configuration de l'Intune Certificate Connector ne peut pas être terminée car le message d'erreur suivant est affiché :
Fehler bei der Microsoft Intune Certificate Connector Konfiguration. Es wurden keine Änderungen an Feature- oder Proxyeinstellungen vorgenommen.
Unerwarteter Fehler: System.ArgumentException: Die Zeichenfolge kann keine Länge von 0 (null) haben.
Parametername: name
  bei System.Security.Principal.NTAccount.ctor(String name)
Continuer la lecture de « Der Certificate Connector für Microsoft Intune wirft bei der Konfiguration die Fehlermeldung „ArgumentException: String cannot be of zero length“ »

Erreur de connexion avec Windows Hello for Business : "Contactez l'administrateur système et dites-lui que le certificat KDC n'a pas pu être vérifié".

Supposons le scénario suivant :

  • L'entreprise utilise Windows Hello for Business.
  • Les utilisateurs reçoivent le message d'erreur suivant lorsqu'ils se connectent au client :
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.
Continuer la lecture de « Anmeldefehler mit Windows Hello for Business: „Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte.“ »

Un module de politique pour les apprivoiser : Présentation du module de politique TameMyCerts pour Microsoft Active Directory Certificate Services

En tant qu'exploitant d'un organisme de certification il est responsable (entre autres) de l'identification des demandeurs et de la confirmation des identités demandées. Le fait que cette tâche soit effectuée consciencieusement et sans erreur est le pilier central de la confiance accordée à l'organisme de certification. Des entreprises renommées sont a déjà échoué dans cette tâche, ont même dû déposer le bilan à la suite de fausses expositions et/ou ont été remplacés par les grands acteurs du marché sensible punit.

Dans de nombreux cas, en tant qu'opérateurs PKI (Microsoft) dans les entreprises (indépendamment de la qualité qui en découle), nous sommes en mesure de déléguer notre tâche d'identification unique d'un demandeur à l'Active Directory. Mais dans de nombreux cas, nous devons malheureusement aussi demander à notre/nos autorité(s) de certification de délivrer simplement tout ce qui est demandé.

Continuer la lecture de « Ein Policy Modul, um sie zu bändigen: Vorstellung des TameMyCerts Policy Moduls für Microsoft Active Directory Certificate Services »

La partition du Hardware Security Module (HSM) est pleine

Supposons le scénario suivant :

  • Une autorité de certification utilise un Module de sécurité matériel (HSM).
  • La partition du Hardware Security Module se remplit de plus en plus de clés au cours de la durée de vie de l'autorité de certification.
  • Sur SafeNet Hardware Security Modules, cela peut même entraîner l'exécution complète de la partition. En conséquence, les événements 86 et 88 de l'autorité de certification.
Continuer la lecture de « Die Partition des Hardware Security Moduls (HSM) läuft voll »

Principes de base : procédures d'authentification pour les services d'information Internet (IIS)

Les services de certificats Active Directory offrent une série d'interfaces supplémentaires basées sur le web (Service d'enregistrement des périphériques réseau (NDES), Service de politique d'enregistrement des certificats (CEP), Service web d'enregistrement des certificats (CES), Enregistrement web des autorités de certification (CAWE).

Les Microsoft Internet Information Services (IIS) sont donc pratiquement indispensables pour une ICP Microsoft. Chacune des interfaces basées sur le web (ainsi que les développements propres) présente ses propres défis en termes de procédures d'authentification et d'implémentation.

L'article suivant a pour but d'apporter un peu de clarté sur le sujet.

Continuer la lecture de « Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS) »

Activer l'authentification de base pour le service d'enregistrement des périphériques réseau (NDES)

Si le service d'enregistrement des périphériques réseau (NDES) est réinstallé (De préférence sans droits d'administrateur d'entreprise), seule l'authentification intégrée à Windows est activée dans un premier temps pour la page web d'administration. Avec ce protocole, une authentification par nom d'utilisateur et mot de passe est également possible (via NT LAN Manager, NTLM). Toutes les applications clientes ne supportent toutefois pas cette fonctionnalité.

De même, une entreprise pourrait vouloir désactiver NTLM lorsque c'est possible et forcer Kerberos pour la connexion. Le fait de rendre Kerberos obligatoire supprime la possibilité de se connecter à la page d'administration du service d'enregistrement des périphériques réseau à l'aide d'un nom d'utilisateur et d'un mot de passe (puisque cela se fait avec des données d'identification NTLM). Il est toutefois possible de mettre à jour l'authentification de base afin d'offrir à nouveau cette possibilité.

Une solution à ce dilemme peut être l'authentification de base, dont la mise en place est expliquée ci-après.

Continuer la lecture de « Aktivieren der Basic Authentication für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Désactiver NTLM et forcer Kerberos sur la page web d'administration du service d'enregistrement des périphériques réseau (NDES)

De nombreuses entreprises ont pour stratégie de désactiver (autant que possible) le protocole d'authentification NT LAN Manager (NTLM) dans leurs réseaux.

Cela est également possible pour la page web d'administration du service d'enregistrement des périphériques réseau (NDES). La mise en œuvre exacte et les modifications éventuelles du comportement des applications sont expliquées ci-dessous.

Continuer la lecture de « Deaktivieren von NTLM und erzwingen von Kerberos an der Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais